Le Cyber Resilience Act (CRA) et la directive NIS2 constituent les deux piliers du cadre europeen de cybersecurite. Le premier reglemente la securite des produits numeriques mis sur le marche. La seconde impose des obligations de cybersecurite aux entites qui exploitent des reseaux et systemes d’information. Leur articulation – l’objet de cet article – est une question centrale pour les organisations qui relevent des deux textes simultanement.

I. Deux textes, deux logiques distinctes

A. Le CRA : la securite du produit

Le CRA – reglement (UE) 2024/2847 – est un texte de reglementation produit. Il s’inscrit dans la logique du marche interieur et du marquage CE. Son objectif est d’imposer un niveau minimum de cybersecurite a tout produit comportant des elements numeriques avant sa mise sur le marche europeen. Les obligations pesent sur les fabricants, importateurs et distributeurs, et couvrent l’ensemble du cycle de vie du produit : conception securisee, gestion des vulnerabilites, fourniture de mises a jour de securite.

Le CRA ne s’interesse pas a la maniere dont une organisation exploite ses systemes d’information. Il s’interesse a la securite intrinseque du produit lui-meme.

B. NIS2 : la securite de l’organisation

La directive NIS2 – directive (UE) 2022/2555 – suit une logique radicalement differente. Elle impose des mesures de cybersecurite aux organisations elles-memes, c’est-a-dire aux entites essentielles et aux entites importantes qui operent dans des secteurs critiques (energie, transports, sante, infrastructures numeriques, etc.). Les obligations portent sur la gouvernance des risques, la securite des reseaux et des systemes d’information, la gestion des incidents et la securite de la chaine d’approvisionnement.

NIS2 ne s’interesse pas directement a la securite intrinseque des produits. Elle s’interesse a la securite de l’ecosysteme operationnel de l’entite.

C. Tableau comparatif

Critere	CRA	NIS2
Nature juridique	Reglement (directement applicable)	Directive (transposition nationale)
Logique	Securite produit (marche interieur)	Securite organisationnelle (reseaux et systemes)
Sujets de droit	Fabricants, importateurs, distributeurs	Entites essentielles et importantes
Perimetre	Produits avec elements numeriques	Reseaux et systemes d’information
Notification d’incident	24h a l’ENISA (vulnerabilites activement exploitees)	24h au CSIRT national (incidents significatifs)
Sanctions maximales	15 M EUR ou 2,5 % du CA mondial	10 M EUR ou 2 % du CA mondial (entites essentielles)
Evaluation de conformite	Marquage CE, auto-evaluation ou organisme tiers	Controles et audits par les autorites nationales
Entree en application	Obligations principales au 11 decembre 2027	Transposition au 17 octobre 2024

II. Les zones de chevauchement

A. Quand les deux textes s’appliquent simultanement

La question de l’articulation CRA-NIS2 se pose concretement pour les organisations qui sont a la fois :

• fabricants de produits numeriques au sens du CRA (elles concoivent et commercialisent des logiciels, des equipements connectes ou des composants) ; et
• entites essentielles ou importantes au sens de NIS2 (elles operent dans un secteur couvert par les annexes I ou II de la directive).

L’exemple type est un editeur de logiciels de securite (pare-feu, antivirus, systemes de detection d’intrusion) qui, du fait de son activite dans le secteur des infrastructures numeriques, releve de NIS2 en tant qu’entite importante, tout en etant soumis au CRA en tant que fabricant d’un produit comportant des elements numeriques.

Un fabricant d’equipements medicaux connectes operant dans le secteur de la sante constitue un autre cas de figure frequent, bien que les dispositifs medicaux proprement dits soient exclus du CRA au profit de leurs reglementations sectorielles.

B. La question de la notification des incidents

C’est sur le terrain de la notification que la coexistence des deux textes est la plus tangible.

Au titre du CRA (article 14), le fabricant qui decouvre une vulnerabilite activement exploitee dans l’un de ses produits doit en informer l’ENISA dans un delai de 24 heures, via la plateforme de signalement unique. Une analyse complete doit suivre dans un delai de 72 heures, puis un rapport final dans les 14 jours. L’obligation porte sur les vulnerabilites du produit, independamment de tout incident affectant les systemes du fabricant lui-meme.

Au titre de NIS2 (article 23), l’entite essentielle ou importante qui subit un incident significatif affectant ses reseaux et systemes d’information doit le notifier a son CSIRT national dans un delai de 24 heures (alerte initiale), puis fournir une notification intermediaire dans les 72 heures et un rapport final dans un mois.

Les deux obligations sont cumulatives. Un fabricant-entite essentielle qui decouvre qu’une vulnerabilite de son propre produit a ete exploitee pour compromettre ses propres systemes devra effectuer une double notification : a l’ENISA pour la vulnerabilite produit (CRA) et au CSIRT national pour l’incident operationnel (NIS2). Les delais sont voisins mais les canaux, les destinataires et les contenus attendus different.

Le considerant 15 du CRA precise d’ailleurs explicitement que le reglement ne fait pas obstacle aux obligations de notification prevues par NIS2 et que les deux mecanismes doivent se completer.

III. La chaine d’approvisionnement : le point de convergence strategique

L’un des apports majeurs de l’articulation CRA-NIS2 concerne la securite de la chaine d’approvisionnement.

NIS2 (article 21, paragraphe 2, point d) impose aux entites essentielles et importantes de prendre en compte la securite de la chaine d’approvisionnement, y compris les aspects lies a la securite des relations entre chaque entite et ses fournisseurs ou prestataires directs. Concretement, une entite NIS2 doit s’assurer que les produits et services qu’elle acquiert presentent un niveau de securite adequat.

C’est ici que le CRA offre un levier direct. Un produit conforme au CRA – portant le marquage CE, accompagne d’une declaration de conformite et d’un SBOM (Software Bill of Materials) – fournit a l’entite NIS2 des garanties documentees sur le niveau de securite du produit. L’entite peut s’appuyer sur ces elements pour justifier de sa diligence en matiere de securite de la chaine d’approvisionnement.

Le recours a des produits conformes au CRA ne dispense toutefois pas l’entite NIS2 de ses propres obligations de gouvernance. La conformite CRA est une brique, non un substitut a l’analyse de risques prevue par NIS2.

IV. Comparaison des sanctions

Les deux textes prevoient des regimes de sanctions distincts mais d’un ordre de grandeur comparable.

Pour le CRA, les sanctions peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial pour les infractions les plus graves (non-respect des exigences essentielles de securite). Les infractions moins graves sont sanctionnees jusqu’a 10 millions d’euros ou 2 % du chiffre d’affaires.

Pour NIS2, les sanctions maximales sont de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entites essentielles, et de 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les entites importantes. NIS2 prevoit en outre la possibilite de sanctions personnelles a l’encontre des dirigeants, y compris des interdictions temporaires d’exercer des fonctions de direction.

Une organisation soumise aux deux textes s’expose donc a un cumul des sanctions en cas de manquement affectant simultanement la securite de ses produits et la securite de ses systemes.

V. Strategie pratique de double conformite

Pour les organisations relevant des deux textes, une approche integree est indispensable. Voici les axes a privilegier.

A. Unifier la gouvernance

La designation d’un responsable unique de la conformite cybersecurite, couvrant a la fois les obligations CRA (produit) et NIS2 (organisation), evite les silos et les doublons. Ce responsable doit disposer d’une vision transversale sur les processus de securite produit (developpement securise, gestion des vulnerabilites) et sur la securite operationnelle (gestion des incidents, securite des reseaux).

B. Integrer les processus de notification

La mise en place d’un processus unique de detection et de qualification des evenements de securite, avec un aiguillage vers les canaux CRA (ENISA) ou NIS2 (CSIRT) selon la nature de l’evenement, est un facteur critique d’efficacite. Un incident peut necessiter une double notification ; le processus doit le prevoir.

C. Capitaliser sur le SBOM

Le SBOM, exige par le CRA, constitue un atout pour la conformite NIS2. Il permet de documenter la composition logicielle des produits deployes dans l’infrastructure de l’entite et d’identifier rapidement les composants affectes en cas de vulnerabilite. Les entites NIS2 ont donc interet a exiger des SBOM de leurs fournisseurs, y compris en dehors du champ strict du CRA.

D. Aligner les analyses de risques

Le CRA exige une analyse de risques au niveau du produit ; NIS2 exige une analyse de risques au niveau de l’organisation. Ces deux exercices peuvent etre conduits de maniere articulee, en utilisant un referentiel commun (ISO 27001, NIST CSF) et en alimentant l’analyse organisationnelle avec les resultats des analyses produit.

E. Preparer les audits

Les controles CRA (surveillance du marche) et les audits NIS2 (autorites nationales) suivent des logiques differentes mais portent sur des elements de preuve parfois communs : documentation de securite, registres d’incidents, preuves de mise a jour. La constitution d’un dossier de conformite unique, organise par obligation, facilite la reponse aux deux types de controles.

Conclusion

Le CRA et NIS2 ne sont pas des textes concurrents. Ils sont complementaires par construction : l’un securise les produits, l’autre securise les organisations qui les utilisent. Leur articulation cree un cadre europeen de cybersecurite qui couvre l’ensemble de la chaine de valeur numerique, de la conception du produit a son exploitation en conditions reelles.

Pour les organisations soumises aux deux textes, la double conformite represente un investissement significatif. Mais c’est aussi une opportunite : en alignant les processus produit et les processus organisationnels, ces organisations construisent une posture de securite plus coherente et plus resiliente que la somme de deux conformites separees.