Produits importants et critiques CRA : les 3 classes
Produit important (classe I ou II) ou critique du CRA ? Comprenez le classement des Annexes III et IV et la procédure d'évaluation applicable.
- Trois catégories, pas une : le principe de proportionnalité du CRA
- Les produits « par défaut » : l’auto-évaluation
- Les produits importants (Annexe III) : classe I et classe II
- Les produits critiques (Annexe IV) : le sommet de la pyramide
- Comment les catégories ont été précisées fin 2025
- Pourquoi la classification est urgente dès 2026
- Ce qu’il faut retenir
- FAQ
La question que me posent d’abord les éditeurs de logiciels et fabricants d’objets connectés n’est pas « suis-je concerné par le Cyber Resilience Act ? » — la réponse est presque toujours oui — mais « dans quelle catégorie tombe mon produit ? ». C’est la bonne question, car elle détermine tout le reste : la lourdeur de la procédure d’évaluation, l’obligation ou non de faire intervenir un organisme tiers, et in fine le coût et le délai de mise sur le marché. Depuis le 28 novembre 2025, la Commission a précisé ce classement dans un texte dédié. Voici comment situer votre produit.
Trois catégories, pas une : le principe de proportionnalité du CRA
Le règlement (UE) 2024/2847 (Cyber Resilience Act) répartit les produits comportant des éléments numériques en trois niveaux de criticité, selon la logique classique du « nouveau cadre législatif » européen : plus un produit présente un risque cybersécurité systémique, plus la procédure de mise en conformité est exigeante.
Le premier niveau, dit « par défaut », regroupe la très grande majorité des produits — on estime généralement autour de 90 %. Le deuxième niveau, les produits importants, listé à l’Annexe III, se subdivise lui-même en classe I et classe II. Le troisième niveau, les produits critiques, figure à l’Annexe IV.
Cette pyramide n’est pas anecdotique. Elle commande directement le régime d’évaluation de conformité : de la simple auto-évaluation pour le premier niveau, jusqu’à l’intervention obligatoire d’un organisme notifié, voire d’une certification de cybersécurité européenne, pour le sommet. Situer correctement son produit est donc le préalable à toute démarche de marquage CE au titre du CRA.
Les produits « par défaut » : l’auto-évaluation
Un produit qui ne figure ni à l’Annexe III ni à l’Annexe IV relève de la catégorie par défaut. C’est le cas de la plupart des applications, logiciels métiers, jeux, produits IoT grand public sans fonction de sécurité particulière.
Pour ces produits, le fabricant procède à une auto-évaluation (le contrôle interne de la production, procédure connue sous le nom de module A dans le vocabulaire du marquage CE), qu’il ait ou non appliqué des normes harmonisées. Concrètement, il évalue lui-même la conformité aux exigences essentielles de l’Annexe I du CRA, rédige la documentation technique, établit la déclaration UE de conformité et appose le marquage CE. Aucun tiers n’intervient.
Attention : « par défaut » ne signifie pas « allégé sur le fond ». Les exigences essentielles de cybersécurité (sécurité dès la conception, absence de vulnérabilités connues exploitables, gestion des vulnérabilités sur toute la durée de support) s’appliquent à l’identique. Seule la procédure de contrôle est plus légère.
Les produits importants (Annexe III) : classe I et classe II
Les produits importants sont ceux dont une vulnérabilité aurait un impact significatif, du fait de leur fonction de cybersécurité ou de leur position dans le système d’information. L’Annexe III les répartit en deux classes qui n’obéissent pas au même régime.
Classe I : auto-évaluation sous condition
La classe I rassemble notamment les gestionnaires de mots de passe, les navigateurs autonomes ou embarqués, les logiciels de VPN, les antivirus et solutions de détection de logiciels malveillants, les systèmes de gestion de réseau, les systèmes SIEM, les gestionnaires d’identité et d’accès, les routeurs, modems et commutateurs destinés à la connexion internet, les systèmes d’exploitation, les micro-processeurs et micro-contrôleurs dotés de fonctions de sécurité, ou encore certains produits domotiques de sécurité (serrures connectées, systèmes d’alarme, caméras de surveillance).
Pour ces produits, le fabricant peut conserver l’auto-évaluation — mais à une condition claire : il doit appliquer intégralement les normes harmonisées, les schémas de certification européens ou les spécifications communes couvrant les exigences essentielles concernées. À défaut de telles normes, ou s’il choisit de ne pas les appliquer, il bascule dans une procédure faisant intervenir un organisme notifié (examen UE de type — module B suivi du module C — ou assurance qualité complète — module H).
C’est un point stratégique. Tant que le corpus de normes harmonisées n’est pas complet — la Commission a émis la demande de normalisation M/606 en mars 2025 auprès du CEN, du CENELEC et de l’ETSI, avec un premier rapport attendu début 2026 —, beaucoup de fabricants de classe I devront, en pratique, passer par un organisme notifié faute de référentiel applicable.
Classe II : l’organisme notifié devient obligatoire
La classe II regroupe un noyau plus sensible : les hyperviseurs et systèmes d’exécution de conteneurs, les pare-feu et systèmes de détection et de prévention d’intrusion (IDS/IPS), les micro-processeurs résistants aux manipulations (tamper-resistant), et les micro-contrôleurs résistants aux manipulations.
Ici, l’auto-évaluation n’est plus permise, quelle que soit la situation en matière de normes harmonisées. Le fabricant doit obligatoirement recourir à un organisme notifié, via l’examen UE de type (module B + C) ou l’assurance qualité complète (module H). L’évaluation de conformité par une tierce partie est la règle, pas l’exception.
Les produits critiques (Annexe IV) : le sommet de la pyramide
L’Annexe IV isole trois catégories de produits jugés critiques pour la sécurité de l’ensemble de la chaîne :
- les dispositifs matériels dotés de boîtiers de sécurité (Hardware Devices with Security Boxes), typiquement les modules matériels de sécurité (HSM) ;
- les passerelles de compteurs intelligents au sein des systèmes de comptage définis par la directive (UE) 2019/944, et autres dispositifs à finalité de sécurité avancée, y compris pour le traitement cryptographique sécurisé ;
- les cartes à puce ou dispositifs similaires, incluant les éléments sécurisés (secure elements).
Pour ces produits, l’organisme notifié est requis dans tous les cas, comme pour la classe II. Mais le CRA ajoute une possibilité supplémentaire : la Commission peut, par acte délégué, imposer l’obtention d’un certificat de cybersécurité européen délivré au titre d’un schéma issu du règlement (UE) 2019/881 (Cybersecurity Act) — par exemple le schéma EUCC — à un niveau d’assurance au moins « substantiel ». Le produit critique se situe ainsi à l’intersection du CRA et du cadre de certification européen.
Comment les catégories ont été précisées fin 2025
Les Annexes III et IV du règlement énoncent les catégories en termes assez généraux. Pour lever les incertitudes de qualification, la Commission a adopté le règlement d’exécution (UE) 2025/2392 du 28 novembre 2025, qui fournit les descriptions techniques détaillées de ces catégories : son Annexe I précise les produits importants, son Annexe II les produits critiques.
Dans mon expérience de conseil auprès d’éditeurs, c’est ce texte qu’il faut consulter avant de trancher un cas limite. Un produit peut sembler « à la frontière » entre le niveau par défaut et la classe I (un logiciel de gestion de réseau, par exemple) : la description technique du règlement d’exécution permet alors de qualifier objectivement, plutôt que de s’en remettre à une lecture littérale des intitulés de l’Annexe III.
Pourquoi la classification est urgente dès 2026
Le calendrier du CRA est progressif, mais deux échéances rendent le classement immédiatement utile. À compter du 11 juin 2026, les États membres peuvent notifier leurs organismes d’évaluation de la conformité : les fabricants de classe II et de produits critiques ont donc intérêt à identifier tôt l’organisme notifié qu’ils solliciteront, la capacité d’évaluation étant limitée. À compter du 11 septembre 2026, les obligations de signalement des vulnérabilités activement exploitées et des incidents graves à l’ENISA et au CSIRT national deviennent applicables, indépendamment de la catégorie du produit.
L’application pleine et entière du règlement, avec le marquage CE obligatoire, interviendra le 11 décembre 2027. Mais une procédure d’évaluation par organisme notifié se planifie sur plusieurs mois : attendre 2027 pour découvrir que son produit relève de la classe II, c’est prendre le risque de ne pas être prêt à temps.
Ce travail de qualification produit par produit, de recensement des composants concernés et de suivi des exigences applicables, se rapproche de la démarche d’inventaire que nous connaissons bien en conformité — c’est le type de cartographie que des outils comme Legiscope aident à structurer et à tenir à jour.
Ce qu’il faut retenir
- Le CRA distingue trois niveaux de criticité : produits par défaut (auto-évaluation), produits importants classe I et II (Annexe III), produits critiques (Annexe IV).
- La classe I autorise l’auto-évaluation à condition d’appliquer intégralement des normes harmonisées ; sinon, un organisme notifié intervient.
- La classe II et les produits critiques imposent le recours à un organisme notifié dans tous les cas ; les produits critiques peuvent en outre exiger une certification de cybersécurité européenne.
- Le règlement d’exécution (UE) 2025/2392 du 28 novembre 2025 fournit les descriptions techniques précises des catégories : c’est le texte de référence pour les cas limites.
- Les jalons du 11 juin 2026 (organismes notifiés) et du 11 septembre 2026 (signalement) rendent la classification urgente, bien avant l’échéance générale du 11 décembre 2027.
FAQ
Comment savoir si mon produit est « important » au sens du CRA ?
Il faut vérifier s’il figure dans l’une des catégories de l’Annexe III du règlement (UE) 2024/2847, dont les descriptions techniques ont été précisées par le règlement d’exécution (UE) 2025/2392. Si le produit n’est listé ni à l’Annexe III ni à l’Annexe IV, il relève de la catégorie par défaut et peut faire l’objet d’une auto-évaluation.
Un logiciel SaaS peut-il être un produit important ou critique ?
Le CRA vise les produits comportant des éléments numériques mis sur le marché, ce qui inclut des logiciels. Un logiciel de VPN, un SIEM ou un gestionnaire de mots de passe fourni comme produit peut relever de la classe I. La qualification dépend de la fonction, pas du mode de distribution — voir notre analyse dédiée aux éditeurs SaaS face au CRA.
La classe I permet-elle vraiment l’auto-évaluation ?
Oui, mais seulement si le fabricant applique intégralement les normes harmonisées, spécifications communes ou schémas de certification européens couvrant les exigences essentielles. En l’absence de telles normes, ou s’il ne les applique pas, il doit passer par un organisme notifié. Tant que les normes harmonisées ne sont pas publiées, l’organisme notifié reste souvent incontournable en pratique.
Quelle est la différence entre produit important et produit critique ?
Les produits importants (Annexe III) présentent un risque significatif et se répartissent en classe I (auto-évaluation conditionnelle) et classe II (organisme notifié obligatoire). Les produits critiques (Annexe IV) — HSM, cartes à puce et éléments sécurisés, passerelles de compteurs intelligents — peuvent en plus se voir imposer une certification de cybersécurité européenne par acte délégué de la Commission.
Vous préparez la mise en conformité CRA de vos produits ? Recevez nos analyses conformité chaque semaine : réglementations européennes, échéances et guides pratiques, directement dans votre boîte mail.