La loi sur la cyber-résilience (CRA, Cyber Resilience Act) de l'Union européenne (UE) établit de nouvelles normes en matière de cybersécurité. Celles-ci posent des défis majeurs aux fabricants, importateurs et distributeurs de produits électroniques. A ce niveau, les petites et moyennes entreprises, en particulier, sont confrontées à des exigences complexes, des délais serrés et des risques de responsabilité importants.
Dans ce cadre général, le distributeur allemand Rutronik affiche son ambition d'aborder proactivement cette évolution avec ses partenaires le cabinet de conseil en cybersécurité 1ACUE, le fabricant de semi-conducteurs Infineon et l’organisme allemand TÜV Süd. L’objectif est de proposer aux utilisateurs un accompagnement pratique tout au long de la mise en œuvre du CRA.
Rutronik rappelle qu’à partir de 2027, les produits électroniques dotés d'interfaces ne pourront être vendus dans l'UE que s'ils répondent aux exigences complètes du CRA. Celles-ci incluent la classification des risques, la documentation complète des certificats et des manuels, ainsi que les fiches techniques.
Pour la première fois, le système inclut également une nomenclature logicielle et des mises à jour de sécurité tout au long du cycle de vie du produit, c'est-à-dire pendant sa durée de vie prévue ou au moins cinq ans après la dernière vente. Des exigences strictes de signalement des vulnérabilités sont également imposées (parfois sous 24 heures).
Les violations sont passibles de lourdes sanctions, jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial du groupe. Selon la classe de risque, le fabricant peut ne plus délivrer le marquage CE. Les files d'attente auprès des organismes de certification agréés et des organismes de certification de sécurité seront d'autant plus longues jusqu'à l'entrée en vigueur de l'obligation de signalement en septembre 2026 ou jusqu'à l'entrée en vigueur définitive de la loi en décembre 2027.
À l'avenir, Rutronik rappelle aussi que les importateurs auront quasiment la même responsabilité que les fabricants. A ce niveau, il est également particulièrement important de noter que toute personne achetant des produits directement auprès de fabricants non européens deviendra légalement un importateur. Ce qui inclut toutes les obligations d'archivage, de test et de reporting.
Selon Rutronik, de nombreuses entreprises ne sont pas encore pleinement conscientes de ce piège de responsabilité, et des partenariats solides sont essentiels pour tirer parti des avantages liés à l’information.
Rutronik s’engage donc en faveur de la transparence et de la sensibilisation dès le début du processus de mise en oeuvre du CRA. Après avoir organisé en juin 2025, une journée internationale de webinaires sur cette exigence en collaboration avec TÜV Süd, le cabinet 1ACUE et Infineon, Rutronik souhaite mettre en avant auprès des utlisateurs les problématiques suivantes : quelles directives s'appliquent à qui ? Comment réaliser une analyse des risques conforme à la législation ? Quels produits sont concernés ? Comment garantir efficacement la conformité ?
Rutronik, fournisseur de solutions issues de plus de 250 fabricants à destination de plus de 40 000 utilisateurs, a pour ambition sur ce sujet d’aller au-delà de la simple fourniture de composants en apportant une aide à l’évaluation et à la préparation à ce défi réglementaire : accompagnement à l'évaluation préliminaire des risques liés aux composants, conseils sur les nouvelles exigences en matière de documentation, de reporting et de mise à jour, accès à des informations fournisseurs fiables et accès à des équipes formées en interne aux processus liés au CRA.
« Nous nous considérons comme des intermédiaires entre les fournisseurs de technologies, les législateurs et les équipementiers, commente Bernd Hantsche, vice-président du centre de compétences technologiques chez Rutronik. Le CRA représente pour nombre d’utilisateurs des clients des défis majeurs, mais elle leur offre également l'opportunité de pérenniser et de rendre leurs processus résilients. Nous allons les les accompagnons activement dans cette démarche.»
