Conclusion exécutive
Avant le 11 décembre 2027, la conformité CRA des produits déjà sur le marché repose exclusivement sur l’article 14. Les exigences techniques de l’Annexe I ne sont pas applicables, et aucune obligation de correction ou de patch n’est créée par le règlement.
1. Position générale
LEROY Automation applique strictement les obligations légales prévues par le Règlement (UE) 2024/2847 dit “Cyber Resilience Act” (CRA), et uniquement celles‑ci.
Aucune obligation supplémentaire, notamment en matière de correction, de fourniture de patch ou de maintenance de produits existants, ne saurait être déduite ou implicite au‑delà du texte réglementaire applicable.
2. Périmètre réglementaire applicable aux produits déjà sur le marché
Conformément aux dispositions transitoires du CRA (Article 69):
« Les produits comportant des éléments numériques qui ont été mis sur le marché avant le 11 décembre 2027 ne sont soumis aux exigences prévues par le présent règlement que s’ils font l’objet, à compter de cette date, d’une modification substantielle. » (Article 69, paragraphe 2 – CRA)
En conséquence, les exigences techniques de fond prévues à l’Annexe I (EXIGENCES ESSENTIELLES DE CYBERSÉCURITÉ) ne sont pas applicables aux produits mis sur le marché avant le 11 décembre 2027 en l’absence de modification substantielle.
3. Obligation spécifique applicable aux produits legacy
Par l’article 69, le CRA prévoit explicitement que :
«les obligations prévues à l’article 14 s’appliquent à tous les produits comportant des éléments numériques relevant du champ d’application du présent règlement qui ont été mis sur le marché avant le 11 décembre 2027. » (Article 69, paragraphe 3 – CRA)
En vertu de quoi l’unique obligation réglementaire applicable aux produits legacy est donc celle prévue à l’article 14.
4. Nature et portée exacte de l’article 14
L’article 14 du CRA porte exclusivement sur des obligations de notification et d’information, notamment en cas de vulnérabilité activement exploitée.
Il prévoit notamment :
« Une notification de vulnérabilité (…) toute mesure corrective ou d’atténuation prise et les mesures correctives ou d’atténuation que les utilisateurs peuvent prendre, le cas échéant. » (Article 14, paragraphe 2, point b – CRA)
Portée juridique:
- L’article 14 n’impose pas la création d’une mesure corrective.
- L’article 14 n’impose pas la correction d’un produit existant.
- L’article 14 n’impose pas la fourniture gratuite de mises à jour.
- L’article 14 encadre exclusivement la communication d’informations, lorsque celles‑ci existent.
5. Absence d’obligation de correction ou de patch
Le texte du CRA ne crée donc aucune obligation de développement, de correction ou de fourniture de patch pour les produits mis sur le marché avant le 11 décembre 2027, tant qu’aucune modification substantielle n’est réalisée.
Toute obligation de ce type ne peut résulter que d’un engagement contractuel spécifique, distinct du cadre réglementaire.
6. Prestations hors périmètre réglementaire
En conséquence, toute activité allant au‑delà des obligations strictement prévues par le CRA, notamment :
- Développement ou fourniture de correctifs,
- Mises à jour de sécurité,
- Maintenance de produits legacy,
- Analyses techniques approfondies,
N’est pas requise par le règlement et ne relève pas de la conformité CRA. Une telle activité fera l’objet, le cas échéant, d’un contrat spécifique et d’une facturation dédiée.