Source: OJ L 2024/2847, 20.11.2024Current language: FR
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Article 7 Produits importants comportant des éléments numériques
Summary What does Article 7 of the CRA regulation say?
This article establishes the concept of "important products with digital elements" — a distinct, higher-risk classification that triggers stricter conformity assessment obligations under Article 32.
It defines which products fall into this category by reference to Annex III, splits them into two classes based on the nature and severity of their cybersecurity risk, and gives the Commission the power to update that list over time.
A key clarification is also made: embedding an important product into a larger product does not automatically elevate the host product into the same classification.
Important points:
- If your product has the core functionality of a category listed in Annex III, it is classified as an important product and must follow the stricter conformity assessment procedures set out in Article 32(2) and (3).
- The Commission is empowered to amend Annex III — adding, reclassifying, or removing product categories — with a minimum 12-month transitional period before new conformity assessment obligations apply to newly added or reclassified products.
- The Commission is required to adopt an implementing act by 11 December 2025 specifying the technical descriptions of the product categories listed in Annexes III and IV.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les produits comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produit énoncée à l’annexe III sont considérés comme des produits importants comportant des éléments numériques et sont soumis aux procédures d’évaluation de la conformité visées à l’article 32, paragraphes 2 et 3. L’intégration dans un produit d’un produit comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produits énoncée à l’annexe III n’amène pas en tant que telle le produit dans lequel ledit produit comportant des éléments numériques a été intégré à être soumis aux procédures d’évaluation de la conformité visées à l’article 32, paragraphes 2 et 3.
Les catégories de produits comportant des éléments numériques visées au paragraphe 1 du présent article, réparties entre les classes I et II figurant à l’annexe III, remplissent au moins l’un des critères suivants:
le produit comportant des éléments numériques exécute des fonctions essentielles pour la cybersécurité d’autres produits, réseaux ou services, y compris la sécurisation des authentifications et des accès, la prévention et la détection des intrusions, la sécurité des points terminaux ou la protection des réseaux;
le produit comportant des éléments numériques exécute une fonction qui comporte un risque important d’effets néfastes du fait de son intensité et de sa capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de ses utilisateurs par une manipulation directe, par exemple une fonction du système central, y compris la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel.
La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour modifier l’annexe III en ajoutant une nouvelle catégorie dans chaque classe de la liste des catégories de produits comportant des éléments numériques et en précisant la définition de celle-ci, en déplaçant une catégorie de produits d’une classe à l’autre ou en retirant une catégorie existante de cette liste. Lorsqu’elle évalue la nécessité de modifier la liste figurant à l’annexe III, la Commission tient compte des fonctionnalités liées à la cybersécurité ou de la fonction et du niveau de risque de cybersécurité que présentent les produits comportant des éléments numériques qui répondent aux critères visés au paragraphe 2 du présent article.
Les actes délégués visés au premier alinéa du présent paragraphe prévoient, le cas échéant, une période transitoire d’au moins 12 mois, en particulier lorsqu’une nouvelle catégorie de produits importants comportant des éléments numériques est ajoutée à la classe I ou à la classe II ou est déplacée de la classe I à la classe II, figurant à l’annexe III, avant que les procédures d’évaluation de la conformité pertinentes visées à l’article 32, paragraphes 2 et 3, ne deviennent d’application, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.
Au plus tard le 11 décembre 2025, la Commission adopte un acte d’exécution précisant la description technique des catégories de produits comportant des éléments numériques qui relèvent des classes I et II figurant à l’annexe III, ainsi que la description technique des catégories de produits comportant des éléments numériques qui figurent à l’annexe IV. Cet acte d’exécution est adopté en conformité avec la procédure d’examen visée à l’article 62, paragraphe 2.
Relevant recitals
Considérant 10 Important and critical products
L’établissement d’exigences de cybersécurité des produits comportant des éléments numériques aux fins de leur mise sur le marché vise à renforcer la cybersécurité de ces produits, tant pour les consommateurs que pour les entreprises. Ces exigences garantiront, en outre, que la cybersécurité est intégrée à tous les stades des chaînes d’approvisionnement, rendant ainsi plus sûrs les produits finaux comportant des éléments numériques et leurs composants. Parmi ces exigences figurent également des exigences de mise sur le marché applicables aux produits de consommation destinés aux consommateurs vulnérables, tels que les jouets ou les systèmes de surveillance pour bébé. Les produits de consommation comportant des éléments numériques qui sont catégorisés, en vertu du présent règlement, comme des produits importants comportant des éléments numériques présentent un risque de cybersécurité plus élevé car leur fonction comporte un risque important d’effets néfastes du fait de leur intensité et de leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs; aussi ces produits devraient-ils faire l’objet d’une procédure plus stricte d’évaluation de la conformité. Cela s’applique aux produits tels que les produits domestiques intelligents comportant des fonctionnalités de sécurité, y compris les serrures intelligentes, les systèmes de surveillances pour bébés et les systèmes d’alarme, les jouets connectés ou les dispositifs portables personnels de santé. En outre, les procédures d’évaluation de la conformité plus strictes auxquelles sont soumis les produits comportant des éléments numériques qui sont catégorisés, en vertu du présent règlement, comme produits critiques ou importants comportant des éléments numériques contribueront à prévenir les répercussions négatives que l’exploitation de vulnérabilités pourrait avoir sur les consommateurs.
Considérant 43 Important products
Les produits comportant des éléments numériques devraient être considérés comme importants si l’exploitation de vulnérabilités potentielles dans ces produits peut avoir de graves répercussions en raison, entre autres, de la fonctionnalité liée à la cybersécurité ou d’une fonction qui comporte un risque important d’effets néfastes du fait de leur intensité et leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs par une manipulation directe, par exemple une fonction du système central, notamment la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel. En particulier, les vulnérabilités de produits comportant des éléments numériques qui ont une fonctionnalité liée à la cybersécurité, tels que les gestionnaires de démarrage, peuvent provoquer une propagation des problèmes de sécurité tout au long de la chaîne d’approvisionnement. La gravité des répercussions d’un incident peut également augmenter lorsque le produit assure principalement une fonction du système central, y compris la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel.
Considérant 44 Class I and II of important products
Certaines catégories de produits comportant des éléments numériques devraient être soumises à des procédures d’évaluation de la conformité plus strictes, tout en conservant une approche proportionnée. À cette fin, les produits importants comportant des éléments numériques devraient être divisés en deux catégories, reflétant le niveau de risque de cybersécurité lié à ces catégories de produits. Un incident impliquant des produits importants comportant des éléments numériques qui relèvent de la classe II pourrait avoir des répercussions négatives plus importantes qu’un incident impliquant des produits importants comportant des éléments numériques qui relèvent de la classe I, par exemple en raison de la nature de leur fonction liée à la cybersécurité ou de l’exécution d’une autre fonction qui comporte un risque important d’effets néfastes. À titre indicatif, les produits comportant des éléments numériques qui relèvent de la classe II pourraient assurer soit une fonctionnalité liée à la cybersécurité, soit une autre fonction comportant un risque important d’effets néfastes plus élevé que pour les produits relevant de la classe I, soit ces deux types de fonctions. Par conséquent, les produits importants comportant des éléments numériques qui relèvent de la classe II devraient faire l’objet d’une procédure plus stricte d’évaluation de la conformité.
Considérant 45 Core functionality of important products
Par «produits importants comportant des éléments numériques visés dans le présent règlement», on devrait entendre les produits possédant les fonctionnalités essentielles d’une catégorie de produits importants comportant des éléments numériques recensée dans le présent règlement. Par exemple, le présent règlement établit des catégories de produit importants comportant des éléments numériques qui sont définis par leur fonctionnalité de base comme pare-feu ou des systèmes de détection ou de prévention des intrusions de classe II. Par conséquent, les pare-feu et systèmes de détection ou de prévention des intrusions sont soumis à une évaluation de conformité obligatoire par un tiers. Ce n’est pas le cas pour d’autres produits comportant des éléments numériques qui ne sont pas catégorisés comme des produits importants comportant des éléments numériques mais qui peuvent intégrer des pare-feu ou des systèmes de détection ou de prévention des intrusions. La Commission devrait adopter un acte d’exécution pour préciser la description technique des catégories de produits importants comportant des éléments numériques qui relèvent des classes I et II, telles qu’elles figurent dans le présent règlement.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybersécurité
(En. cybersecurity)
Definition
données à caractère personnel
(En. personal data)
Definition
consommateur
(En. consumer)
Definition
mise sur le marché
(En. placing on the market)
Definition
évaluation de la conformité
(En. conformity assessment)
Definition
composant
(En. component)
Definition
logiciel
(En. software)
Definition
produit comportant des éléments numériques
(En. product with digital elements)
Definition
fabricant
(En. manufacturer)
Definition
système d’information électronique
(En. electronic information system)
Definition
incident
Definition
traitement de données à distance
(En. remote data processing)
Definition
risque de cybersécurité
(En. cybersecurity risk)