Un nouveau programme d’accompagnement d’AKTANTIS au Cyber Resilience Act pour les TPE/PME innovantes

Adoptée le 12 mars 2024, la Cyber Resilience Act, soit la loi sur la cyber–résilience (CRA), vise à renforcer la cybersécurité au sein de l’Union européenne. AKTANTIS souhaite jusqu’à l’entrée en application en décembre 2027, accompagner les entreprises innovantes au travers de 5 actions majeures :

1. Lancement d’une enquête auprès de TPE/PME AKTANTIS en septembre 2025 – Objectif : Définir votre classification pour connaître les mesures de sécurité requises pour votre mise en conformité.
2. Réalisation de webinar de sensibilisation technique et juridique 2 fois par an sur la security by design et les exigences du CRA – Objectif : Vous apporter toute l’information nécessaire. Prochain webinar le 23 septembre 2025.
3. Publier au minimum 2 fois une note d’information – Objectif : vous informer des calendriers et évolutions quant à la mise en œuvre du CRA.
4. Mise en place d’une permanence 1 fois par trimestre – Objectif : Vous faire bénéficier de 30mn de conseil au travers d’une plateforme de prise de RDV.
5. Déploiement d’un accompagnement individuel security by design ou préparation CRA ou certification – Objectif : 9 jours de conseil, co-financée par la région Sud, disponibles sur la période entre avril 2025 à mars 2027, pour réaliser vos audits et travailler la mise en conformité ou votre certification et pour faire monter en compétences vos équipes R&D.

Quelques dates clés concernant le CRA, un Règlement, donc directement applicable aux états membres de l’UE :

• Entrée en vigueur le 10 décembre 2024 ;
• Mise en conformité exigée en décembre 2027 ;
• Concerne les biens physiques ou logiques pourvus d’une connexion directe ou indirecte, logique ou physique, à un dispositif ou un réseau ;
• Le niveau d’exigences en cybersécurité est fonction de la classification du produit ;
• La mise en conformité est laissée libre aux fabricants en ce qui concerne les Produits comportant des Éléments Numérique (PEN) sans Classe via auto-déclaration de conformité aux exigences du règlement ;
• Pour la mise sur le marché de produits, la labellisation CE sera conditionnée au respect des exigences du CRA ;
• Les produits de Classe I et II et les produits critiques sont soumis à contrôles par des organismes notifiés ou à des certifications le cas échéant ;
• Le règlement porte sur 13 exigences en matière de cybersécurité des produits et 8 exigences en matière de gestion des vulnérabilités.

Sont exclus du CRA :

• Les dispositifs médicaux professionnelssoumis aux règlements (EU) 2017/745 et (EU) 2017/746 ;
• Les véhicules à moteurs et leurs remorques ainsi que leurs systèmes, composants et entités techniques distinctes qui sont dans le scope du règlement (EU) 2019/2144 ;
• Les systèmes d’aviation civile et les équipements marins,respectivement régis par les règlements (EU) 2018/1139 et 2014/90/EU ;
• Les éléments numériques développés ou modifiés exclusivement à des fins de sécurité ou de défense nationale.