Classer ses produits sous le CRA : guide pratique de l'Annexe III

Pourquoi la classification est la première décision stratégique du projet CRA

Dans l'architecture du Cyber Resilience Act, la classification produit est le point d'entrée obligatoire de toute démarche de mise en conformité. Elle précède l'analyse de risque, le dossier technique, et la sélection du module d'évaluation. Ce n'est pas une formalité administrative : c'est une décision qui détermine si la conformité peut être autodéclarée ou si elle requiert l'intervention d'un organisme notifié, avec les coûts et délais que cela implique.

La mécanique est posée à l'Article 32 du CRA. Pour un produit standard : Module A : déclaration interne de contrôle de la production, sans tiers. Pour un produit important Classe I sans norme harmonisée applicable : Module B+C : examen de type UE suivi d'une attestation de conformité au type, délivré par un organisme notifié. Pour un produit important Classe II : Module B+C ou Module H systématiquement. L'ordre de grandeur indicatif d'un audit d'organisme notifié : 15 000 à 50 000 euros selon la complexité du produit, 6 à 12 mois selon la disponibilité de l'organisme.

La classification est donc binaire dans ses effets : auto-évaluation ou audit externe. Il n'y a pas de voie intermédiaire. C'est pour cette raison que la précision de l'analyse de classification justifie, dans les cas ambigus, un investissement en expertise préalable.

Le test de la fonctionnalité de base

L'Article 7§1 du CRA définit les produits importants comme ceux dont la fonctionnalité de base correspond à une catégorie listée à l'Annexe III. La notion de fonctionnalité de base est centrale et son interprétation correcte conditionne toute la démarche de classification.

Un produit n'est pas classé Classe I parce qu'il intègre, à titre secondaire, une fonction listée en Annexe III. Un routeur domestique qui inclut un client VPN n'est pas automatiquement classé Classe I au titre de la catégorie 5 (VPN) si sa fonctionnalité de base est la fourniture de connectivité réseau, catégorie 12 (routeurs), qui est également Classe I, mais par une voie différente. La question est : quelle est la fonction primaire pour laquelle ce produit est conçu et commercialisé ?

Le règlement d'exécution (UE) 2025/2392, adopté en mars 2025 en application de l'Article 7§4 du CRA, apporte des descriptions techniques précises pour chaque catégorie de l'Annexe III et de l'Annexe IV. Son rôle est opérationnel : fournir aux fabricants et aux autorités de surveillance du marché une définition suffisamment précise pour réduire l'ambiguïté des cas frontières. Lorsqu'un produit répond à la description technique d'une catégorie telle que définie par ce règlement d'exécution, il entre dans cette catégorie, et sa classification en découle.

Une règle d'intégration complémentaire figure à l'Article 7§1 in fine : l'intégration d'un composant Classe I (par exemple un microcontrôleur à fonctionnalités de sécurité, catégorie 14) dans un produit hôte n'élève pas automatiquement le produit hôte au niveau de classification du composant. Le composant est soumis à ses propres obligations ; le produit hôte reste classé selon sa propre fonctionnalité de base. Les deux dossiers techniques CRA sont distincts.

Lire l'Annexe III Classe I

L'Annexe III Classe I contient dix-neuf catégories. Celles qui concernent le plus directement les fabricants d'équipements connectés en dehors du secteur IT pur sont les suivantes :

Catégorie 1 : Systèmes de gestion des identités et des accès privilégiés

Inclut les lecteurs d'authentification et de contrôle d'accès, les lecteurs biométriques. Pour un fabricant de systèmes de contrôle d'accès physique connectés (badges RFID, lecteurs biométriques avec interface réseau, centrales de contrôle d'accès IP), cette catégorie est directement applicable si la gestion des identités ou des accès privilégiés constitue la fonctionnalité principale. Un lecteur de badge utilisé comme accessoire d'un système d'alarme doit être évalué indépendamment du système.

Catégorie 5 : Produits avec la fonction de réseau privé virtuel (VPN)

La catégorie vise les produits dont la fonction de base est le VPN. Un équipement industriel qui utilise un tunnel VPN pour sa communication de maintenance n'est pas classé ici si le VPN est un moyen et non la fin. En revanche, un boîtier VPN dédié à la sécurisation des communications d'un site industriel entre dans cette catégorie.

Catégorie 12 : Routeurs, modems destinés à la connexion à Internet et commutateurs

Cette catégorie couvre un périmètre large : routeurs CPE grand public, routeurs industriels connectés, modems ADSL/fibre, commutateurs gérés avec interface réseau. Pour les fabricants d'équipements réseaux industriels, c'est souvent la catégorie déclenchante : un concentrateur de données industriel avec fonction routage IP entre dans la catégorie 12.

Catégorie 14 : Microcontrôleurs dotés de fonctionnalités liées à la sécurité

Le qualificatif « fonctionnalités liées à la sécurité » limite le périmètre : les microcontrôleurs standards sans capacité cryptographique ou sans fonction de protection de la mémoire dédiée ne sont pas visés. Sont concernés les microcontrôleurs intégrant un moteur cryptographique, une zone mémoire protégée (TrustZone, Secure Element embarqué, ou mécanisme équivalent), ou une fonction d'amorçage sécurisé. Pour les fabricants de composants électroniques ou les équipementiers qui intègrent ce type de microcontrôleurs dans leurs produits, la question de la classification du composant se pose indépendamment du produit hôte.

Un corollaire utile pour les équipementiers intégrateurs : sous le CRA, la certification d'un module (par exemple un modem certifié CRA disposant de sa propre évaluation de conformité) peut contribuer positivement à la conformité du produit intégrateur, dès lors que le module est utilisé conformément à sa documentation et que son interface est correctement mise en œuvre. 

Catégorie 17 : Produits domestiques intelligents dotés de fonctionnalités de sécurité

C'est la catégorie la plus importante pour les fabricants du secteur de la sécurité électronique. Le texte de l'Annexe III cite explicitement : serrures, caméras de sécurité, systèmes de surveillance pour bébé et systèmes d'alarme. Cette énumération n'est pas exhaustive : le règlement d'exécution (UE) 2025/2392 fournit la description technique de référence, alignée sur le périmètre de la norme ETSI EN 304 632 (Smart Home Products with Security Functionalities, SHPSF). Une centrale d'alarme connectée avec interface cloud, un détecteur connecté transmettant à un serveur, un système de vidéosurveillance IP : tous relèvent de la catégorie 17. La classification est Classe I.

Lire l'Annexe III Classe II

L'Annexe III Classe II contient quatre catégories, délibérément limitées aux composants critiques de l'infrastructure numérique :

• Catégorie 1 : Hyperviseurs et systèmes d'exécution de conteneurs, logiciels de virtualisation (VMware ESXi, Hyper-V, KVM, conteneur OCI) utilisés pour l'exécution d'environnements OS multiples ;
• Catégorie 2 : Pare-feu, systèmes de détection et de prévention des intrusions (IDS/IPS) ;
• Catégories 3 et 4 : Microprocesseurs et microcontrôleurs résistants aux manipulations (tamper-resistant), distinction avec la catégorie 14 Classe I : la résistance aux manipulations physiques est ici la propriété déterminante (evaluée selon des critères comme les Common Criteria EAL4+).

Pour la grande majorité des fabricants de produits connectés en dehors du secteur IT professionnel, la Classe II n'est pas la classification pertinente. Elle concerne principalement les éditeurs de logiciels d'infrastructure, les fabricants de semi-conducteurs de sécurité, et les fournisseurs d'équipements réseaux de sécurité purs.

Les produits critiques (Annexe IV) : pour mémoire

L'Annexe IV répertorie trois catégories de produits critiques : dispositifs matériels avec boîtier de sécurité (HSM), passerelles de compteurs intelligents, et cartes à puce ou dispositifs similaires incluant les éléments sécurisés. Ces produits sont soumis à un schéma européen de certification de cybersécurité selon le règlement EUCS (Règlement (UE) 2019/881) ou, à défaut, à Module B+C. Ce périmètre ne concerne pas les fabricants d'IoT grand public.

Cas limites et situations multi-catégories

Un produit dont les fonctionnalités couvrent plusieurs catégories

Un système de contrôle d'accès connecté qui intègre à la fois un lecteur biométrique (catégorie 1), un VPN pour la communication avec le serveur de gestion (catégorie 5), et une fonction d'alarme connectée (catégorie 17) : chaque fonction doit être évaluée selon sa catégorie. Si les trois catégories sont Classe I et qu'aucune n'est Classe II, le produit global est Classe I. La classification la plus sévère applicable prévaut. La documentation technique doit traiter chaque catégorie applicable.

Produits industriels connectés non listés

Les automates programmables industriels (PLC), les systèmes SCADA, les passerelles OT/IT, les capteurs industriels : ces catégories ne figurent pas dans l'Annexe III telle que publiée en 2024. Ils relèvent donc de la catégorie résiduelle : produits standard, Module A. Cette situation est susceptible d'évoluer : l'Article 7§3 habilite la Commission à modifier l'Annexe III par acte délégué. Les fabricants d'équipements industriels connectés doivent surveiller l'évolution de cette liste.

Logiciels intégrés dans un matériel non classé

Un logiciel embarqué (firmware) livré avec un matériel forme un produit unique. Si le matériel n'est pas Classe I ou II, le produit global ne le devient pas par la seule présence du firmware. En revanche, si le firmware est distribué séparément (via téléchargement, mise à jour OTA) et que sa fonctionnalité de base correspond à une catégorie Annexe III (par exemple un système d'exploitation pour microcontrôleur, catégorie 11), il peut être classé Classe I en tant que produit autonome.

La question EN 304 632 : l'enjeu du module pour la catégorie 17

Pour les fabricants de produits Classe I (et en particulier ceux de la catégorie 17 : systèmes d'alarme, serrures connectées, caméras de sécurité), la question pratique la plus urgente est la suivante : la norme harmonisée qui rendrait le Module A disponible sera-t-elle publiée avant l'échéance de décembre 2027 ?

La norme ETSI EN 304 632 (V0.2.1, février 2026) est la norme sectorielle prévue pour les produits de la catégorie 17. En avril 2026, elle est en stade de mature draft soumis à enquête publique combinée et vote (ETSI TC CYBER). Son harmonisation requiert : l'achèvement du processus ETSI (vote final), la transmission à la Commission dans le cadre du mandat M/606, et enfin la citation au Journal officiel de l'Union européenne. La totalité de ce processus peut prendre de 12 à 18 mois après le vote final ETSI, ce qui situe la fenêtre d'harmonisation réaliste entre fin 2026 et courant 2027.

Si l'harmonisation intervient à mi-2027 et que le dossier technique est en état d'invoquer la présomption de conformité : Module A disponible, auto-déclaration possible pour décembre 2027. Si l'harmonisation est retardée, ou si le dossier technique n'est pas en état : Module B+C obligatoire, organisme notifié requis. La liste NANDO des organismes notifiés CRA n'était pas encore publiée en avril 2026 (la désignation des ON CRA devant intervenir au plus tard le 11 juin 2026 selon l'Article 38).

La recommandation pratique est de planifier en scénario double : budget Module A si EN 304 632 est harmonisée à temps, budget alternatif Module B+C en cas de retard. Ces deux scénarios ont des implications très différentes en termes de coût, de calendrier et de préparation du dossier technique. L'entreprise qui attend 2027 pour trancher risque de ne plus avoir le temps d'engager un organisme notifié.

Quand solliciter un avis juridique ou technique externe sur la classification

La classification est claire dans la majorité des cas : un routeur grand public est catégorie 12 Classe I, un système d'alarme connecté est catégorie 17 Classe I, un capteur IoT de température sans interface réseau autre que Bluetooth est un produit standard. Dans ces cas, une décision interne documentée suffit.

Une expertise externe est justifiée dans les situations suivantes :

• La description technique du règlement d'exécution (UE) 2025/2392 ne couvre pas clairement le produit, et la classification détermine si un organisme notifié est requis ;
• Le produit est un composant intégré à plusieurs autres produits de classifications différentes, et la question de sa propre classification est structurante pour les clients intégrateurs ;
• Le portefeuille produit comprend des gammes qui se situent en zone frontière entre plusieurs catégories ;
• La décision de classification fera l'objet d'un contrôle par une autorité de surveillance du marché dans le cadre d'un audit du dossier technique ; auquel cas documenter rigoureusement le raisonnement de classification est aussi important que la conclusion elle-même.

Le fabricant légal face au dossier technique : le point de friction le plus fréquent

Une distinction critique pour la mise en conformité CRA est celle entre le fabricant physique (celui qui possède l'usine, les plans de fabrication, et maîtrise la conception du produit) et le fabricant légal (l'importateur ou distributeur qui appose sa marque sur un produit conçu et fabriqué par un tiers, et qui, en vertu du CRA, assume l'intégralité des obligations réglementaires du fabricant).

Pour le fabricant légal, le problème du dossier technique est structurel : il n'a en général pas accès direct aux documents de conception du fabricant physique (plans PCB, schémas d'architecture, résultats d'essais internes). Il dépend d'un arrangement contractuel avec le fabricant original pour que celui-ci lui fournisse le dossier technique ou accepte de le mettre à disposition des autorités de surveillance sur requête. C'est la cause de non-conformité documentaire la plus fréquente lors des premiers contrôles sur les nouvelles réglementations produit : le fabricant légal déclare la conformité, signe la déclaration UE de conformité, appose le marquage CE, mais, le jour où une autorité demande le dossier technique, celui-ci soit n'existe pas en sa possession, soit est insuffisant parce que le fabricant physique ne lui a fourni qu'une partie de la documentation.

Sous le CRA, cette situation est particulièrement critique. L'obligation de fournir le SBOM à la demande (Article 13§14), de notifier les vulnérabilités dans les délais de l'Article 14, et de disposer d'une procédure de gestion des vulnérabilités opérationnelle supposent que le fabricant légal ait accès à l'intégralité des informations techniques du produit, y compris les composants logiciels intégrés par le fabricant physique. Sans accord contractuel explicite couvrant ces éléments, le fabricant légal se retrouve juridiquement responsable d'obligations qu'il n'est pas en mesure de remplir techniquement. La vérification de cet accord contractuel (et sa mise à jour pour couvrir les obligations CRA) est une priorité à traiter dès le début du projet de mise en conformité.

Conclusion

La classification est la première livraison concrète d'un projet CRA, et elle est structurante pour la totalité de ce qui suit. Une erreur de classification découverte en phase d'évaluation de la conformité (par l'entreprise elle-même ou par l'autorité de surveillance) peut invalider un dossier technique déjà constitué et imposer une reprise intégrale du processus.

Pour les fabricants de produits de sécurité domestique connectés, la réponse est en général sans ambiguïté : catégorie 17, Classe I. La question opérationnellement plus difficile est celle du module d'évaluation, qui dépend de l'harmonisation de l'EN 304 632. Cette dépendance normative est, à ce jour, le facteur de risque principal pour la tenue du calendrier de conformité CRA dans ce secteur.

Sur ce que révèlent les premières démarches CRA, deux patterns documentaires sont prévisibles à partir de ce que produisent les entrées en vigueur de réglementations comparables. Le premier est l'entreprise qui n'a pas entrepris d'analyse de classification : elle produit une déclaration de conformité sans avoir vérifié si son produit relève de l'Annexe III. Le second, plus subtil, est l'évaluation de risque générique : un document formellement complet, mais non adapté au produit spécifique : une analyse réalisée au niveau de l'entreprise ou de la gamme, sans déclinaison par produit. L'Annexe I du CRA exige une analyse par produit ; une autorité de surveillance examinant la même évaluation pour dix produits différents d'un même fabricant notera immédiatement l'absence de personnalisation. Ces deux patterns seront parmi les causes les plus fréquentes de non-conformité documentaire dans les premières années d'application du règlement.