[Communiqué] Cyber Resilience Act : Etes-vous prêts pour les échéances de 2026 et 2027 ?

• 17 janvier 2025

Le premier guide de conformité au CRA dédié aux acteurs de l’open source, proposé par le CNLL et Inno3, vous aidera à préparer sans attendre la mise en conformité de vos activités en décryptant vos nouvelles obligations et les adaptations nécessaires de vos processus.

Paris, France, le 17 janvier, 2025 - Le CNLL (Union des entreprises du logiciel libre et du numérique ouvert) et le cabinet inno³ ont publié en décembre 2024 un guide d’accompagnement des acteurs de l’Open Source (producteurs, intégrateurs et utilisateurs) pour leur adaptation aux nouvelles contraintes juridiques liées au Cyber Resilience Act (CRA). Adopté formellement en 2024 pour répondre à la vulnérabilité accrue aux cyberattaques des entreprises et services publics européens, le CRA vise à renforcer la cybersécurité et la cyberrésilience des produits logiciels (et matériels qui comportent des éléments numériques) connectés. Les acteurs économiques concernés ont jusqu’au 10 septembre 2026 pour se mettre en conformité avec certaines obligations critiques (notification des vulnérabilités activement exploitées et des incidents graves) et jusqu’au 10 décembre 2027 pour s’adapter à l’ensemble des autres exigences du texte telles que la sécurité par principe ou la transparence vis-à-vis des consommateurs.

Une clarification des principales exigences du CRA et leur application spécifique aux pratiques Open Source.

Le guide répond à un objectif de sensibilisation des membres du CNLL et plus largement des acteurs de la filière du logiciel libre aux enjeux et défis du CRA. Si le texte prévoit certaines exemptions pour les projets Open Source à but non lucratif et sans activité commerciale, il introduit néanmoins des exigences nouvelles et complexes pour les produits ou services reposant sur des logiciels libres. Ainsi l’ensemble des acteurs impliqués dans l’usage, le développement ou encore l’intégration de logiciels Open Source sont, en tant qu’acteurs d’une chaîne de production et d’approvisionnement plus étendue, directement potentiellement concernés par le Règlement et indirectement certainement concernés.

Un guide pratique, structuré pour proposer des recommandations concrètes et atteignables pour intégrer ces nouvelles obligations dans les processus existants.

Afin de faciliter la compréhension du CRA et les effets attendus, les principales exigences ont été détaillées ainsi que la qualification des acteurs économiques (fabricant, importateur, mandataire, intendant de logiciels ouverts). A l’aide de mises en situation à partir d’exemples d’entreprises membres du CNLL, le guide propose une vision approfondie des modalités d’application aux acteurs de l’Open Source et obligations nouvelles : documentation technique détaillée, gestion rigoureuse des vulnérabilités, déclaration de conformité et apposition du marquage CE, production d’une Software Bill of Materials (SBOM).

Le CRA, une opportunité d’améliorer la sécurité des produits et services et renforcer la confiance dans l’open source ?

Le CRA marque un tournant pour les acteurs du logiciel libre en Europe, avec la fin du principe d’absence de responsabilité en dehors d’une relation commerciale, qui constituait jusqu’à présent le fondement de nombreux business models d’éditeurs de logiciel libre. Par ce guide, le CNLL entend néanmoins offrir aux acteurs de l’Open Source les premières clés pour transformer cette contrainte réglementaire en opportunité, en identifiant et en adoptant des pratiques renforçant la confiance et la résilience de leurs produits et services.

Une démarche ouverte, évolutive et collaborative

Ce travail s’inscrit dans une démarche collaborative, menée avec des experts techniques, juridiques et économiques. Au-delà de son ambition initiale, ce document constitue une invitation à poursuivre le dialogue entre législateurs, industriels et communautés Open Source, afin d’assurer une mise en œuvre équilibrée et pérenne des objectifs du CRA. Il pourra également évoluer dans le temps pour intégrer de nouvelles spécificités et retours d’expérience issus de nos membres mais également des grands utilisateurs, administrations publiques et autres contributeurs.

Le guide est disponible en français et en anglais.

Un atelier de présentation sera proposé prochainement et annoncé sur le site du CNLL . L’ensemble des acteurs de l’écosystème open source sont invités aujourd’hui à tester les recommandations présentées et partager leurs retours en vue d’une prochaine version du guide.

Ressources :

• Guide en français
• Guide en anglais
• Présentation synthétique (18 slides, français)
• Pour rejoindre le groupe de travail, suivre les commentaires, contribuer au contenu et/ou à la traduction en anglais : https://framagroupes.org/sympa/subscribe/mission-cra-cnll.
  

A propos du CNLL

Le CNLL, Union des Entreprises du Logiciel Libre et du Numérique Ouvert, est l’instance représentative de la filière du logiciel libre en France. Issu du groupement de 8 clusters régionaux, il représente plus de 200 entreprises “pure players” (spécialisées ou avec une activité significative dans le logiciel libre et l’open source): éditeurs, intégrateurs, sociétés de conseil, etc. Il assure la promotion de l´écosystème professionnel du logiciel libre, de son offre de logiciels et de services, de ses atouts spécifiques, et de ses besoins, notamment en termes d’emploi et de formation. Il permet à la communauté des acteurs de la filière d’échanger et de travailler ensemble au développement du marché, dans le respect de valeurs communes. Visitez : https://www.cnll.fr/

Téléchargez le communiqué (PDF).