La loi européenne sur la cyber résilience (CRA) 2024/2847 introduit des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques vendus dans l'UE. Les obligations de notification des vulnérabilités entrent en vigueur le 11 septembre 2026, et la conformité complète des produits devient obligatoire le 11 décembre 2027. Bien que les dispositifs médicaux relevant du RDM soient exemptés des exigences produit du CRA, de nombreux composants numériques de l'écosystème de santé ne le sont pas.
L'exemption pour les dispositifs médicaux et ses limites
L'article 2(2) du CRA exempte les produits déjà couverts par une législation d'harmonisation sectorielle de l'UE imposant des exigences équivalentes en matière de cybersécurité. Les dispositifs médicaux réglementés au titre du RDM 2017/745 et les DIV au titre du RDIV 2017/746 bénéficient de cette exemption.
Toutefois, l'exemption ne s'applique qu'au dispositif médical lui même. Les produits numériques qui interagissent avec, soutiennent ou se connectent à un dispositif médical, mais qui ne sont pas eux mêmes classés comme dispositifs médicaux, sont pleinement soumis au CRA :
| Produit | Le CRA s'applique t il ? | Justification |
|---|---|---|
| SaMD classé au titre du RDM | Non | Couvert par les exigences de cybersécurité du RDM |
| Système d'information hospitalier interfacé avec des dispositifs | Oui | N'est pas un dispositif médical au titre du RDM |
| Application mobile classée comme accessoire de classe I | Non | Couverte par le RDM |
| Plateforme cloud hébergeant des données de dispositifs (non classée comme SaMD) | Oui | N'est pas un dispositif médical |
| Outil de mise à jour du micrologiciel d'un dispositif médical (ne faisant pas partie du dispositif lui même) | Oui | Produit numérique autonome |
| Système d'exploitation généraliste fonctionnant sur un dispositif médical | Oui | Non couvert par le RDM en tant que produit autonome |
Si vous fabriquez à la fois des dispositifs réglementés par le RDM et des produits numériques non classés comme dispositifs dans le même écosystème, vous devrez peut être vous conformer au RDM (pour le dispositif) et au CRA (pour le logiciel d'accompagnement).
Notification des vulnérabilités : 11 septembre 2026
Les obligations de notification des vulnérabilités du CRA prévues à l'article 14 s'appliquent à compter du 11 septembre 2026. Les fabricants de produits concernés doivent signaler les vulnérabilités activement exploitées et les incidents de sécurité significatifs à leur équipe nationale de réponse aux incidents de sécurité informatique (CSIRT) et à l'ENISA via une plateforme de signalement unique.
Le calendrier de notification est strict :
| Étape | Délai | Contenu requis |
|---|---|---|
| Alerte précoce | Dans les 24 heures suivant la prise de connaissance | Notification qu'une vulnérabilité est activement exploitée, ou qu'un incident significatif s'est produit |
| Notification de vulnérabilité | Dans les 72 heures | Informations détaillées sur la vulnérabilité, l'activité d'exploitation et les mesures correctives prises ou prévues |
| Rapport final | Dans les 14 jours suivant l'atténuation | Description complète de la vulnérabilité, analyse des causes profondes et mesures correctives appliquées |
Ces délais de notification s'appliquent même si un correctif complet n'est pas encore disponible. L'objectif est de permettre une réponse coordonnée à l'échelle de l'UE.
Exigences de conformité des produits : 11 décembre 2027
Les obligations complètes de conformité des produits au titre du CRA entrent en vigueur le 11 décembre 2027. Pour les produits concernés, cela signifie :
Sécurité dès la conception (annexe I du CRA, partie I) : les produits doivent être conçus, développés et fabriqués pour garantir un niveau approprié de cybersécurité. Cela comprend des configurations sécurisées par défaut, la protection contre les accès non autorisés, ainsi que la confidentialité et l'intégrité des données.
Gestion des vulnérabilités (annexe I du CRA, partie II) : les fabricants doivent identifier et documenter les vulnérabilités, fournir des mises à jour de sécurité pendant la durée de vie prévue du produit (minimum 5 ans) et mettre en place une politique de divulgation coordonnée des vulnérabilités.
Nomenclature des composants logiciels (SBOM) : les fabricants doivent produire et maintenir un SBOM listant tous les composants, y compris les bibliothèques open source et les dépendances tierces. Le SBOM fait partie de la documentation technique et doit être mis à la disposition des autorités de surveillance du marché sur demande.
Évaluation de conformité : la plupart des produits suivent une procédure d'auto évaluation basée sur le contrôle interne (annexe VI du CRA). Les produits importants et critiques (tels que définis aux annexes III et IV du CRA) nécessitent une évaluation par un tiers.
Interaction avec les exigences de cybersécurité du RDM
Le RDM exige déjà que les fabricants traitent la cybersécurité dans leur documentation technique. L'annexe I du RDM, section 17.4 impose que les dispositifs incorporant des logiciels ou constituant des systèmes électroniques programmables soient conçus pour garantir la répétabilité, la fiabilité et la performance. Le MDCG 2019-16 fournit des orientations sur la cybersécurité des dispositifs médicaux.
Pour les fabricants dont les produits relèvent des deux réglementations, l'approche pratique consiste à :
- Appliquer les exigences de cybersécurité du RDM au dispositif médical lui même
- Appliquer les exigences du CRA à tous les produits numériques non classés comme dispositifs dans l'écosystème
- Utiliser un cadre commun de gestion des risques de cybersécurité (tel que l'IEC 81001-5-1) pour les deux
Échéances clés
| Date | Exigence |
|---|---|
| 11 septembre 2026 | Début des obligations de notification des vulnérabilités pour les produits relevant du CRA |
| 11 décembre 2027 | Conformité complète des produits requise pour les produits relevant du CRA |
| En continu | Les mises à jour de sécurité doivent être fournies pendant la durée de vie prévue du produit (minimum 5 ans) |
Vous cherchez le bon outil de veille réglementaire ? Consultez notre guide pour évaluer les plateformes de veille réglementaire.
Points clés à retenir
- Les dispositifs médicaux relevant du RDM sont exemptés des exigences produit du CRA, mais de nombreux produits numériques associés ne le sont pas
- La notification des vulnérabilités commence le 11 septembre 2026 : notification initiale sous 24 heures, rapport détaillé sous 72 heures, rapport final sous 14 jours
- La conformité complète des produits (sécurité dès la conception, SBOM, gestion des vulnérabilités) est requise pour le 11 décembre 2027
- Les fabricants disposant de portefeuilles de produits mixtes doivent déterminer quels produits relèvent du RDM et lesquels du CRA
- Le CRA exige un SBOM pour tous les produits concernés, maintenu tout au long du cycle de vie du produit
- La divulgation coordonnée des vulnérabilités et les processus de mise à jour de sécurité sont obligatoires
Comment RegAid vous aide
RegAid couvre les exigences de cybersécurité du RDM, y compris la section 17.4 de l'annexe I et toutes les orientations du MDCG sur la cybersécurité des dispositifs médicaux. Posez la question « Quelle documentation de cybersécurité est nécessaire pour mon dispositif médical connecté ? » et obtenez des réponses sourcées reliant les exigences du RDM au MDCG 2019-16 et aux normes harmonisées applicables.