La Commission européenne publie un projet d’orientations destiné à clarifier le périmètre et les obligations du Cyber Resilience Act, avec une attention particulière portée aux logiciels open source et aux PME.
Le 3 mars 2026, la Commission européenne a annoncé l’ouverture d’une consultation publique portant sur un projet d’orientations destiné à accompagner les entreprises dans l’application du Cyber Resilience Act (CRA). Ce futur règlement européen, consacré à la cybersécurité des produits comportant des éléments numériques, constitue l’un des textes majeurs du paquet européen de cybersécurité.
Face aux nombreuses interrogations suscitées par le règlement, notamment pour les éditeurs de logiciels, fabricants d’objets connectés ou acteurs de l’open source, la Commission entend apporter des précisions concrètes sur le périmètre du texte et sur certaines obligations techniques particulièrement sensibles.
🟠 Un projet destiné à clarifier les obligations prévues par le CRA
Le Cyber Resilience Act vise à instaurer des exigences minimales de cybersécurité applicables aux produits numériques commercialisés au sein de l’Union européenne.
Le projet d’orientations publié par la Commission européenne a ainsi pour objectif d’aider les acteurs économiques, et plus particulièrement les microentreprises, petites et moyennes entreprises, à mieux comprendre les obligations issues du règlement.
Le document comporte huit sections consacrées à plusieurs notions essentielles du CRA, parmi lesquelles :
- le périmètre d’application du règlement ;
- les logiciels libres et open source ;
- les modifications substantielles ;
- les pièces détachées et composants ;
- la période de support des produits ;
- les produits dits « importants » ou « critiques » ;
- l’évaluation des risques de cybersécurité ;
- l’intégration de composants tiers ;
- ou encore le traitement des données à distance.
Le texte apporte également certaines précisions concernant les obligations de notification des incidents, la gestion des vulnérabilités ainsi que l’articulation du CRA avec d’autres réglementations européennes.
🟠 Une clarification particulièrement attendue concernant les logiciels open source
L’un des principaux apports du projet concerne la question des logiciels libres et open source.
Depuis l’adoption du CRA, de nombreux acteurs s’interrogeaient sur l’application du règlement aux logiciels développés ou diffusés selon un modèle open source. En effet, le CRA s’applique principalement aux produits fournis « dans le cadre d’une activité commerciale », notion dont les contours demeuraient incertains dans certains cas.
Afin d’apporter une réponse plus opérationnelle à cette difficulté, la Commission européenne propose notamment, en page 15 du document, un arbre de décision destiné à aider les acteurs économiques à déterminer si un logiciel libre open source entre ou non dans le champ du règlement.
Cette clarification était particulièrement attendue par l’écosystème numérique européen, plusieurs acteurs ayant exprimé leurs inquiétudes quant au risque :
- d’alourdissement des contraintes pesant sur les développeurs open source ;
- de ralentissement de l’innovation collaborative ;
- ou encore de désengagement de certaines communautés de développement.
La Commission semble ainsi rechercher un équilibre entre les impératifs de cybersécurité et la préservation du modèle open source.
🟠 Des enjeux pratiques importants pour les entreprises
Au-delà de la question de l’open source, ces orientations présentent un intérêt opérationnel majeur pour les entreprises concernées par le CRA.
Le texte fournit des indications utiles sur plusieurs notions techniques complexes, notamment concernant :
- l’intégration de composants tiers dans un produit ;
- la qualification de modification substantielle ;
- la durée des obligations de sécurité ;
- ou encore les obligations applicables aux produits critiques.
Ces précisions devraient permettre aux entreprises d’anticiper plus efficacement leurs futures obligations de conformité et d’identifier les produits susceptibles d’entrer dans le périmètre du règlement.
🟠 Conclusion
À travers ce projet d’orientations, la Commission européenne cherche à rendre l’application du Cyber Resilience Act plus lisible et plus opérationnelle pour les acteurs économiques.
Les clarifications apportées, notamment sur les logiciels libres et open source, témoignent de la volonté des institutions européennes de concilier renforcement des exigences de cybersécurité et maintien d’un environnement favorable à l’innovation numérique.
Ce document constitue ainsi une étape importante dans la mise en œuvre pratique du CRA et devrait rapidement devenir un outil de référence pour les entreprises amenées à commercialiser ou développer des produits numériques au sein de l’Union européenne.