CRA, ISO 27001, NIS 2 — les trois sont présentés comme des référentiels de cybersécurité, et beaucoup d’équipes se demandent si elles doivent s’y conformer simultanément, si l’un remplace l’autre, ou si une certification ISO 27001 dispense des obligations CRA. La réponse courte : non. Ce sont trois logiques différentes qui se complètent sans se remplacer.
1. Les trois référentiels en un coup d’œil
Avant de les comparer, voici ce que chacun est fondamentalement :
La distinction clé : le CRA cible les fabricants de produits, NIS 2 cible les opérateurs de services critiques, et ISO 27001 est un cadre interne volontaire pour toute organisation. Une même entreprise peut être soumise aux trois simultanément — et c’est fréquent dans l’industrie.
2. Qui est concerné par quoi
Le CRA concerne les fabricants de produits connectés
Tout fabricant, importateur ou distributeur qui met sur le marché européen un produit comportant des éléments numériques — logiciel ou matériel connecté. La taille de l’entreprise n’a pas d’importance. Un éditeur de logiciel embarqué avec 10 salariés est aussi concerné qu’un grand groupe industriel.
NIS 2 concerne les opérateurs de secteurs critiques
NIS 2 s’applique aux entités opérant dans 18 secteurs jugés essentiels : énergie, transports, santé, eau, infrastructures numériques, administrations publiques, espace, et d’autres. À l’intérieur de ces secteurs, une distinction est faite entre entités « essentielles » (grandes entreprises) et « importantes » (moyennes entreprises), avec des obligations différenciées.
ISO 27001 est ouvert à toutes les organisations
N’importe quelle organisation peut se certifier ISO 27001 — c’est une démarche volontaire. Elle est souvent demandée par les clients grands comptes ou les appels d’offres publics comme preuve de maturité sécurité, mais elle n’est imposée par aucune réglementation européenne générale.
Le cas le plus fréquent dans l’industrie : un fabricant d’équipements industriels connectés pour le secteur de l’énergie est soumis au CRA (fabricant de produits connectés) ET à NIS 2 (secteur critique). Et s’il a des clients grands comptes qui exigent une certification, il peut aussi vouloir ISO 27001. Les trois se cumulent.
3. Tableau comparatif complet
| Critère | CRA | ISO 27001 | NIS 2 |
|---|---|---|---|
| Nature juridique | Règlement UE — directement applicable | Norme internationale — volontaire | Directive UE — transposée en droit national |
| Ce qui est ciblé | Les produits connectés et leurs composants | Le système de management de la sécurité de l’organisation | La résilience des services et infrastructures critiques |
| Qui est concerné | Fabricants, importateurs, distributeurs de produits connectés | Toute organisation (démarche volontaire) | Opérateurs de 18 secteurs essentiels en UE |
| SBOM requis | ✓ Obligatoire | ✗ Non mentionné | ~ Recommandé indirectement |
| Gestion des CVE produit | ✓ Obligatoire + délais | ~ Couverte partiellement (A.12) | ✓ Obligatoire (art. 21) |
| Notification incidents | ✓ ENISA en 24h | ✗ Non applicable | ✓ Autorité nationale en 24h |
| Marquage / certification | Marquage CE cybersécurité | Certificat ISO 27001 (organisme accrédité) | Pas de marquage — conformité déclarative |
| Sanctions | Jusqu’à 15 M€ ou 2,5 % CA mondial | Aucune (démarche volontaire) | Jusqu’à 10 M€ ou 2 % CA mondial |
| Durée de support obligatoire | ✓ À définir par fabricant | ✗ Non couverte | ✗ Non couverte |
| Documentation technique | ✓ Dossier technique complet | ~ Politique + procédures SMSI | ~ Politiques de sécurité |
4. Ce que l’ISO 27001 ne couvre pas que le CRA impose
C’est la question la plus fréquente des équipes déjà certifiées ISO 27001 : « on a déjà la norme, est-ce qu’on est conformes CRA ? » La réponse est non — et voici pourquoi :
- Le SBOM n’existe pas dans ISO 27001. La norme couvre la gestion des actifs informationnels (Annexe A.8), mais pas l’inventaire des composants logiciels de vos produits commerciaux avec leurs versions exactes.
- La notification ENISA en 24h n’est pas couverte. ISO 27001 inclut une gestion des incidents (A.16), mais elle concerne les incidents internes à l’organisation — pas la notification obligatoire à une autorité de surveillance sur les vulnérabilités produit.
- La durée de support produit n’est pas adressée. Le CRA impose de définir et communiquer une durée de support pour chaque produit. ISO 27001 ne traite pas le cycle de vie commercial des produits.
- La communication client via VEX n’existe pas dans ISO 27001. Le standard de communication des vulnérabilités aux clients est spécifique au CRA et à l’écosystème SBOM.
ISO 27001 comme accélérateur CRA : si vous êtes déjà certifiés, vous avez une base solide — gouvernance de la sécurité, gestion des risques, politiques documentées. Ces éléments couvrent une partie de la documentation technique CRA. Mais il reste à construire tout ce qui est spécifique aux produits : SBOM, CVE, VEX, notification ENISA.
5. Ce que NIS 2 et CRA ont en commun
NIS 2 et CRA partagent plusieurs exigences — ce qui simplifie la mise en conformité pour les entreprises soumises aux deux :
- Gestion des vulnérabilités : les deux imposent un processus de surveillance et de traitement des vulnérabilités. Un même processus CVE peut satisfaire les deux réglementations avec des adaptations mineures.
- Notification d’incidents en 24h : les deux imposent une notification rapide aux autorités compétentes. Le destinataire diffère (ENISA pour le CRA, autorité nationale NIS 2), mais le processus interne de détection et notification peut être mutualisé.
- Chaîne d’approvisionnement : les deux adressent la sécurité des composants tiers et des fournisseurs. Le SBOM CRA contribue directement à la visibilité sur la chaîne d’approvisionnement requise par NIS 2.
SBOM, gestion CVE, VEX, notification et documentation — une plateforme pour satisfaire les deux réglementations sans dupliquer les processus.
6. Quelle priorité selon votre situation
Vous êtes fabricant de produits connectés uniquement
Le CRA est votre priorité absolue. ISO 27001 peut être utile pour structurer votre gouvernance sécurité interne et rassurer vos clients, mais ce n’est pas ce que les autorités vérifieront. Concentrez-vous sur le SBOM, les CVE, la documentation technique et la notification.
Vous êtes opérateur d’un service critique (énergie, santé, transport…)
NIS 2 est votre première obligation réglementaire. Si vous fabriquez aussi des équipements connectés, le CRA s’ajoute. La bonne nouvelle : les processus de gestion CVE et de notification se mutualisent bien entre les deux.
Vous êtes les deux à la fois
C’est le cas le plus complexe — et le plus fréquent dans l’industrie. Commencez par cartographier ce qui est commun (gestion CVE, notification, chaîne d’approvisionnement) pour ne pas construire deux silos distincts. Le SBOM devient alors le socle commun qui alimente les deux conformités.
L’erreur à éviter : penser que la certification ISO 27001 suffit à démontrer la conformité CRA lors d’un audit de surveillance de marché. Les autorités vérifieront spécifiquement le SBOM, les processus CVE et la documentation technique produit — pas votre politique de sécurité interne.