FR Version - Être prêt pour intégrer le Cyber Resilience Act dans sa pratique Open Source

Contexte

Dans un contexte où l'Union Européenne fait face à une vulnérabilité accrue face aux risques informatique, la Commission Européenne a présenté en septembre 2022 le Cyber Resilience Act (agrégé en CRA) dont l'objectif est de renforcer la cybersécurité, ou cyberésilience des produits numériques circulant au sein de l'UE. Adopté en 2024, le CRA impose depuis des obligations strictes aux acteurs économiques concernés ainsi qu'une prise en compte de la sécurité numérique à chaque étape du cycle de vie du produit, de sa conception en passant par sa mise sur le marché et en allant jusqu'à sa maintenance.

Pour soutenir cette transition, le CNLL a lancé en 2024 la rédaction d'un guide de mise en application du CRA en partenariat avec le cabinet inno³. Ce guide a pour objectif de vulgariser les enjeux du CRA et de fournir des directives pratiques pour aider chaque organisation à anticiper et assurer sa conformité.

Cette second version du guide, publiée en décembre 2025, vient mettre à jour le document. Elle s'appuie sur un travail de veille incluant la doctrine théorique et pratique autour du règlement ainsi que des éléments partagés par la Commission européenne. Elle est également nourrie des échanges du comité de suivi. Véritable travail itératif, elle sera complétée durant 2026 par l'étude de plusieurs cas d’usages avec des acteurs spécifiques de l’Open Source.

Objectifs du guide

Les objectifs de ce travail sont de :

• Clarifier les rôles et responsabilités : permettre à l'écosystème open source d’anticiper les obligations auxquelles se conformer pour respecter le CRA.
• Outiller les acteurs concernés : préfigurer des actions concrètes et réalisables pour intégrer les mandats CRA dans les processus existants.
• Favoriser une compréhension partagée des enjeux du CRA au sein de l’écosystème Open Source, en articulant théorie et retours d’expérience.
• Collaborer pour agir ensemble : favoriser le dialogue entre les communautés open source, les acteurs du secteur et les législateurs.

Structure du guide

La rédaction de ce guide s'est appuyée sur une étude menée par inno³ enrichie par des échanges, réunions et ateliers avec des acteurs clés du CNLL, des membres de l'association ainsi que des partenaires extérieurs. Le guide est structuré de la façon qui suit :

• Introduction : explication du contexte de l’adoption du CRA et rappels des enjeux pour les acteurs du numérique et de l’Open Source,
• Explicitation des obligations et attendus du règlement : présentation des champs d’application du CRA, présentation des auteurs concernés avec leurs obligations associées, la présentation des autorités de régulation et la sanctions associées en cas de non-respect au CRA,
• Mise en application du CRA : au travers de visualisation simplifiant les échanges entre les opérateurs, leurs rôles et leurs responsabilités, en fonction des étapes de mise sur le marché d’un produit. De même, une visualisation vise à représenter les différentes requêtes entre les autorités et les opérateurs économiques. Cet ensemble de visualisation est complété par un logigramme facilitant le positionnement des opérateurs
• Mise en application du règlement dans le cadre des activités des membres du CNLL : mise en situation au travers de la rédaction de persona reprenant les rôles des différents opérateurs nommés dans le CRA.

Ainsi, dans ce dépôt vous trouverez :

• Le guide au format .pdf (CNLL_inno3_Guide-CRA_v2.0.pdf) et au format .odt (CNLL_inno3_Guide-CRA_v2.0.odt),
• L'ensemble des illustrations présentes dans le guide dans un format .jpg et dans leur format source (fichiers draw.io). Les illustrations sont disponibles en français ainsi qu'en anglais. Les illustrations sont organisées en suivant 3 catégories (les visualisations générales, les persona et le diagramme).

Informations pratiques

Si vous souhaitez plus d'informations sur le guide, vous pouvez nous envoyer un mail à hello@inno3.fr et contact@cnll.fr

Comment contribuer

Ce travail est ouvert à toute contribution afin de l'améliorer ou spécifier certains points en s'appuyant sur vos retours d'expériences. N'hésitez pas à nous transmettre toute proposition d'amélioration ou de correction au travers de l'application gitlab.

Auteurs et autrices du guide

L’équipe éditoriale et de coordination est composée de Stéfane Fermigier (Coprésident CNLL) ainsi que de Catherine Nuel (Chargée de mission, CNLL).

Les rédacteurs principaux du guide sont Benjamin Jean (CEO, inno³), Camille Moulin (Consultant Sénior, inno³) et Arthur Hamonic (Doctorant et consultant, inno³). Les illustrations et visualisation ont été produites par Clémence Lascombes (Chargée de missions, inno³).

Un comité de suivi a participé aux différents échanges, permettant d’alimenter le travail sur le fond et la forme du guide.

Nous remercions l'ensemble des personnes ayant participé activement à la rédaction de ce guide.

Licence

Le guide est sous licence libre (Licence CC-by-SA 4.0) permettant ainsi à quiconque le souhaitant d'y contribuer afin de l'améliorer ou alors le disséminer.

---

---

EN Version - Getting ready to integrate the Cyber Resilience Act into your Open Source practice

Background.

In a context where the European Union is facing increased vulnerability to IT risks, the European Commission presented the Cyber Resilience Act (aggregated as CRA) in September 2022, whose objective is to strengthen the cybersecurity, or cyber resilience, of digital products circulating within the EU. Adopted in 2024, the CRA has since imposed strict obligations on the economic actors concerned, as well as the consideration of digital security at every stage of the product's life cycle, from its design through its placement on the market and up to its maintenance.

To support this transition, the CNLL launched the drafting of a guide for the application of the CRA in partnership with the inno³ firm in 2024. The objective of this guide is to popularize the stakes of the CRA and to provide practical directives to help each organization anticipate and ensure its compliance.

This second version of the guide, published in December 2025, updates the document. It is based on monitoring work including theoretical and practical doctrine around the regulation as well as elements shared by the European Commission. It is also fed by discussions from the monitoring committee. A truly iterative work, it will be completed during 2026 by the study of several use cases with specific actors in Open Source.

Objectives of the guide

The objectives of this work are to:

• Clarify roles and responsibilities: allow the open source ecosystem to anticipate the obligations to comply with the CRA.
• Equip the actors concerned: prefigure concrete and achievable actions to integrate the CRA mandates into existing processes.
• Promote a shared understanding of the stakes of the CRA within the Open Source ecosystem, by articulating theory and feedback.
• Collaborate to act together: foster dialogue between open source communities, industry actors, and legislators.

Structure of the guide

The drafting of this guide was based on a study conducted by inno³ enriched by discussions, meetings, and workshops with key CNLL actors, members of the association, and external partners. The guide is structured as follows:

• Introduction: explanation of the context of the CRA's adoption and reminders of the stakes for digital and Open Source actors,
• Explanation of the obligations and expectations of the regulation: presentation of the CRA's scope of application, presentation of the authors concerned with their associated obligations, presentation of the regulatory authorities and the associated sanctions in case of non-compliance with the CRA,
• Application of the CRA: through visualizations simplifying the exchanges between operators, their roles, and their responsibilities, depending on the stages of a product's placement on the market. Similarly, a visualization aims to represent the different requests between authorities and economic operators. This set of visualizations is completed by a flow chart facilitating the positioning of operators
• Application of the regulation within the framework of the activities of CNLL members: contextualization through the drafting of personas reflecting the roles of the different operators named in the CRA.

Thus, in this repository you will find:

• The guide in .pdf format (CNLL_inno3_Guide-CRA_v2.0.pdf) and in .odt format (CNLL_inno3_Guide-CRA_v2.0.odt),
• All the illustrations present in the guide in a .jpg format and in their source format (draw.io files). The illustrations are available in French as well as in English. The illustrations are organized following 3 categories (general visualizations, the personas, and the diagram).

Practical information

If you would like more information about the guide, you can send us an email at hello@inno3.fr and contact@cnll.fr

How to contribute

This work is open to any contribution to improve it or specify certain points based on your feedback. Do not hesitate to send us any proposal for improvement or correction through gitlab pr by email.

Authors of the guide

The editorial and coordination team is composed of Stéfane Fermigier (Co-President CNLL) and Catherine Nuel (Project Manager, CNLL).

The main editors of the guide are Benjamin Jean (CEO, inno³), Camille Moulin (Senior Consultant, inno³), and Arthur Hamonic (Doctoral Student and Consultant, inno³). The illustrations and visualizations were produced by Clémence Lascombes (Project Manager, inno³).

A monitoring committee participated in the various exchanges, helping to enrich the content and form of the guide.

We thank all the people who actively participated in the drafting of this guide.

Licence

The guide is under a free license (CC-by-SA 4.0 License), thus allowing anyone who wishes to contribute to it to improve it or disseminate it.