CRA vs NIS2 : quelles différences… et comment unifier vos conformités en 2025 ?

En 2025, les organisations européennes doivent composer avec deux textes majeurs qui redessinent entièrement les règles du jeu en cybersécurité :

👉 la directive NIS2, applicable depuis 2024, qui impose des obligations strictes aux entités essentielles et importantes,

👉 le Cyber Resilience Act (CRA), entré en vigueur fin 2024 et applicable dès 2027, qui impose une sécurité obligatoire pour tous les produits numériques mis sur le marché européen.

Deux régulations, deux périmètres… mais une même exigence : démontrer une gouvernance cyber solide, mesurable et continue.

Le problème ?

Beaucoup d’entreprises — éditeurs SaaS, ESN, opérateurs, collectivités, PME industrielles — se retrouvent désormais concernées par les deux textes en même temps, sans aucun guide clair pour les harmoniser.

Voici le guide le plus clair, actionnable et documenté pour comprendre les différences entre le CRA et NIS2, et surtout : comment les unifier dans une démarche unique, simple et pilotable.

🧩 CRA vs NIS2 : deux logiques différentes, mais complémentaires

🎯 1. NIS2 : sécuriser les services essentiels

Selon la Commission européenne, NIS2 couvre plus de 15 000 organisations en France : santé, énergie, transport, numérique, administration, finance, eau, etc.

Objectif : imposer une gouvernance de la sécurité, un reporting strict, et une gestion des risques continue.

Exigences clés (ANSSI 2025) :

1. gouvernance et responsabilité dirigeante,
2. gestion des risques et continuité d’activité,
3. journalisation, surveillance, réponse incident,
4. notification d’incident en 24h + rapport complet sous 1 mois.

NIS2 = sécuriser les services et systèmes critiques.

🎯 2. CRA : sécuriser les produits numériques

Le CRA s’applique à tous les logiciels et équipements numériques commercialisés dans l’UE.

Il impose une sécurité « by design » comparable à un marquage CE cyber.

Exigences principales (Commission européenne, 2024) :

1. analyse de risques produit,
2. SBOM obligatoire,
3. correctifs de sécurité pendant toute la durée de support,
4. traitement structuré des vulnérabilités,
5. reporting des vulnérabilités exploitées dans les 24h.

CRA = sécuriser le produit, son code, son cycle de vie.

⚖️ Différences essentielles en une phrase

👉 NIS2 = protéger votre organisation et vos services.

👉 CRA = protéger votre produit et vos utilisateurs.

Les deux régulations se complètent : un SaaS par exemple devra sécuriser son service (NIS2) et sécuriser son logiciel (CRA).

📌 Pourquoi harmoniser NIS2 & CRA plutôt que les traiter séparément ?

Les études récentes (Hyperproof 2024, ENISA 2025, IAPP 2024) montrent que :

1. 62 % des organisations européennes sont concernées par au moins deux cadres réglementaires.
2. 38 % des éditeurs SaaS vendent à des entités soumises à NIS2 et sont eux-mêmes soumis à CRA.
3. 71 % des organisations déclarent « doubler le travail » faute de pilotage multi-normes.

Conclusion :

🎯 Gérer NIS2 et CRA dans deux plans séparés = perte de temps, perte de contrôle, risque d’incohérence.

Ce qu’il faut : une approche unifiée, fondée sur les risques, qui aligne les exigences dans un seul tableau de pilotage.

🧭 Comment harmoniser CRA et NIS2 en un seul pilotage ?

1️⃣ Étape 1 : Cartographier votre exposition (organisation + produit)

Les deux régulations commencent par le même impératif : savoir ce que vous devez protéger.

À cartographier :

1. activités couvertes par NIS2
2. produits couverts par le CRA
3. dépendances critiques (ENISA TL 2025 = priorité absolue)
4. tiers & supply-chain
5. systèmes supportant les services essentiels ou importants

👉 Résultat : un périmètre clair pour chaque norme… et une vision des chevauchements.

2️⃣ Étape 2 : Réaliser un gap-analysis unique

Les analyses montrent que près de 60 % des contrôles NIS2 et CRA se recoupent (IAPP 2024, Hyperproof 2024) :

Contrôles communs :

1. gestion des vulnérabilités
2. surveillance et journalisation
3. sécurité by design
4. continuité d’activité
5. réponse incident
6. gouvernance et responsabilités

➡️ Faites une matrice unique « Exigence NIS2 ↔ Exigence CRA ↔ Contrôle interne / ISO 27001 »

➡️ Cela réduit le travail d’audit de 30 à 40 %.

3️⃣ Étape 3 : Construire un plan d’action unifié

Un seul plan, trois colonnes clés :

1. Mesures communes (ex. IAM, MFA, durcissement, segmentation)
2. Mesures organisationnelles (gouvernance NIS2, notification incident)
3. Mesures produit (SBOM, secure coding, suivi vulnérabilités, mises à jour CRA)

🎯 Le pilotage devient lisible, priorisé et aligné sur le risque.

4️⃣ Étape 4 : Suivre les KPI des deux normes dans un même dashboard

Exemples d’indicateurs utiles (ENISA 2025 + ANSSI) :

Pour NIS2

1. % de conformité globale
2. risques résiduels
3. temps moyen de détection incident
4. statut des plans PCA/PRA
5. criticité des tiers

Pour CRA

1. % composants couverts par une SBOM
2. taux de correction des vulnérabilités
3. temps moyen de patch
4. conformité des versions logicielles
5. score d’exposition CVE/KEV

Un tableau de bord unifié permet :

1. une gouvernance claire,
2. un reporting direction lisible,
3. une préparation fluide aux audits.

5️⃣ Étape 5 : Centraliser les preuves, mises à jour et rapports

Les deux régulations insistent sur :

📁 la documentation,

📁 la traçabilité,

📁 la démonstration de conformité.

Sans centralisation, impossible d’être prêt pour un audit NIS2 ou un contrôle CRA — surtout avec :

1. les 24h de notification NIS2,
2. les obligations de mise à jour CRA.

🚀 Comment CompliKey unifie CRA et NIS2 dans un seul pilotage ?

CompliKey a été conçu pour gérer les multi-normes sans complexité.

🔧 Ce que CompliKey apporte :

1. Matrice multi-normes CRA ↔ NIS2 ↔ ISO 27001
2. Tableaux de bord unifiés : conformité, risques, documentation
3. Plan d’action centralisé : priorisation automatique selon le risque
4. Collecte de preuves et documents accessibles pour tous
5. Workflows et rappels pour garantir le respect des délais
6. Exports audit-ready en 1 clic
7. Module consultant si accompagnement multi-clients

Résultat :

⭐ Jusqu’à -40 % de temps de pilotage

⭐ +60 % de visibilité direction sur la gouvernance

⭐ Une conformité cohérente, lisible et démontrable pour les deux régulations.