Contribution au futur guide CRA de la Commission européenne

La Commission européenne a publié une première version de son guide pratique sur l’application du Cyber Resilience Act. Elle a lancé une consultation pour bénéficier du retour des acteurs de terrain. Inno3 et le CNLL se sont associés pour apporter un retour détaillé sur la base des travaux communs et de la production du Guide CRA & Open Source.

Le 3 mars 2026, la Commission européenne a publié une guidance sur l’application du Cyber Resilience Act avec une partie dédiée aux logiciels libres et Open Source (section 3 dans le document proposé pour relecture). Dans une démarche de co-construction (comme cela a déjà été le cas pour la consultation sur l’organisation et la structuration de l’écosystème Open Source), la Commission européenne a souhaité recueillir l’avis des acteurs de terrain pour améliorer cette première version.

Contribution d’Inno3 et du CNLL sur la base du guide CRA & Open Source

Nous avons soumis avec le CNLL une contribution commune, à la lumière de notre expérience donnant lieu à la publication du guide Cyber Resilience Act et Open Source (v2.0 publiée en décembre 2025). Nourri également de notre accompagnement à la conformité menée sur la base du projet Hermine-FOSS et des échanges quotidiens avec des projets et éditeurs open source), nous avons souhaité apporter un retour détaillé.

Quelques points remontés :
→ La nécessité de clarifier le modèle « dual-track » (édition communautaire vs. commerciale) pour les éditeurs open source.
→ L’importance de SBOM transitifs (et non pas seulement au premier niveau de dépendances) pour une vraie visibilité sur la supply chain logicielle (et que le CRA ne fasse pas revenir en arrière).
→ Le besoin de préciser le statut des forges qui exercent un contrôle de facto sur les workflows de développement sans être formellement « stewards ».
→ L’enjeu de la cascade contractuelle : comment les obligations CRA vont remonter vers des projets communautaires qui ne sont pas directement dans le périmètre.
→ L’adéquation naturelle du Module A (auto-évaluation) avec la transparence intrinsèque de l’open source.
→ Le manque d’outillage des administrations publiques pour intégrer effectivement les exigences CRA dans leurs marchés (Article 5§2).

Ce retour s’inscrit dans un travail de fond, pour que la conformité reste accessible et renforce les petites structures et projets communautaires. À ce jour, plus de 85 réponses ont été apportées sur le site de la consultation. Il est possible de participer jusqu’au 13 avril 2026 sur la plateforme. N’hésitez pas à faire entendre votre voix.