CRA para fabricantes franceses: ANSSI, ANFR y marcado CE

Ficha país para fabricantes franceses: vía CERT-FR, ANSSI autoridad notificante, ANFR vigilancia del mercado, acreditación COFRAC.

Equipo CRA Evidence Publicado 4 de enero de 2026 Actualizado 31 de mayo de 2026
Resumen país CRA para fabricantes franceses con la cadena institucional nacional: CERT-FR para notificaciones de vulnerabilidades, ANSSI como autoridad notificante, COFRAC para acreditación, ANFR para vigilancia del mercado
En este artículo

Los fabricantes franceses afrontan las mismas obligaciones que cualquier otro fabricante de la UE bajo la Ley de Ciberresiliencia. Esta página es un resumen país para Francia: cómo se encaminan las notificaciones de vulnerabilidades e incidentes a través de CERT-FR (el CSIRT operativo de ANSSI), cómo se prevé designar los organismos de evaluación de conformidad bajo la división francesa (ANSSI notifica, COFRAC acredita), por qué ANFR es la candidata principal para la vigilancia del mercado CRA pendiente del instrumento formal en el Journal Officiel (un papel que a menudo se atribuye erróneamente a la DGCCRF), qué exigen en la práctica las obligaciones de lengua francesa, y qué líneas de Bpifrance y France 2030 están abiertas para inversión en cumplimiento. Para el conjunto completo de obligaciones del fabricante, consulta la guía clúster del fabricante.

Resumen

  • La Ley de Ciberresiliencia es un Reglamento de la UE con efecto directo. No existen exenciones específicas para fabricantes franceses.
  • CERT-FR, el CSIRT operativo dentro de ANSSI, es el CSIRT francés receptor para las notificaciones de vulnerabilidades e incidentes CRA cuando el establecimiento principal del fabricante está en Francia.
  • ANSSI está previsto que actúe como autoridad notificante francesa que designa formalmente los organismos notificados CRA ante la Comisión Europea. COFRAC acredita a los organismos candidatos como paso técnico previo a esa notificación.
  • ANFR (Agence nationale des fréquences) es la candidata principal para la vigilancia del mercado CRA de productos con elementos digitales en el mercado francés, pendiente del instrumento formal en el Journal Officiel. ANSSI presta apoyo técnico. La DGCCRF es la inspectora histórica de seguridad de productos de consumo y NO es la autoridad de vigilancia del mercado CRA prevista.
  • El francés (français) es obligatorio para la información del producto destinada al usuario en el mercado francés, reforzado por la Loi Toubon para productos de consumo.
  • Bpifrance gestiona el programa Cyber PME y varias convocatorias de ciberseguridad de France 2030. France 2030 está cofinanciado con el EU Digital Europe Programme y sigue siendo un vehículo de planificación viable para inversión en cumplimiento frente al plazo del 11 de diciembre de 2027.

Cuándo aplica esta guía

Eres el lector objetivo si el «establecimiento principal en la Unión» de tu empresa como fabricante está en Francia. Eso significa el lugar donde se toman predominantemente las decisiones relacionadas con la ciberseguridad de tus productos con elementos digitales. Una filial de ventas registrada en Francia con ingeniería en el extranjero no es el establecimiento principal. Si tu equipo de ingeniería, tu gobernanza del SDLC y las personas que aprueban las publicaciones de actualizaciones de seguridad están en Francia, esta guía es para ti.

Si tu establecimiento principal está en otro Estado miembro de la UE y solo distribuyes en Francia, tus notificaciones CRA se encaminan a través del CSIRT de tu Estado miembro de establecimiento principal, no a CERT-FR. La obligación de lengua francesa para la información al usuario sí se aplica a cualquier producto puesto en el mercado francés.

ANSSI y CERT-FR: la vía CSIRT francesa

Las notificaciones CRA se encaminan a través del CSIRT designado como coordinador del Estado miembro donde el fabricante tiene su establecimiento principal en la Unión. Para un fabricante cuyo establecimiento principal está en Francia, ese CSIRT es CERT-FR, el brazo operativo de ANSSI (Agence nationale de la sécurité des systèmes d'information).

ANSSI depende del SGDSN y gestiona los esquemas nacionales de certificación franceses (CSPN, Visa de Sécurité) y los centros de evaluación acreditados (CESTI). CERT-FR publica avisos de vulnerabilidad en francés y opera la vía nacional de coordinación de vulnerabilidades.

Contacto CERT-FR: sitio web https://www.cert.ssi.gouv.fr, correo cert-fr@ssi.gouv.fr. ANSSI: https://www.ssi.gouv.fr.

El canal técnico para el ritmo de notificación 24 h / 72 h / 14 días es la plataforma única de notificación de ENISA, que entra en funcionamiento el 11 de septiembre de 2026. Un fabricante francés envía a través de esa plataforma con CERT-FR como coordinador receptor. La designación CSIRT es el enrutamiento. La plataforma es el transporte.

Organismos notificados: ANSSI notifica, COFRAC acredita

Los productos Importantes de Clase I necesitan un organismo notificado (Módulo B+C o Módulo H) únicamente cuando las normas armonizadas, las especificaciones comunes o un esquema de certificación no los cubren íntegramente. Los productos Importantes de Clase II utilizan un organismo notificado (Módulo B+C o Módulo H) o un esquema de certificación disponible y aplicable. Los productos Críticos (Anexo IV) siguen el Artículo 32(4): la vía de certificación del Artículo 8(1) cuando la Comisión la haya activado; de lo contrario, las mismas vías del Artículo 32(3).

La división institucional francesa es:

  • ANSSI actúa como autoridad notificante que designa formalmente los organismos notificados franceses ante la Comisión Europea bajo la Ley de Ciberresiliencia. ANSSI evalúa, controla y notifica a los organismos de evaluación de la conformidad.
  • COFRAC (Comité français d'accréditation) es el organismo nacional de acreditación francés y evalúa la competencia técnica de un candidato antes de que ANSSI lo notifique.

El marco CRA para organismos notificados se aplica desde el 11 de junio de 2026, con la fase de acreditación y notificación de ANSSI entre junio y diciembre de 2026. A finales de mayo de 2026, no hay ningún organismo notificado designado en toda la UE bajo la Ley de Ciberresiliencia, y la designación nacional formal francesa sigue pendiente en el Journal Officiel. La cadena está en construcción.

Un fabricante francés puede usar cualquier organismo notificado de la UE, no solo los designados en Francia. Elegir uno designado en Francia (LNE, LCIE Bureau Veritas, SGS France y otros organismos históricamente acreditados) es una preferencia de contratación, no un requisito del Reglamento. Las designaciones finales CRA se publican en la base de datos NANDO de la Comisión Europea.

ANFR: la autoridad de vigilancia del mercado CRA

Está previsto que la vigilancia del mercado CRA para productos con elementos digitales puestos en el mercado francés recaiga en ANFR (Agence nationale des fréquences), no en la DGCCRF. ANSSI confirma esta dirección institucional en su página oficial CRA en cyber.gouv.fr, y la propia ANSSI presta apoyo técnico a ANFR en el marco de vigilancia del mercado. Verifica la designación definitiva en el Journal Officiel antes de cualquier presentación formal.

La vía de implementación francesa otorgaría a ANFR poderes sancionadores de hasta 15 millones de euros o el 2,5 % de la facturación anual global para las infracciones más graves de la Ley de Ciberresiliencia, dentro de los límites establecidos por el Reglamento a nivel de la UE.

La DGCCRF mantiene su papel histórico de inspección de seguridad de productos de consumo y seguirá detectando productos no conformes en frontera o en comercio minorista, pero se espera que la función de vigilancia del mercado CRA para productos digitales sea de ANFR. Planifica en torno a ANFR, comprobando el texto final del JO antes de cualquier presentación formal.

Requisitos de lengua francesa en la práctica

La Ley de Ciberresiliencia exige que la información del producto destinada al usuario esté en una lengua fácilmente comprensible por los usuarios y por la autoridad de vigilancia del mercado local. Para productos puestos en el mercado francés, esa lengua es el francés. La Loi Toubon (Law 94-665) exige de forma independiente el francés en toda la información al consumidor, de modo que la obligación CRA se alinea con una regla nacional de larga trayectoria.

Debe estar en francés:

  • Las instrucciones de uso y la información del producto que acompañan al producto.
  • Los datos de contacto del fabricante (nombre, dirección, correo electrónico u otro contacto digital) allá donde aparezcan, incluidos el propio producto, el embalaje o el documento adjunto.
  • La fecha de fin de soporte que se muestra en el punto de venta.

Puede ser multilingüe:

  • La etiqueta del producto y el marcado CE.
  • El texto del embalaje.
  • La documentación en línea, siempre que sea accesible una versión en francés.

El inglés se acepta normalmente para:

  • La documentación técnica interna. ANFR u otra autoridad de vigilancia del mercado de cualquier otro Estado miembro puede solicitar una traducción al francés si presenta una solicitud motivada, así que planifica esa contingencia aunque no traduzcas de forma proactiva.

La declaración UE de conformidad debe estar disponible en las lenguas exigidas por el Estado miembro donde el producto se introduce o se comercializa. Para Francia, planifica una versión francesa en lugar de tratar la traducción como una contingencia solo de inspección.

Venta transfronteriza desde Francia

Los fabricantes franceses que venden en Bélgica, España, Alemania, Italia o cualquier otro Estado miembro de la UE aplican la misma regla de enrutamiento único: tus notificaciones siguen yendo a CERT-FR, porque el enrutamiento sigue al establecimiento principal, no al destino de cada envío. No notificas al CSIRT belga, español, alemán ni italiano.

La obligación lingüística sí se ramifica por mercado. Un producto enviado al mercado español necesita información al usuario en español. Un producto enviado al mercado alemán necesita información en alemán. El paquete solo en francés no cubre esos mercados.

La autoridad de vigilancia del mercado de cada Estado miembro receptor también puede solicitar tu documentación técnica en una lengua fácilmente comprensible para esa autoridad. Si tu distribución abarca ampliamente la UE, espera solicitudes en al menos una lengua de trabajo ampliamente utilizada y trata la traducción anticipada de las secciones más solicitadas de la documentación técnica como una medida prudente.

Programas nacionales de financiación

A diferencia del Plan de Recuperación español, que está cerrando su ventana NextGenEU en 2026, los programas nacionales franceses para inversión en ciberseguridad siguen abiertos y activos en 2026 y más allá.

  • Bpifrance gestiona el Diagnostic Cybersécurité (una auditoría de ciberseguridad subvencionada para PYMES) y el programa Cyber PME. La Fase B de Cyber PME aceptó solicitudes hasta el 26 de noviembre de 2025 para empresas cuya fecha de presentación del plan de seguridad sea posterior al 1 de enero de 2024. La Fase A y convocatorias de seguimiento continúan abriéndose.
  • France 2030 es el plan nacional de inversión con convocatorias específicas de ciberseguridad gestionadas conjuntamente por el Secretariado General para la Inversión (SGPI), Bpifrance y ANSSI. Las convocatorias de desarrollo de productos de ciberseguridad están cofinanciadas con el EU Digital Europe Programme, con convocatorias recientes que ofrecen hasta 2 millones de euros en apoyo combinado. La I+D en seguridad impulsada por la Ley de Ciberresiliencia encaja donde el ángulo es una innovación genuina en desarrollo de producto.
  • France Num ofrece cheques de diagnóstico regional gestionados a través de las cámaras de comercio e industria. Útil para un Plan de Cybersécurité inicial, pero no para la inversión completa en herramientas CRA.
  • Prêt Innovation y la Aide pour le développement de l'innovation son líneas de préstamo y subvención de Bpifrance que pueden financiar herramientas SBOM, construcción de capacidad de gestión de vulnerabilidades y tasas de evaluación de la conformidad cuando el trabajo de ciberseguridad tiene un componente de innovación genuino.

Las ventanas de elegibilidad y los topes presupuestarios cambian anualmente. Confirma la convocatoria vigente antes de imputar cualquier partida a estos programas.

Preguntas frecuentes

¿Qué CSIRT francés recibe mis notificaciones de vulnerabilidades CRA?

CERT-FR, el CSIRT operativo dentro de ANSSI, cuando el establecimiento principal del fabricante está en Francia. La Ley de Ciberresiliencia define el establecimiento principal como el lugar donde se toman predominantemente las decisiones relacionadas con la ciberseguridad de los productos con elementos digitales. Las notificaciones se envían a través de la plataforma única de notificación de ENISA desde el 11 de septiembre de 2026, con CERT-FR como coordinador receptor.

¿Quién designa los organismos notificados franceses, COFRAC o ANSSI?

Está previsto que ANSSI sea la autoridad notificante que designa formalmente los organismos notificados CRA franceses ante la Comisión Europea. COFRAC acredita a los organismos candidatos como paso técnico previo a esa notificación. Ambos intervienen con funciones distintas. La fase de acreditación y notificación de ANSSI se extiende de junio a diciembre de 2026. A finales de mayo de 2026, no hay ningún organismo notificado designado en toda la UE bajo la Ley de Ciberresiliencia. Un fabricante francés puede usar cualquier organismo notificado de la UE para la evaluación de la conformidad CRA.

¿Mi certificación CSPN o Visa de Sécurité cubre la evaluación de la conformidad CRA?

No, ninguna de las dos sustituye a la evaluación de la conformidad CRA, aunque ambas pueden aportar evidencias que la respalden. CSPN (Certification de Sécurité de Premier Niveau) es la evaluación nacional ligera de productos de ANSSI. Visa de Sécurité es la marca de certificación que ANSSI otorga a los productos evaluados con CSPN. CSPN encaja en la metodología europea de evaluación de tiempo fijo mediante FITCEM EN 17640:2022 junto con las metodologías BSZ alemana y LINCE española, por lo que sus resultados pueden incorporarse a tu documentación técnica CRA como evidencia de apoyo. Las vías de evaluación de la conformidad propias del Reglamento (Módulo A autoevaluación, Módulo B+C examen de tipo, Módulo H aseguramiento total de calidad) operan como una cadena independiente. Si dispones de CSPN o Visa de Sécurité, trátalo como entrada a tu expediente CRA, no como sustituto de la evaluación de la conformidad.

¿Qué autoridad francesa es la autoridad de vigilancia del mercado CRA, ANFR o DGCCRF?

ANFR (Agence nationale des fréquences) es la candidata principal para la vigilancia del mercado CRA de productos con elementos digitales en el mercado francés, según la página de referencia CRA de ANSSI y la vía de implementación francesa. ANSSI presta apoyo técnico a ANFR dentro del marco de vigilancia del mercado. La DGCCRF mantiene su largo historial de vigilancia general de seguridad de productos de consumo y seguirá detectando productos no conformes en frontera o en comercio minorista, pero no es la autoridad de vigilancia del mercado CRA prevista. La vía de implementación francesa otorgaría a ANFR poderes sancionadores de hasta 15 millones de euros o el 2,5 % de la facturación anual global dentro de los límites de la UE establecidos por el Reglamento. Verifica el texto final del JO antes de cualquier presentación formal.

¿Cuándo publicará Francia su décret nacional de aplicación CRA en el Journal Officiel?

La Ley de Ciberresiliencia es un Reglamento de la UE con efecto directo, de modo que Francia no necesita transponerlo a ley nacional para que las obligaciones sustantivas se apliquen el 11 de diciembre de 2027. Lo que Francia sí necesita publicar antes del 11 de junio de 2026 es un décret o arrêté ministériel que confirme formalmente las designaciones institucionales (ANFR como autoridad de vigilancia del mercado, ANSSI como autoridad notificante, CERT-FR como CSIRT receptor) y fije la escala nacional de sanciones dentro de los límites de la UE. A 25 de mayo de 2026, ANFR, ANSSI y CERT-FR son las designaciones principales en los materiales de ANSSI y legislativos, pero no encontré ningún instrumento final específico CRA en el Journal Officiel. Sigue el JO para un décret específico CRA en torno al plazo del 11 de junio de 2026.

¿Necesito traducir todo al francés para ventas B2B?

Para productos puestos en el mercado francés con usuarios finales en Francia, sí. La Ley de Ciberresiliencia exige información al usuario en francés. La Loi Toubon (Law 94-665) exige de forma independiente el francés en la información al consumidor. Las ventas B2B entre profesionales tienen cierta flexibilidad bajo la Loi Toubon, pero la obligación CRA no distingue en este sentido una vez que el producto está puesto en el mercado francés. Planifica entregar información al usuario en francés, divulgación del periodo de soporte en francés y datos de contacto del fabricante en francés tanto en canales de consumo como profesionales.

¿Puede Bpifrance o France 2030 pagar mis herramientas de cumplimiento CRA?

Cuando el trabajo es I+D e innovación genuinas (nuevos métodos de detección, herramientas de análisis SBOM, flujos de gestión de vulnerabilidades, desarrollo de productos de ciberseguridad relevantes para el CRA), sí. Bpifrance Cyber PME y las convocatorias de ciberseguridad de France 2030 han financiado directamente trabajos relevantes para el CRA, y France 2030 está cofinanciado con el EU Digital Europe Programme para convocatorias de productos de ciberseguridad. El trabajo de puro cumplimiento (auditorías, tasas de evaluación de la conformidad, construcción de procesos internos) es más difícil de encajar, ya que France 2030 es financiación de innovación, no de cumplimiento. France Num ofrece cheques de diagnóstico regional para PYMES, útiles para un Plan de Cybersécurité inicial.

Distribuyo desde Francia a otros Estados miembros de la UE. ¿Dónde notifico los incidentes?

A través de CERT-FR, independientemente de a qué Estados miembros distribuyas. La Ley de Ciberresiliencia vincula el enrutamiento de las notificaciones al establecimiento principal, no al destino de cada envío. La obligación lingüística sí se ramifica por mercado: información del producto en español para productos enviados a España, en alemán para productos enviados a Alemania, y así sucesivamente. Prepara con antelación al menos las secciones de documentación técnica más solicitadas en una lengua de trabajo ampliamente utilizada para absorber las solicitudes motivadas transfronterizas.

Para fabricantes franceses preparándose para el 11 de diciembre de 2027

  1. Confirma tus obligaciones como fabricante con la guía clúster del fabricante.
  2. Verifica que tu establecimiento principal está en Francia y documenta la justificación. Lo que importa es el lugar donde se toman las decisiones de ciberseguridad, no el domicilio social registrado.
  3. Asigna tu flujo de notificación CRA a CERT-FR como CSIRT receptor, con un envío probado a la plataforma única de notificación de ENISA una vez que entre en funcionamiento el 11 de septiembre de 2026.
  4. Si tu vía de evaluación de la conformidad necesita un organismo notificado, evalúa organismos acreditados por COFRAC y notificados por ANSSI como opción nacional, más al menos una alternativa transfronteriza para resiliencia.
  5. Planifica solicitudes de documentación e inspecciones de ANFR en francés. La declaración UE de conformidad debe estar disponible en la lengua que Francia exija, así que prepara una versión francesa para el mercado francés.
  6. Traduce las instrucciones de uso y la información del producto al francés. La superposición con la Loi Toubon significa que este trabajo ya está medio hecho para muchas empresas francesas. Añade traducciones por mercado para cualquier otro Estado miembro de la UE al que distribuyas.
  7. Evalúa Bpifrance Cyber PME, las convocatorias de ciberseguridad de France 2030 y Prêt Innovation para cualquier trabajo CRA con componente de I+D. Confirma la ventana de convocatoria vigente antes de contar con ello.
  8. Lee el cuestionario de diligencia debida de proveedores para el marco de diligencia debida en componentes del lado del fabricante.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento CRA, consulta con asesoría legal cualificada.

CRA Francia Gestión de vulnerabilidades
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
View full CRA compliance guide