CRA pour les fabricants français : ANSSI, ANFR et marquage CE

Fiche pays pour les fabricants français : routage CERT-FR, ANSSI autorité notificatrice, ANFR surveillance du marché, accréditation COFRAC.

Équipe CRA Evidence Publié 4 janvier 2026 Mis à jour 11 juin 2026
Note pays CRA pour les fabricants français : document officiel avec en-tête ANSSI et tampon CE dans le coin supérieur droit
Dans cet article

Les fabricants français sont soumis aux mêmes obligations au titre du Règlement sur la cyberrésilience que tout autre fabricant de l'Union. Cette page est une note pays consacrée à la France : comment les notifications de vulnérabilité et d'incident transitent via CERT-FR (CSIRT opérationnel de l'ANSSI), comment la désignation des organismes de conformité devrait s'organiser selon le schéma français (ANSSI notifie, COFRAC accrédite), comment l'ANFR est la principale candidate pour la surveillance du marché CRA dans l'attente de l'instrument formel au Journal Officiel (rôle souvent attribué à tort à la DGCCRF), ce que l'obligation linguistique française exige concrètement, et quelles lignes Bpifrance et France 2030 sont ouvertes à l'investissement de conformité. Pour l'ensemble des obligations applicables, voir le guide cluster fabricant.

Résumé

  • Le Règlement sur la cyberrésilience est un règlement de l'Union d'application directe. Il n'existe pas d'exception propre à la France pour les fabricants de produits.
  • CERT-FR, CSIRT opérationnel intégré à l'ANSSI, est le CSIRT français de référence pour les notifications de vulnérabilité et d'incident CRA lorsque votre établissement principal se trouve en France.
  • ANSSI devrait agir comme autorité notificatrice française chargée de désigner formellement les organismes notifiés CRA auprès de la Commission européenne. COFRAC accrédite les organismes candidats en amont de cette notification, à titre d'étape technique préalable.
  • L'ANFR (Agence nationale des fréquences) est la principale candidate pour la surveillance du marché CRA des produits comportant des éléments numériques mis sur le marché français, dans l'attente de l'instrument formel au Journal Officiel. L'ANSSI apporte un soutien technique à l'ANFR. La DGCCRF est l'inspecteur historique de la sécurité des produits de consommation et n'est PAS l'autorité de surveillance du marché CRA attendue.
  • Le français est obligatoire pour les informations produit destinées aux utilisateurs sur le marché français, conformément au Règlement sur la cyberrésilience et à la loi n° 94-665 (Loi Toubon) pour les produits de consommation.
  • Bpifrance gère le programme Cyber PME et plusieurs appels France 2030 dans le domaine de la cybersécurité. France 2030 est cofinancé avec le programme EU Digital Europe Programme et reste un véhicule de planification viable pour l'investissement de conformité avant l'échéance du 11 décembre 2027.

À qui s'adresse ce guide

Vous êtes le lecteur cible si votre « établissement principal dans l'Union » est en France en tant que fabricant. Cela désigne le lieu où les décisions relatives à la cybersécurité de vos produits comportant des éléments numériques sont principalement prises. Une filiale de vente française avec un bureau d'ingénierie hors de France n'est pas l'établissement principal. Si votre équipe d'ingénierie, votre gouvernance SDLC et les personnes qui approuvent la publication des mises à jour de sécurité se trouvent en France, ce guide vous concerne.

Si votre établissement principal est ailleurs dans l'Union et que vous commercialisez uniquement en France, vos notifications CRA transitent par le CSIRT de l'État membre où se situe votre établissement principal, pas par CERT-FR. L'obligation linguistique française pour les informations destinées aux utilisateurs s'applique néanmoins à tout produit mis sur le marché français.

ANSSI et CERT-FR : la voie CSIRT française

Les notifications CRA transitent par le CSIRT désigné coordonnateur de l'État membre où le fabricant a son établissement principal dans l'Union. Pour un fabricant dont l'établissement principal est en France, ce CSIRT est CERT-FR, le bras opérationnel de l'ANSSI (Agence nationale de la sécurité des systèmes d'information).

L'ANSSI est rattachée au SGDSN et pilote les schémas français de certification (CSPN, Visa de Sécurité) ainsi que les centres d'évaluation agréés (CESTI). CERT-FR publie des avis de vulnérabilité en français et opère le flux national de coordination des vulnérabilités.

Contact CERT-FR : site web https://www.cert.ssi.gouv.fr, e-mail cert-fr@ssi.gouv.fr. ANSSI : https://www.ssi.gouv.fr.

Le canal technique pour la cadence de signalement à 24 h / 72 h / 14 jours est la plateforme unique de signalement de l'ENISA, qui sera opérationnelle le 11 septembre 2026. Un fabricant français dépose ses notifications via cette plateforme avec CERT-FR comme coordonnateur destinataire. La désignation du CSIRT définit le routage. La plateforme est le transport.

Organismes notifiés : ANSSI notifie, COFRAC accrédite

Les produits Important Classe I nécessitent un organisme notifié (Module B+C ou Module H) uniquement lorsque les normes harmonisées, spécifications communes, ou un schéma de certification ne les couvrent pas intégralement. Les produits Important Classe II utilisent un organisme notifié (Module B+C ou Module H) ou un schéma de certification disponible et applicable. Les produits Critiques (Annexe IV) suivent l’Article 32(4) : la voie de certification de l’Article 8(1) si la Commission l’a activée, sinon les mêmes voies tierces de l’Article 32(3).

Le schéma institutionnel français est le suivant :

  • ANSSI agit comme autorité notificatrice qui désigne formellement les organismes notifiés français auprès de la Commission européenne au titre du Règlement sur la cyberrésilience. L'ANSSI évalue, contrôle et notifie les organismes d'évaluation de la conformité.
  • COFRAC (Comité français d'accréditation) est l'organisme national d'accréditation français et évalue la compétence technique d'un candidat avant que l'ANSSI ne procède à sa notification.

Le cadre du Règlement sur la cyberrésilience pour les organismes notifiés s'applique à partir du 11 juin 2026, la phase d'accréditation et de notification de l'ANSSI se déroulant de juin à décembre 2026. Fin mai 2026, aucun organisme notifié n'est désigné à l'échelle de l'Union au titre du Règlement sur la cyberrésilience, et la désignation nationale française formelle reste attendue au Journal Officiel. La chaîne est en cours de constitution.

Un fabricant français peut recourir à n'importe quel organisme notifié de l'Union, pas uniquement à un organisme désigné en France. Choisir un organisme désigné en France (LNE, LCIE Bureau Veritas, SGS France et d'autres organismes historiquement accrédités) relève d'une préférence d'achat et non d'une exigence du Règlement sur la cyberrésilience. Les désignations CRA définitives sont publiées dans la base de données NANDO de la Commission européenne.

ANFR : l'autorité de surveillance du marché CRA

La surveillance du marché CRA pour les produits comportant des éléments numériques mis sur le marché français devrait relever de l'ANFR (Agence nationale des fréquences), et non de la DGCCRF. L'ANSSI confirme cette orientation institutionnelle sur sa page CRA officielle sur cyber.gouv.fr, et l'ANSSI elle-même apporte un soutien technique à l'ANFR dans le cadre de la surveillance du marché. Vérifiez la désignation définitive au Journal Officiel avant tout dépôt formel.

La voie de mise en œuvre française donnerait à l'ANFR des pouvoirs de sanction allant jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial pour les infractions les plus graves au Règlement sur la cyberrésilience, dans les plafonds fixés par le Règlement au niveau de l'Union.

La DGCCRF conserve son rôle général d'inspection de la sécurité des produits de consommation et continuera à détecter les produits non conformes aux frontières ou dans le commerce de détail, mais le rôle attendu d'autorité de surveillance du marché CRA pour les produits numériques appartient à l'ANFR. Planifiez en ciblant l'ANFR, tout en vérifiant le texte final du JO avant tout dépôt formel.

Obligations linguistiques françaises en pratique

Le Règlement sur la cyberrésilience exige que les informations produit destinées aux utilisateurs soient rédigées dans une langue facilement compréhensible par les utilisateurs et l'autorité de surveillance du marché locale. Pour les produits mis sur le marché français, cette langue est le français. La loi n° 94-665 (Loi Toubon) impose indépendamment le français dans toutes les informations destinées aux consommateurs, de sorte que l'obligation du Règlement sur la cyberrésilience s'aligne sur une règle nationale de longue date.

Doit être en français :

  • Les instructions d'utilisation et informations produit livrées avec le produit.
  • Les coordonnées du fabricant (nom, adresse, e-mail ou autre contact numérique) partout où elles apparaissent, y compris sur le produit lui-même, l'emballage ou le document d'accompagnement.
  • L'indication de la date de fin de support affichée au point de vente.

Peut être multilingue :

  • L'étiquette produit et le marquage CE.
  • Le texte de l'emballage.
  • La documentation en ligne, à condition qu'une version française soit accessible.

L'anglais est généralement accepté pour :

  • La documentation technique interne. L'ANFR ou toute autre autorité de surveillance du marché d'un État membre peut demander une traduction française sur demande motivée, pensez donc à cette éventualité même si vous ne traduisez pas de manière proactive.

La déclaration UE de conformité doit être mise à disposition dans les langues exigées par l'État membre où le produit est mis ou mis à disposition sur le marché. Pour la France, prévoyez une version française au lieu de traiter la traduction comme une simple éventualité d'inspection.

Ventes transfrontalières depuis la France

Les fabricants français qui vendent en Belgique, en Espagne, en Allemagne, en Italie ou dans tout autre État membre de l'Union sont soumis à la même règle de routage unique : vos notifications continuent de transiter par CERT-FR, car le routage suit l'établissement principal et non la destination d'expédition. Vous n'avez pas à déposer de notifications auprès du CSIRT belge, espagnol, allemand ou italien.

L'obligation linguistique se ramifie en revanche par marché. Un produit expédié sur le marché espagnol nécessite des informations destinées aux utilisateurs en espagnol. Un produit expédié sur le marché allemand nécessite des informations en allemand. Le pack en français seul ne couvre pas ces marchés.

L'autorité de surveillance du marché de chaque État membre destinataire peut également demander votre documentation technique dans une langue facilement compréhensible par cette autorité. Si votre distribution couvre largement l'Union, anticipez des demandes dans au moins une langue de travail largement utilisée et traitez la traduction anticipée des sections de documentation technique les plus demandées comme une précaution pratique.

Programmes nationaux de financement

Contrairement au Plan de Recuperación espagnol qui ferme sa fenêtre NextGenEU en 2026, les programmes nationaux français pour l'investissement en cybersécurité restent ouverts et actifs en 2026 et au-delà.

  • Bpifrance gère le Diagnostic Cybersécurité (un audit de cybersécurité subventionné pour les PME) et le programme Cyber PME. La Phase B de Cyber PME a accepté des dossiers jusqu'au 26 novembre 2025 pour les entreprises dont la date de dépôt du plan de sécurité est postérieure au 1er janvier 2024. La Phase A et les appels suivants continuent d'être lancés.
  • France 2030 est le plan d'investissement national avec des appels spécifiques à la cybersécurité gérés conjointement par le Secrétariat général pour l'investissement (SGPI), Bpifrance et l'ANSSI. Les appels pour le développement de produits de cybersécurité sont cofinancés avec le programme EU Digital Europe Programme, des appels récents offrant jusqu'à 2 millions d'euros de soutien combiné. La R&D de sécurité produit motivée par le CRA est éligible lorsque l'angle est une innovation de développement produit authentique.
  • France Num propose des bons de diagnostic régionaux gérés par les chambres de commerce et d'industrie. Utile pour un Plan de Cybersécurité initial, mais pas pour l'investissement complet en outils CRA.
  • Le Prêt Innovation et l'Aide pour le développement de l'innovation sont des lignes de prêt et de subvention Bpifrance qui peuvent financer l'outillage SBOM, le renforcement de la capacité de gestion des vulnérabilités et les frais d'évaluation de la conformité, à condition que le travail de cybersécurité comporte un véritable volet innovation.

Les fenêtres d'éligibilité et les plafonds budgétaires changent chaque année. Vérifiez la convocation en cours avant de chiffrer un poste contre ces programmes.

Questions fréquentes

Quel CSIRT français reçoit mes notifications de vulnérabilité CRA ?

CERT-FR, CSIRT opérationnel intégré à l'ANSSI, lorsque l'établissement principal du fabricant est en France. Le Règlement sur la cyberrésilience définit l'établissement principal comme le lieu où les décisions relatives à la cybersécurité des produits comportant des éléments numériques sont principalement prises. Les notifications sont déposées via la plateforme unique de signalement de l'ENISA à partir du 11 septembre 2026, avec CERT-FR comme coordonnateur destinataire.

Qui désigne les organismes notifiés français, le COFRAC ou l'ANSSI ?

L'ANSSI devrait être l'autorité notificatrice qui désigne formellement les organismes notifiés CRA français auprès de la Commission européenne. Le COFRAC accrédite les organismes candidats en amont de cette notification, à titre d'étape technique préalable. Les deux sont impliqués, avec des rôles distincts. La phase d'accréditation et de notification de l'ANSSI se déroule de juin 2026 à décembre 2026. Fin mai 2026, aucun organisme notifié n'est désigné à l'échelle de l'Union au titre du Règlement sur la cyberrésilience. Un fabricant français peut néanmoins recourir à n'importe quel organisme notifié de l'Union pour l'évaluation de la conformité CRA.

Ma certification CSPN ou Visa de Sécurité couvre-t-elle l'évaluation de la conformité CRA ?

Non, aucune ne remplace l'évaluation de la conformité CRA, même si toutes deux peuvent produire des preuves qui la soutiennent. Le CSPN (Certification de Sécurité de Premier Niveau) est l'évaluation nationale légère de produit de l'ANSSI. Le Visa de Sécurité est la marque de certification que l'ANSSI accorde aux produits évalués CSPN. Le CSPN s'inscrit dans la méthodologie européenne d'évaluation à temps contraint via la norme FITCEM EN 17640:2022, aux côtés des méthodologies allemande BSZ et espagnole LINCE, de sorte que ses résultats peuvent alimenter votre documentation technique CRA à titre de preuves complémentaires. Les voies d'évaluation de la conformité propres au Règlement sur la cyberrésilience (Module A auto-évaluation, Module B+C examen de type, Module H assurance qualité complète) constituent une chaîne distincte. Si vous détenez un CSPN ou un Visa de Sécurité, considérez-les comme des éléments versés à votre dossier CRA, et non comme un substitut à l'évaluation de la conformité elle-même.

Quelle autorité française est l'autorité de surveillance du marché CRA, l'ANFR ou la DGCCRF ?

L'ANFR (Agence nationale des fréquences) est la principale candidate pour la surveillance du marché CRA des produits comportant des éléments numériques sur le marché français, selon la page CRA de référence de l'ANSSI et la voie de mise en œuvre française. L'ANSSI apporte un soutien technique à l'ANFR dans le cadre de la surveillance du marché. La DGCCRF conserve son rôle historique de sécurité des produits de consommation et continuera à détecter les produits non conformes aux frontières ou dans le commerce de détail, mais elle n'est pas l'autorité de surveillance du marché CRA attendue. La voie de mise en œuvre française donnerait à l'ANFR des pouvoirs de sanction allant jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial dans les plafonds fixés par le Règlement sur la cyberrésilience au niveau de l'Union. Vérifiez le texte final du JO avant tout dépôt formel.

Quand la France publiera-t-elle son décret national d'application CRA au Journal Officiel ?

Le Règlement sur la cyberrésilience est un règlement de l'Union d'application directe, de sorte que la France n'a pas besoin de le transposer en droit national pour que les obligations substantielles s'appliquent au 11 décembre 2027. Ce dont la France a besoin pour le cadre du 11 juin 2026 est un décret ou un arrêté ministériel qui confirme formellement les désignations institutionnelles (ANFR comme autorité de surveillance du marché, ANSSI comme autorité notificatrice, CERT-FR comme CSIRT destinataire) et fixe le barème national des sanctions dans les plafonds fixés par le Règlement sur la cyberrésilience au niveau de l'Union. L'ANFR, l'ANSSI et CERT-FR sont les principales désignations dans les documents de l'ANSSI et les documents législatifs. Comme la date-cadre du 11 juin 2026 est désormais passée, vérifiez l'instrument définitif spécifique au CRA au Journal Officiel avant de vous appuyer sur ces désignations pour des dépôts formels.

Dois-je tout traduire en français pour les ventes B2B ?

Pour les produits mis sur le marché français avec des utilisateurs finaux en France, oui. Le Règlement sur la cyberrésilience impose des informations utilisateur en français. La loi n° 94-665 (Loi Toubon) impose indépendamment le français dans les informations destinées aux consommateurs. Les ventes B2B entre professionnels disposent d'une certaine souplesse au titre de la Loi Toubon, mais l'obligation du Règlement sur la cyberrésilience ne fait pas de distinction sur cette base dès lors que le produit est mis sur le marché français. Prévoyez de fournir des informations utilisateur en français, une indication de la période de support en français et des coordonnées fabricant en français, tant pour les canaux grand public que professionnels.

Bpifrance ou France 2030 peuvent-ils financer mes outils de conformité CRA ?

Lorsque le travail constitue une véritable R&D et innovation (nouvelles méthodes de détection, outillage d'analyse SBOM, pipelines de gestion des vulnérabilités, développement de produits de cybersécurité relevant du CRA), oui. Les appels Cyber PME Bpifrance et les appels cybersécurité France 2030 ont directement financé des travaux liés au CRA, et France 2030 est cofinancé avec le programme EU Digital Europe Programme pour les appels concernant les produits de cybersécurité. La pure conformité (audits, frais d'évaluation de la conformité, construction de processus internes) est plus difficile à faire entrer dans ces dispositifs, car France 2030 est un financement de l'innovation et non de la conformité. France Num propose des bons de diagnostic régionaux pour les PME, utiles pour un Plan de Cybersécurité initial.

J'expédie depuis la France vers d'autres États membres de l'Union. Où dois-je signaler les incidents ?

Via CERT-FR, quel que soit l'État membre vers lequel vous expédiez. Le Règlement sur la cyberrésilience lie le routage des notifications à l'établissement principal et non à la destination d'expédition. L'obligation linguistique se ramifie en revanche par marché : informations produit en espagnol pour les produits expédiés en Espagne, en allemand pour les produits expédiés en Allemagne, et ainsi de suite. Anticipez la traduction des sections de documentation technique les plus demandées dans une langue de travail largement utilisée pour absorber les demandes motivées transfrontalières.

Pour les fabricants français en vue du 11 décembre 2027

  1. Confirmez vos obligations de fabricant avec le guide cluster fabricant.
  2. Vérifiez que votre établissement principal est bien en France et documentez la justification. Le lieu où les décisions de cybersécurité sont prises, et non le siège social enregistré, est ce qui compte.
  3. Cartographiez votre flux de notification CRA vers CERT-FR comme CSIRT destinataire, avec un test de soumission sur la plateforme unique de signalement de l'ENISA dès son ouverture le 11 septembre 2026.
  4. Si votre voie d'évaluation de la conformité nécessite un organisme notifié, ciblez les organismes accrédités par le COFRAC et notifiés par l'ANSSI comme option nationale, ainsi qu'au moins une alternative transfrontalière pour la résilience.
  5. Préparez-vous aux demandes documentaires et inspections de l'ANFR en français. La déclaration UE de conformité doit être disponible dans la langue exigée par la France ; préparez donc une version française pour le marché français.
  6. Traduisez les instructions utilisateur et les informations produit en français. Le chevauchement avec la Loi Toubon signifie que ce travail est déjà à moitié fait pour de nombreuses entreprises françaises. Ajoutez des traductions par marché pour tout autre État membre de l'Union vers lequel vous expédiez.
  7. Évaluez Bpifrance Cyber PME, les appels cybersécurité France 2030 et le Prêt Innovation pour tout travail CRA à dimension R&D. Vérifiez la fenêtre de convocation en cours avant de compter sur ces lignes.
  8. Lisez le questionnaire de diligence fournisseur pour le cadre fabricant de diligence sur les composants.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.

CRA France Gestion des vulnérabilités
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Certification européenne de cybersécurité (EUCC)

Comment fonctionne le schéma de certification EUCC et quand il peut soutenir la conformité au CRA.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
Voir le guide complet de conformité au CRA