CRA pour les fabricants espagnols : INCIBE-CERT, CCN et ENAC

Fiche pays pour les fabricants espagnols : signalement probablement via INCIBE-CERT, organismes notifiés CCN/ENAC, obligations linguistiques et financements.

Équipe CRA Evidence Publié 1 janvier 2026 Mis à jour 31 mai 2026
Note pays CRA pour les fabricants espagnols illustrant la chaîne institutionnelle nationale : CSIRT pour les signalements de vulnérabilités, organisme notifié pour les certificats de conformité, autorité de surveillance du marché pour l'application
Dans cet article

Les fabricants espagnols sont soumis aux mêmes obligations CRA que n'importe quel autre fabricant de l'Union. Cette page est une note pays pour l'Espagne : le routage des signalements de vulnérabilités et d'incidents par INCIBE-CERT, la répartition des rôles entre CCN et ENAC pour les organismes notifiés, les obligations linguistiques en espagnol, et l'état des programmes nationaux de financement alors que la fenêtre de la Reprise et la Résilience se referme. Pour l'ensemble du dispositif obligatoire, consultez le guide du cluster fabricant.

Résumé

  • Le Règlement sur la cyberrésilience est un règlement de l'Union d'application directe. Il n'existe aucune exemption propre à l'Espagne pour les fabricants de produits.
  • INCIBE-CERT est le CSIRT espagnol de référence pour les signalements de vulnérabilités et d'incidents CRA lorsque l'établissement principal du fabricant se situe en Espagne.
  • CCN (Centro Criptológico Nacional) notifie les organismes espagnols d'évaluation de la conformité auprès de la Commission européenne. ENAC les accrédite, étape technique préalable à cette notification.
  • SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) au sein du Ministerio para la Transformación Digital y de la Función Pública (MTDFP) est positionné comme l'autorité espagnole de surveillance du marché au titre du CRA. Le cadre national formel s'applique à partir du 11 juin 2026. Vérifiez la désignation définitive au BOE avant tout dépôt officiel.
  • L'espagnol (castillan) est requis pour les informations produit destinées aux utilisateurs sur le marché espagnol. Les langues co-officielles des communautés autonomes (catalan, galicien, basque) ne sont pas imposées par le CRA.
  • CDTI dispose de lignes d'innovation actives en 2026 pouvant financer des travaux de R&D connexes au CRA. Les appels Kit Digital ont fermé en octobre 2025. Les projets Plan de Recuperación doivent être exécutés avant le 31 août 2026 et ne constituent pas un véhicule de planification pour l'échéance du 11 décembre 2027.

Champ d'application de ce guide

Vous êtes le lecteur cible si votre « établissement principal dans l'Union » en tant que fabricant se situe en Espagne. Il s'agit du lieu où les décisions relatives à la cybersécurité de vos produits comportant des éléments numériques sont principalement prises. Une filiale commerciale immatriculée en Espagne avec une ingénierie offshore n'est pas l'établissement principal. Si votre équipe d'ingénierie, votre gouvernance SDLC et les personnes qui approuvent les mises à jour de sécurité se trouvent en Espagne, ce guide s'adresse à vous.

Si votre établissement principal se situe ailleurs dans l'Union et que vous expédiez uniquement vers l'Espagne, vos signalements CRA sont acheminés par le CSIRT de votre État membre d'établissement principal, et non par INCIBE-CERT. L'obligation de fournir les informations produit en espagnol s'applique néanmoins pour tout produit mis sur le marché espagnol.

INCIBE-CERT : la voie CSIRT espagnole

Les signalements CRA sont acheminés vers le CSIRT désigné comme coordinateur de l'État membre où le fabricant a son établissement principal dans l'Union. Pour un fabricant dont l'établissement principal est en Espagne, ce CSIRT est INCIBE-CERT.

INCIBE-CERT publie des avis de vulnérabilité en langue espagnole et opère le flux de réponse aux incidents sur les produits grand public. CCN-CERT couvre le secteur public et les systèmes classifiés et ne constitue pas la voie CRA pour les fabricants commerciaux qui mettent des produits sur le marché ouvert.

Le canal technique pour la cadence de signalement 24 h / 72 h / 14 jours est la plateforme unique de signalement de l'ENISA, qui devient opérationnelle le 11 septembre 2026. Un fabricant espagnol dépose ses rapports via cette plateforme, INCIBE-CERT étant le coordinateur destinataire. La désignation du CSIRT définit le routage. La plateforme est le transport.

Organismes notifiés : CCN désigne, ENAC accrédite

Les produits Important Classe I nécessitent un organisme notifié (Module B+C ou Module H) uniquement lorsque les normes harmonisées, spécifications communes, ou un schéma de certification ne les couvrent pas intégralement. Les produits Important Classe II utilisent un organisme notifié (Module B+C ou Module H) ou un schéma de certification disponible et applicable. Les produits Critiques (Annexe IV) suivent l’Article 32(4) : la voie de certification de l’Article 8(1) si la Commission l’a activée, sinon les mêmes voies tierces de l’Article 32(3).

La répartition institutionnelle espagnole est la suivante :

  • CCN (Centro Criptológico Nacional) est l'autorité notifiante qui désigne formellement les organismes espagnols notifiés auprès de la Commission européenne au titre du CRA.
  • ENAC (Entidad Nacional de Acreditación) est l'organisme national d'accréditation espagnol et évalue la compétence technique d'un candidat avant que CCN ne le notifie.

Le cadre CRA pour les organismes notifiés s'applique à partir du 11 juin 2026, date à partir de laquelle les organismes désignés peuvent commencer à délivrer des certificats d'évaluation de la conformité au titre du CRA. Jusque-là, la chaîne espagnole est en cours de constitution.

Un fabricant espagnol peut recourir à n'importe quel organisme notifié de l'Union, pas uniquement à des organismes désignés en Espagne. Choisir un organisme espagnol relève d'une préférence de passation de marchés (évaluation en espagnol, logistique d'audit en local) et non d'une exigence du CRA.

Surveillance du marché : SETID au sein du MTDFP

Le projet espagnol de Real Decreto désigne SETID au sein du MTDFP comme autorité de surveillance du marché pour les produits CRA en Espagne. Cette attribution reste provisoire jusqu'à la publication définitive au BOE.

INCIBE apporte un soutien technique comme laboratoire préféré. Le projet ne donne toutefois pas à INCIBE de pouvoirs publics de décision pour la surveillance du marché CRA. Vérifiez le texte définitif au BOE avant tout dépôt officiel.

Exigences linguistiques en espagnol en pratique

Le CRA impose que les informations produit destinées aux utilisateurs soient rédigées dans une langue aisément comprise par les utilisateurs et par l'autorité locale de surveillance du marché. Pour les produits mis sur le marché espagnol, il s'agit de l'espagnol (castillan).

Doit être en espagnol :

  • Les instructions d'utilisation et les informations produit livrées avec le produit.
  • Les coordonnées du fabricant (nom, adresse, e-mail ou autre contact numérique) partout où elles figurent, y compris sur le produit lui-même, l'emballage ou le document d'accompagnement.
  • La mention de la date de fin de support affichée au point de vente.

Peut être multilingue :

  • L'étiquette produit et le marquage CE.
  • Les textes d'emballage.
  • La documentation en ligne, à condition qu'une version en espagnol soit accessible.

L'anglais est généralement accepté pour :

  • La documentation technique interne. Les autorités de surveillance du marché peuvent en demander une traduction en espagnol sur requête motivée. Prévoyez cette éventualité même si vous ne traduisez pas proactivement.

Le catalan, le galicien et le basque sont co-officiels dans leurs communautés autonomes respectives. Le CRA n'impose pas la traduction dans ces langues co-officielles. Certains marchés publics régionaux ou régulateurs sectoriels peuvent ajouter leurs propres clauses linguistiques, indépendamment du CRA.

Ventes transfrontalières depuis l'Espagne

Les fabricants espagnols qui vendent au Portugal, en France, en Italie ou dans tout autre État membre de l'Union appliquent la même règle de routage unique : les signalements sont toujours adressés à INCIBE-CERT, car le routage suit l'établissement principal et non la destination de chaque expédition. Vous n'effectuez pas de déclaration auprès du CSIRT portugais, français ou italien.

L'obligation linguistique se décline en revanche marché par marché. Un produit expédié vers le marché français doit comporter des informations utilisateur en français. Un produit expédié vers le marché portugais doit comporter des informations en portugais. Le seul pack en espagnol ne couvre pas ces marchés.

Chaque autorité de surveillance du marché de l'État membre destinataire peut également demander votre documentation technique dans une langue qu'elle comprend aisément. Si votre distribution couvre l'ensemble de l'Union, anticipez des demandes dans au moins une langue de travail couramment utilisée. Traduire par anticipation les sections les plus demandées de votre documentation technique est une précaution pratique.

Programmes nationaux de financement

Le paysage du financement a évolué à mesure que la fenêtre de la Reprise et la Résilience se referme. Vérifiez précisément ce qui est ouvert avant de positionner une ligne budgétaire sur l'un de ces dispositifs.

  • CDTI (Centro para el Desarrollo Tecnológico Industrial) dispose de lignes actives en 2026 : NEOTEC (startups technologiques en phase précoce), Línea Directa de Innovación (LIC) et Misiones Ciencia e Innovación (grands consortiums collaboratifs de R&D). Les travaux liés au CRA s'inscrivent dans ces lignes lorsque l'angle est une véritable R&D et innovation, et non une simple mise en conformité. CDTI prévoit de mobiliser plus de 1,8 milliard d'euros sur l'ensemble de ses lignes 2026.
  • Activa Ciberseguridad est un programme de petits bons (environ 2 140 euros par bénéficiaire) destiné aux PME industrielles, géré par SGIPYME avec les communautés autonomes et EOI. Utile pour un diagnostic initial de cybersécurité ou un plan-de-ciberseguridad, mais pas pour un investissement complet en outillage CRA.
  • Kit Digital est en phase de transition. Tous les appels Kit Digital ont fermé en octobre 2025. L'Orden TDF/39/2026 (BOE, 28 janvier 2026) permet la redistribution des fonds résiduels, mais au 25 mai 2026 il n'y a pas de fenêtre de candidature ouverte. Consultez kitdigital.red.es/convocatorias avant de compter sur ce dispositif.
  • Plan de Recuperación, Transformación y Resiliencia (PRTR) est dans sa phase de clôture. Tous les projets de Reprise et Résilience doivent être exécutés avant le 31 août 2026, les demandes de paiement final de l'Espagne à la Commission étant dues le 30 septembre 2026. Le PRTR n'est donc pas un véhicule de planification viable pour l'échéance de conformité CRA du 11 décembre 2027. L'initiative RETECH de 162 millions d'euros portée par INCIBE est dans sa phase finale de décaissement.

Pour les nouveaux investissements de conformité positionnés sur l'échéance du 11 décembre 2027, le paysage réaliste du financement public en Espagne se limite aux lignes d'innovation CDTI et aux éventuels programmes sectoriels des communautés autonomes. Les programmes financés par la Reprise et la Résilience ne font pas partie de ce tableau à partir de 2027.

Foire aux questions

Quel CSIRT espagnol reçoit mes signalements de vulnérabilités au titre du CRA ?

INCIBE-CERT, lorsque l'établissement principal du fabricant se situe en Espagne. Le CRA définit l'établissement principal comme le lieu où les décisions relatives à la cybersécurité des produits comportant des éléments numériques sont principalement prises. CCN-CERT n'agit pas comme coordinateur CRA pour les fabricants commerciaux. Les rapports sont soumis via la plateforme unique de signalement de l'ENISA à partir du 11 septembre 2026, INCIBE-CERT étant le coordinateur destinataire.

Qui désigne les organismes notifiés espagnols, ENAC ou CCN ?

CCN (Centro Criptológico Nacional) est l'autorité notifiante qui désigne formellement les organismes notifiés espagnols au titre du CRA auprès de la Commission européenne. ENAC accrédite les organismes candidats, étape technique préalable à cette notification. Les deux sont impliqués, avec des rôles distincts. Un fabricant espagnol peut néanmoins recourir à n'importe quel organisme notifié de l'Union pour l'évaluation de la conformité CRA. La chaîne espagnole compte pour la passation de marchés, et non en tant qu'exigence du CRA.

Ma certification ENS ou LINCE couvre-t-elle l'évaluation de la conformité CRA ?

Non, ni l'une ni l'autre ne se substitue à l'évaluation de la conformité CRA, bien que toutes deux puissent produire des éléments probatoires qui la confortent. L'ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) est un cadre de sécurité organisationnelle pour les systèmes d'information du secteur public et leurs fournisseurs, et non une certification produit. LINCE est l'évaluation allégée de produits du CCN qui conditionne l'inscription au catalogue CPSTIC pour les marchés publics espagnols. LINCE a été harmonisée au niveau européen via FITCEM EN 17640:2022, aux côtés des méthodologies française CSPN et allemande BSZ, de sorte que ses résultats peuvent alimenter votre documentation technique CRA à titre de preuves complémentaires. Les voies d'évaluation de la conformité propres au CRA (module A autodéclaration, module B+C examen de type, module H assurance qualité complète) fonctionnent selon une chaîne distincte. Si vous détenez une certification ENS ou LINCE, traitez-la comme un apport à votre dossier CRA, et non comme un substitut à l'évaluation de la conformité elle-même.

Quelle autorité espagnole est l'autorité de surveillance du marché pour le CRA ?

SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) au sein du Ministerio para la Transformación Digital y de la Función Pública (MTDFP) est désigné dans le projet espagnol comme autorité de surveillance du marché CRA. Le cadre des autorités nationales compétentes du CRA s'applique à partir du 11 juin 2026, et la désignation officielle espagnole au BOE peut encore être en cours de finalisation au moment où vous lisez ces lignes. Vérifiez la désignation définitive avant tout dépôt officiel. INCIBE apporte un soutien technique comme laboratoire préféré, sans pouvoirs publics de décision pour la surveillance du marché.

Quand l'Espagne publiera-t-elle sa loi nationale de mise en œuvre du CRA au BOE ?

Le CRA est un règlement de l'Union d'application directe : l'Espagne n'a pas besoin de le transposer en droit national pour que les obligations substantielles s'appliquent au 11 décembre 2027. Ce que l'Espagne doit publier avant le 11 juin 2026 est un instrument de mise en œuvre (généralement un Real Decreto ou une Orden Ministerial) qui désigne formellement l'autorité de surveillance du marché CRA, l'autorité notifiante pour les organismes d'évaluation de la conformité et le point de contact national unique. Le même texte, ou un texte ultérieur, devrait fixer le barème des amendes espagnoles dans les plafonds du CRA au niveau de l'UE, définir la procédure d'exécution et clarifier la coordination avec la législation espagnole existante en matière de cybersécurité. Au 25 mai 2026, cette publication au BOE n'est pas encore parue. Surveillez le BOE autour de l'échéance du 11 juin 2026 pour un Real Decreto de désignation, et considérez toute attribution antérieure d'autorités par le secteur comme provisoire jusqu'à la parution de ce texte.

Dois-je tout traduire en catalan, en galicien ou en basque ?

Le CRA exige des informations utilisateur dans une langue aisément comprise dans l'État membre de mise à disposition. Pour l'Espagne, il s'agit de l'espagnol (castillan). Les langues co-officielles des communautés autonomes ne sont pas imposées par le CRA lui-même. Certains marchés publics régionaux ou régulateurs sectoriels peuvent ajouter leurs propres clauses linguistiques, indépendamment du CRA.

CDTI ou Kit Digital peuvent-ils financer mon outillage de conformité CRA ?

CDTI : lorsque les travaux relèvent d'une véritable R&D et innovation (nouvelles méthodes de détection, outillage d'analyse SBOM, pipelines de gestion des vulnérabilités), oui. Le plan CDTI 2026 mobilise plus de 1,8 milliard d'euros sur NEOTEC, LIC, Misiones et d'autres lignes. Les travaux de pure mise en conformité (audits, frais d'évaluation de la conformité, structuration de processus internes) sont plus difficiles à faire rentrer, CDTI étant un financeur de l'innovation. Kit Digital : appels fermés en octobre 2025, aucune fenêtre ouverte au 25 mai 2026. L'Orden TDF/39/2026 permet la redistribution de fonds résiduels mais ne rouvre pas les appels. Le Plan de Recuperación est dans sa phase de clôture avec une exécution des projets due le 31 août 2026, de sorte qu'il ne peut pas financer des travaux prévus pour l'échéance du 11 décembre 2027.

J'expédie depuis l'Espagne vers d'autres États membres de l'UE. Où signaler les incidents ?

Via INCIBE-CERT, quel que soit l'État membre destinataire. Le CRA lie le routage des signalements à l'établissement principal et non à la destination de chaque expédition. L'obligation linguistique se décline en revanche marché par marché : informations produit en français pour les produits expédiés en France, en portugais pour les produits expédiés au Portugal, et ainsi de suite. Préparez à l'avance au moins les sections les plus demandées de votre documentation technique dans une langue de travail couramment utilisée pour absorber les demandes transfrontalières motivées.

Pour les fabricants espagnols qui préparent l'échéance du 11 décembre 2027

  1. Confirmez vos obligations de fabricant à l'aide du guide du cluster fabricant.
  2. Vérifiez que votre établissement principal se situe en Espagne et documentez la justification. C'est le lieu des décisions en matière de cybersécurité, et non le siège social enregistré, qui est déterminant.
  3. Cartographiez votre flux de signalement CRA avec INCIBE-CERT comme CSIRT destinataire, et testez une soumission via la plateforme unique de signalement de l'ENISA dès sa mise en service le 11 septembre 2026.
  4. Si votre voie d'évaluation de la conformité requiert un organisme notifié, cadrez les organismes accrédités par ENAC et notifiés par CCN comme option locale, ainsi qu'au moins une alternative transfrontalière pour la résilience.
  5. Traduisez les instructions utilisateur et les informations produit en espagnol. Ajoutez des traductions par marché pour tous les autres États membres de l'Union vers lesquels vous expédiez.
  6. Examinez les lignes CDTI (NEOTEC, LIC, Misiones) au regard de tout travail CRA à composante R&D. Ne planifiez pas sur Kit Digital ou Plan de Recuperación pour un investissement de conformité 2027, les deux étant en phase de clôture.
  7. Revérifiez la désignation définitive au BOE dès sa publication et mettez à jour votre cartographie des contacts SETID, CCN, ENAC et INCIBE-CERT avant tout dépôt officiel.
  8. Consultez le questionnaire de due diligence fournisseurs pour le cadre de due diligence sur les composants côté fabricant.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils spécifiques de conformité CRA, consultez un conseiller juridique qualifié.

CRA Espagne Gestion des vulnérabilités
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide