CRA pour les fabricants allemands : BSI, CERT-Bund et marquage CE

Fiche pays pour les fabricants allemands sous le CRA : BSI, autorité de surveillance du marché et notificatrice, CERT-Bund, accréditation DAkkS.

CRA Evidence Team Publié 11 juin 2026
Fiche pays CRA pour les fabricants allemands illustrant la chaîne institutionnelle nationale : CERT-Bund pour les signalements de vulnérabilités et d'incidents, BSI appelé à exercer les fonctions combinées d'autorité de surveillance du marché et d'autorité notificatrice, DAkkS pour l'accréditation
Dans cet article

Les fabricants allemands sont soumis aux mêmes obligations CRA que tout autre fabricant établi dans l'UE. Ce qui est spécifique à l'Allemagne, c'est la chaîne institutionnelle, et l'Allemagne a choisi de la concentrer sur un seul organisme. Le BSI est appelé à être à la fois l'autorité de surveillance du marché et l'autorité notificatrice au titre du CRA. Un seul organisme, deux rôles, là où la France et l'Espagne les confient à des agences distinctes. Voici la fiche pays pour l'Allemagne. Pour l'ensemble des obligations du fabricant, consultez le guide fabricant.

Résumé

  • Le CRA est un règlement de l'UE d'applicabilité directe. Il n'existe aucune exemption spécifiquement allemande pour les fabricants de produits.
  • Le BSI (Bundesamt für Sicherheit in der Informationstechnik) est appelé à devenir à la fois l'autorité de surveillance du marché CRA et l'autorité notificatrice. La base juridique est la loi de mise en œuvre du CRA (Gesetz zur Durchführung der Cyberresilienz-Verordnung), qui modifie la loi sur le BSI. Il s'agit d'un projet de loi du gouvernement fédéral, BT-Drs. 21/6134, encore en cours d'examen parlementaire et pas encore adopté.
  • CERT-Bund, le CERT national intégré au BSI, est le point de contact opérationnel allemand pour les signalements de vulnérabilités et d'incidents CRA lorsque votre établissement principal est en Allemagne.
  • DAkkS (Deutsche Akkreditierungsstelle) accrédite les candidats organismes d'évaluation de la conformité. Le BSI les notifie ensuite à la Commission européenne. Le projet de loi sur le BSI autorise celui-ci à notifier un organisme sans certificat d'accréditation dans des cas d'intérêt public définis.
  • Au 11 juin 2026, date d'entrée en vigueur du cadre des organismes notifiés CRA, la base de données NANDO de la Commission européenne ne recense aucun organisme notifié désigné au titre du CRA.
  • L'allemand est requis pour les informations produit destinées aux utilisateurs sur le marché allemand. La déclaration UE de conformité doit être établie dans la langue exigée par l'Allemagne.
  • L'Allemagne centralise la surveillance du marché CRA au BSI. La seule exception concerne les systèmes d'IA à haut risque, pour lesquels l'autorité de surveillance du marché désignée au titre de l'AI Act est compétente.
2
Rôles, un seul organisme
BSI surveille et notifie
0
Organismes notifiés CRA
dans NANDO à ce jour
Sep 2026
Signalement opérationnel
via la plateforme ENISA
€15M
Amende maximale
ou 2,5 % du CA mondial

Le BSI cumule surveillance du marché et notification

C'est là ce qui distingue l'Allemagne. Le projet de loi de mise en œuvre du CRA désigne le BSI comme Marktüberwachungsbehörde (autorité de surveillance du marché) et notifizierende Behörde (autorité notificatrice) dans le même texte. L'autorité notificatrice décide quels organismes d'évaluation de la conformité deviennent des organismes notifiés. L'autorité de surveillance du marché contrôle les produits déjà mis sur le marché. En Allemagne, les deux fonctions sont assurées par le BSI.

Certains États membres font de même. D'autres répartissent ces deux rôles entre des agences distinctes.

État membreAutorité notificatriceSurveillance du marchéCSIRT de signalement
Allemagne BSI BSI CERT-Bund
Italie ACN ACN CSIRT Italia
Pays-Bas RDI RDI NCSC-NL
France ANSSI ANFR CERT-FR
Espagne CCN SETID INCIBE-CERT

Autorités nationales désignées ou attendues. Plusieurs sont encore en attente des instruments nationaux définitifs.

La base juridique est le Gesetz zur Durchführung der Cyberresilienz-Verordnung, la loi de mise en œuvre du CRA, qui modifie la loi sur le BSI (BSI-Gesetz). Il s'agit d'un projet de loi du gouvernement fédéral (Gesetzentwurf der Bundesregierung), publié sous la référence BT-Drs. 21/6134.

Toujours un projet, pas encore une loi

La loi de mise en œuvre qui confère ces rôles au BSI est un projet de loi gouvernemental, encore en cours d'examen parlementaire. Planifiez en tenant compte du BSI, mais vérifiez le texte promulgué avant tout dépôt formel.

En tant qu'autorité de surveillance du marché désignée, le BSI disposerait des pouvoirs d'exécution du CRA. Il pourrait exiger des mesures correctives, restreindre l'accès d'un produit au marché, le retirer ou ordonner son rappel, et infliger des amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial pour les manquements les plus graves. Le guide sur les sanctions et l'exécution détaille la structure complète des niveaux de sanction.

Si le projet de loi est adopté tel quel, une seule agence rédige les orientations d'interprétation allemandes, décide qui vous certifie, et vous contrôle ensuite. Cette concentration mérite une planification anticipée. Le BSI est votre point de référence à presque chaque étape, et il publie ses orientations CRA, ses fiches fabricant et une assistance aux PME sur sa page officielle consacrée au Cyber Resilience Act.

CERT-Bund : le circuit de signalement allemand

Les notifications CRA sont adressées au CSIRT désigné comme coordinateur de l'État membre où le fabricant a son établissement principal, c'est-à-dire le lieu où vos décisions en matière de cybersécurité sont prises à titre principal, et non un simple bureau de vente. Pour un fabricant établi en Allemagne, le contact opérationnel est CERT-Bund, le CERT national intégré au BSI. La désignation formelle du coordinateur est publiée via ENISA. Confirmez-la avant votre premier dépôt plutôt que de la supposer acquise. Si votre établissement principal se trouve dans un autre État membre et que vous vendez uniquement en Allemagne, vos signalements transitent par le CSIRT de cet État membre, et non par CERT-Bund, même si les règles linguistiques décrites ci-dessous s'appliquent à tout produit mis sur le marché allemand.

Le CRA distingue deux flux de signalement, avec des délais différents. Une vulnérabilité activement exploitée requiert une alerte précoce dans les 24 heures, une notification de vulnérabilité dans les 72 heures, et un rapport final au plus tard 14 jours après qu'une mesure corrective ou d'atténuation est disponible. Un incident grave requiert une alerte précoce dans les 24 heures, une notification d'incident dans les 72 heures, et un rapport final dans le mois suivant la notification d'incident. Le délai de 14 jours et celui d'un mois ne sont pas interchangeables. Le guide sur la gestion et le signalement des vulnérabilités traite les deux flux en détail.

Vous déposez vos signalements via la plateforme unique de signalement ENISA, opérationnelle à partir du 11 septembre 2026, avec CERT-Bund comme coordinateur récepteur et un accès simultané à ENISA. Le guide d'inscription à la plateforme ENISA couvre les démarches d'enregistrement. Pour les contacts de signalement actuels, consultez la page CERT-Bund.

Organismes notifiés : DAkkS accrédite, le BSI notifie

Seuls certains produits nécessitent un organisme notifié, principalement les classes Important et Critique, et uniquement lorsque les normes harmonisées ou un schéma de certification ne vous couvrent pas déjà. Le guide sur l'évaluation de la conformité associe votre classe de produit à la voie correspondante.

La chaîne allemande comporte deux étapes :

  • DAkkS (Deutsche Akkreditierungsstelle) est l'organisme national d'accréditation. Il évalue la compétence technique d'un candidat organisme d'évaluation de la conformité au titre du règlement (CE) n° 765/2008.
  • Le BSI notifie ensuite l'organisme accrédité à la Commission européenne, après quoi celui-ci apparaît dans NANDO comme organisme notifié CRA.

Un raccourci spécifiquement allemand mérite d'être signalé. Le projet de loi sur le BSI, tel qu'il figure dans BT-Drs. 21/6134, autorise le BSI à notifier un organisme sans certificat d'accréditation dans des cas d'intérêt public définis. Le projet lie cette possibilité à l'objectif du Règlement lui-même : les États membres doivent s'efforcer de disposer d'un nombre suffisant d'organismes notifiés d'ici le 11 décembre 2026 afin d'éviter les engorgements. L'exception existe parce que la voie normale d'accréditation pourrait ne pas produire suffisamment d'organismes dans les délais. À retenir : l'Allemagne anticipe une capacité d'organismes notifiés sous tension.

Le problème de capacité est réel et européen. Le cadre des organismes notifiés CRA s'applique à compter du 11 juin 2026. À cette date, NANDO ne recense aucun organisme notifié désigné au titre du CRA dans l'ensemble de l'Union. Ne présentez aucun organisme allemand comme désigné au titre du CRA tant qu'il n'apparaît pas dans NANDO. Un fabricant allemand peut recourir à tout organisme notifié de l'UE une fois les désignations publiées, pas uniquement à un organisme allemand. Choisir un organisme allemand est une préférence de marché, non une exigence du CRA.

BSI TR-03183 : pourquoi vous la rencontrerez dans les appels d'offres allemands

Le BSI publie la directive technique BSI TR-03183, dont les parties couvrent les exigences applicables aux fabricants et aux produits, la nomenclature des composants logiciels et les rapports de vulnérabilités. Il s'agit d'orientations techniques provisoires, non d'une norme harmonisée, et elles n'accordent pas par elles-mêmes la présomption de conformité qu'une norme harmonisée conférerait.

TR-03183 reste pertinente en Allemagne pour une raison pratique. Le BSI est appelé à être votre autorité de surveillance du marché et constitue déjà un référentiel central dans les marchés publics et industriels allemands. Les acheteurs allemands sont donc susceptibles de citer TR-03183 parce que c'est la directive technique orientée CRA du BSI. Traitez-la comme le référentiel auquel vos interlocuteurs allemands se référeront en premier, et comme une cible interne pertinente tant que les normes harmonisées sont encore en cours d'élaboration. Le guide BSI TR-03183 détaille les champs de données requis et les niveaux de qualité.

Exigences linguistiques en pratique

Le CRA lie la langue à l'audience, non à une règle générale. Les informations destinées aux utilisateurs doivent être rédigées dans une langue facilement compréhensible par les utilisateurs et l'autorité de surveillance du marché. Pour les produits mis sur le marché allemand, c'est l'allemand.

À rédiger obligatoirement en allemand :

  • Les informations et instructions à l'utilisateur fournies avec le produit.
  • Les coordonnées du fabricant, où qu'elles figurent : sur le produit, l'emballage ou le document joint.
  • La date de fin de support divulguée au point de vente.

Peuvent être multilingues :

  • Le marquage CE et l'étiquette produit.
  • Les textes d'emballage et la documentation en ligne, à condition qu'une version en allemand soit accessible.

L'anglais est généralement accepté pour :

  • La documentation technique interne. Sur demande motivée, le BSI peut exiger qu'elle soit dans une langue qu'il comprend facilement. Anticipez cette éventualité même si vous ne traduisez pas de façon proactive. La documentation technique liée à une procédure devant un organisme notifié doit être dans une langue officielle de l'État membre où cet organisme est établi, ou dans une langue qu'il accepte.

La déclaration UE de conformité doit être disponible dans les langues exigées par l'État membre où le produit est mis sur le marché ou mis à disposition. Pour le marché allemand, préparez une version en allemand plutôt que de traiter la traduction comme une formalité réservée aux contrôles.

La seule dérogation : les systèmes d'IA à haut risque

L'Allemagne centralise la surveillance du marché CRA au BSI. Le projet de loi de mise en œuvre fait ce choix délibérément, et sa justification rejette explicitement la dispersion de la surveillance CRA entre diverses autorités sectorielles. Pour la plupart des fabricants, le BSI est l'autorité de contrôle.

Il existe une véritable exception, qui vient du CRA lui-même et non du droit allemand. Si votre produit est un système d'IA à haut risque au sens de l'AI Act, l'autorité de surveillance du marché désignée au titre de l'AI Act, et non le BSI, est compétente pour la surveillance CRA de ce produit. En Allemagne, cette autorité est désignée par la loi de mise en œuvre de l'AI Act (KI-MIG). Les deux autorités coopèrent, mais c'est le volet AI Act qui prend la main.

Qui vous surveille ? Votre produit est-il un système d'IA à haut risque au sens de l'AI Act ?

C'est le seul cas où une autorité différente prend en charge la surveillance du marché CRA. En Allemagne, cette autorité est désignée par la loi de mise en œuvre de l'AI Act (KI-MIG).

Oui : l'autorité de surveillance du marché AI Act gère la surveillance CRA, en coopération avec le BSI Non : le BSI est votre autorité de surveillance du marché CRA

D'autres régimes se superposent au CRA sans modifier l'autorité compétente. Un produit peut simultanément relever du règlement Machines et du CRA, et le BSI reste responsable de la surveillance CRA tout en coopérant avec l'autorité sectorielle concernée. Dans le secteur financier, le BSI coopère avec les superviseurs au titre du règlement (UE) 2022/2554 (DORA) plutôt que de leur transférer la surveillance CRA. Les modifications législatives relatives à l'énergie et aux télécommunications figurant dans le même projet de loi sont des corrections NIS2, non un transfert de compétence CRA. Si vous fabriquez des machines ou des équipements d'automatisation industrielle, attendez-vous à des obligations parallèles, pas à un changement de surveillant CRA.

Ventes transfrontalières depuis l'Allemagne

Un fabricant allemand qui vend en France, en Espagne, en Italie ou dans tout autre État membre de l'UE reste soumis à la même règle de routage unique. Vos signalements transitent toujours par CERT-Bund, car le routage suit l'établissement principal et non la destination de chaque livraison. Vous ne déposez pas de signalement auprès du CSIRT français, espagnol ou italien.

L'obligation linguistique, en revanche, s'applique marché par marché. Un produit expédié sur le marché français doit comporter des contenus utilisateur en français, un produit expédié sur le marché espagnol doit les avoir en espagnol, et ainsi de suite. Le conditionnement allemand ne couvre pas ces marchés. Chaque autorité de surveillance de l'État membre destinataire peut également demander votre documentation technique dans une langue qu'elle comprend facilement. Préparez à l'avance les sections les plus demandées dans une langue de travail largement utilisée.

Aides et financements à vérifier

Il n'existe pas de subvention allemande spécifiquement dédiée au CRA. Le paysage est celui du financement général de la numérisation et de la sécurité, et certaines lignes ont expiré.

  • go-digital n'existe plus. Le programme a pris fin le 31 décembre 2024. Ignorez les guides plus anciens qui le mentionnent encore.
  • Mittelstand-Digital propose des conseils gratuits via son réseau de Centres Mittelstand-Digital, sans versement direct aux PME individuelles.
  • Le KfW ERP-Förderkredit Digitalisierung und Innovation (programmes 511/512) est une ligne de financement pour l'investissement en numérisation et sécurité informatique, non une aide CRA.
  • Les appels à projets de recherche fédéraux peuvent soutenir une véritable R&D en cybersécurité, mais examinez chaque appel au cas par cas et ne les traitez pas comme des aides courantes à la conformité CRA.

Les fenêtres de programme et les conditions d'éligibilité évoluent souvent. Vérifiez le statut actuel de chaque ligne avant de l'intégrer à votre budget.

Questions fréquentes

Le BSI est-il déjà mon autorité de surveillance du marché CRA ?

Pas encore. Le BSI est appelé à devenir à la fois l'autorité de surveillance du marché et l'autorité notificatrice au titre du CRA en vertu de la loi de mise en œuvre allemande, le Gesetz zur Durchführung der Cyberresilienz-Verordnung. Ce texte modifie la loi sur le BSI et constitue un projet de loi du gouvernement fédéral, BT-Drs. 21/6134, encore en cours d'examen parlementaire et pas encore adopté. Planifiez en tenant compte du BSI, mais vérifiez le texte promulgué avant tout dépôt formel. Les plafonds de sanction applicables par le BSI sont fixés par le Règlement à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial pour les manquements les plus graves.

Où signaler une vulnérabilité ou un incident en Allemagne ?

À CERT-Bund, le CERT national intégré au BSI, lorsque votre établissement principal est en Allemagne. Vous déposez vos signalements via la plateforme unique de signalement ENISA à partir du 11 septembre 2026, avec CERT-Bund comme coordinateur récepteur et un accès simultané à ENISA. Les deux flux ont des délais distincts : une vulnérabilité activement exploitée requiert des rapports à 24 heures, 72 heures et 14 jours après la disponibilité du correctif, tandis qu'un incident grave requiert des rapports à 24 heures, 72 heures et un rapport final dans le mois suivant la notification d'incident. Consultez le guide sur la gestion et le signalement des vulnérabilités.

Existe-t-il des organismes notifiés allemands disponibles aujourd'hui ?

Au 11 juin 2026, date d'entrée en vigueur du cadre des organismes notifiés CRA, NANDO ne recense aucun organisme notifié désigné au titre du CRA dans l'ensemble de l'UE. Ne comptez sur aucun organisme allemand tant qu'il n'apparaît pas dans NANDO. En Allemagne, DAkkS accrédite un organisme candidat, puis le BSI le notifie. Le projet de loi sur le BSI autorise celui-ci à notifier un organisme sans certificat d'accréditation dans des cas d'intérêt public définis, précisément pour éviter l'engorgement que le Règlement lui-même anticipe. Un fabricant allemand peut recourir à tout organisme notifié de l'UE, pas uniquement à un organisme allemand. Consultez le guide sur l'évaluation de la conformité.

La documentation technique et la déclaration UE de conformité doivent-elles être en allemand ?

Les informations utilisateur, les instructions et les coordonnées livrées avec le produit doivent être dans une langue facilement compréhensible par les utilisateurs et l'autorité de surveillance du marché, c'est-à-dire en allemand pour le marché allemand. La déclaration UE de conformité doit être dans la langue exigée par l'Allemagne : préparez-en une version en allemand. La documentation technique interne peut généralement rester en anglais, mais le BSI peut en demander une version dans une langue qu'il comprend facilement sur demande motivée, et la documentation liée à une procédure devant un organisme notifié doit être dans une langue officielle de l'État membre où cet organisme est établi ou dans une langue qu'il accepte.

La BSI TR-03183 remplace-t-elle les normes harmonisées ?

Non. BSI TR-03183 est une directive technique provisoire du BSI, non une norme harmonisée, et elle n'accorde pas par elle-même la présomption de conformité que conférerait une norme harmonisée. Elle vaut néanmoins la peine d'être suivie, car le BSI est appelé à être votre autorité de surveillance du marché et TR-03183 est sa directive technique orientée CRA : les acheteurs allemands sont susceptibles de la citer. Traitez-la comme un référentiel pratique tant que les normes harmonisées sont encore en cours d'élaboration. Consultez le guide BSI TR-03183.

Une autre autorité pourrait-elle prendre en charge la surveillance CRA à la place du BSI ?

En grande partie, non. L'Allemagne centralise la surveillance du marché CRA au BSI, et le projet de loi de mise en œuvre écarte délibérément la répartition entre autorités sectorielles. La seule véritable exception vient du CRA lui-même : si votre produit est un système d'IA à haut risque au sens de l'AI Act, l'autorité de surveillance du marché désignée au titre de l'AI Act est compétente pour la surveillance CRA, en coopération avec le BSI. Dans les autres secteurs réglementés, comme la finance au titre de DORA, le BSI coopère avec le superviseur sectoriel sans lui céder la surveillance. Consultez le guide sur le règlement Machines pour un exemple de régime s'appliquant en parallèle du CRA.

Qu'est-ce qui doit être en place avant le 11 décembre 2027 ?

Le CRA s'applique intégralement à partir du 11 décembre 2027, mais deux dates antérieures sont plus structurantes pour votre planification. Le cadre des organismes notifiés s'applique déjà à partir du 11 juin 2026, et les obligations de signalement entrent en vigueur le 11 septembre 2026, date de mise en service de la plateforme ENISA. Le signalement de vulnérabilités est une infrastructure, non une tâche de dernière minute : mettez en place dès maintenant le flux de signalement vers CERT-Bund et votre traçabilité documentaire. Le guide fabricant présente l'ensemble des obligations à partir desquelles planifier en remontant dans le temps.

Pour les fabricants allemands qui préparent le 11 décembre 2027

  1. Confirmez vos obligations de fabricant à l'aide du guide fabricant.
  2. Vérifiez que votre établissement principal est bien en Allemagne et documentez les éléments qui le justifient. C'est le lieu où les décisions en matière de cybersécurité sont prises, non le siège social enregistré, qui compte.
  3. Cartographiez votre flux de signalement CRA vers CERT-Bund comme CSIRT récepteur, et testez un dépôt sur la plateforme unique de signalement ENISA dès son ouverture le 11 septembre 2026.
  4. Si votre voie de conformité nécessite un organisme notifié, surveillez NANDO pour les désignations CRA et identifiez au moins une alternative transfrontalière pour votre résilience.
  5. Préparez les informations utilisateur en allemand, une déclaration UE de conformité en allemand, et une documentation technique que vous pouvez remettre au BSI sur demande motivée.
  6. Vérifiez si votre produit est un système d'IA à haut risque. Si c'est le cas, l'autorité de surveillance du marché AI Act, et non le BSI, est compétente pour la surveillance CRA.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez un conseil juridique qualifié pour toute question spécifique de mise en conformité CRA.

CRA Allemagne Gestion des vulnérabilités
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
Voir le guide complet de conformité au CRA