CRA : ce que vous devez mettre en place avant le 11 septembre 2026

En avril 2026, zéro organisme notifié est désigné au titre du CRA. Aucune norme harmonisée n'a été publiée au Journal officiel. La plateforme de signalement de l'ENISA n'existe pas encore. Cinq mois restent avant l'application de l'Art. 14 le 11 septembre 2026.

Si vous commercialisez des produits comportant des éléments numériques sur le marché de l'UE, voici la situation réelle : ce que vous devez mettre en place avant septembre, ce qui est actuellement bloqué, et pourquoi l'auto-évaluation Classe I importante ne fonctionne pas aujourd'hui.

Trois blocages que vous ne pouvez pas contourner

Trois éléments que la conformité CRA exige n'existent pas encore. Prenez-en connaissance avant de finaliser votre calendrier.

Aucune norme harmonisée

L'Art. 32(2) prévoit trois voies pour l'évaluation de conformité de la Classe I importante : l'auto-évaluation, l'évaluation par un tiers selon des normes harmonisées ou des spécifications communes, ou l'évaluation par un organisme notifié (Module B+C ou Module H). La voie tierce exige l'existence de normes harmonisées CRA. Aucune norme harmonisée CRA n'a été publiée au Journal officiel. En avril 2026 :

• La page des normes harmonisées de la Commission ne comporte aucune entrée pour le Règlement (UE) 2024/2847.
• Aucune spécification commune n'a été adoptée au titre de l'Art. 27(2).
• Aucun acte délégué au titre de l'Art. 27(9) ne désigne de schéma de certification européen de cybersécurité comme voie de présomption de conformité CRA.

L'Art. 32(2) le précise explicitement : lorsque les normes ou spécifications communes n'existent pas, vous devez recourir au Module B+C (examen UE de type) ou au Module H (assurance complète de la qualité). Les deux requièrent un organisme notifié.

Tout fabricant de Classe I importante ne dispose donc d'aucune voie d'auto-évaluation ou basée sur des normes fonctionnelle. L'évaluation par un organisme notifié est la seule voie conforme aujourd'hui.

CEN-CLC/JTC 13/WG 9 développe la série EN 40000 :

• prEN 40000-1-1 (Vocabulaire) : enquête publique terminée, pas encore au vote formel.
• prEN 40000-1-2 (Principes) : enquête publique terminée, pas encore au vote formel.
• prEN 40000-1-3 (Gestion des vulnérabilités) : enquête publique de décembre 2025 à février 2026, en cours de résolution des commentaires.
• prEN 40000-1-4 (Exigences de sécurité génériques) : encore en phase de rédaction.
• Verticaux de type C (navigateurs, VPN, SIEM, etc.) : stade de projet avancé, pas encore en enquête publique.

Première citation au JOUE au plus tôt : T4 2026, avec plusieurs normes verticales susceptibles de glisser à 2027.

Aucun organisme notifié

Le Chapitre IV (dispositions de notification des ON) s'applique à partir du 11 juin 2026. L'objectif de la Commission est d'atteindre une capacité ON suffisante d'ici le 11 décembre 2026 (Art. 35(2), obligation de moyens). En avril 2026, aucun organisme notifié désigné au titre du CRA n'est répertorié dans l'Espace unique de conformité du marché (SMCS).

Si vous avez besoin d'une évaluation de conformité Classe I importante avant décembre 2027, prévoyez :

• Préparation du dossier technique : 3 à 6 mois.
• Évaluation Module B+C : 2 à 4 mois par produit.
• Disponibilité des ON : incertaine jusqu'à l'ouverture de la désignation formelle après juin 2026.

Prenez contact dès maintenant avec des organismes d'évaluation de conformité. Le mécanisme formel n'ouvrira pas avant mi-2026. Attendre jusqu'à cette date rend très peu probable l'achèvement de votre évaluation avant décembre 2027.

Aucune plateforme de signalement ENISA

La Plateforme de signalement unique (SRP) au titre de l'Art. 16 n'est pas disponible en avril 2026. L'ENISA a contracté un prestataire. La plateforme est prévue pour ouvrir avant le 11 septembre 2026. Aucune URL d'inscription n'existe. Aucune orientation à destination des fabricants n'a été publiée.

En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est désignée comme coordinateur CSIRT national. Identifiez votre point de contact à l'ANSSI dès maintenant, avant que la plateforme ENISA ne soit disponible.

Ce que vous pouvez faire dès maintenant :

• Rédiger des modèles de notification selon les exigences de l'Art. 14(2) (formats 24h, 72h, 14 jours, 30 jours).
• Définir qui, en interne, est habilité à déclencher une notification sous 24 heures, y compris les week-ends et jours fériés.
• Établir des chemins d'escalade et des contacts de substitution.

Page SRP de l'ENISA : https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Ce qui doit être en place avant le 11 septembre 2026

Cinq mois restent. Si ces éléments ne sont pas en place, vous n'avez pas du retard sur des tâches. Vous avez du retard sur de l'infrastructure, et l'infrastructure prend des mois à construire.

Inventaire et classification des produits

Vous devez disposer d'une liste complète de chaque produit comportant des éléments numériques (PDE) commercialisé sur le marché de l'UE, avec la classification CRA confirmée pour chaque produit :

• Classe par défaut : voie d'auto-évaluation disponible.
• Classe I importante : évaluation par un organisme notifié requise aujourd'hui (voir ci-dessus).
• Classe II importante : organisme notifié requis. Module B+C ou Module H.
• Critique : examen UE de type ou assurance complète de la qualité. La certification européenne de cybersécurité peut s'appliquer.

Référence de classification : le Règlement d'exécution (UE) 2025/2392 (JOUE du 1er décembre 2025, en vigueur le 21 décembre 2025) fournit les descriptions techniques des catégories de produits des Annexes III et IV et résout la plupart des cas limites.

Infrastructure SBOM

Vous ne pouvez pas signaler une vulnérabilité activement exploitée dans les 24 heures si vous ne connaissez pas les composants de votre produit. La génération de SBOM doit être opérationnelle avant septembre 2026.

• Format : CycloneDX ou SPDX (les deux acceptés sous le CRA). Choisissez-en un et standardisez-le sur l'ensemble de vos produits.
• Périmètre : dépendances transitives, pas seulement les dépendances directes. Une visibilité complète des composants est requise pour l'évaluation des risques de l'Annexe VII.
• Stockage : versionné, lié aux releases produit. Chaque SBOM doit correspondre à une version de build spécifique.
• Intégration : pipeline CI/CD. Un export ponctuel ne satisfait pas l'obligation continue.

Surveillance des vulnérabilités

Le compteur des 24 heures démarre à la prise de connaissance : une certitude raisonnable fondée sur une évaluation initiale. La confirmation forensique n'est pas requise pour déclencher le compteur. Vous devez disposer d'une surveillance capable de produire cette évaluation initiale avant que le délai ne commence à courir.

• Abonnez-vous aux bases NVD, OSV et aux avis des fournisseurs pertinents pour vos composants.
• Automatisez l'analyse des composants de votre SBOM.
• Documentez votre chemin d'escalade interne et testez-le de bout en bout.
• Rédigez les modèles de notification dès maintenant, avant que la plateforme ENISA ne soit disponible.

Liste de contrôle : avant le 11 septembre 2026

INVENTAIRE PRODUITS (commencez ici : la classification détermine votre voie de conformité) :
[ ] Liste complète des PDE commercialisés dans l'UE avec classification CRA confirmée par produit
[ ] Classe I importante : engagement avec un organisme d'évaluation de conformité démarré
    maintenant. La désignation des ON n'ouvre pas avant juin 2026 ; attendre vous place
    après décembre 2027
[ ] Durée de support déclarée selon la durée de vie prévue (Art. 13(8))

SBOM (commencez ici : alimente la surveillance, le dossier technique et la notification en 24 heures) :
[ ] Génération SBOM intégrée dans le pipeline CI/CD. Un export ponctuel ne suffit pas
[ ] Format standardisé : CycloneDX ou SPDX
[ ] Couverture des dépendances transitives vérifiée. Les seules dépendances directes ne suffisent pas
[ ] SBOM versionnés et liés à des releases produit spécifiques

SURVEILLANCE DES VULNÉRABILITÉS (doit être active avant le 11 septembre) :
[ ] Surveillance active pour tous les produits : NVD, OSV, avis des fournisseurs
[ ] Analyse automatisée contre le SBOM en service
[ ] Chemin d'escalade interne documenté et testé de bout en bout
[ ] Couverture 24h/7j confirmée, y compris les week-ends et jours fériés

PRÉPARATION DU SIGNALEMENT (la plateforme ENISA n'est pas encore disponible : préparez tout le reste maintenant) :
[ ] Modèles de notification rédigés selon les exigences de l'Art. 14(2) (formats 24h, 72h, 14 jours, 30 jours)
[ ] Coordinateur CSIRT désigné de votre État membre identifié (ANSSI pour la France)
[ ] Responsable habilité à déclencher une notification en 24h nommé et joignable à toute heure

DOCUMENTATION :
[ ] Documentation technique auditée contre l'Annexe VII
[ ] Analyse des écarts complète
[ ] Évaluation des risques en cours

Art. 14 : ce que le signalement exige à partir du 11 septembre 2026

À partir du 11 septembre 2026, vous devez signaler les vulnérabilités activement exploitées et les incidents graves à deux destinataires simultanément : le coordinateur CSIRT désigné de votre État membre et l'ENISA via la Plateforme de signalement unique (Art. 16).

Dérogation PME : l'Art. 64(10)(a) exempte les microentreprises et les petites entreprises des amendes pour le non-respect des délais de l'Art. 14(2)(a) et 14(4)(a). L'exemption couvre les délais uniquement. L'obligation de signalement elle-même s'applique toujours.

Ce que signifie « activement exploitée »

L'Art. 14(2)(a) s'applique lorsqu'il existe des preuves crédibles qu'un acteur malveillant a exploité la vulnérabilité dans un système sans l'autorisation de son propriétaire. Les indicateurs incluent :

• Des attaques confirmées dans la nature.
• Une exploitation signalée dans des flux de renseignement sur les menaces ou par des chercheurs en sécurité.
• Une détection dans des honeypots avec des preuves de déploiement actif.

Les orientations provisoires de la Commission (Ares(2026)2319816, 3 mars 2026) retiennent le standard des « preuves crédibles d'exploitation active ». Ce standard est moins exigeant que la confirmation forensique.

Liste de contrôle : art. 14

INFRASTRUCTURE DE SIGNALEMENT (avant le 11 septembre 2026) :
[ ] Modèles de notification préparés : formats 24h, 72h, 14 jours, 30 jours
[ ] Coordinateur CSIRT de l'État membre identifié. C'est votre point de soumission principal
    avec l'ENISA (ANSSI pour la France)
[ ] Chemin d'escalade 24h/7j confirmé, y compris couverture des jours fériés et contacts de substitution
[ ] Révision juridique des obligations de l'Art. 14 réalisée

GESTION DES VULNÉRABILITÉS :
[ ] Surveillance active opérationnelle pour tous les produits
[ ] Intégration CVE/NVD en service
[ ] Modèles de notification clients prêts

PRÉPARATION DE L'ÉQUIPE :
[ ] Équipe sécurité formée aux obligations de l'Art. 14 et au calendrier en quatre étapes
[ ] Escalade vers la direction documentée
[ ] Équipe juridique informée des obligations de signalement
[ ] Communication préparée pour les divulgations publiques

Conformité totale avant le 11 décembre 2027

Exigences essentielles de cybersécurité (annexe I)

Tout PDE conforme doit satisfaire ces exigences :

Sécurité dès la conception

• Niveau de sécurité adapté au risque (Annexe I, Partie I, §1).
• Protection contre les accès non autorisés.
• Confidentialité, intégrité et disponibilité des données et fonctions essentielles.
• Surface d'attaque minimale, paramètres sécurisés par défaut, absence d'identifiants codés en dur ou par défaut.

Processus de gestion des vulnérabilités

• Processus documenté pour identifier et traiter les vulnérabilités.
• Mises à jour de sécurité gratuites et en temps utile pendant la durée de support.
• Politique de divulgation coordonnée des vulnérabilités (Art. 13(6)).

Capacité de mise à jour

• Mécanisme de mise à jour sécurisé et fiable.
• Capacité à séparer les mises à jour de sécurité des mises à jour fonctionnelles.

Documentation technique (annexe VII)

Durée de support : deux obligations distinctes

Le CRA impose deux obligations distinctes en matière de mises à jour de sécurité.

Art. 13(8) : vous devez fournir des mises à jour de sécurité pendant 5 ans minimum à compter de la date de mise sur le marché, ou la durée de vie prévue du produit si elle est inférieure. Le plancher de 5 ans est un minimum. Un produit dont la durée de vie prévue est de 10 ans requiert un engagement de support de 10 ans.

Art. 13(9) : chaque mise à jour de sécurité publiée doit rester disponible en téléchargement pendant 10 ans minimum à compter de la date de publication, ou le reste de la durée de support, selon la période la plus longue.

Ces obligations sont indépendantes. Une mise à jour publiée en année 4 d'une durée de support de 5 ans doit rester téléchargeable jusqu'à l'année 14 à compter de sa publication. Si vous supprimez d'anciens packages de mises à jour ou laissez péricliter votre infrastructure de distribution, vous violez l'Art. 13(9), même si vous continuez à publier de nouvelles mises à jour dans les délais. Planifiez votre infrastructure de stockage et de distribution avant de publier votre première mise à jour au titre du CRA.

Liste de contrôle : 11 décembre 2027

CONFORMITÉ PRODUIT :
[ ] Tous les produits satisfont aux exigences de l'Annexe I : sécurité dès la conception,
    gestion des vulnérabilités et capacité de mise à jour
[ ] Évaluations de conformité réalisées : processus ON terminé pour les Classe I et II importantes
[ ] Marquage CE apposé
[ ] Déclaration UE de conformité établie selon l'Art. 28

DOSSIER TECHNIQUE (Annexe VII) :
[ ] Évaluation des risques complète et documentée
[ ] SBOM à jour et validé
[ ] Preuves de conformité organisées et accessibles
[ ] Durée de support déclarée selon la durée de vie prévue (Art. 13(8))

CHAÎNE DE MISE SUR LE MARCHÉ :
[ ] Importateurs et distributeurs informés de leurs obligations CRA
[ ] Documentation client mise à jour

OBLIGATIONS CONTINUES :
[ ] Art. 13(8) : processus de mises à jour de sécurité actif pendant toute la durée de support
[ ] Art. 13(9) : infrastructure de disponibilité des mises à jour en place. 10 ans par date de publication
[ ] Surveillance des vulnérabilités active et testée
[ ] Réponse aux incidents exercée au moins chaque trimestre

Orientations de la Commission : projet de mars 2026

La Commission a publié un projet de Communication d'environ 70 pages (Ares(2026)2319816) le 3 mars 2026. La consultation des parties prenantes a pris fin le 31 mars 2026. Le document n'est pas encore finalisé. La version finale est en attente de toutes les versions linguistiques de l'UE. Pour une analyse complète, consultez notre guide des orientations de la Commission sur le CRA.

Points clés pertinents pour votre calendrier :

Test RDPS pour le champ d'application SaaS : les logiciels de traitement de données à distance ne relèvent du CRA que s'ils satisfont un test en trois parties. Le logiciel effectue un traitement de données à distance. Ce traitement est nécessaire à la fonction principale du produit. Et le fabricant contrôle le traitement à distance. Les SaaS qui échouent à ce test sont hors champ.

Produits existants : aucune reconstruction de documentation historique n'est requise. Vous devez disposer d'une évaluation des risques à la date actuelle. Les familles de produits peuvent être regroupées pour l'évaluation des risques.

Mises à jour logicielles : une mise à jour ne constitue pas une « modification substantielle » déclenchant une nouvelle évaluation de conformité, sauf si elle introduit de nouveaux vecteurs de menace ou modifie la destination du produit. Les orientations prévoient un test en quatre questions.

Compteur des 24 heures : démarre à la prise de connaissance. Une certitude raisonnable fondée sur une évaluation initiale suffit. La confirmation forensique n'est pas requise.

Plancher de durée de support : 5 ans est un minimum, pas une valeur par défaut. La durée de support doit refléter la durée de vie prévue du produit.

Open source : la publication du code source ne constitue pas une mise sur le marché. Les contributeurs qui ne contrôlent pas la publication d'un produit fini ne sont pas des fabricants au sens du CRA.

Annonce officielle : https://digital-strategy.ec.europa.eu/en/news/commission-publishes-feedback-draft-guidance-assist-companies-applying-cyber-resilience-act

Sanctions

L'Art. 64(2) du Règlement (UE) 2024/2847 fixe la sanction maximale à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, pour :

• Le non-respect des exigences essentielles de cybersécurité de l'Annexe I et des obligations de l'Art. 13.
• Le manquement aux obligations de l'Art. 14 (signalement des vulnérabilités et des incidents).

Les deux violations relèvent du même palier de sanction. Il n'existe pas de palier inférieur pour les manquements au signalement.

L'Art. 64(3) (10 millions d'euros ou 2 %) couvre un ensemble distinct d'obligations : les Art. 18 à 23, 28, 30 à 33, 39, 41, 47, 49, 53, principalement les obligations des importateurs, distributeurs et organismes notifiés. L'Art. 14 ne figure pas dans cette liste.

Dérogation PME : l'Art. 64(10)(a) exempte les microentreprises et les petites entreprises des amendes pour le non-respect d'exigences de délai spécifiques à l'Art. 14(2)(a) et 14(4)(a). L'exemption couvre les délais, pas le fond de l'obligation de signalement.

Notes par secteur

Électronique grand public

Automatiser la génération de SBOM est l'investissement précoce à plus forte valeur. Il alimente directement la surveillance des vulnérabilités et la génération du dossier technique. Les produits grand public ont généralement des chaînes d'approvisionnement complexes avec plusieurs fournisseurs de composants.

Gérer les mises à jour firmware sur des parcs d'appareils importants nécessite une infrastructure OTA. Une mise à jour publiée en année 3 de la vie d'un produit doit rester téléchargeable pendant 10 ans à compter de cette date de publication (Art. 13(9)). Planifiez votre infrastructure de distribution maintenant, pas au moment de la publication.

Éditeurs de logiciels

Le signalement des vulnérabilités est l'obligation la plus exigeante sur le plan opérationnel pour les produits logiciels. Les taux de découverte sont élevés, et suivre les dépendances en profondeur transitive dans les stacks modernes n'est pas simple. Intégrez la génération de SBOM dans vos pipelines CI/CD existants. Cela alimente directement le workflow de surveillance et de réponse.

Équipements industriels

Les longs cycles de vie des produits (10 à 20 ans) interagissent directement avec le plancher minimal de support de 5 ans (Art. 13(8)) et l'exigence de disponibilité des mises à jour pendant 10 ans par publication (Art. 13(9)). Un produit avec une durée de vie prévue de 20 ans peut nécessiter un engagement de support de 20 ans.

Les produits industriels tombent fréquemment en Classe I ou II importante, ce qui implique aujourd'hui une évaluation par un organisme notifié. Prenez contact dès maintenant avec des organismes d'évaluation de conformité. Le processus formel de désignation des ON s'ouvre après juin 2026, et la capacité sera contrainte au moins jusqu'en décembre 2026.

Appareils IoT

Éliminer les identifiants par défaut est une exigence impérative (Annexe I, Partie I, §2(e)). Traitez ce point en priorité. C'est une violation claire de l'Annexe I et relativement circonscrite à corriger. Les mécanismes de mise à jour sécurisés pour les appareils à ressources limitées requièrent davantage de travail architectural. Commencez par les identifiants, puis traitez les mises à jour.

Prochaines étapes

Vous gérez la conformité CRA sur plusieurs produits à la fois ? CRA Evidence suit l'état de préparation Article 14, la couverture SBOM et l'avancement des évaluations de conformité sur l'ensemble de votre portefeuille produits.

Une fois vos classifications produits confirmées, construisez votre infrastructure SBOM avec notre guide des exigences SBOM. Consultez notre guide du signalement des vulnérabilités à l'ENISA pour le processus de notification en 24 heures que vous devez rendre opérationnel avant septembre 2026.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour un accompagnement spécifique en matière de conformité, consultez un conseil juridique qualifié.