Échéances CRA 2026 et 2027 : ce qui s'applique, ce qui est bloqué

Mai 2026 : aucun organisme notifié au titre du CRA, aucune norme harmonisée, aucune plateforme ENISA. L'article 14 s'applique le 11 septembre 2026.

CRA Evidence Team Publié 26 décembre 2025 Mis à jour 31 mai 2026
Échéances CRA 2026 et 2027 : ce qui s'applique, ce qui est bloqué
Dans cet article

Au 30 mai 2026, zéro organisme notifié n'est désigné au titre du CRA. Aucune norme harmonisée n'a été publiée au Journal officiel. La plateforme de signalement de l'ENISA n'existe pas encore. Il reste environ 3,4 mois avant le démarrage de l'application de l'article 14, le 11 septembre 2026.

Si vous fabriquez des produits comportant des éléments numériques pour le marché de l'UE, voici la situation réelle : ce que vous devez construire avant septembre, ce qui est bloqué aujourd'hui, et pourquoi l'auto-évaluation Classe I importante ne fonctionne pas en l'état.

Synthèse

Date Jalon Qui est concerné
10 décembre 2024 Le CRA entre en vigueur (art. 71) Tous (le compteur démarre)
11 juin 2026 Application des dispositions de notification des organismes notifiés (chapitre IV) États membres et OEC uniquement, ce n'est pas une échéance fabricant
11 septembre 2026 L'article 14 s'applique : signalement obligatoire des vulnérabilités et incidents à l'ENISA Fabricants
11 décembre 2026 Cible de la Commission : capacité suffisante d'organismes notifiés opérationnelle (art. 35, paragraphe 2) Contexte d'écosystème
11 décembre 2027 Pleine application : toutes les obligations CRA exigibles Fabricants, importateurs, distributeurs

Le 11 juin 2026 active la mécanique qui permet aux États membres de notifier formellement les organismes notifiés à la Commission. Ce n'est pas une échéance fabricant. Au 30 mai 2026, aucun organisme notifié désigné au titre du CRA ne figure sur la liste. C'est pourquoi vous ne pouvez pas lancer aujourd'hui une évaluation par organisme notifié, même si vous le souhaitiez.

Calendrier de mise en œuvre du CRA 2024-2027 Règlement sur la cyberrésilience : obligations fabricants et jalons de l'écosystème
10 déc. 2024 Le CRA entre en vigueur
Aujourd'hui (30 mai 2026)
11 juin 2026 Notification ON (État membre)
11 sep. 2026 Signalement des vulnérabilités obligatoire Dans 3,4 mois
!
11 déc. 2027 Conformité totale requise
Normes harmonisées (série EN 40000) : aucune publiée au JOUE au 30 mai 2026
Mai 2026 Enquête publique / résolution des commentaires
T4 2026 Première citation JOUE (verticaux : probablement 2027)
  • Étape passée
  • Application prochaine
  • Échéance finale
  • Étape écosystème
Jalons CRA 2024 à 2027 : entrée en vigueur le 10 décembre 2024, signalement de l'article 14 à compter du 11 septembre 2026, application intégrale le 11 décembre 2027.
0
Organismes notifiés
désignés au titre du règlement sur la cyberrésilience
0
Normes harmonisées
publiées au Journal officiel
Sep 2026
L'article 14 s'applique
signalement des vulnérabilités et incidents
Déc 2027
Pleine application
toutes les obligations du fabricant

État des lieux au 30 mai 2026, mesuré aux deux dates pivot qui engagent les fabricants.

Trois blocages que vous ne pouvez pas contourner

Trois pièces de la mécanique de conformité n'existent pas encore

Les normes harmonisées, les organismes notifiés désignés et la plateforme de signalement de l'ENISA sont toutes en cours. Tant qu'elles ne sont pas en place, certaines parties du parcours CRA sont formellement indisponibles, quel que soit l'état d'avancement de votre produit. Intégrez ces points avant d'arrêter votre calendrier.

Pas de normes harmonisées

L'article 32, paragraphe 2, ouvre aux fabricants de Classe I importante trois voies de conformité : auto-évaluation, évaluation par tiers fondée sur des normes harmonisées ou des spécifications communes, ou évaluation par organisme notifié. La voie médiane suppose des normes harmonisées CRA. Or aucune norme harmonisée CRA n'a été publiée au Journal officiel. Au 30 mai 2026 :

  • La page de la Commission consacrée aux normes harmonisées ne comporte aucune entrée pour le règlement (UE) 2024/2847.
  • Aucune spécification commune n'a été adoptée au titre de l'article 27, paragraphe 2.
  • Aucun acte délégué pris en application de l'article 27, paragraphe 9, ne désigne un schéma européen de certification de cybersécurité comme voie de présomption de conformité au CRA.

En l'absence de normes, l'article 32, paragraphe 2, exige le module B+C (examen UE de type) ou le module H (assurance complète de la qualité). Les deux requièrent un organisme notifié.

Donc, si vous fabriquez un produit Classe I importante, l'auto-évaluation ne fonctionne pas aujourd'hui. L'évaluation par organisme notifié est la seule voie conforme.

Le CEN-CLC/JTC 13/WG 9 développe la série EN 40000 :

  • prEN 40000-1-1 (Vocabulaire) : enquête publique close, pas encore au vote formel.
  • prEN 40000-1-2 (Principes) : enquête publique close, pas encore au vote formel.
  • prEN 40000-1-3 (Traitement des vulnérabilités) : enquête publique de décembre 2025 à février 2026, actuellement en résolution des commentaires.
  • prEN 40000-1-4 (Exigences de sécurité génériques) : encore en rédaction.
  • Verticales de type C (navigateurs, VPN, SIEM, etc.) : projet mature, pas encore en enquête publique.

Citation au Journal officiel la plus précoce de façon réaliste : T4 2026. Plusieurs normes verticales glisseront probablement en 2027.

Pas d'organismes notifiés

Le chapitre IV s'active le 11 juin 2026. La cible de la Commission est une capacité suffisante d'organismes notifiés au 11 décembre 2026 (article 35, paragraphe 2, formulation au mieux des moyens). Au 30 mai 2026, aucun organisme notifié désigné au titre du CRA n'apparaît dans le Single Market Compliance Space.

Si vous devez clore une évaluation Classe I importante avant décembre 2027, prévoyez :

  • Préparation du dossier technique : 3 à 6 mois.
  • Évaluation module B+C : 2 à 4 mois par produit.
  • Disponibilité d'un organisme notifié : incertaine jusqu'à l'ouverture de la désignation formelle après juin 2026.

Contactez dès maintenant les organismes d'évaluation de la conformité. La mécanique formelle n'ouvre pas avant la mi-2026. Attendre rend peu probable la clôture d'une évaluation avant décembre 2027.

Voies d'évaluation de la conformité CRA pour la Classe I importante au titre de l'article 32, paragraphe 2, du règlement (UE) 2024/2847, indiquant les voies disponibles au 30 mai 2026

Pas de plateforme de signalement de l'ENISA

La plateforme unique de signalement prévue à l'article 16 n'est pas disponible au 30 mai 2026. L'ENISA a passé un marché auprès d'un prestataire. La plateforme doit ouvrir avant le 11 septembre 2026. Aucune URL d'enregistrement ni aucune orientation à destination des fabricants n'a été publiée.

Ce que vous pouvez faire dès maintenant :

  • Rédiger des modèles de notification calés sur les exigences de format de l'article 14 : notifications à 24 heures et 72 heures, un rapport final de vulnérabilité à 14 jours et un rapport final d'incident grave à un mois.
  • Identifier le coordinateur CSIRT désigné de votre État membre.
  • Définir, en interne, qui peut autoriser une notification à 24 heures un week-end ou un jour férié.

Page SRP de l'ENISA : https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Ce qui doit être en place avant le 11 septembre 2026

Il reste environ 3,4 mois. Si ces points ne sont pas faits, vous n'êtes pas en retard de tâches. Vous êtes en retard d'infrastructure, et l'infrastructure se construit en mois.

Inventaire et classification des produits

Vous avez besoin d'une liste complète de chaque produit comportant des éléments numériques (PEN) que vous mettez sur le marché de l'UE, avec une classification CRA confirmée pour chaque produit :

  • Classe par défaut : voie d'auto-évaluation disponible.
  • Classe I importante : évaluation par organisme notifié exigée aujourd'hui (voir ci-dessus).
  • Classe II importante : organisme notifié obligatoire. Module B+C ou module H.
  • Critique : module B+C ou assurance complète de la qualité. Une certification européenne de cybersécurité peut s'appliquer en sus.

Référence de classification : le règlement d'exécution (UE) 2025/2392 (JO du 1er décembre 2025, en vigueur le 21 décembre 2025) fournit les descriptions techniques des catégories de produits des annexes III et IV. Utilisez-le pour trancher les cas limites.

Infrastructure SBOM

Vous ne pouvez pas signaler une vulnérabilité activement exploitée en 24 heures si vous ignorez les composants embarqués dans votre produit. La génération de SBOM doit être opérationnelle avant septembre 2026.

  • Format : CycloneDX ou SPDX. Les deux sont acceptés au titre du CRA. Choisissez-en un et homogénéisez-le sur l'ensemble des produits.
  • Périmètre : dépendances transitives, et non uniquement directes. La visibilité complète des composants est exigée pour l'évaluation des risques de l'annexe VII.
  • Stockage : sous gestion de versions, lié aux releases produit. Chaque SBOM doit correspondre à un build précis.
  • Intégration : pipeline CI/CD. Un export ponctuel ne satisfait pas l'obligation continue.

Surveillance des vulnérabilités

Le compteur des 24 heures démarre à la prise de connaissance : certitude raisonnable fondée sur une évaluation initiale. La confirmation forensique n'est pas requise pour déclencher le compteur. Vous avez besoin d'une surveillance capable de produire cette évaluation initiale avant l'expiration du délai.

  • Abonnez-vous au NVD, à l'OSV et aux avis fournisseurs pertinents pour votre stack de composants.
  • Automatisez l'analyse face aux composants de votre SBOM.
  • Documentez votre chaîne d'escalade interne et testez-la de bout en bout.
  • Rédigez les modèles de notification dès maintenant, avant le lancement de la plateforme ENISA.

Liste de vérification avant septembre 2026

INVENTAIRE PRODUIT (à faire en premier : la classification commande votre voie de conformité) :
[ ] Liste complète des PEN vendus dans l'UE avec classification CRA confirmée par produit
[ ] Produits Classe I importante : organisme d’évaluation de la conformité déjà sollicité.
    la désignation des organismes notifiés n'ouvre qu'en juin 2026 ; attendre vous met
    au-delà de décembre 2027.
[ ] Période de support déclarée selon la durée de vie attendue (art. 13, paragraphe 8)

SBOM (commencez ici : alimente surveillance, dossier technique et notification à 24 heures) :
[ ] Génération SBOM intégrée dans le pipeline CI/CD : un export ponctuel ne suffit pas
[ ] Format homogénéisé : CycloneDX ou SPDX
[ ] Couverture des dépendances transitives vérifiée : les seules dépendances directes ne suffisent pas
[ ] SBOM sous gestion de versions et liés à des releases produit précises

SURVEILLANCE DES VULNÉRABILITÉS (doit être en production avant le 11 septembre) :
[ ] Surveillance active pour tous les produits : NVD, OSV, avis fournisseurs
[ ] Analyse automatisée face au SBOM en cours
[ ] Chaîne d'escalade interne documentée et testée de bout en bout
[ ] Couverture 24/7 confirmée, y compris escalade en jours fériés et week-ends

PRÉPARATION DU SIGNALEMENT (plateforme ENISA pas encore en production : préparez le reste maintenant) :
[ ] Modèles à 24 heures, 72 heures, vulnérabilité à 14 jours et incident à un mois rédigés selon l'art. 14
[ ] Coordinateur CSIRT de l'État membre identifié
[ ] Personne habilitée à déclencher une notification à 24 heures désignée et joignable en permanence

DOCUMENTATION :
[ ] Documentation technique auditée au regard de l'annexe VII
[ ] Analyse d'écart finalisée
[ ] Évaluation des risques en cours

Article 14 : ce que le signalement exige à partir du 11 septembre 2026

À compter du 11 septembre 2026, vous devez signaler les vulnérabilités activement exploitées et les incidents graves à deux destinataires en parallèle : le coordinateur CSIRT désigné de votre État membre et l'ENISA via la plateforme unique de signalement (article 16).

Délai Obligation Base juridique
24 heures Alerte précoce après prise de connaissance d'une vulnérabilité activement exploitée Art. 14, paragraphe 2, point a)
72 heures Notification complète de la vulnérabilité avec indicateurs techniques Art. 14, paragraphe 2, point b)
14 jours Rapport final lorsqu'une mesure corrective ou d'atténuation est disponible Art. 14, paragraphe 2, point c)
1 mois Rapport final d'incident pour les incidents graves Art. 14, paragraphes 3 et 4

Aménagement PME : l'article 64, paragraphe 10, point a), exonère les microentreprises et les petites entreprises des amendes pour non-respect des délais de l'article 14, paragraphe 2, point a), et de l'article 14, paragraphe 4, point a). L'exonération porte uniquement sur les délais. L'obligation de signalement elle-même demeure.

Ce que signifie « activement exploitée »

L'article 14, paragraphe 2, point a), s'applique lorsqu'il existe des éléments crédibles indiquant qu'un acteur de menace a utilisé la vulnérabilité dans un système sans autorisation du propriétaire. Indicateurs :

  • Attaques confirmées observées en conditions réelles.
  • Exploitation rapportée dans des flux de renseignement sur les menaces ou par des chercheurs en sécurité.
  • Détection en pots de miel avec preuves de déploiement actif.

Le projet d'orientation de la Commission (Ares(2026)2319816, 3 mars 2026) retient « éléments crédibles d'exploitation active » comme standard, plus bas que la confirmation forensique.

Liste de préparation pour la phase 2

INFRASTRUCTURE DE SIGNALEMENT (avant le 11 septembre 2026) :
[ ] Modèles de notification prêts : formats à 24 heures, 72 heures, vulnérabilité à 14 jours et incident à un mois
[ ] Coordinateur CSIRT de l'État membre identifié : c'est votre point d'envoi principal
    aux côtés de l'ENISA
[ ] Chaîne d'escalade 24/7 confirmée, avec couverture des jours fériés et contacts de secours
[ ] Revue juridique des obligations de l'art. 14 finalisée

GESTION DES VULNÉRABILITÉS :
[ ] Surveillance active opérationnelle pour tous les produits
[ ] Intégration CVE/NVD en production
[ ] Modèles de notification client prêts

PRÉPARATION DES ÉQUIPES :
[ ] Équipe sécurité formée aux obligations de l'article 14 et au calendrier en quatre paliers
[ ] Chaîne d'escalade vers la direction documentée
[ ] Équipe juridique informée des obligations de signalement
[ ] Équipe communication prête pour les divulgations publiques

Pleine conformité au 11 décembre 2027

Exigences essentielles de cybersécurité (annexe I)

Tout PEN conforme doit satisfaire ces exigences :

Sécurité dès la conception

  • Niveau de sécurité approprié aux risques du produit (annexe I, partie I, §1).
  • Protection contre les accès non autorisés.
  • Confidentialité, intégrité et disponibilité des données et des fonctions essentielles.
  • Surface d'attaque minimale, paramétrage sécurisé par défaut, aucun identifiant codé en dur.

Gestion des vulnérabilités

  • Processus documenté d'identification et de traitement des vulnérabilités.
  • Mises à jour de sécurité gratuites et délivrées en temps utile pendant la période de support.
  • Politique de divulgation coordonnée des vulnérabilités (art. 13, paragraphe 6).

Capacité de mise à jour

  • Mécanisme de mise à jour sûr et fiable.
  • Capacité à dissocier les mises à jour de sécurité des mises à jour fonctionnelles.

Documentation technique (annexe VII)

Document Exigence
Évaluation des risques Identifie et traite les risques de cybersécurité du produit
SBOM Inventaire complet des composants avec versions
Preuves de conformité Démontre la conformité aux exigences de l'annexe I
Procédures relatives aux vulnérabilités Documente les processus de traitement
Déclaration de période de support Précise la période de support selon la durée de vie attendue de l'art. 13, paragraphe 8

Période de support : deux obligations distinctes

Le CRA impose deux obligations distinctes sur les mises à jour de sécurité.

Article 13, paragraphe 8 : vous devez délivrer des mises à jour de sécurité pendant au moins cinq ans à compter de la mise sur le marché du produit, ou pendant la durée de vie attendue si elle est plus courte. Cinq ans constituent un plancher, pas une valeur par défaut. Un produit dont la durée de vie attendue est de 10 ans appelle un engagement de support de 10 ans.

Article 13, paragraphe 9 : chaque mise à jour de sécurité que vous délivrez doit rester disponible au téléchargement pendant au moins 10 ans à compter de sa date d'émission, ou pendant le reste de la période de support, la durée la plus longue étant retenue.

Ce sont des obligations indépendantes. Une mise à jour émise en année 4 d'une période de support de cinq ans doit rester téléchargeable jusqu'à l'année 14 après émission. Si vous supprimez d'anciens paquets de mises à jour ou laissez l'infrastructure de distribution s'éteindre, vous violez l'article 13, paragraphe 9, même en émettant les nouvelles mises à jour à temps. Planifiez votre stockage et votre distribution sur le long terme avant d'émettre votre première mise à jour au titre du CRA.

Liste de vérification décembre 2027

CONFORMITÉ PRODUIT :
[ ] Tous les produits respectent les exigences de l'annexe I : sécurité dès la conception, gestion
    des vulnérabilités et capacité de mise à jour
[ ] Évaluations de la conformité finalisées : processus organisme notifié bouclé pour Classe I
    importante et Classe II
[ ] Marquage CE apposé
[ ] Déclaration UE de conformité préparée selon l'art. 28

DOSSIER TECHNIQUE (annexe VII) :
[ ] Évaluation des risques finalisée et documentée
[ ] SBOM à jour et validé
[ ] Preuves de conformité organisées et accessibles
[ ] Période de support déclarée selon la durée de vie attendue de l'art. 13, paragraphe 8

CHAÎNE DE MISE SUR LE MARCHÉ :
[ ] Importateurs et distributeurs informés de leurs obligations CRA
[ ] Documentation client mise à jour

EN CONTINU :
[ ] Art. 13, paragraphe 8 : processus de mise à jour de sécurité actif sur toute la durée du support
[ ] Art. 13, paragraphe 9 : infrastructure de disponibilité des mises à jour en place : 10 ans à compter
    de chaque date d'émission
[ ] Surveillance des vulnérabilités active et testée
[ ] Réponse aux incidents exercée au moins tous les trimestres

Orientation de la Commission : projet de mars 2026

La Commission a publié un projet de communication (Ares(2026)2319816) le 3 mars 2026, d'environ 70 pages. La consultation des parties prenantes s'est close le 31 mars 2026. Le document n'est pas finalisé. Les versions linguistiques définitives sont en attente. Pour une lecture détaillée, consultez notre guide sur l'orientation de la Commission.

Décisions clés pour votre calendrier :

Test RDPS pour le périmètre SaaS : un logiciel de traitement de données à distance entre dans le périmètre du CRA uniquement s'il satisfait trois conditions. Le logiciel effectue un traitement de données à distance. Ce traitement à distance est nécessaire à la fonction principale du produit. Et le fabricant maîtrise ce traitement à distance. Un SaaS qui échoue à ce test est hors périmètre.

Produits hérités : aucune reconstitution historique de la documentation n'est exigée. Vous avez besoin d'une évaluation des risques actuelle. Les familles de produits peuvent être regroupées aux fins de l'évaluation des risques.

Mises à jour logicielles : une mise à jour ne constitue pas une « modification substantielle » déclenchant une nouvelle évaluation de la conformité, sauf si elle introduit de nouveaux vecteurs de menace ou modifie la finalité prévue du produit. L'orientation propose un test en quatre questions.

Compteur des 24 heures : il démarre à la prise de connaissance. Une certitude raisonnable fondée sur une évaluation initiale suffit. La confirmation forensique n'est pas requise.

Plancher de la période de support : cinq ans constituent un minimum, pas une valeur par défaut. La période de support doit refléter la durée de vie attendue du produit.

Open source : la publication du code source ne constitue pas une mise sur le marché. Les contributeurs qui ne maîtrisent pas la livraison d'un produit fini ne sont pas fabricants au sens du CRA.

Annonce officielle : https://digital-strategy.ec.europa.eu/en/news/commission-publishes-feedback-draft-guidance-assist-companies-applying-cyber-resilience-act

Sanctions

L'article 64, paragraphe 2, du règlement (UE) 2024/2847 fixe la sanction du palier le plus élevé à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, en cas de :

  • Non-respect des exigences essentielles de cybersécurité de l'annexe I et des obligations de l'article 13.
  • Manquement aux obligations de l'article 14 (signalement des vulnérabilités et incidents).

Les deux manquements relèvent du même palier. Il n'existe pas de palier inférieur pour les défaillances de signalement.

L'article 64, paragraphe 3 (10 millions d'euros ou 2 %) couvre un autre ensemble d'obligations : articles 18 à 23, 28, 30 à 33, 39, 41, 47, 49 et 53. Ce sont principalement des obligations d'importateurs, de distributeurs et d'organismes notifiés. L'article 14 ne figure pas dans cette liste.

Aménagement PME : l'article 64, paragraphe 10, point a), exonère les microentreprises et les petites entreprises des amendes en cas de non-respect des délais spécifiques de l'article 14, paragraphe 2, point a), et de l'article 14, paragraphe 4, point a). L'exonération porte sur les délais, pas sur le fond de l'obligation de signalement.

Notes par secteur

Électronique grand public

L'automatisation du SBOM est l'investissement précoce à plus forte valeur. Elle alimente directement la surveillance des vulnérabilités et la production du dossier technique. Les produits grand public présentent typiquement des chaînes d'approvisionnement complexes avec plusieurs fournisseurs de composants.

Gérer les mises à jour de firmware sur de larges parcs d'appareils impose une infrastructure OTA. Une mise à jour émise en année 3 du cycle de vie d'un produit doit rester téléchargeable pendant 10 ans à compter de cette date d'émission (article 13, paragraphe 9). Planifiez votre infrastructure de distribution dès maintenant, et non au moment de l'émission.

Éditeurs de logiciels

Le signalement des vulnérabilités est l'obligation la plus exigeante sur le plan opérationnel pour les produits logiciels. Les taux de découverte sont plus élevés et le suivi des dépendances en profondeur transitive dans les stacks modernes n'a rien de simple. Intégrez la génération de SBOM dans vos pipelines CI/CD existants. Elle alimente directement la surveillance et le flux de réponse.

Équipements industriels

Les cycles de vie longs (10 à 20 ans) interagissent directement avec le plancher minimal de cinq ans de la période de support (article 13, paragraphe 8) et l'exigence de disponibilité de 10 ans par mise à jour (article 13, paragraphe 9). Un produit dont la durée de vie attendue est de 20 ans peut appeler un engagement de support de 20 ans.

Les produits industriels relèvent fréquemment de la Classe I ou de la Classe II importante, ce qui impose aujourd'hui une évaluation par organisme notifié. Contactez dès maintenant les organismes d'évaluation de la conformité. Le processus formel de désignation des organismes notifiés ouvre après juin 2026, et la capacité restera tendue au moins jusqu'en décembre 2026.

Objets connectés

L'élimination des identifiants par défaut est une exigence dure (annexe I, partie I, §2, point e)). Traitez-la en premier. C'est une infraction claire à l'annexe I, relativement contenue à corriger comparée aux changements d'architecture. Les mécanismes de mise à jour sécurisée pour des appareils contraints en ressources demandent davantage de travail. Commencez par les identifiants, puis attaquez les mises à jour.

Foire aux questions

Quand le CRA s'applique-t-il pleinement, et qu'est-ce qui s'applique avant ?

Le CRA est entré en vigueur le 11 décembre 2024 (article 71), et la pleine application intervient le 11 décembre 2027. Deux dates intermédiaires comptent pour les fabricants. À compter du 11 septembre 2026, le signalement des vulnérabilités et incidents prévu à l'article 14 devient obligatoire. À compter du 11 juin 2026, la mécanique de notification des organismes notifiés s'active, ce qui est une date pour les États membres et les OEC, pas une obligation fabricant. Pour identifier le palier CRA applicable à votre produit avant que ces dates n'arrivent, consultez le guide de classification produit.

Puis-je auto-évaluer aujourd'hui un produit Classe I importante ?

Pas en pratique. L'article 32, paragraphe 2, ouvre à la Classe I importante trois voies : auto-évaluation au titre de normes harmonisées ou de spécifications communes, procédure de contrôle interne au titre de normes harmonisées, ou évaluation par organisme notifié (module B+C ou module H). Les deux premières supposent des normes harmonisées CRA. Au 30 mai 2026, aucune norme harmonisée n'est publiée au Journal officiel, aucune spécification commune n'a été adoptée au titre de l'article 27, paragraphe 2, et aucun acte délégué pris en application de l'article 27, paragraphe 9, ne désigne de schéma européen de certification de cybersécurité comme voie de présomption de conformité. Reste l'évaluation par organisme notifié comme seule voie conforme, et aucun organisme notifié désigné au titre du CRA n'existe encore. Pour le détail des modules et la planification associée, consultez le guide de décision sur l'évaluation de la conformité.

Que se passe-t-il le 11 septembre 2026 ?

Le signalement au titre de l'article 14 devient obligatoire. À partir de cette date, les fabricants doivent signaler les vulnérabilités activement exploitées et les incidents graves à deux destinataires en parallèle : le coordinateur CSIRT désigné dans l'État membre concerné, et l'ENISA via la plateforme unique de signalement. Le calendrier court en quatre paliers : alerte précoce dans les 24 heures suivant la prise de connaissance, notification complète de la vulnérabilité dans les 72 heures, rapport final dans les 14 jours dès qu'une mesure corrective existe, et rapport final d'incident dans le mois pour les incidents graves. Le compteur des 24 heures démarre à la prise de connaissance fondée sur une évaluation initiale, pas sur la confirmation forensique. Pour une lecture approfondie des quatre paliers, consultez le guide de signalement des vulnérabilités à l'ENISA.

Des organismes notifiés sont-ils déjà désignés au titre du CRA ?

Non. Le chapitre IV s'active le 11 juin 2026, date à laquelle la mécanique de notification ouvre pour les États membres et les organismes d'évaluation de la conformité. La cible de la Commission est une capacité suffisante d'organismes notifiés au 11 décembre 2026 (article 35, paragraphe 2), mais la formulation est au mieux des moyens, sans garantie par État membre. Au 30 mai 2026, aucun organisme notifié désigné au titre du CRA n'apparaît dans le Single Market Compliance Space. Si votre produit a besoin d'une évaluation Classe I ou Classe II importante avant décembre 2027, traitez le calendrier de désignation comme un véritable risque de planification, pas comme un détail administratif.

Existe-t-il une exonération PME pour le signalement CRA ?

L'article 64, paragraphe 10, point a), exonère les microentreprises et les petites entreprises des amendes en cas de non-respect des délais spécifiques de l'article 14, paragraphe 2, point a) (alerte précoce à 24 heures), et de l'article 14, paragraphe 4, point a). L'exonération porte uniquement sur les délais. L'obligation de signalement elle-même demeure, et un manquement de fond aux obligations de l'annexe I ou de l'article 13 reste dans le palier de sanction le plus élevé (15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu).

Publier du code open source me rend-il fabricant au sens du CRA ?

Non. Le projet d'orientation de la Commission du 3 mars 2026 (Ares(2026)2319816) est explicite : la publication du code source ne constitue pas une mise sur le marché. Les contributeurs qui ne maîtrisent pas la livraison d'un produit fini ne sont pas fabricants au sens du CRA. L'obligation pèse sur celui qui met sur le marché de l'UE le produit comportant des éléments numériques dans le cadre d'une activité commerciale. Pour l'ensemble des décisions de ce projet, dont le test RDPS sur le périmètre SaaS et le test de modification substantielle pour les mises à jour, consultez le guide sur l'orientation de la Commission.

Quelle est la différence entre le plancher de cinq ans de support et la règle des dix ans de disponibilité des mises à jour ?

Ce sont deux obligations indépendantes. L'article 13, paragraphe 8, impose de délivrer des mises à jour de sécurité pendant au moins cinq ans à compter de la mise sur le marché du produit, ou pendant la durée de vie attendue si elle est plus courte. Cinq ans constituent un plancher, pas une valeur par défaut : un produit dont la durée de vie attendue est de 10 ans appelle un engagement de support de 10 ans. L'article 13, paragraphe 9, exige que chaque mise à jour de sécurité émise reste disponible au téléchargement pendant au moins 10 ans à compter de sa date d'émission, ou pendant le reste de la période de support, la durée la plus longue étant retenue. Une mise à jour émise en année 4 d'une période de support de cinq ans doit rester téléchargeable jusqu'à l'année 14 après émission. Planifiez stockage et distribution sur l'horizon long avant d'émettre votre première mise à jour.

Que dois-je faire ce trimestre si mon produit est Classe I importante ?

Trois choses. Premièrement, sollicitez dès maintenant des organismes d'évaluation de la conformité, avant même l'ouverture formelle de la notification CRA le 11 juin 2026. Beaucoup deviendront organismes notifiés par voie rapide depuis l'acte délégué de la directive sur les équipements radioélectriques ou via l'accréditation EUCC, et la capacité est finie. Deuxièmement, finalisez votre dossier technique de l'annexe VII en amont de l'évaluation, car le dossier est l'entrée du module B+C ou du module H et il faut 3 à 6 mois pour l'assembler proprement. Troisièmement, intégrez la génération de SBOM dans votre pipeline CI/CD, puisqu'elle alimente le dossier technique, le flux de signalement à 24 heures et toute future voie de présomption de conformité. Pour les artefacts précis, consultez le guide du dossier technique et le guide de génération de SBOM.

Prochaines étapes

Que faire au prochain trimestre

  1. Classez chaque produit dans les paliers CRA (par défaut, Classe I importante, Classe II importante, critique). Cela détermine si la question de la disponibilité des organismes notifiés en décembre 2026 est un blocage pour vous.
  2. Intégrez la couverture SBOM à votre pipeline CI/CD avant septembre 2026. Commencez par le guide de génération de SBOM pour l'outillage et par les exigences SBOM au titre du CRA pour ce qui compte comme conforme. Si vous préférez ne pas tout câbler à la main, CRA Evidence prend en charge l'ingestion CycloneDX/SPDX et les contrôles qualité TR-03183 sur l'ensemble des versions de produit.
  3. Rédigez votre politique de divulgation coordonnée des vulnérabilités et vos modèles de notification à 24 heures, 72 heures, de vulnérabilité à 14 jours et d'incident grave à un mois. La plateforme unique de signalement de l'ENISA n'est pas encore en production, préparez donc tout ce qui n'en dépend pas.
  4. Assemblez le dossier technique de l'annexe VII. Le guide du dossier technique couvre l'évaluation des risques, les preuves de conformité et la déclaration de période de support.
  5. Si votre produit est Classe I ou Classe II importante, sollicitez dès maintenant un organisme d'évaluation de la conformité. La notification formelle CRA ouvre le 11 juin 2026, et attendre met en péril la clôture en décembre 2027. Le guide de décision sur l'évaluation de la conformité couvre le choix de module et les bonnes questions à poser.

Cet article est fourni à titre d'information uniquement et ne constitue pas un avis juridique. Pour des conseils de conformité spécifiques, consultez un conseil juridique qualifié.

CRA Calendrier Conformité
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide