ENISA Plateforme unique de signalement (SRP) : guide d'intégration CRA

Publié 8 mai 2026 Mis à jour 15 juin 2026

Le Règlement (UE) 2024/2847 (Cyber Resilience Act) achemine chaque signalement obligatoire d'un fabricant pour vulnérabilités et incidents graves par un canal unique : la plateforme unique de signalement (SRP) de l'ENISA. La plateforme n'est pas encore opérationnelle. Elle entre en service le 11 septembre 2026, date à laquelle les obligations de signalement commencent à s'appliquer. L'ENISA indique qu'elle fournira le manuel d'accès et d'enregistrement, les instructions ainsi que des supports de formation et d'exercice pendant juin 2026, de sorte que les modalités d'enregistrement sont encore en cours de publication. Cette page couvre ce que les fabricants doivent préparer dès maintenant, le flux d'enregistrement attendu et la façon de câbler une escalade interne adaptée à l'horloge de 24 heures. Pour les cadences, voir le signalement des vulnérabilités.

Synthèse

  • La plateforme unique de signalement est le seul canal de signalement. Les fabricants notifient l'ENISA et le CSIRT coordinateur via la plateforme. Le courriel à un CSIRT national n'est pas un substitut.
  • Préparez-vous avant le premier événement à signaler. L'horloge de 24 heures ne s'arrête pas pour des problèmes d'enregistrement ou de routage. Gardez prêtes les données d'entité juridique, de produit, de contact et d'escalade avant l'ouverture de la SRP.
  • Les fabricants sont les parties obligées. Les importateurs et les distributeurs informent le fabricant. Ils ne déposent pas eux-mêmes de signalements. Un mandat de mandataire peut couvrir le signalement pour un fabricant non établi dans l'UE.
  • Séparez les finalités de contact. Le point de contact unique pour les utilisateurs est le canal orienté utilisateurs. Le contact d'autorité SRP doit être géré séparément afin que l'ENISA et le CSIRT coordinateur puissent joindre l'équipe de signalement.
  • Le routage CSIRT suit l'établissement principal. Les notifications vont au CSIRT désigné comme coordinateur dans l'État membre de l'établissement principal, avec une chaîne de repli pour les fabricants non établis dans l'UE détaillée dans Routage CSIRT ci-dessous.
11 sep. 2026
Début des signalements
Fixé par le calendrier CRA
24h
Alerte précoce SRP
De la prise de connaissance à la soumission
Avant le premier événement
Préparation de l'enregistrement
Ne pas attendre un cas à signaler
15 M€ / 2,5 %
Amende maximale
Ou 2,5 % du chiffre d'affaires mondial

L'intégration est une tâche de préparation, pas quelque chose à commencer après le premier événement qui déclenche l'horloge de 24 heures.

Ce que dit le CRA sur la plateforme unique de signalement

L'ENISA met en place et exploite la plateforme unique de signalement (SRP). Les États membres et l'ENISA peuvent mettre en place leurs propres points finaux de notification électronique dans cette architecture. Trois faits opérationnels en découlent :

  • L'ENISA exploite la plateforme unique de signalement. Les États membres et l'ENISA peuvent tout de même mettre en place leurs propres points finaux de notification électronique.
  • Une soumission atteint les deux niveaux. Le fabricant soumet via le point final du CSIRT coordinateur, et la notification est simultanément accessible à l'ENISA.
  • Le routage transfrontalier s'effectue dans la plateforme. Le CSIRT destinataire diffuse la notification aux autres CSIRT dont le territoire a été signalé comme affecté par le fabricant.

La SRP reçoit aussi les signalements volontaires et constitue le canal pour la notification de 72 heures et le rapport final. L'ENISA indique que la fonctionnalité de signalement volontaire est activée après le 11 septembre 2026, ce qui signifie qu'elle suit le démarrage du signalement obligatoire plutôt que d'arriver en amont. Les deux flux partagent la même architecture SRP, même si l'ENISA doit encore finaliser les écrans opérationnels.

Qui doit s'enregistrer

Les fabricants portent le signalement obligatoire via la plateforme unique de signalement. L'obligation incombe aux fabricants de produits comportant des éléments numériques, pas au reste de la chaîne d'approvisionnement.

Les importateurs et distributeurs informent le fabricant. Ils ne s'enregistrent pas sur la plateforme, ne déposent pas eux-mêmes de signalements et n'héritent pas de l'horloge de 24 heures. Leur obligation est d'informer le fabricant sans retard injustifié lorsqu'ils prennent connaissance d'une vulnérabilité. Voir importateur et distributeur.

Les fabricants non établis dans l'UE ont besoin d'un routage clair. Un mandat écrit du mandataire peut couvrir le signalement obligatoire, car les exclusions du mandataire ne visent pas le signalement lui-même. Sans établissement principal dans l'Union, le routage suit la chaîne de repli : mandataire, importateur, distributeur, puis concentration d'utilisateurs.

Prérequis à l'enregistrement

Six éléments que l'organisation doit avoir préparés avant l'enregistrement. Les écrans exacts de la plateforme unique de signalement restent dépendants des spécifications, mais l'absence de ces éléments ralentira la première soumission.

Exigence Ce dont vous avez besoin
Entité juridique dans l'État membre de l'établissement principal Un enregistrement d'entité juridique non ambigu permettant à la SRP d'attribuer le CSIRT coordinateur (l'État « où sont principalement prises les décisions relatives à la cybersécurité de ses produits comportant des éléments numériques »).
Point de contact unique pour les utilisateurs Un canal orienté utilisateurs dont les « moyens [ne sont] pas limités aux outils automatisés ». Les boîtes de réception en réponse automatique uniquement ne satisfont pas à cette exigence. Publié dans les informations à l'attention des utilisateurs accompagnant le produit.
Contact de sécurité orienté autorités Un contact pour l'ENISA et le CSIRT coordinateur, distinct sur le plan opérationnel du canal orienté utilisateurs. Les champs d'enregistrement exacts restent soumis aux spécifications de l'ENISA.
Preuve d'identité et d'autorité Preuve que le déposant peut agir pour le fabricant. Les mécanismes d'identification exacts restent soumis aux spécifications et orientations de l'ENISA.
Inventaire du portefeuille de produits Une liste à jour des produits et des États membres où chacun a été mis à disposition. Sans cela, l'alerte précoce ne peut pas indiquer correctement les territoires affectés.
Escalade interne documentée Une procédure écrite permettant à l'organisation de passer de la détection à la soumission sur la SRP en moins de 24 heures, avec une couverture hors heures ouvrées. « Sans retard injustifié et, en tout état de cause, au plus tard 24 heures » ne laisse aucune place à une escalade ad hoc.

Calendrier : d'aujourd'hui au premier événement déclarable

Calendrier SRP : construction par l'ENISA et préparation du fabricant de part et d'autre de la bascule du 11 septembre 2026 Un diagramme deux-par-deux. Les lignes distinguent la responsabilité de l'ENISA de celle du fabricant. Les colonnes découpent le calendrier au 11 septembre 2026 : préparation avant bascule à gauche, exploitation en direct après bascule à droite. Avant bascule, l'ENISA construit la plateforme ; après bascule, la SRP reçoit chaque événement à signaler. Avant bascule, le fabricant prépare les données d'entité juridique, le routage des contacts, le portefeuille de produits, le SLA d'escalade 24h et le mandat du mandataire le cas échéant ; après bascule, le fabricant est enregistré et déclenche l'horloge d'alerte précoce de 24 heures au premier événement. Bascule SRP : construction ENISA et préparation fabricant de part et d'autre du 11 sep. 2026 11 sep. 2026 AVANT BASCULE (aujourd'hui → 11 sep. 2026) APRÈS BASCULE (signalement applicable) ENISA Fabricant Construction de la SRP Spécifications en cours d'élaboration Actes d'exécution en attente SRP opérationnelle Reçoit chaque événement à signaler Routage CSIRT transfrontalier Préparer Entité juridique, routage des contacts, portefeuille de produits, SLA 24h, mandat Enregistré, prêt 24h Le premier événement déclenche l'horloge : prise de connaissance → alerte précoce 24h
Le 11 septembre 2026 est fixé par le calendrier CRA. Avant bascule est une phase de préparation. Après bascule, le signalement est réglementé contre une horloge de 24 heures. L'ENISA indique que le manuel d'accès et les instructions sont attendus pendant juin 2026, et nous actualiserons cette page dès leur publication.
La SRP n'est pas encore opérationnelle

L'ENISA construit la plateforme en coopération avec le réseau des CSIRT. Les écrans d'enregistrement exacts, le mécanisme d'identification et les points finaux de notification électronique restent soumis aux spécifications de l'ENISA et aux actes d'exécution de la Commission. Le manuel d'accès et d'enregistrement ainsi que les instructions sont promis par l'ENISA pendant juin 2026, mais n'ont pas encore été publiés. Le cadre ci-dessous reflète le texte du règlement et ce qui est publiquement connu au 2026-06-10. Vérifiez auprès de la page officielle SRP de l'ENISA avant de traiter toute étape d'interface spécifique comme définitive. La bascule du 11 septembre 2026 est fixée par le calendrier CRA.

Flux d'enregistrement attendu

Les écrans exacts de la plateforme unique de signalement restent dépendants des spécifications. L'ENISA n'a pas encore publié le flux en ligne. Cette section est une liste de préparation, pas une procédure d'interface définitive.

L'enregistrement devrait couvrir quatre éléments :

  • Entité juridique : qui est le fabricant et où se trouve son établissement principal.
  • Contact autorité : le contact SRP pour les messages de l'ENISA et du CSIRT coordinateur, distinct du canal orienté utilisateurs.
  • Couverture produit : le portefeuille de produits et les États membres où les produits affectés sont mis à disposition.
  • Routage du coordinateur : l'attribution du CSIRT selon les règles d'établissement principal et de repli.

Après l'enregistrement, le même point final gère les soumissions ultérieures : alerte précoce de 24 heures, notification de 72 heures, rapports intermédiaires demandés par le CSIRT et rapport final.

L'ENISA indique également qu'aucune API SRP ne sera fournie à ce stade. La préparation à la soumission doit donc s'appuyer sur la plateforme elle-même plutôt que sur une automatisation par votre propre outillage.

Contenu minimal de chaque soumission à la plateforme unique de signalement

L'article 14 définit trois étapes de notification par événement à signaler. Les exigences de contenu diffèrent entre le flux vulnérabilité activement exploitée et le flux incident grave.

Vulnérabilité activement exploitée :

Étape Délai Contenu minimal requis
Alerte précoce 24 h à compter de la prise de connaissance Indication que la vulnérabilité est activement exploitée. États membres où le produit est mis à disposition, si connus.
Notification de vulnérabilité 72 h à compter de la prise de connaissance Informations générales sur le produit. Nature générale de l'exploitation et de la vulnérabilité. Mesures correctives ou d'atténuation prises. Mesures que les utilisateurs peuvent prendre. Indication de sensibilité.
Rapport final 14 jours après la disponibilité d'une mesure corrective ou d'atténuation Description de la vulnérabilité, notamment sa gravité et son impact. Informations sur tout acteur malveillant l'exploitant, si disponibles. Détails de la mise à jour de sécurité ou de la mesure corrective.

Incident grave ayant un impact sur la sécurité du produit :

Étape Délai Contenu minimal requis
Alerte précoce 24 h à compter de la prise de connaissance Indication si l'incident est suspecté d'être causé par des actes illicites ou malveillants. États membres où le produit est mis à disposition, si connus.
Notification d'incident 72 h à compter de la prise de connaissance Nature de l'incident. Évaluation initiale. Mesures correctives ou d'atténuation prises. Mesures que les utilisateurs peuvent prendre. Indication de sensibilité.
Rapport final 1 mois après la notification d'incident de 72 h Description détaillée de l'incident, notamment sa gravité et son impact. Type de menace ou cause profonde probable. Mesures d'atténuation appliquées et en cours.

Le CSIRT désigné comme coordinateur peut aussi demander un rapport intermédiaire entre la notification de 72 h et le rapport final. Aucun des deux flux n'exige d'identifiants CVE ni de scores CVSS à l'étape de l'alerte précoce. L'obligation de 24 h est de notifier, pas d'avoir achevé l'analyse. Les détails techniques complets figurent dans les étapes de notification et de rapport final.

Escalade interne : respecter l'horloge de 24 heures

L'horloge de 24 heures démarre à la prise de connaissance, pas à la confirmation. La difficulté consiste à passer de « nous venons de l'apprendre » à « nous venons de soumettre » en moins de 24 heures, y compris hors heures ouvrées. Un processus de triage qui « prend généralement 48 heures » est structurellement non conforme. La détection, le triage, l'examen juridique en parallèle et la soumission doivent tous tenir dans la même journée calendaire, week-ends et heures non ouvrées compris.

Étape Dans les 24h ? Notes
Détection Oui Ingénierie interne, signalements clients, supervision, renseignement sur les menaces, intégration de la DCV. Les chemins de triage pour « activement exploitée » et « incident grave » doivent être distincts.
Triage Oui Utilisez les signaux de notation de gravité (CVSS / EPSS / KEV) comme éléments d'appréciation. La preuve d'exploitation est le déclencheur. La gravité seule ne l'est pas.
Examen juridique En parallèle Une attente en série de la validation juridique fait manquer les 24 heures. Le fabricant peut signaler la sensibilité, et la plateforme peut retenir la diffusion pour des raisons de cybersécurité.
Alerte précoce sur la plateforme unique de signalement Oui Flux vulnérabilité ou flux incident grave.
Notification 72h Après 24h Dans les 72 heures suivant la prise de connaissance.
Rapport final 14 jours (vuln.) / 1 mois (incident) Vulnérabilités : 14 jours à compter de la disponibilité d'une mesure corrective. Incidents graves : un mois à compter de la notification de 72 heures.

Routage CSIRT

Le routage CSIRT suit l'établissement principal du fabricant dans l'Union, c'est-à-dire l'État membre où les décisions de cybersécurité du produit sont principalement prises. Sans établissement principal dans l'Union, la chaîne de repli est l'État membre du mandataire, puis de l'importateur, puis du distributeur, puis de la concentration d'utilisateurs. Après la soumission, la diffusion transfrontalière aux CSIRT des autres États membres affectés se fait au sein de la plateforme unique de signalement. L'ENISA indique qu'elle fournira à une date ultérieure la liste des CSIRT nationaux désignés comme coordinateurs. Confirmez l'attribution de votre coordinateur à partir des orientations de l'ENISA dès que cette liste sera publiée.

Plateforme unique de signalement et contact direct avec un CSIRT national

Envoyer un e-mail directement à un CSIRT national ne satisfait pas à l'obligation de signalement CRA, même si le fabricant entretient une relation de travail préexistante avec ce CSIRT.

Canal Obligatoire pour les signalements CRA ? Ce qu'il couvre
Plateforme unique de signalement Oui Signalements de vulnérabilités activement exploitées. Signalements d'incidents graves. Notifications volontaires. Notifications de 72 h et rapports finaux.
Contact direct avec un CSIRT national Non Coordination de la divulgation coordonnée de vulnérabilités. Partage de renseignements sectoriels sur les menaces. Collaboration informelle en réponse aux incidents.

Les fabricants qui entretiennent une relation avec un CSIRT national peuvent la conserver pour la coordination CVD et l'échange de renseignements sectoriels. Ce qui doit transiter par la plateforme unique de signalement : toute notification obligatoire au titre de l'article 14. La plateforme gère automatiquement le routage transfrontalier vers les CSIRT des autres États membres concernés. Une seule soumission atteint tous les CSIRT pertinents.

Pièges courants

  • S'enregistrer seulement après le premier événement à signaler. L'horloge de 24 heures ne s'arrête pas pendant l'intégration. Enregistrez-vous bien avant le 11 septembre 2026.
  • Une adresse security@ générique avec réponse automatique. En contradiction avec l'exigence du canal orienté utilisateurs et inadaptée au canal d'autorité SRP.
  • Aucun produit ou des produits obsolètes liés à l'enregistrement. L'alerte précoce doit indiquer les États membres où le produit a été mis à disposition. Sans inventaire à jour, l'alerte précoce est incomplète.
  • Absence de SLA interne pour l'horloge de 24 heures. Le délai de la détection à la soumission requiert un budget temps explicite.
  • Soumission par courriel national au CSIRT. La plateforme unique de signalement est le canal désigné. Un courriel à un CSIRT national n'est pas équivalent.
  • Traiter le mandataire comme une adresse de transfert. Le mandat de mandataire d'un fabricant non établi dans l'UE doit couvrir expressément le signalement, et le mandataire doit être prêt à soutenir la soumission SRP.

Foire aux questions

La plateforme unique de signalement est-elle déjà active, et quand est-elle mise en service ?

Pas encore. La plateforme unique de signalement n'est pas active aujourd'hui pour le signalement des fabricants. Elle est mise en service le 11 septembre 2026. L'ENISA la développe avec le réseau des CSIRT, et à partir de cette date les fabricants devront pouvoir soumettre via la plateforme les vulnérabilités activement exploitées et les incidents graves à signaler. L'ENISA indique qu'elle fournira le manuel d'accès et d'enregistrement ainsi que les instructions pendant juin 2026. Jusqu'à leur publication, le flux d'enregistrement, le mécanisme d'identification et les points finaux de notification électronique restent soumis aux spécifications de l'ENISA. Vérifiez auprès des orientations en vigueur de l'ENISA avant de vous appuyer sur une étape d'interface spécifique.

Les importateurs et les distributeurs s'enregistrent-ils sur la plateforme unique de signalement ?

Non. Les importateurs et distributeurs ne reprennent pas l'obligation de signalement du fabricant sur la plateforme unique de signalement. Leur obligation CRA est d'informer le fabricant d'une vulnérabilité sans retard injustifié. Le signalement via la plateforme reste l'obligation du fabricant.

Un fabricant non établi dans l'UE peut-il s'enregistrer directement ?

Peut-être, mais la chaîne de repli compte. Un mandat écrit de mandataire peut couvrir le signalement obligatoire parce que les exclusions du mandataire n'incluent pas le signalement lui-même. Pour un fabricant sans établissement principal dans l'Union, le routage suit alors la chaîne disponible : mandataire, importateur, distributeur, puis concentration d'utilisateurs.

Comment savoir si vous devez déposer une vulnérabilité activement exploitée ou un incident grave ?

Les deux flux couvrent des surfaces d'attaque différentes. Une vulnérabilité activement exploitée est une faille dans votre produit qu'un acteur malveillant utilise contre vos utilisateurs. Un incident grave est plus large : tout incident pouvant nuire à la capacité du produit à protéger la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données ou fonctions importantes, ou pouvant entraîner l'exécution de code malveillant dans le produit ou dans les systèmes d'un utilisateur. Une compromission de votre propre infrastructure de build, de publication ou de maintenance exposant vos utilisateurs à un risque en est un exemple, tel qu'un attaquant insérant du code malveillant dans votre canal de distribution des mises à jour.

Une soumission dans le cadre d'un programme de bug bounty ou un rapport de divulgation coordonnée de vulnérabilités ne déclenche aucun des deux flux à lui seul. La notification obligatoire s'applique dès qu'il existe une vulnérabilité activement exploitée ou un incident grave qualifiant.

La même attaque peut franchir les deux frontières à la fois. Si un attaquant exploite une faille dans votre produit et utilise cet accès pour compromettre votre infrastructure de build, vous déposez deux signalements distincts, un pour chaque flux. Les deux comportent une alerte précoce de 24 h à partir du même moment de prise de connaissance.

À quel moment précis l'horloge de 24 heures démarre-t-elle ?

Dès que quelqu'un dans votre équipe de sécurité dispose d'informations crédibles indiquant qu'un événement à signaler est en cours. Pas quand la direction est informée. Pas quand le service juridique confirme. Pas quand la cause profonde est établie.

L'alerte précoce de 24 h n'a besoin de contenir qu'une indication d'exploitation active et les États membres où votre produit est disponible. L'analyse technique détaillée figure dans la notification de 72 h. Le règlement l'a conçu ainsi : vous notifiez d'abord, vous menez l'enquête en parallèle.

Il n'existe pas de délai de grâce pour l'évaluation. L'horloge tourne dès la première prise de connaissance crédible.

Que faire si notre soumission à la plateforme unique de signalement échoue ?

Utilisez d'abord la voie de la plateforme unique de signalement et conservez la preuve de l'échec. La plateforme est le canal obligatoire de signalement. Tout comportement de repli devra suivre les orientations de l'ENISA ou du CSIRT coordinateur lorsqu'elles seront disponibles. Les problèmes d'outillage ne suppriment pas l'obligation de 24 heures. Conservez un horodatage de l'incident, des tentatives de soumission et de tout contact alternatif utilisé.

Le point de contact unique pour les utilisateurs est-il le même que le contact d'enregistrement à la plateforme unique de signalement ?

Non. Le contact utilisateurs et le contact d'autorité sur la plateforme unique de signalement servent des publics différents. Le contact orienté utilisateurs prend en charge les signalements de vulnérabilités par les utilisateurs et ne peut pas être limité à des outils automatisés. Le contact de la plateforme doit acheminer les messages de l'ENISA et du CSIRT coordinateur vers l'équipe de signalement, même si l'ENISA précise plus tard les champs d'enregistrement exacts.

Prochaines étapes pour être prêt au 11 septembre 2026

  1. Suivez la page officielle SRP de l'ENISA et les bulletins CSIRT afin que les changements d'enregistrement atteignent immédiatement le responsable du signalement.
  2. Désignez un contact orienté autorités sur la plateforme unique de signalement, distinct du canal utilisateurs de signalement des vulnérabilités.
  3. Documentez l'escalade de la détection à la soumission avec un SLA de 24 heures et une couverture hors heures ouvrées.
  4. Jouez un exercice sur une vulnérabilité activement exploitée et testez le chemin de soumission provisoire sur la plateforme.
  5. Confirmez que tout mandat de mandataire couvre le signalement et la cartographie actuelle des produits.
  6. Rattachez le routage CSIRT à votre établissement principal, puis continuez avec le signalement des vulnérabilités et la gestion des vulnérabilités.