Si votre nom ou votre marque figure sur un produit comportant des éléments numériques mis sur le marché de l'UE, le Règlement sur la cyberrésilience vous traite généralement comme le fabricant. Cette page expose les principales obligations du fabricant CRA : conception sécurisée, documentation technique, évaluation de la conformité, marquage CE, devoirs pendant la période d'assistance, gestion des vulnérabilités et signalement obligatoire.
Résumé
- Êtes-vous le fabricant ? Vous l'êtes généralement lorsque vous développez, fabriquez ou faites fabriquer le produit et le commercialisez sous votre propre nom ou marque. La marque est le test décisif ; le contrat de fourniture ne déplace pas à lui seul le rôle CRA.
- Que faut-il préparer avant la mise sur le marché ? Évaluation des risques de cybersécurité, cartographie des exigences essentielles de cybersécurité, documentation technique, évaluation de la conformité, déclaration UE de conformité, marquage CE, informations fabricant et contact, et instructions utilisateur.
- Qu'est-ce qui continue après la mise sur le marché ? Gestion des vulnérabilités, mises à jour de sécurité, communication de la période d'assistance, mesures correctives, coopération avec les autorités de surveillance du marché et conservation documentaire. Les mises à jour de sécurité restent disponibles pendant au moins 10 ans après leur émission ou pendant la durée restante de la période d'assistance, le délai le plus long étant retenu.
- Que faut-il signaler ? Les vulnérabilités activement exploitées et les incidents graves, acheminés via la plateforme unique de signalement de l'ENISA selon une cadence 24 h / 72 h / rapport final. Les deux flux ont des délais de rapport final différents, détaillés dans la section signalement ci-dessous.
- Quand cela s'applique-t-il ? Le signalement des vulnérabilités et incidents démarre le 11 septembre 2026 ; le reste du régime applicable au fabricant suit. Voir le calendrier de mise en œuvre ci-dessous pour la chaîne complète des jalons.
- Exposition aux sanctions : les manquements du niveau supérieur peuvent atteindre 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Les microentreprises et petites entreprises bénéficient d'un allègement étroit, limité aux délais d'alerte précoce à 24 h. Voir sanctions et application pour le barème article par article.
Quatre nombres qui cadrent l'exposition du fabricant : 21 exigences essentielles réparties entre produit et processus, deux délais de signalement par flux, sanction du niveau supérieur.
Qui est fabricant au titre du CRA ?
En pratique, le fabricant CRA est le titulaire de la marque ou le producteur responsable de la mise sur le marché du produit sous son nom ou sa marque. La définition couvre les entités qui développent, fabriquent ou font concevoir, développer ou fabriquer un produit, puis le commercialisent sous leur propre nom ou marque, à titre onéreux, monétisé ou gratuit.
L'externalisation ne déplace pas le rôle : si un OEM ou un sous-traitant fabrique le produit mais que votre nom figure dessus, vous restez le fabricant. Si le produit n'est pas sous votre nom ou votre marque, vous pouvez être importateur, distributeur, mandataire ou auteur d'une modification substantielle. Pour l'arbre complet de décision des rôles, voir qui doit se conformer au CRA.
Obligations principales du fabricant
Les obligations du fabricant se regroupent en quatre clusters : conception sécurisée et propriétés du produit évaluées par les risques ; processus de gestion des vulnérabilités exploités tout au long de la période d'assistance ; artefacts pré-marché qui doivent exister avant la mise sur le marché (documentation technique, évaluation de la conformité, DoC UE, marquage CE) ; et devoirs après mise sur le marché (mesures correctives, coopération avec la surveillance du marché, communication de la période d'assistance, notification de cessation). Le tableau ci-dessous associe chaque obligation au paragraphe précis de l'Article 13 qui la fonde.
| Devoir | Point clé | Source |
|---|---|---|
| Concevoir et produire selon les exigences essentielles | Les exigences essentielles sont obligatoires, modulées par l'évaluation des risques de cybersécurité. | Article 13, paragraphe 1 |
| Évaluation des risques de cybersécurité | Documentée, mise à jour tout au long de la période d'assistance, intégrée à la documentation technique. | Article 13, paragraphe 2 |
| Diligence raisonnable sur les composants | Inclut les composants libres et open source. Faire preuve de diligence raisonnable lors de l'intégration de composants ; dès la connaissance d'une vulnérabilité dans un composant, la documenter, la signaler en amont au mainteneur du composant et y remédier dans le propre produit du fabricant. | Article 13, paragraphe 5 et Article 13, paragraphe 6 |
| Période d'assistance | Au moins 5 ans, ou la durée d'utilisation prévue si elle est plus courte. Documentée dans la documentation technique. Inclut les obligations de gestion des vulnérabilités et de politique DCV. | Article 13, paragraphe 8 |
| Disponibilité des mises à jour de sécurité | Chaque mise à jour de sécurité reste disponible pendant au moins 10 ans après son émission, ou pendant la durée restante de la période d'assistance, le délai le plus long étant retenu. | Article 13, paragraphe 9 |
| Versions logicielles substantiellement modifiées | La règle de remédiation des vulnérabilités peut s'appliquer uniquement à la dernière version lorsque les utilisateurs y ont librement accès. Les archives publiques de versions non prises en charge sont autorisées avec avertissements de risque. | Article 13, paragraphe 10, Article 13, paragraphe 11 |
| Documentation technique préalable + évaluation de la conformité + CE, contrôles de fabrication en série | Établir la documentation technique. Réaliser l'évaluation de la conformité ou la faire réaliser. Établir la DoC UE et apposer le marquage CE. Maintenir des procédures pour que la fabrication en série reste conforme. | Article 13, paragraphe 12 |
| Conservation | Documentation technique et DoC UE à la disposition des autorités de surveillance du marché pendant au moins 10 ans ou la période d'assistance, le délai le plus long étant retenu. | Article 13, paragraphe 13 |
| Identification du produit + identification du fabricant | Type, lot ou numéro de série. Nom du fabricant, raison sociale ou marque, adresse postale, contact numérique, également reproduits dans les informations accompagnant le produit. | Article 13, paragraphe 15, Article 13, paragraphe 16 |
| Point de contact unique | Permet aux utilisateurs de choisir leur moyen de communication préféré. Ne doit pas se limiter à des outils automatisés. | Article 13, paragraphe 17 |
| Informations d'accompagnement utilisateur | Informations et instructions dans une langue aisément compréhensible par les utilisateurs et la surveillance du marché, accessibles en ligne pendant la même durée de conservation. | Article 13, paragraphe 18 |
| Date de fin de la période d'assistance | Spécifiée au moment de l'achat, comprenant au moins le mois et l'année. Affichage d'une notification de fin d'assistance aux utilisateurs lorsque cela est techniquement faisable. | Article 13, paragraphe 19 |
| Délivrance de la DoC UE | Soit la DoC complète, soit une DoC simplifiée contenant l'adresse internet exacte à laquelle la DoC complète peut être consultée. | Article 13, paragraphe 20 |
| Mesures correctives après mise sur le marché + coopération | Retirer, rappeler ou remettre en conformité dès la connaissance d'une non-conformité. Fournir toute information à la surveillance du marché sur demande motivée. | Article 13, paragraphe 21, Article 13, paragraphe 22 |
| Cessation d'activité | Informer la surveillance du marché et, par tout moyen disponible, les utilisateurs avant que la cessation ne prenne effet. | Article 13, paragraphe 23 |
| Format SBOM + évaluations de dépendances | La Commission peut préciser le format SBOM par actes d'exécution. L'ADCO peut conduire des évaluations de dépendances à l'échelle de l'Union. | Article 13, paragraphe 24, Article 13, paragraphe 25 |
Exigences essentielles de cybersécurité
Les fabricants doivent satisfaire deux ensembles d'exigences essentielles de cybersécurité : les exigences de sécurité du produit et les exigences de gestion des vulnérabilités. Le premier ensemble régit la conception, le développement et la production du produit. Le second régit les processus que le fabricant doit exploiter pendant la période d'assistance.
Évaluation des risques de cybersécurité
Les fabricants conduisent une évaluation des risques de cybersécurité afin de déterminer quelles exigences essentielles de cybersécurité lient leur produit spécifique. L'évaluation est documentée une fois et tenue à jour tout au long de la période d'assistance. Elle vit à l'intérieur de la documentation technique, et lorsqu'une exigence n'est pas applicable, l'évaluation porte la justification écrite.
Exigences de sécurité du produit
Avant la mise sur le marché, le produit doit être conçu, développé et produit de manière à offrir un niveau approprié de cybersécurité fondé sur le risque. L'évaluation des risques de cybersécurité du fabricant détermine quels contrôles de la liste ci-dessous s'appliquent, et lorsqu'un contrôle n'est pas applicable, la documentation technique doit comporter une justification claire.
- (a) Mis à disposition sans vulnérabilités exploitables connues
- (b) Configuration sécurisée par défaut ; remise à l'état d'origine disponible (les produits sur mesure destinés à des utilisateurs professionnels peuvent en convenir autrement)
- (c) Vulnérabilités traitables par des mises à jour de sécurité ; mises à jour automatiques installées dans un délai approprié par défaut, avec option de désactivation et de report, lorsque cela est applicable
- (d) Protection contre l'accès non autorisé (authentification, gestion des identités ou des accès, signalement des accès non autorisés possibles)
- (e) Confidentialité des données stockées, transmises, traitées, y compris chiffrement au repos ou en transit au moyen de mécanismes de pointe
- (f) Protection de l'intégrité des données, commandes, programmes, configuration ; signalement des altérations
- (g) Minimisation des données : ne traiter que les données adéquates, pertinentes et limitées à la finalité prévue
- (h) Disponibilité des fonctions essentielles et de base, y compris après un incident ; résilience au déni de service
- (i) Minimiser l'impact négatif sur la disponibilité des services fournis par d'autres dispositifs ou réseaux
- (j) Limiter les surfaces d'attaque, y compris les interfaces externes
- (k) Réduire l'impact des incidents par des mécanismes et techniques d'atténuation de l'exploitation
- (l) Fournir des informations de sécurité par l'enregistrement et la surveillance des activités internes pertinentes, avec option de désactivation par l'utilisateur
- (m) Permettre aux utilisateurs de supprimer de manière sécurisée et aisée toutes les données et tous les paramètres ; assurer un transfert sécurisé des données lorsque cela est applicable
La formulation « lorsque cela est applicable » sur plusieurs points ci-dessus est régie par l'évaluation des risques, et non par la préférence du fabricant.
Exigences de gestion des vulnérabilités
Indépendamment des contrôles de sécurité du produit, le fabricant doit exploiter des processus de gestion des vulnérabilités pendant la période d'assistance : documentation des composants, SBOM, tests, remédiation, divulgation coordonnée des vulnérabilités, canaux de signalement, distribution sécurisée des mises à jour et avis aux utilisateurs.
- (1) Identifier et documenter les vulnérabilités et les composants, y compris une nomenclature logicielle (SBOM) dans un format couramment utilisé et lisible par machine, couvrant au moins les dépendances de premier niveau
- (2) Traiter et remédier aux vulnérabilités sans retard au moyen de mises à jour de sécurité. Lorsque cela est techniquement faisable, dissocier les mises à jour de sécurité des mises à jour fonctionnelles
- (3) Appliquer des tests et examens efficaces et réguliers de la sécurité du produit
- (4) Une fois une mise à jour de sécurité disponible, partager et divulguer publiquement les informations relatives aux vulnérabilités corrigées (description, produits affectés, impacts, gravité, conseils de remédiation). Possibilité de différer la divulgation publique dans des cas dûment justifiés jusqu'à ce que les utilisateurs puissent appliquer le correctif
- (5) Mettre en place et appliquer une politique de divulgation coordonnée des vulnérabilités (DCV)
- (6) Faciliter le partage d'informations sur les vulnérabilités potentielles (y compris dans des composants tiers) en fournissant une adresse de contact pour les signalements de vulnérabilités
- (7) Mécanismes pour distribuer les mises à jour de manière sécurisée afin que les vulnérabilités soient corrigées en temps utile et, lorsque cela est applicable, automatiquement
- (8) Diffuser sans retard les mises à jour de sécurité. À titre gratuit, sauf accord contraire avec un utilisateur professionnel pour des produits sur mesure. Avec messages d'avis aux utilisateurs
Les exigences de gestion des vulnérabilités ci-dessus s'appliquent de la mise sur le marché jusqu'à la fin de la période d'assistance. Les mises à jour de sécurité restent disponibles pendant au moins 10 ans après leur émission ou pendant la durée restante de la période d'assistance, le délai le plus long étant retenu.
Diligence raisonnable sur les composants
La diligence raisonnable sur les composants s'applique que le composant soit commercial ou libre et open source. Le fabricant documente les vulnérabilités de composants dont il prend connaissance, les traite dans son propre produit et partage les informations utiles avec le mainteneur du composant (y compris, le cas échéant, le code ou la documentation pertinents dans un format lisible par machine). Les supports de cette documentation sont le SBOM et le dossier de documentation technique.
Artefacts pré-marché : ce qui doit exister avant la mise sur le marché
Quatre artefacts doivent exister avant la mise sur le marché du produit. Chacun est ancré dans un article spécifique du CRA et produit un acte de conformité précis : le dossier que conserve le fabricant, l'évaluation qu'il conduit, la déclaration qu'il signe, le marquage qu'il appose.
| Artefact | Ce qu'il contient ou exige |
|---|---|
| Documentation technique | Description du produit, informations de conception et de développement, évaluation des risques de cybersécurité, normes harmonisées ou spécifications communes appliquées, voie et résultat de l'évaluation de la conformité, DoC UE, et processus de gestion des vulnérabilités. Conservée pendant au moins 10 ans ou la période d'assistance, le délai le plus long étant retenu. |
| Évaluation de la conformité | Auto-évaluation Module A pour les produits de classe par défaut et pour les produits Important Classe I lorsque des normes harmonisées, des spécifications communes ou un schéma de certification de cybersécurité sont pleinement appliqués. Les produits Important Classe II utilisent les voies de l'organisme notifié (module B+C ou H) ou un schéma européen de certification de cybersécurité d'un niveau d'assurance au moins « substantiel ». Les produits Critiques utilisent un schéma européen de certification de cybersécurité lorsqu'il est applicable. Sinon, ils utilisent les voies de l'organisme notifié. |
| Déclaration UE de conformité | Soit la DoC complète fournie avec le produit, soit une DoC simplifiée portant l'adresse internet exacte de la DoC complète. Contenu de la DoC : nom et adresse du fabricant, identification du produit, déclaration de conformité aux exigences essentielles de cybersécurité, normes appliquées avec numéros de référence et dates, nom et numéro de l'organisme notifié le cas échéant, référence du certificat, date, signature, nom et fonction du signataire. |
| Marquage CE | Apposé de façon visible, lisible et indélébile sur le produit. En raison de la nature du produit comportant des éléments numériques, la hauteur du marquage CE apposé sur le produit comportant des éléments numériques peut être inférieure à 5 mm, à condition qu'il reste visible et lisible. Lorsque la nature du produit ne le permet pas, sur l'emballage et la déclaration UE de conformité. Lorsqu'un organisme notifié est impliqué dans l'évaluation de la conformité selon le Module H (assurance qualité complète), son numéro d'identification à quatre chiffres suit le marquage CE. |
Le choix du module d'évaluation de la conformité est la décision la plus lourde de conséquences de cette section. Le tableau et le diagramme de décision ci-dessous donnent le détail ligne par ligne.
| Module | Quand |
|---|---|
| A contrôle interne de la production | Produits de classe par défaut ; Important Classe I lorsque des normes harmonisées, des spécifications communes ou un schéma européen de certification de cybersécurité d'un niveau d'assurance au moins « substantiel » existent et sont pleinement appliqués |
| B + C examen UE de type + contrôle de la production | Voie pour Important Classe II. Classe I lorsque aucune norme harmonisée pertinente, spécification commune ou schéma européen de certification de cybersécurité n'est appliqué. Produits Critiques lorsqu'ils passent par une évaluation par organisme notifié. |
| H assurance qualité complète | Alternative pour les produits Important. Produits Critiques lorsqu'ils passent par une évaluation par organisme notifié. |
Voir le guide de la documentation technique, le guide de l'évaluation de la conformité, le guide de classification des produits et le guide de la déclaration de conformité pour le détail de chaque artefact.
Signaler les vulnérabilités et incidents graves
Les fabricants disposent de deux flux de signalement. Les deux sont acheminés simultanément vers le CSIRT désigné comme coordinateur et vers l'ENISA via la plateforme unique de signalement. Les deux flux partagent la cadence 24 h / 72 h, mais ont des délais de rapport final différents, point fréquemment mal compris.
L'horloge d'alerte précoce de 24 heures s'applique uniquement aux vulnérabilités activement exploitées. L'incident grave a son propre déclencheur et sa propre cadence de 24h/72h/1 mois.
| Flux | Alerte précoce 24 h | Notification 72 h | Rapport final |
|---|---|---|---|
| Vulnérabilité activement exploitée | Dans les 24 h suivant la connaissance | Dans les 72 h suivant la connaissance | 14 jours après la disponibilité d'une mesure corrective ou d'atténuation |
| Incident grave | Dans les 24 h suivant la connaissance | Dans les 72 h suivant la connaissance | Un mois après la notification à 72 h |
Le compteur du rapport final pour les vulnérabilités démarre lorsque le correctif est prêt, pas au moment de la prise de connaissance ; l'écart peut être de plusieurs semaines ou mois. Le compteur du rapport final pour les incidents graves est fixé à la notification à 72 h, soit en pratique le 33ᵉ jour à compter de la prise de connaissance. Voir le guide cluster signalement des vulnérabilités pour le déroulé opérationnel, les règles de routage vers le CSIRT coordinateur (y compris la cascade de repli pour les fabricants non établis dans l'UE), le devoir d'information des utilisateurs et le fonctionnement de la plateforme unique de signalement.
Période d'assistance et devoirs après mise sur le marché
Les chiffres clés (période d'assistance minimale de 5 ans, disponibilité des mises à jour de sécurité pendant 10 ans) figurent dans le tableau des obligations ci-dessus. Les critères de détermination, la communication de la date de fin au point de vente, le devoir de notification de fin de vie et les règles relatives aux versions logicielles substantiellement modifiées sont traités dans le guide cluster période d'assistance.
Deux devoirs du fabricant après mise sur le marché coexistent avec le régime de la période d'assistance et n'ont pas leur propre page cluster. Dès la connaissance que le produit n'est plus conforme aux exigences essentielles de cybersécurité, le fabricant prend immédiatement des mesures correctives, ou retire ou rappelle le produit selon le cas, et, sur demande motivée d'une autorité de surveillance du marché, fournit toutes les informations nécessaires à la démonstration de la conformité dans une langue que l'autorité comprend. Un fabricant qui cesse ses activités informe les autorités de surveillance du marché concernées avant que la cessation ne prenne effet, et informe les utilisateurs par tout moyen disponible et dans la mesure du possible.
Fabricant ou auteur d'une modification substantielle ?
La modification substantielle est une autre voie vers des obligations de niveau fabricant. Elle s'applique lorsqu'un tiers modifie un produit après sa mise sur le marché et met le produit modifié à disposition sur le marché. L'Article 22 dispose :
« Une personne physique ou morale, autre que le fabricant, l'importateur ou le distributeur, qui apporte une modification substantielle à un produit comportant des éléments numériques et met ce produit à disposition sur le marché est considérée comme un fabricant aux fins du présent règlement. »
Le régime de la modification substantielle exclut explicitement les fabricants, importateurs et distributeurs. Il s'applique aux tiers extérieurs à la chaîne des rôles : intégrateurs de systèmes, revendeurs à valeur ajoutée, services informatiques internes qui modifient des produits fournisseurs avant redistribution. Son champ est précis : l'auteur de la modification est traité comme fabricant pour la partie du produit affectée par la modification substantielle, ou pour le produit entier si la modification a un impact sur la cybersécurité du produit dans son ensemble. Une « modification substantielle » est un changement après la mise sur le marché qui affecte la conformité aux exigences essentielles de cybersécurité ou modifie la finalité prévue pour laquelle le produit a été évalué.
| Cas | Classification |
|---|---|
| Ingénierie originale, marque originale | Fabricant |
| Marque originale, un tiers ajoute après la mise sur le marché des fonctionnalités firmware qui modifient la surface d'attaque | Le fabricant d'origine demeure. Le tiers est également fabricant pour la partie modifiée en tant qu'auteur de modification substantielle. |
| Re-marquage en marque blanche d'un produit non européen par une entité européenne | L'entité européenne est le fabricant via le pont de re-marquage pour importateurs et distributeurs. Il ne s'agit pas d'un cas de modification substantielle par un tiers. Si vous avez commencé comme importateur UE, consultez le guide du cluster importateur pour ce qui change lorsque vous passez au régime fabricant. |
| Un intégrateur européen regroupe des produits compatibles sans en modifier les internes | Distributeur, et non auteur de modification substantielle. Consultez le guide du cluster distributeur pour l'ensemble des obligations du distributeur. |
| Le service informatique d'une entreprise installe un firmware personnalisé sur des dispositifs fournisseurs, puis revend | Auteur de modification substantielle. Traité comme fabricant pour le produit modifié. |
La conséquence pratique de relever du régime de la modification substantielle : pleines obligations de fabricant pour la partie modifiée ou le produit entier, y compris un nouveau dossier technique, une nouvelle DoC, un nouveau marquage CE sous la responsabilité de l'auteur de la modification, et la cadence de signalement ci-dessus.
Calendrier de mise en œuvre
- Étape passée
- Application prochaine
- Échéance finale
- Étape écosystème
Pièges courants
| Affirmation | Pourquoi elle ne tient pas |
|---|---|
| « Nous ne sommes pas vraiment le fabricant ; un OEM dans un autre pays le fabrique. » | Le titulaire de la marque est le fabricant, quel que soit l'auteur de la fabrication. L'externalisation de la fabrication ne transfère pas l'obligation. |
| « Notre politique de sécurité suffit ; nous n'avons pas besoin de mener une évaluation des exigences essentielles. » | L'évaluation des risques de cybersécurité est obligatoire et doit vivre à l'intérieur de la documentation technique. |
| « Nos clients ne demandent pas de SBOM, donc nous n'en faisons pas. » | Un SBOM dans un format couramment utilisé et lisible par machine est requis, couvrant au moins les dépendances de premier niveau. L'intérêt du client est sans pertinence. |
| « Notre chatbot est le point de contact unique. » | Les utilisateurs doivent pouvoir choisir leur moyen de communication préféré. Le canal ne peut pas se limiter à des outils automatisés. |
| « Cinq ans à compter du lancement du produit suffisent largement pour la période d'assistance. » | La période d'assistance court à compter de la mise sur le marché de chaque unité, et non du lancement du produit. Les unités placées en année 4 portent des obligations d'assistance jusqu'en année 9. |
| « Le délai de rapport final de 14 jours s'applique aussi aux incidents. » | Non. Les vulnérabilités obtiennent 14 jours après la disponibilité d'une mesure corrective ; les incidents graves obtiennent un mois après la notification à 72 h. |
| « Notre SLA couvre déjà les vulnérabilités ; pas besoin de signaler à l'ENISA. » | Le signalement va simultanément au CSIRT coordinateur et à l'ENISA, via la plateforme unique de signalement. Les SLA clients ne s'y substituent pas. |
| « Nous avons une assurance pour les violations. » | Les amendes administratives ne sont pas assurables dans la plupart des États membres. Le transfert de risque ne peut pas remplacer la conformité. |
| « Le signalement ne s'applique qu'à partir du moment où nous avons une entité européenne. » | Les fabricants non établis dans l'UE sont acheminés via une cascade CSIRT fondée sur la localisation du mandataire, de l'importateur, du distributeur ou des utilisateurs. Le devoir de signalement démarre le 11 septembre 2026 indépendamment. |
| « Nous différons la divulgation publique de chaque vulnérabilité jusqu'à la prochaine livraison trimestrielle. » | Le report n'est autorisé que dans des cas dûment justifiés jusqu'à ce que les utilisateurs puissent appliquer le correctif. Un regroupement trimestriel de routine ne remplit pas la condition. |
Le CRA pays par pays dans l'UE
Les obligations ci-dessus sont les mêmes dans chaque État membre. Ce qui change d'un pays à l'autre, c'est la chaîne institutionnelle : quelle autorité applique le règlement, quel CSIRT reçoit vos signalements, et la langue dans laquelle votre documentation destinée aux utilisateurs doit être livrée. Plusieurs désignations nationales sont encore en cours de finalisation, donc chaque fiche précise ce qui est confirmé et ce qui reste attendu.
- France : ANSSI comme autorité notifiante, ANFR pour la surveillance du marché, signalement via CERT-FR.
- Allemagne : BSI comme autorité combinée de surveillance du marché et autorité notifiante, signalement via CERT-Bund.
- Italie : ACN comme autorité nationale unique, avec l'accréditation ACCREDIA.
- Pays-Bas : signalement au NCSC et surveillance du marché prévue par la RDI.
- Pologne : acheminement via le CSIRT NASK et accréditation PCA.
- Espagne : signalement à l'INCIBE-CERT et répartition CCN/ENAC entre l'organisme notifié et l'accréditation.
Foire aux questions
Quelles sont les principales obligations du fabricant au titre du CRA ?
Quatre clusters d'obligations. Le signalement des vulnérabilités et incidents démarre le 11 septembre 2026 ; le régime intégral s'applique à compter du 11 décembre 2027.
- Avant la mise sur le marché. Évaluation des risques, conception conforme aux exigences essentielles de cybersécurité, documentation technique, évaluation de la conformité, déclaration UE de conformité, marquage CE.
- Tout au long de la période d'assistance. Gestion des vulnérabilités, SBOM, remédiation, divulgation coordonnée des vulnérabilités, mises à jour sécurisées. Au moins cinq ans par unité.
- Point de contact unique. Canal non automatisé joignable par les utilisateurs.
- Signalement des vulnérabilités et incidents. Cadence 24 h, 72 h et rapport final au CSIRT coordinateur et à l'ENISA via la plateforme unique de signalement.
Qu'est-ce qu'un fabricant au titre du CRA ?
Le titulaire de la marque. Un fabricant est l'entité qui développe ou fait concevoir un produit (y compris via une usine externalisée) et le commercialise ensuite sous son propre nom ou marque, à titre onéreux ou gratuit. La marque sur le produit, et non la localisation de la chaîne de production, détermine qui est le fabricant. Les gestionnaires open source relèvent d'une catégorie distincte et plus légère. La revente grand public sans marque relève de la distribution, et non de la fabrication.
Suis-je fabricant ou importateur ?
Tout dépend de la marque qui figure sur le produit.
- Votre propre nom ou marque sur le produit. Voie fabricant, quel que soit le lieu de fabrication. Ensemble complet d'obligations au titre du régime du fabricant.
- La marque d'un tiers (personne non européenne) sur un produit que vous mettez sur le marché de l'Union. Voie importateur. Ensemble de vérification uniquement.
Fabricant ou mandataire : quelle est la différence ?
Le mandataire est un relais administratif, pas un fabricant de substitution. Sa désignation est facultative.
- Ce que fait le mandataire, par mandat écrit. Il tient à disposition des autorités de surveillance du marché la DoC UE et la documentation technique, répond aux demandes motivées et coopère aux actions d'application.
- Ce qui reste au fabricant. L'ingénierie, l'évaluation des risques, la gestion des vulnérabilités, l'évaluation de la conformité, les devoirs de fabrication en série et la mise sur le marché du produit.
Existe-t-il des exemptions PME pour les fabricants ?
Les obligations substantielles s'appliquent quelle que soit la taille. Aucune exemption des obligations elles-mêmes.
- Concession PME, étroite. Les microentreprises et petites entreprises sont exemptées des amendes liées spécifiquement aux délais d'alerte précoce à 24 heures, et rien d'autre.
- Facteur de modulation de la sanction. Les autorités doivent tenir dûment compte de la taille du contrevenant (y compris les PME et les start-ups) pour fixer le montant des amendes.
- Catégorie du gestionnaire open source, distincte. Les gestionnaires open source bénéficient d'une exemption plus large des amendes administratives, mais ne sont pas des PME.
Quand les obligations CRA du fabricant s'appliquent-elles ?
Deux dates échelonnées.
- Signalement des vulnérabilités et incidents. Démarre le 11 septembre 2026. Les fabricants qui mettent des produits sur le marché de l'UE doivent disposer d'une capacité 24 heures, 72 heures et rapport final à cette date, même si leur programme de conformité intégral est encore en construction.
- Le reste du régime applicable au fabricant. Démarre le 11 décembre 2027. Couvre l'ensemble complet des obligations du fabricant : exigences essentielles de cybersécurité, évaluation de la conformité, DoC UE, marquage CE et documentation technique.
Qu'est-ce que la période d'assistance et comment est-elle déterminée ?
Au moins cinq ans à compter de la mise sur le marché de chaque unité, ou la durée d'utilisation prévue si elle est plus courte.
- Comment le fabricant détermine la période. Il tient compte des attentes raisonnables des utilisateurs, de la nature et de la finalité prévue du produit, du droit de l'Union sur la durée de vie des produits, des périodes d'assistance de produits comparables, de la disponibilité de l'environnement d'exploitation, des périodes d'assistance des composants tiers intégrés, des orientations de l'ADCO et des orientations de la Commission. L'analyse figure dans la documentation technique.
- Communication au point de vente. Date de fin au format au moins mois et année.
- Disponibilité des mises à jour de sécurité après la fin de la période. Chaque mise à jour de sécurité émise reste disponible pendant au moins 10 ans après son émission, ou pendant la durée restante de la période d'assistance, le délai le plus long étant retenu.
Quelle est la différence entre une « vulnérabilité activement exploitée » et un « incident grave » ?
Définitions distinctes, délais de rapport final distincts. Les deux flux partagent la cadence alerte précoce à 24 heures et notification à 72 heures.
- Vulnérabilité activement exploitée. Une vulnérabilité pour laquelle il existe des éléments fiables démontrant qu'un acteur malveillant l'a exploitée sans l'autorisation du propriétaire du système. Rapport final : 14 jours après la disponibilité d'une mesure corrective ou d'atténuation.
- Incident grave. Soit (a) affecte négativement, ou peut affecter, la capacité du produit à protéger la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données ou fonctions sensibles ou importantes, SOIT (b) a entraîné, ou peut entraîner, l'introduction ou l'exécution de code malveillant dans le produit ou dans le réseau d'un utilisateur. Rapport final : un mois après la notification à 72 heures.
Les composants open source dans notre produit affectent-ils nos obligations de fabricant ?
Oui. Le fabricant exerce une diligence raisonnable sur chaque composant tiers intégré, y compris les composants open source non commerciaux.
- Vulnérabilité dans un composant. Signaler à l'entité qui maintient le composant et remédier dans votre propre produit.
- Partage des correctifs en amont. Lorsque le fabricant a développé un correctif, partager le code ou la documentation utiles avec le mainteneur du composant le cas échéant, dans un format lisible par machine lorsque cela est applicable.
- Couverture du SBOM. Au moins les dépendances de premier niveau.
- Les gestionnaires open source relèvent d'une catégorie distincte. Régime plus léger, différent du régime fabricant.