Le non-respect du CRA expose à des amendes pouvant atteindre 15 000 000 EUR, ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Il s'agit du plafond le plus élevé prévu à l'Article 64(2), applicable au non-respect des exigences essentielles de l'Annexe I et des obligations des Articles 13 et 14. L'obligation SBOM figure à l'Annexe I. Deux dates structurent votre calendrier. L'obligation de signalement des vulnérabilités au titre de l'Article 14 devient obligatoire le 11 septembre 2026. L'application intégrale suit le 11 décembre 2027. Les produits mis sur le marché de l'UE après cette date sans SBOM conforme ne peuvent pas porter le marquage CE et ne peuvent pas légalement être vendus.
Synthèse
- 11 septembre 2026 : l'obligation de signalement des vulnérabilités et des incidents à l'ENISA au titre de l'Article 14 s'applique aux fabricants
- 11 décembre 2027 : application intégrale du CRA, y compris l'obligation SBOM de l'Annexe I
- Amende maximale : 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu), Article 64(2)
- Conservation : le SBOM doit être conservé pendant au moins dix ans à compter de la mise sur le marché du dernier exemplaire (Article 13(13))
Calendrier de conformité SBOM du CRA
Le CRA prévoit un calendrier d'application progressif. Deux dates concernent directement la conformité SBOM :
| Date | Étape |
|---|---|
| 11 septembre 2026 | Les obligations de signalement des vulnérabilités entrent en vigueur. Les fabricants doivent signaler les vulnérabilités activement exploitées dans les 24 heures. |
| 11 décembre 2027 | Application intégrale. Tous les produits comportant des éléments numériques doivent satisfaire aux exigences du CRA, y compris la fourniture de SBOM complets. |
Les produits mis sur le marché de l'UE après décembre 2027 sans SBOM conforme ne peuvent pas porter le marquage CE et ne peuvent pas légalement être vendus. Pour le calendrier progressif complet couvrant les organismes notifiés, les normes harmonisées et le signalement au titre de l'Article 14, consultez le calendrier de mise en œuvre du CRA.
Cadences de signalement au titre de l'Article 14
Le délai de « 24 heures » n'est que la première étape. L'Article 14 établit une cadence de signalement échelonnée auprès du CSIRT coordinateur et de l'ENISA simultanément, via la plateforme unique de signalement prévue à l'Article 16.
| Étape | Délai | Article | Déclencheur |
|---|---|---|---|
| Alerte précoce de vulnérabilité | Dans les 24 h | Art. 14(2)(a) | Vulnérabilité activement exploitée |
| Notification de vulnérabilité | Dans les 72 h | Art. 14(2)(b) | Vulnérabilité activement exploitée |
| Rapport final | Au plus tard 14 jours après la mesure corrective | Art. 14(2)(c) | Vulnérabilité activement exploitée |
| Alerte précoce d'incident | Dans les 24 h | Art. 14(4)(a) | Incident grave |
| Notification d'incident | Dans les 72 h | Art. 14(4)(b) | Incident grave |
| Rapport final | Au plus tard 1 mois après la notification d'incident | Art. 14(4)(c) | Incident grave |
L'obligation de signalement au titre de l'Article 14 s'applique à compter du 11 septembre 2026. Si votre produit présente une vulnérabilité activement exploitée après cette date, vous devez adresser une alerte précoce au CSIRT coordinateur et à l'ENISA dans les 24 heures, une notification plus complète dans les 72 heures, et un rapport final dans les 14 jours. Cette obligation suppose une infrastructure de surveillance des vulnérabilités déjà opérationnelle avant cette date. Le SBOM est le fondement de cette surveillance : vous ne pouvez pas suivre ce que vous n'avez pas documenté.
Conséquences du non-respect
Le non-respect du CRA entraîne des conséquences à la fois financières et commerciales. Les autorités de surveillance du marché de chaque État membre de l'UE seront chargées d'appliquer ces sanctions.
| Financières | Commerciales |
|---|---|
| Amendes pouvant atteindre 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total (Art. 64(2)) | Rappel ou retrait du produit du marché de l'UE |
| Les manquements au signalement échelonné peuvent faire l'objet d'amendes distinctes au titre des Art. 64(2) et 64(3) | Interdiction de mise sur le marché : les produits non conformes ne peuvent pas porter le marquage CE |
| Informations inexactes ou incomplètes transmises aux autorités : jusqu'à 5 000 000 EUR / 1 % (Art. 64(4)) | Impact sur la chaîne d'approvisionnement : vos clients peuvent être dans l'impossibilité d'utiliser votre produit dans le cadre de leur propre conformité au CRA |
Exposition aux sanctions par type d'opérateur
L'Article 64 fixe des plafonds d'amende différents selon l'obligation enfreinte et l'opérateur responsable. L'obligation SBOM figure à l'Annexe I : un SBOM manquant ou non conforme relève du plafond de l'Article 64(2) pour les fabricants.
| Opérateur | Obligation enfreinte | Article | Amende maximale |
|---|---|---|---|
| Fabricant | Exigences essentielles de l'Annexe I (y compris le SBOM) ou obligations des Articles 13 et 14 | Art. 64(2) | 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total |
| Importateur | Obligations de l'importateur au titre de l'Article 19 (vérification, étiquetage, documentation) | Art. 64(3) | 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total |
| Importateur agissant en tant que fabricant | Escalade au titre de l'Article 22 : l'apposition d'une marque propre ou la modification du produit déclenche le régime complet du fabricant | Art. 64(2) | 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total |
| Distributeur | Obligations du distributeur au titre de l'Article 20 (vérification, coopération avec la surveillance) | Art. 64(3) | 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total |
| Tous les opérateurs économiques | Fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités | Art. 64(4) | 5 000 000 EUR ou 1 % du chiffre d'affaires annuel mondial total |
L'Article 22 soumet un importateur au régime complet du fabricant lorsqu'il appose sa propre marque sur un produit tiers ou modifie le logiciel avant la revente. L'exposition aux sanctions passe alors de 10 M€ / 2 % à 15 M€ / 2,5 %, et toutes les obligations de l'Article 13 s'appliquent, y compris l'exigence SBOM de l'Annexe I.
Pour fixer le montant de l'amende administrative, les autorités tiennent dûment compte de trois facteurs au titre de l'Article 64(5) :
| Facteur | Incidence |
|---|---|
| La nature, la gravité et la durée de l'infraction et de ses conséquences | Infraction plus grave et plus longue = amende plus élevée |
| La question de savoir si des amendes ont déjà été imposées pour une infraction similaire | Récidive = amende plus élevée |
| La taille de l'opérateur économique, en particulier en ce qui concerne les microentreprises, les petites et moyennes entreprises, y compris les jeunes entreprises | Opérateur de taille plus réduite = amende proportionnellement plus basse |
Les microentreprises et les petites entreprises sont exemptées des amendes administratives en cas de non-respect du délai prévu aux Articles 14(2)(a) et 14(4)(a) pour les alertes précoces. Les intendants de logiciels ouverts sont exemptés des infractions couvertes par les paragraphes 3 à 9 de l'Article 64. Les obligations de l'Annexe I continuent de s'appliquer ; seule la sanction administrative est levée dans ces situations précises.
Questions fréquentes
Quelle est l'amende maximale prévue par le CRA ?
L'Article 64(2) fixe le maximum à 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Pour les grandes entreprises, le calcul basé sur le chiffre d'affaires peut dépasser largement le plafond fixe. Le plafond de 15 000 000 EUR ne s'applique que lorsque 2,5 % du chiffre d'affaires est inférieur à ce montant.
Une entreprise peut-elle être sanctionnée avant l'échéance de décembre 2027 ?
Les produits mis sur le marché après le 11 décembre 2027 doivent être pleinement conformes. Toutefois, l'obligation de signalement des vulnérabilités au titre de l'Article 14 prend effet le 11 septembre 2026. Les autorités peuvent faire respecter cette obligation à compter de cette date. Une entreprise qui ignore une vulnérabilité activement exploitée confirmée après septembre 2026 est déjà exposée.
Les amendes du CRA s'appliquent-elles par produit ou par entreprise ?
Les amendes sont évaluées par infraction, et non par unité vendue. Une seule gamme de produits non conforme constitue une infraction, mais le calcul de la sanction tient compte de l'ampleur du non-respect, du nombre d'unités en circulation et de tout avantage financier obtenu. Un non-respect systématique sur plusieurs gammes de produits serait généralement traité comme des infractions distinctes.
Quelle autorité fait respecter le CRA dans chaque État membre de l'UE ?
Le CRA ne désigne pas d'autorité unique à l'échelle de l'UE. Chaque État membre désigne sa propre autorité de surveillance du marché. L'ANSSI en France, le BSI en Allemagne, l'ACN en Italie et le CERT Polska en Pologne sont les organismes nationaux appelés à jouer un rôle de premier plan. Le réseau européen de conformité des produits coordonne l'application transfrontalière lorsque les problèmes concernent plusieurs marchés.
Qu'est-ce qui déclenche une enquête de surveillance du marché au titre du CRA ?
Les déclencheurs courants comprennent les plaintes de concurrents, les incidents de sécurité signalés par des clients, les contrôles par échantillonnage aléatoire de produits par les autorités, les signalements lors des contrôles à l'importation et les vulnérabilités non corrigées divulguées publiquement. Les autorités mènent également des campagnes sectorielles proactives ciblant les catégories de produits à haut risque.
Combien de temps un SBOM doit-il être conservé après le retrait d'un produit ?
Les fabricants tiennent la documentation technique et la déclaration UE de conformité à la disposition des autorités de surveillance du marché pendant une durée d'au moins dix ans après la mise sur le marché du produit comportant des éléments numériques ou pendant la période d'assistance, la période la plus longue étant retenue (Article 13(13)). Le SBOM doit rester à jour tout au long de la période d'assistance active, que le CRA fixe à cinq ans au minimum.