CRA per i fabbricanti francesi: ANSSI, ANFR e marcatura CE

Scheda paese per i fabbricanti francesi secondo il CRA: CERT-FR, ANSSI come autorità di notifica, ANFR per la vigilanza del mercato, accreditamento COFRAC.

Team CRA Evidence Pubblicato 4 gennaio 2026 Aggiornato 31 maggio 2026
Country brief CRA per i fabbricanti francesi con la catena istituzionale nazionale: CERT-FR per le segnalazioni di vulnerabilità, ANSSI come autorità di notifica, COFRAC per l'accreditamento, ANFR per la vigilanza del mercato
In questo articolo

I fabbricanti francesi sono soggetti agli stessi obblighi della Legge sulla ciberresilienza di qualsiasi altro fabbricante dell'UE. Questa pagina è un country brief per la Francia: come le segnalazioni di vulnerabilità e incidenti transitano attraverso CERT-FR (il CSIRT operativo di ANSSI), come gli organismi di valutazione della conformità dovrebbero essere designati secondo la ripartizione istituzionale francese (ANSSI notifica, COFRAC accredita), perché ANFR è il candidato principale per la vigilanza del mercato CRA in attesa dello strumento formale nel Journal Officiel (ruolo spesso erroneamente attribuito alla DGCCRF), cosa richiedono concretamente gli obblighi di lingua francese, e quali linee Bpifrance e France 2030 sono aperte per gli investimenti di conformità. Per il quadro completo degli obblighi del fabbricante, si consulti la guida cluster del fabbricante.

Sintesi

  • La Legge sulla ciberresilienza è un Regolamento UE ad efficacia diretta. Non esistono esenzioni specifiche per i fabbricanti francesi.
  • CERT-FR, il CSIRT operativo all'interno di ANSSI, è il CSIRT francese ricevente per le segnalazioni CRA di vulnerabilità e incidenti quando lo stabilimento principale del fabbricante è in Francia.
  • ANSSI dovrebbe agire come autorità di notifica francese che designa formalmente gli organismi notificati CRA alla Commissione europea. COFRAC accredita i candidati come fase tecnica preliminare alla notifica.
  • ANFR (Agence nationale des fréquences) è il candidato principale per la vigilanza del mercato CRA dei prodotti con elementi digitali immessi sul mercato francese, in attesa dello strumento formale nel Journal Officiel. ANSSI fornisce supporto tecnico. La DGCCRF è l'ispettore storico per la sicurezza dei prodotti di consumo e NON è l'autorità di vigilanza del mercato CRA prevista.
  • Il francese (français) è obbligatorio per le informazioni rivolte agli utenti dei prodotti immessi sul mercato francese, in linea con la Loi Toubon per i prodotti di consumo.
  • Bpifrance gestisce il programma Cyber PME e diversi bandi di cybersicurezza France 2030, cofinanziati con il Digital Europe Programme dell'UE. France 2030 resta uno strumento di pianificazione valido per gli investimenti di conformità in vista della scadenza dell'11 dicembre 2027.

A chi si applica questa guida

Il lettore di riferimento è il fabbricante il cui «stabilimento principale nell'Unione» si trova in Francia. Questo significa il luogo in cui vengono prevalentemente adottate le decisioni relative alla cibersicurezza dei prodotti con elementi digitali. Una filiale commerciale registrata in Francia con ingegneria all'estero non è lo stabilimento principale. Se il team tecnico, la governance del ciclo di sviluppo del software e le persone che approvano i rilasci degli aggiornamenti di sicurezza si trovano in Francia, questa guida è rivolta a Lei.

Se lo stabilimento principale si trova altrove nell'UE e si effettuano forniture solo nel mercato francese, le segnalazioni CRA transitano attraverso il CSIRT dello Stato membro di stabilimento principale, non attraverso CERT-FR. L'obbligo di lingua francese per le informazioni rivolte agli utenti si applica comunque per qualsiasi prodotto immesso sul mercato francese.

ANSSI e CERT-FR: il percorso CSIRT francese

Le notifiche CRA transitano attraverso il CSIRT designato come coordinatore dello Stato membro in cui il fabbricante ha il proprio stabilimento principale nell'Unione. Per un fabbricante il cui stabilimento principale è in Francia, tale CSIRT è CERT-FR, il braccio operativo di ANSSI (Agence nationale de la sécurité des systèmes d'information).

ANSSI è collegata al SGDSN e gestisce gli schemi nazionali di certificazione (CSPN, Visa de Sécurité) e i centri di valutazione accreditati (CESTI). CERT-FR pubblica avvisi di vulnerabilità in lingua francese e gestisce il flusso nazionale di coordinamento delle vulnerabilità.

Contatti CERT-FR: sito web https://www.cert.ssi.gouv.fr, email cert-fr@ssi.gouv.fr. ANSSI: https://www.ssi.gouv.fr.

Il canale tecnico per la cadenza di segnalazione 24h / 72h / 14 giorni è la piattaforma unica di segnalazione ENISA, operativa dall'11 settembre 2026. Un fabbricante francese trasmette tramite quella piattaforma con CERT-FR come coordinatore ricevente. La designazione del CSIRT definisce l'instradamento. La piattaforma è il mezzo di trasmissione.

Organismi notificati: ANSSI notifica, COFRAC accredita

I prodotti di Classe I Importante necessitano di un organismo notificato (Modulo B+C o Modulo H) solo quando norme armonizzate, specifiche comuni o uno schema di certificazione non coprono integralmente i requisiti del prodotto. I prodotti di Classe II Importante utilizzano un organismo notificato (Modulo B+C o Modulo H) oppure uno schema di certificazione disponibile e applicabile. I prodotti Critici (Allegato IV) seguono l'Articolo 32(4): il percorso di certificazione ai sensi dell'Articolo 8(1) quando la Commissione lo ha attivato, altrimenti gli stessi percorsi dell'Articolo 32(3).

La ripartizione istituzionale francese è la seguente:

  • ANSSI agisce come autorità di notifica che designa formalmente gli organismi notificati francesi alla Commissione europea nell'ambito della Legge sulla ciberresilienza. ANSSI valuta, controlla e notifica gli organismi di valutazione della conformità.
  • COFRAC (Comité français d'accréditation) è l'organismo nazionale francese di accreditamento e valuta la competenza tecnica di un candidato prima che ANSSI lo notifichi.

Il quadro della Legge sulla ciberresilienza per gli organismi notificati si applica dall'11 giugno 2026, con la fase di accreditamento e notifica di ANSSI che va da giugno a dicembre 2026. A fine maggio 2026 non risulta alcun organismo notificato designato a livello UE nell'ambito della Legge sulla ciberresilienza, e la designazione nazionale formale francese resta in attesa nel Journal Officiel. La catena è in fase di costituzione.

Un fabbricante francese può utilizzare qualsiasi organismo notificato UE, non solo quelli designati in Francia. Scegliere un organismo designato in Francia (LNE, LCIE Bureau Veritas, SGS France e altri organismi storicamente accreditati) è una preferenza di approvvigionamento, non un requisito della Legge sulla ciberresilienza. Le designazioni CRA definitive sono pubblicate nel database NANDO della Commissione europea.

ANFR: l'autorità di vigilanza del mercato CRA

La vigilanza del mercato CRA per i prodotti con elementi digitali immessi sul mercato francese dovrebbe essere affidata ad ANFR (Agence nationale des fréquences), non alla DGCCRF. ANSSI conferma questa direzione istituzionale sulla sua pagina CRA ufficiale su cyber.gouv.fr, e ANSSI stessa fornisce supporto tecnico ad ANFR nel quadro della vigilanza del mercato. Si verifichi la designazione definitiva nel Journal Officiel prima di qualsiasi deposito formale.

La via di attuazione francese attribuirebbe ad ANFR poteri sanzionatori fino a 15 milioni di euro o al 2,5% del fatturato annuo globale per le violazioni più gravi della Legge sulla ciberresilienza, nei limiti dell'UE previsti dal Regolamento.

La DGCCRF mantiene il suo ruolo generale di ispettore per la sicurezza dei prodotti di consumo e continuerà a individuare merci non conformi alla frontiera o nel commercio al dettaglio, ma il ruolo atteso di autorità di vigilanza del mercato CRA per i prodotti digitali spetta ad ANFR. Si pianifichi verso ANFR, verificando il testo finale del JO prima di qualsiasi deposito formale.

Obblighi di lingua francese in pratica

La Legge sulla ciberresilienza richiede che le informazioni rivolte agli utenti del prodotto siano in una lingua facilmente comprensibile dagli utenti e dall'autorità di vigilanza del mercato locale. Per i prodotti immessi sul mercato francese, tale lingua è il francese. La Loi Toubon (loi n° 94-665) impone indipendentemente il francese in tutte le informazioni al consumatore, perciò l'obbligo della Legge sulla ciberresilienza si allinea a una norma nazionale consolidata.

Deve essere in francese:

  • Le istruzioni per l'utente e le informazioni sul prodotto che accompagnano il prodotto.
  • I dettagli di contatto del fabbricante (nome, indirizzo, email o altro contatto digitale) ovunque compaiano, inclusi il prodotto stesso, la confezione o il documento allegato.
  • La comunicazione della data di fine supporto mostrata al punto di vendita.

Può essere multilingue:

  • L'etichetta del prodotto e la marcatura CE.
  • Il testo dell'imballaggio.
  • La documentazione online, a condizione che sia accessibile una versione in francese.

L'inglese è normalmente accettato per:

  • La documentazione tecnica interna. ANFR o qualsiasi altra autorità di vigilanza del mercato di uno Stato membro può richiedere una traduzione in francese con una richiesta motivata, quindi conviene pianificare per questa eventualità anche senza tradurre in via preventiva.

La dichiarazione UE di conformità deve essere messa a disposizione nelle lingue richieste dallo Stato membro in cui il prodotto è immesso o reso disponibile sul mercato. Per la Francia, si pianifichi una versione francese invece di trattare la traduzione come una mera eventualità ispettiva.

Vendite transfrontaliere dalla Francia

I fabbricanti francesi che vendono in Belgio, Spagna, Germania, Italia o qualsiasi altro Stato membro UE sono soggetti alla stessa regola di instradamento unico: le segnalazioni transitano ancora attraverso CERT-FR, perché l'instradamento segue lo stabilimento principale, non la destinazione di ciascuna spedizione. Non si notifica al CSIRT belga, spagnolo, tedesco o italiano.

L'obbligo linguistico si ramifica invece per mercato. Un prodotto spedito nel mercato spagnolo richiede contenuti rivolti agli utenti in spagnolo. Un prodotto spedito nel mercato tedesco richiede contenuti in tedesco. Il pacchetto in lingua francese non copre quei mercati.

L'autorità di vigilanza del mercato di ciascuno Stato membro ricevente può inoltre richiedere la documentazione tecnica in una lingua facilmente comprensibile da quell'autorità. Se la distribuzione si estende a più paesi UE, ci si aspetti richieste in almeno una lingua di lavoro ampiamente diffusa, e si consideri la traduzione anticipata delle sezioni di documentazione tecnica più richieste come una misura pratica preventiva.

Programmi nazionali di finanziamento

A differenza del Plan de Recuperación spagnolo che sta chiudendo la finestra NextGenEU nel 2026, i programmi nazionali francesi per gli investimenti in cybersicurezza restano aperti e attivi nel 2026 e oltre.

  • Bpifrance gestisce il Diagnostic Cybersécurité (un audit di cybersicurezza sovvenzionato per le PMI) e il programma Cyber PME. La Fase B di Cyber PME ha accettato domande fino al 26 novembre 2025 per le aziende con data di presentazione del piano di sicurezza successiva al 1° gennaio 2024. La Fase A e i bandi successivi continuano a essere pubblicati.
  • France 2030 è il piano nazionale di investimento con bandi specifici per la cybersicurezza gestiti congiuntamente dal Secrétariat général pour l'investissement (SGPI), Bpifrance e ANSSI. I bandi per lo sviluppo di prodotti di cybersicurezza sono cofinanziati con il Digital Europe Programme dell'UE, con bandi recenti che offrono fino a 2 milioni di euro di supporto combinato. La R&S sulla sicurezza guidata dalla Legge sulla ciberresilienza rientra dove l'angolazione riguarda una reale innovazione di prodotto.
  • France Num offre voucher diagnostici regionali gestiti tramite le camere di commercio e industria. Utile per un Plan de Cybersécurité iniziale, ma non per l'investimento completo in strumenti CRA.
  • Prêt Innovation e l'Aide pour le développement de l'innovation sono linee di prestito e contributo Bpifrance che possono finanziare strumenti SBOM, lo sviluppo di capacità di gestione delle vulnerabilità e i costi di valutazione della conformità, dove il lavoro di cybersicurezza abbia una reale componente di innovazione.

Le finestre di ammissibilità e i tetti di budget cambiano annualmente. Si verifichi la convocazione corrente prima di pianificare qualsiasi voce su questi programmi.

Domande frequenti

Quale CSIRT francese riceve le mie segnalazioni di vulnerabilità CRA?

CERT-FR, il CSIRT operativo all'interno di ANSSI, quando lo stabilimento principale del fabbricante è in Francia. La Legge sulla ciberresilienza definisce lo stabilimento principale come il luogo in cui vengono prevalentemente adottate le decisioni relative alla cibersicurezza dei prodotti con elementi digitali. Le segnalazioni vengono trasmesse tramite la piattaforma unica di segnalazione ENISA dall'11 settembre 2026, con CERT-FR come coordinatore ricevente.

Chi designa gli organismi notificati francesi, COFRAC o ANSSI?

ANSSI dovrebbe essere l'autorità di notifica che designa formalmente gli organismi notificati CRA francesi alla Commissione europea. COFRAC accredita i candidati come fase tecnica preliminare a tale notifica. Entrambi sono coinvolti con ruoli distinti. La fase di accreditamento e notifica di ANSSI va da giugno 2026 a dicembre 2026. A fine maggio 2026 non risulta alcun organismo notificato designato a livello UE nell'ambito della Legge sulla ciberresilienza. Un fabbricante francese può comunque utilizzare qualsiasi organismo notificato UE per la valutazione della conformità.

La mia certificazione CSPN o Visa de Sécurité copre la valutazione della conformità CRA?

No, nessuna delle due sostituisce la valutazione della conformità CRA, sebbene entrambe possano produrre elementi a supporto di essa. CSPN (Certification de Sécurité de Premier Niveau) è la valutazione nazionale leggera dei prodotti di ANSSI. Visa de Sécurité è il marchio di certificazione che ANSSI rilascia ai prodotti valutati con CSPN. CSPN si inserisce nella metodologia europea di valutazione a tempo fisso tramite FITCEM EN 17640:2022 insieme alle metodologie BSZ tedesca e LINCE spagnola, quindi i suoi risultati possono essere inseriti nella documentazione tecnica CRA come prove di supporto. I percorsi di valutazione della conformità della Legge sulla ciberresilienza (Modulo A autodichiarazione, Modulo B+C esame del tipo, Modulo H garanzia della qualità completa) operano come una catena separata. Se si dispone di una CSPN o di un Visa de Sécurité, lo si tratti come elemento a supporto del fascicolo CRA, non come sostituto della valutazione della conformità.

Quale autorità francese è l'autorità di vigilanza del mercato CRA, ANFR o DGCCRF?

ANFR (Agence nationale des fréquences) è il candidato principale per la vigilanza del mercato CRA dei prodotti con elementi digitali sul mercato francese, secondo la pagina CRA di riferimento di ANSSI e la via di attuazione francese. ANSSI fornisce supporto tecnico ad ANFR nel quadro della vigilanza del mercato. La DGCCRF mantiene il suo consolidato ruolo di ispettore per la sicurezza dei prodotti di consumo e continuerà a individuare merci non conformi alla frontiera o nel commercio al dettaglio, ma non è l'autorità di vigilanza del mercato CRA prevista. La via di attuazione francese attribuirebbe ad ANFR poteri sanzionatori fino a 15 milioni di euro o al 2,5% del fatturato annuo globale nei limiti dell'UE della Legge sulla ciberresilienza. Si verifichi il testo finale del JO prima di qualsiasi deposito formale.

Quando pubblicherà la Francia il decreto nazionale di attuazione CRA nel Journal Officiel?

La Legge sulla ciberresilienza è un Regolamento UE ad efficacia diretta, quindi la Francia non deve recepirla nel diritto nazionale affinché gli obblighi sostanziali si applichino dall'11 dicembre 2027. Ciò che la Francia deve pubblicare prima dell'11 giugno 2026 è un décret o un arrêté ministériel che confermi formalmente le designazioni istituzionali (ANFR come autorità di vigilanza del mercato, ANSSI come autorità di notifica, CERT-FR come CSIRT ricevente) e stabilisca la scala nazionale delle sanzioni nei limiti dell'UE della Legge sulla ciberresilienza. Al 25 maggio 2026, ANFR, ANSSI e CERT-FR sono le principali designazioni nei materiali di ANSSI e legislativi, ma non ho trovato alcuno strumento finale specifico CRA nel Journal Officiel. Si monitori il JO per un décret specifico CRA intorno alla scadenza quadro dell'11 giugno 2026.

Devo tradurre tutto in francese per le vendite B2B?

Per i prodotti immessi sul mercato francese con utenti finali in Francia, sì. La Legge sulla ciberresilienza richiede le informazioni agli utenti in francese. La Loi Toubon (loi n° 94-665) impone indipendentemente il francese nelle informazioni al consumatore. Le vendite B2B tra professionisti hanno una certa flessibilità ai sensi della Loi Toubon, ma l'obbligo della Legge sulla ciberresilienza non distingue su questa base una volta che il prodotto è immesso sul mercato francese. Si pianifichi di fornire informazioni utente in francese, comunicazione del periodo di supporto in francese e dettagli di contatto del fabbricante in francese sia per i canali consumer che per quelli professionali.

Bpifrance o France 2030 possono finanziare i miei strumenti di conformità CRA?

Dove il lavoro è genuina R&S e innovazione (nuovi metodi di rilevamento, strumenti di analisi SBOM, pipeline di gestione delle vulnerabilità, sviluppo di prodotti di cybersicurezza rilevanti per la Legge sulla ciberresilienza), sì. Bpifrance Cyber PME e i bandi di cybersicurezza France 2030 hanno finanziato direttamente lavori rilevanti per la Legge sulla ciberresilienza, e France 2030 è cofinanziato con il Digital Europe Programme dell'UE per i bandi su prodotti di cybersicurezza. Il puro lavoro di conformità (audit, costi di valutazione della conformità, sviluppo dei processi interni) è più difficile da inquadrare, poiché France 2030 è un finanziamento all'innovazione piuttosto che alla conformità. France Num offre voucher diagnostici regionali per le PMI, utili per un Plan de Cybersécurité iniziale.

Spedisco dalla Francia verso altri Stati membri UE. Dove segnalo gli incidenti?

Tramite CERT-FR, indipendentemente dagli Stati membri verso cui si spedisce. La Legge sulla ciberresilienza lega l'instradamento delle notifiche allo stabilimento principale, non alla destinazione di ciascuna spedizione. L'obbligo linguistico si ramifica invece per mercato: informazioni sul prodotto in spagnolo per i prodotti spediti in Spagna, in tedesco per i prodotti spediti in Germania, e così via. Si anticipi la traduzione almeno delle sezioni di documentazione tecnica più richieste in una lingua di lavoro ampiamente diffusa per gestire le richieste motivate transfrontaliere.

Per i fabbricanti francesi in preparazione all'11 dicembre 2027

  1. Confermare gli obblighi del fabbricante tramite la guida cluster del fabbricante.
  2. Verificare che lo stabilimento principale sia in Francia e documentare la motivazione. Il luogo in cui vengono adottate le decisioni di cibersicurezza, non la sede legale registrata, è ciò che rileva.
  3. Mappare il flusso di segnalazione CRA su CERT-FR come CSIRT ricevente, con una trasmissione di prova alla piattaforma unica di segnalazione ENISA non appena operativa dall'11 settembre 2026.
  4. Se il percorso di valutazione della conformità richiede un organismo notificato, valutare gli organismi accreditati COFRAC e notificati ANSSI come opzione principale, più almeno un'alternativa transfrontaliera per la resilienza.
  5. Pianificare richieste documentali e ispezioni ANFR in francese. La dichiarazione UE di conformità deve essere disponibile nella lingua richiesta dalla Francia; si prepari quindi una versione francese per il mercato francese.
  6. Tradurre le istruzioni per l'utente e le informazioni sul prodotto in francese. La sovrapposizione con la Loi Toubon significa che questo lavoro è già a metà per molte aziende francesi. Si aggiungano traduzioni per mercato per qualsiasi altro Stato membro verso cui si spedisce.
  7. Valutare Bpifrance Cyber PME, i bandi di cybersicurezza France 2030 e Prêt Innovation per qualsiasi lavoro CRA con componente di R&S. Si verifichi la finestra di convocazione corrente prima di includerlo nel piano.
  8. Leggere il questionario di due diligence sui fornitori per il quadro di due diligence sui componenti del fabbricante.

Questo articolo è fornito a solo scopo informativo e non costituisce consulenza legale. Per una guida specifica sulla conformità CRA, si consulti un consulente legale qualificato.

CRA Francia Gestione delle vulnerabilità
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Guide sempreverdi su requisiti, processi e ruoli definiti dal Regolamento sulla cibersicurezza (CRA).

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
View full CRA compliance guide