CRA voor Franse fabrikanten: ANSSI, ANFR en CE-markering

Landenoverzicht voor Franse fabrikanten onder de CRA: CERT-FR-routering, ANSSI als notificerende autoriteit, ANFR voor markttoezicht, COFRAC-accreditatie.

CRA Evidence Team Gepubliceerd 4 januari 2026 Bijgewerkt 11 juni 2026
CRA-landenbriefing voor Franse fabrikanten met het nationale institutionele kader: CERT-FR voor kwetsbaarheidsmeldingen, ANSSI als notificerende autoriteit, COFRAC voor accreditatie, ANFR voor markttoezicht
In dit artikel

Franse fabrikanten hebben dezelfde Cyberweerbaarheidsverordening-verplichtingen als elke andere EU-fabrikant. Deze pagina is een landenbriefing voor Frankrijk: hoe kwetsbaarheidsmeldingen en incidentrapportages lopen via CERT-FR (het operationele CSIRT van ANSSI), hoe conformiteitsbeoordelingsinstanties naar verwachting worden aangewezen via de Franse taakverdeling (ANSSI notificeert, COFRAC accrediteert), hoe ANFR de belangrijkste kandidaat is voor markttoezicht onder de Cyberweerbaarheidsverordening in afwachting van het formele instrument in het Journal Officiel (een rol die vaak ten onrechte aan DGCCRF wordt toegeschreven), wat de Franse taalvereisten concreet inhouden, en welke Bpifrance- en France 2030-lijnen openstaan voor compliance-investeringen. Raadpleeg voor het volledige verplichtingenpakket de clustergids voor fabrikanten.

Samenvatting

  • De Cyberweerbaarheidsverordening is een EU-verordening met rechtstreekse werking. Er bestaan geen Franse uitzonderingen voor productfabrikanten.
  • CERT-FR, het operationele CSIRT binnen ANSSI, is het ontvangende Franse CSIRT voor kwetsbaarheidsmeldingen en incidentrapportages wanneer uw hoofdvestiging in Frankrijk ligt.
  • ANSSI zal naar verwachting optreden als Franse notificerende autoriteit die formeel Franse aangemelde instanties bij de Europese Commissie aanmeldt. COFRAC accrediteert de kandidaat-instanties als technische stap vóór die notificatie.
  • ANFR (Agence nationale des fréquences) is de belangrijkste kandidaat voor CRA-markttoezicht op producten met digitale elementen op de Franse markt, in afwachting van het formele instrument in het Journal Officiel. ANSSI biedt technische ondersteuning. DGCCRF is de historische consumentenproductveiligheidsinspecteur en is NIET de verwachte markttoezichtautoriteit voor de Cyberweerbaarheidsverordening.
  • Frans (français) is verplicht voor gebruikersgerichte productinformatie die op de Franse markt wordt geleverd, zoals de Cyberweerbaarheidsverordening vereist en versterkt door de Loi Toubon voor consumentenproducten.
  • Bpifrance beheert het Cyber PME-programma en meerdere France 2030 cybersecurity-oproepen. France 2030 wordt medegefinancierd door het EU Digital Europe Programme en is een haalbaar planningsinstrument voor compliance-investeringen in aanloop naar de deadline van 11 december 2027.

Wanneer deze gids op u van toepassing is

U bent de beoogde lezer als uw "hoofdvestiging in de Unie" als fabrikant in Frankrijk ligt. Dat is de plek waar de beslissingen over de cyberbeveiliging van uw producten met digitale elementen hoofdzakelijk worden genomen. Een in Frankrijk geregistreerde verkoopsdochtermaatschappij met engineering in het buitenland is niet de hoofdvestiging. Als uw engineeringteam, uw SDLC-governance en de mensen die goedkeuring geven aan beveiligingsupdates in Frankrijk zitten, is deze gids voor u.

Als uw hoofdvestiging elders in de EU ligt en u alleen naar Frankrijk levert, lopen uw meldingen via het CSIRT van de lidstaat waar uw hoofdvestiging zich bevindt, niet via CERT-FR. De Franse taalverplichting voor gebruikersgerichte informatie geldt echter voor elk product dat op de Franse markt wordt gebracht.

ANSSI en CERT-FR: de Franse CSIRT-route

Meldingen voor de Cyberweerbaarheidsverordening lopen via het CSIRT dat is aangewezen als coördinator van de lidstaat waar de fabrikant zijn hoofdvestiging in de Unie heeft. Voor een fabrikant met hoofdvestiging in Frankrijk is dat CSIRT CERT-FR, het operationele onderdeel van ANSSI (Agence nationale de la sécurité des systèmes d'information).

ANSSI valt onder het SGDSN en beheert de Franse nationale certificeringsschema's (CSPN, Visa de Sécurité) en de geaccrediteerde evaluatiecentra (CESTI). CERT-FR publiceert Franstalige kwetsbaarheidsadviezen en voert de nationale kwetsbaarheidscoördinatie uit.

CERT-FR-contact: website https://www.cert.ssi.gouv.fr, e-mail cert-fr@ssi.gouv.fr. ANSSI: https://www.ssi.gouv.fr.

Het technische kanaal voor de meldings­cadans van 24 uur, 72 uur en 14 dagen is het ENISA Single Reporting Platform, dat op 11 september 2026 operationeel wordt. Een Franse fabrikant dient via dat platform in, met CERT-FR als ontvangende coördinator. De CSIRT-aanwijzing bepaalt de routering. Het platform verzorgt het transport.

Aangemelde instanties: ANSSI notificeert, COFRAC accrediteert

Voor Belangrijke Klasse I-producten waarvoor geen geharmoniseerde norm wordt toegepast, Belangrijke Klasse II-producten en Kritieke producten is conformiteitsbeoordeling door een aangemelde instantie vereist (Module B+C of Module H).

De Franse institutionele taakverdeling is:

  • ANSSI treedt op als notificerende autoriteit die formeel Franse aangemelde instanties bij de Europese Commissie aanmeldt. ANSSI evalueert, controleert en notificeert de conformiteitsbeoordelingsinstanties.
  • COFRAC (Comité français d'accréditation) is de Franse nationale accreditatie-instantie en beoordeelt de technische competentie van een kandidaat vóórdat ANSSI die notificeert.

Het kader voor aangemelde instanties onder de Cyberweerbaarheidsverordening geldt vanaf 11 juni 2026, met ANSSI's accreditatie- en notificatiefase van juni tot december 2026. Eind mei 2026 zijn er EU-breed nul aangemelde instanties aangewezen, en de formele Franse nationale aanwijzing is nog in afwachting in het Journal Officiel. De keten wordt nu opgebouwd.

Een Franse fabrikant mag elke EU-aangemelde instantie gebruiken, niet alleen Frans aangewezen instanties. De keuze voor een Frans aangewezen instantie (LNE, LCIE Bureau Veritas, SGS France en andere historisch geaccrediteerde instanties) is een inkoopvoorkeur, geen vereiste van de Cyberweerbaarheidsverordening. Definitieve aanwijzingen worden gepubliceerd in de NANDO-database van de Europese Commissie.

ANFR: de markttoezichtautoriteit voor de Cyberweerbaarheidsverordening

Het markttoezicht voor producten met digitale elementen op de Franse markt komt naar verwachting bij ANFR (Agence nationale des fréquences) te liggen, niet bij DGCCRF. ANSSI bevestigt deze institutionele richting op zijn officiële CRA-pagina op cyber.gouv.fr, en ANSSI biedt zelf technische ondersteuning aan ANFR binnen het markttoezichtkader. Controleer de definitieve aanwijzing in het Journal Officiel vóór formele indieningen.

Het Franse implementatiepad zou ANFR sanctiebevoegdheden geven tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet voor de ernstigste overtredingen van de Cyberweerbaarheidsverordening, binnen de EU-plafonds die de Verordening vaststelt.

DGCCRF behoudt haar algemene consumentenproductveiligheidsrol en zal non-conforme goederen aan de grens of in de detailhandel blijven signaleren, maar de verwachte CRA-markttoezichtrol voor digitale producten is die van ANFR. Plan richting ANFR, maar controleer de definitieve JO-tekst vóór formele indieningen.

Franse taalvereisten in de praktijk

De Cyberweerbaarheidsverordening vereist dat gebruikersgerichte productinformatie is gesteld in een taal die gebruikers en de lokale markttoezichtautoriteit goed kunnen begrijpen. Voor producten op de Franse markt is dat Frans. De Loi Toubon (Law 94-665) vereist Frans in alle consumenteninformatie onafhankelijk daarvan, zodat de Cyberweerbaarheidsverordening-verplichting aansluit bij een langbestaande nationale regel.

Verplicht in het Frans:

  • De gebruikersinstructies en productinformatie die bij het product worden geleverd.
  • De contactgegevens van de fabrikant (naam, adres, e-mail of ander digitaal contactpunt) waar die ook verschijnen, inclusief op het product zelf, de verpakking of het bijgevoegde document.
  • De einddatumdisclosure voor ondersteuning die op het verkooppunt wordt getoond.

Kan meertalig zijn:

  • Het productlabel en de CE-markering.
  • Verpakkingsteksten.
  • Online documentatie, mits een Franstalige versie bereikbaar is.

Engels is doorgaans aanvaardbaar voor:

  • Interne technische documentatie. ANFR of de markttoezichtautoriteit van een andere lidstaat kan een Franstalige vertaling opvragen bij een gemotiveerd verzoek, dus plan voor die situatie ook als u niet proactief vertaalt.

De EU-conformiteitsverklaring moet beschikbaar worden gesteld in de talen die vereist zijn door de lidstaat waar het product in de handel wordt gebracht of op de markt wordt aangeboden. Voor Frankrijk moet u een Franstalige versie plannen in plaats van vertaling alleen als inspectierisico te behandelen.

Grensoverschrijdend verkopen vanuit Frankrijk

Franse fabrikanten die leveren aan België, Spanje, Duitsland, Italië of een andere EU-lidstaat houden dezelfde enkele routeringsregel: uw meldingen lopen nog steeds via CERT-FR, want de routering volgt de hoofdvestiging, niet de bestemming per levering. U dient niet bij het Belgische, Spaanse, Duitse of Italiaanse CSIRT in.

De taalverplichting vertakt wel per markt. Een product dat naar de Spaanse markt wordt geleverd, heeft Spaanstalige gebruikersgerichte inhoud nodig. Een product dat naar de Duitse markt gaat, heeft Duitstalige inhoud nodig. Het enkele Franstalige pakket dekt die markten niet.

De markttoezichtautoriteit van elke ontvangende lidstaat kan ook uw technische documentatie opvragen in een taal die die autoriteit goed begrijpt. Als uw levering breed over de EU loopt, verwacht dan verzoeken in ten minste één veelgebruikte werktaal en behandel vroeg vertaalde versies van de meest gevraagde technische documentatiesecties als een praktische buffer.

Nationale financieringsprogramma's

Anders dan het Spaanse Plan de Recuperación, dat in 2026 zijn NextGenEU-venster sluit, blijven de Franse nationale programma's voor cybersecurity-investeringen open en actief in 2026 en daarna.

  • Bpifrance beheert het Diagnostic Cybersécurité (een gesubsidieerde cybersecurity-audit voor mkb-bedrijven) en het Cyber PME-programma. Cyber PME Fase B accepteerde aanvragen tot 26 november 2025 voor bedrijven waarvan de ingediende datum van het beveiligingsplan na 1 januari 2024 lag. Fase A en vervolgoproepen worden nog steeds uitgeschreven.
  • France 2030 is het nationale investeringsplan met cybersecurity-specifieke oproepen die gezamenlijk worden uitgevoerd door de Secrétariat général pour l'investissement (SGPI), Bpifrance en ANSSI. Cybersecurity-productontwikkelingsoproepen worden medegefinancierd door het EU Digital Europe Programme, met recente oproepen van tot 2 miljoen euro gecombineerde steun. CRA-gedreven beveiligings-R&D past waar de invalshoek echte productontwikkelingsinnovatie is.
  • France Num biedt regionale diagnostische vouchers via de kamers van koophandel en industrie. Handig voor een eerste Plan de Cybersécurité, maar niet voor de volledige CRA-toolinginvestering.
  • Prêt Innovation en de Aide pour le développement de l'innovation zijn Bpifrance-lening- en subsidielijnen die SBOM-tooling, de opbouw van kwetsbaarheidsafhandelingscapaciteit en conformiteitsbeoordelingskosten kunnen ondersteunen, mits het cybersecurity-werk een echte innovatiecomponent heeft.

Subsidiabiliteitvensters en budgetplafonds wijzigen jaarlijks. Bevestig de actuele convocatie voordat u een budgetregel op deze programma's afstemt.

Veelgestelde vragen

Welk Frans CSIRT ontvangt mijn kwetsbaarheidsmeldingen voor de Cyberweerbaarheidsverordening?

CERT-FR, het operationele CSIRT binnen ANSSI, wanneer de hoofdvestiging van de fabrikant in Frankrijk ligt. De Cyberweerbaarheidsverordening definieert hoofdvestiging als de plek waar beslissingen over de cyberbeveiliging van producten met digitale elementen hoofdzakelijk worden genomen. Meldingen worden ingediend via het ENISA Single Reporting Platform vanaf 11 september 2026, met CERT-FR als ontvangende coördinator.

Wie wijst Franse aangemelde instanties aan, COFRAC of ANSSI?

ANSSI zal naar verwachting de notificerende autoriteit zijn die formeel Franse aangemelde instanties voor de Cyberweerbaarheidsverordening bij de Europese Commissie aanmeldt. COFRAC accrediteert de kandidaat-instanties als technische stap vóór die notificatie. Beide zijn betrokken, met afzonderlijke rollen. ANSSI's accreditatie- en notificatiefase loopt van juni 2026 tot december 2026. Eind mei 2026 zijn er EU-breed nul aangemelde instanties aangewezen. Een Franse fabrikant kan voor de conformiteitsbeoordeling nog steeds elke EU-aangemelde instantie inschakelen.

Dekt mijn CSPN- of Visa de Sécurité-certificering de conformiteitsbeoordeling voor de Cyberweerbaarheidsverordening?

Nee, geen van beide vervangt de conformiteitsbeoordeling voor de Cyberweerbaarheidsverordening, hoewel beide bewijsmateriaal kunnen opleveren dat die onderbouwt. CSPN (Certification de Sécurité de Premier Niveau) is ANSSI's nationale lichtgewicht productevaluatie. Visa de Sécurité is het certificeringsmerk dat ANSSI verleent aan CSPN-geëvalueerde producten. CSPN past via FITCEM EN 17640:2022 in de Europese fixed-time evaluatiemethodologie, samen met de Duitse BSZ- en Spaanse LINCE-methodologieën, zodat de uitkomsten als ondersteunend bewijsmateriaal in uw technische documentatie voor de Cyberweerbaarheidsverordening kunnen worden opgenomen. De conformiteitsbeoordelingsroutes van de Cyberweerbaarheidsverordening zelf (Module A zelfbeoordeling, Module B+C type-onderzoek, Module H volledige kwaliteitsborging) werken als afzonderlijke keten. Beschouw een CSPN of Visa de Sécurité als input voor uw CRA-dossier, niet als vervanging voor de conformiteitsbeoordeling zelf.

Welke Franse autoriteit is de markttoezichtautoriteit voor de Cyberweerbaarheidsverordening, ANFR of DGCCRF?

ANFR (Agence nationale des fréquences) is de belangrijkste kandidaat voor CRA-markttoezicht op producten met digitale elementen op de Franse markt, volgens ANSSI's CRA-referentiepagina en het Franse implementatiepad. ANSSI biedt technische ondersteuning aan ANFR binnen het markttoezichtkader. DGCCRF behoudt haar langbestaande algemene consumentenproductveiligheidsrol en zal non-conforme goederen aan de grens of in de detailhandel blijven signaleren, maar is niet de verwachte markttoezichtautoriteit voor de Cyberweerbaarheidsverordening. Het Franse implementatiepad zou ANFR sanctiebevoegdheden geven tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet, binnen de EU-plafonds van de Verordening. Controleer de definitieve JO-tekst vóór formele indieningen.

Wanneer publiceert Frankrijk zijn nationaal uitvoeringsbesluit voor de Cyberweerbaarheidsverordening in het Journal Officiel?

De Cyberweerbaarheidsverordening is een EU-verordening met rechtstreekse werking, dus Frankrijk hoeft haar niet om te zetten in nationaal recht om de substantiële verplichtingen per 11 december 2027 te laten gelden. Wat Frankrijk vóór 11 juni 2026 moet publiceren, is een décret of arrêté ministériel dat de institutionele aanwijzingen formeel bevestigt (ANFR als markttoezichtautoriteit, ANSSI als notificerende autoriteit, CERT-FR als ontvangend CSIRT) en de nationale boeteschaal vaststelt binnen de EU-plafonds van de Verordening. Per 25 mei 2026 zijn ANFR, ANSSI en CERT-FR de belangrijkste aanwijzingen in ANSSI- en wetgevingsmateriaal, maar ik heb geen definitief CRA-specifiek instrument in het Journal Officiel gevonden. Volg het JO voor een CRA-specifiek décret rond de kaderdeadline van 11 juni 2026.

Moet ik alles vertalen naar het Frans voor B2B-verkoop?

Voor producten die op de Franse markt worden gebracht met eindgebruikers in Frankrijk: ja. De Cyberweerbaarheidsverordening verplicht gebruikersinformatie in het Frans. De Loi Toubon (Law 94-665) vereist Frans in consumenteninformatie onafhankelijk daarvan. B2B-verkoop tussen professionals heeft enige flexibiliteit onder de Loi Toubon, maar de verplichting van de Cyberweerbaarheidsverordening maakt geen onderscheid op die grond zodra het product op de Franse markt wordt gebracht. Plan Franstalige gebruikersinformatie, een Franstalige support-perioddisclosure en Franstalige contactgegevens van de fabrikant voor zowel consumenten- als zakelijke kanalen.

Kan Bpifrance of France 2030 mijn CRA-compliance-tooling financieren?

Waar het werk echte R&D en innovatie betreft (nieuwe detectiemethoden, SBOM-analysetooling, kwetsbaarheidsafhandelingspipelines, CRA-relevante cybersecurity-productontwikkeling): ja. Bpifrance Cyber PME en France 2030-cybersecurity-oproepen hebben CRA-relevant werk rechtstreeks gefinancierd, en France 2030 wordt medegefinancierd door het EU Digital Europe Programme voor cybersecurity-productoproepen. Puur compliance-werk (audits, conformiteitsbeoordelingskosten, interne procesopbouw) is moeilijker te plaatsen, want France 2030 is innovatiefinanciering, geen compliance-financiering. France Num biedt regionale diagnostische vouchers voor mkb-bedrijven, handig voor een eerste Plan de Cybersécurité.

Ik lever vanuit Frankrijk naar andere EU-lidstaten. Waar meld ik incidenten?

Via CERT-FR, ongeacht naar welke lidstaten u levert. De Cyberweerbaarheidsverordening koppelt de meldingsroutering aan de hoofdvestiging, niet aan de bestemming per levering. De taalverplichting vertakt wel per markt: Spaanstalige productinformatie voor producten die naar Spanje worden geleverd, Duitstalige voor producten naar Duitsland, enzovoort. Zorg dat u de meest gevraagde technische documentatiesecties alvast in een veelgebruikte werktaal beschikbaar heeft om grensoverschrijdende gemotiveerde verzoeken op te vangen.

Voor Franse fabrikanten in voorbereiding op 11 december 2027

  1. Bevestig uw verplichtingen als fabrikant via de clustergids voor fabrikanten.
  2. Verifieer dat uw hoofdvestiging in Frankrijk ligt en documenteer de redenering. De locatie van cybersecurity-besluitvorming, niet het statutaire kantoor, is wat telt.
  3. Breng uw meldingsstroom voor de Cyberweerbaarheidsverordening in kaart met CERT-FR als ontvangend CSIRT, met een geteste indiening via het ENISA Single Reporting Platform zodra dat op 11 september 2026 live gaat.
  4. Als uw conformiteitsbeoordelingsroute een aangemelde instantie vereist, scope COFRAC-geaccrediteerde en ANSSI-genotificeerde instanties als thuisoptie, plus ten minste één grensoverschrijdend alternatief voor weerbaarheid.
  5. Plan voor ANFR-documentverzoeken en -inspecties in het Frans. De EU-conformiteitsverklaring moet beschikbaar zijn in de taal die Frankrijk vereist; bereid dus een Franstalige versie voor de Franse markt voor.
  6. Vertaal gebruikersinstructies en productinformatie naar het Frans. De overlap met de Loi Toubon betekent dat dit werk voor veel Franse bedrijven al halverwege klaar is. Voeg per-marktvertalingen toe voor elke andere EU-lidstaat waarnaartoe u levert.
  7. Scope Bpifrance Cyber PME, France 2030-cybersecurity-oproepen en Prêt Innovation voor R&D-georiënteerd CRA-werk. Bevestig het actuele subsidievenster voordat u daarop rekent.
  8. Lees de leveranciersvragenlijst voor due diligence voor het kader voor componentdue diligence aan de fabrikantzijde.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke CRA-compliancebegeleiding een gekwalificeerde juridisch adviseur.

CRA Frankrijk Kwetsbaarheidsbeheer
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Doorlopende gidsen over de eisen, processen en rollen uit de EU-cyberweerbaarheidsverordening (CRA).

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Europese cyberbeveiligingscertificering (EUCC)

Hoe het EUCC-certificeringsschema werkt en wanneer het kan bijdragen aan CRA-conformiteit.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
Bekijk de volledige CRA-nalevingsgids