CRA dla francuskich producentów: ANSSI, ANFR i CE

Profil kraju dla francuskich producentów wg CRA: ścieżka CERT-FR, ANSSI jako organ notyfikujący, ANFR jako nadzór rynku, akredytacja COFRAC.

Zespół CRA Evidence Opublikowano 4 stycznia 2026 Zaktualizowano 31 maja 2026
Krajowy przewodnik CRA dla francuskich producentów: dokument z nagłówkiem ANSSI i znaczkiem CE w rogu
W tym artykule

Francuscy producenci mają takie same obowiązki wynikające z aktu o cyberodporności jak każdy inny producent w UE. Ta strona to krajowy przewodnik dla Francji: routing powiadomień przez CERT-FR (operacyjny CSIRT wewnątrz ANSSI), oczekiwany podział kompetencji przy wyznaczaniu jednostek notyfikowanych (ANSSI notyfikuje, COFRAC akredytuje), rola ANFR jako głównego kandydata na organ nadzoru rynku CRA w oczekiwaniu na formalny instrument w Journal Officiel (często mylnie przypisywana DGCCRF), wymogi języka francuskiego w praktyce oraz krajowe programy finansowania otwarte dla inwestycji w zgodność. Pełny zestaw obowiązków producenta zawiera przewodnik klastra producenta.

Podsumowanie

  • Akt o cyberodporności to rozporządzenie UE o bezpośrednim skutku. Nie istnieją żadne wyjątki dla producentów wynikające z prawa francuskiego.
  • CERT-FR, operacyjny CSIRT wewnątrz ANSSI, jest odbierającym francuskim CSIRT dla powiadomień o podatnościach i incydentach CRA, gdy główne miejsce prowadzenia działalności producenta w Unii znajduje się we Francji.
  • ANSSI ma zgodnie z oczekiwaniami działać jako francuski organ notyfikujący, który formalnie wyznacza CRA-owe jednostki notyfikowane Komisji Europejskiej. COFRAC akredytuje kandydatów jako etap techniczny poprzedzający tę notyfikację.
  • ANFR (Agence nationale des fréquences) jest głównym kandydatem na organ nadzoru rynku CRA dla produktów z elementami cyfrowymi wprowadzanych na rynek francuski, w oczekiwaniu na formalny instrument w Journal Officiel. ANSSI zapewnia wsparcie techniczne. DGCCRF to historyczny inspektor bezpieczeństwa produktów konsumenckich i nie jest oczekiwanym organem nadzoru rynku CRA.
  • Język francuski (français) jest wymagany dla informacji o produkcie skierowanych do użytkowników, dostarczanych na rynek francuski w ramach aktu o cyberodporności, zgodnie z wymogiem ugruntowanym przez Loi Toubon w odniesieniu do produktów konsumenckich.
  • Bpifrance prowadzi program Cyber PME oraz kilka naborów cyberbezpieczeństwa France 2030. France 2030 jest współfinansowany z unijnego programu Digital Europe Programme i pozostaje realnym instrumentem planowania inwestycji w zgodność do terminu 11 grudnia 2027 r.

Kiedy ten przewodnik dotyczy danego producenta

Adresatem tego przewodnika jest producent, którego główne miejsce prowadzenia działalności w Unii znajduje się we Francji. Chodzi o miejsce, w którym podejmowane są decyzje dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi. Francuska filia sprzedażowa z inżynierią za granicą nie jest głównym miejscem prowadzenia działalności. Jeśli zespół inżynierski, zarządzanie cyklem wytwórczym oprogramowania (SDLC) i osoby zatwierdzające wydania aktualizacji bezpieczeństwa pracują we Francji, ten przewodnik jest właśnie dla tej firmy.

Producent z głównym miejscem prowadzenia działalności w innym państwie UE, który sprzedaje wyłącznie na rynek francuski, kieruje swoje powiadomienia CRA przez CSIRT macierzystego państwa członkowskiego, nie przez CERT-FR. Obowiązek języka francuskiego w informacjach skierowanych do użytkownika nadal dotyczy każdego produktu wprowadzanego na rynek francuski.

ANSSI i CERT-FR: francuska ścieżka CSIRT

Powiadomienia CRA trafiają do CSIRT wyznaczonego jako koordynator w państwie członkowskim, w którym producent ma główne miejsce prowadzenia działalności w Unii. Dla producenta z głównym miejscem prowadzenia działalności we Francji tym CSIRT jest CERT-FR, operacyjne ramię ANSSI (Agence nationale de la sécurité des systèmes d'information).

ANSSI podlega SGDSN i prowadzi francuskie krajowe schematy certyfikacji (CSPN, Visa de Sécurité) oraz akredytowane centra ewaluacji (CESTI). CERT-FR publikuje francuskojęzyczne komunikaty o podatnościach i prowadzi krajowy strumień koordynacji podatności.

Kontakt z CERT-FR: strona https://www.cert.ssi.gouv.fr, e-mail cert-fr@ssi.gouv.fr. ANSSI: https://www.ssi.gouv.fr.

Kanałem technicznym dla rytmu zgłaszania 24h / 72h / 14 dni jest platforma pojedynczego zgłaszania ENISA (dostępna od 11 września 2026 r.). Producent francuski składa zgłoszenia przez tę platformę z CERT-FR jako odbierającym koordynatorem. Wyznaczenie CSIRT to routing. Platforma to transport.

Jednostki notyfikowane: ANSSI notyfikuje, COFRAC akredytuje

Produkty Important Klasy I wymagają jednostki notyfikowanej (Moduł B+C lub Moduł H) wyłącznie w przypadku, gdy normy zharmonizowane, wspólne specyfikacje lub schemat certyfikacji nie pokrywają ich w pełni. Produkty Important Klasy II korzystają z jednostki notyfikowanej (Moduł B+C lub Moduł H) lub dostępnego i mającego zastosowanie schematu certyfikacji. Produkty Krytyczne (Załącznik IV) stosują Artykuł 32(4): ścieżkę certyfikacji z Artykułu 8(1) tam, gdzie Komisja ją uruchomiła, w przeciwnym razie te same ścieżki z Artykułu 32(3).

Francuski podział instytucjonalny jest następujący:

  • ANSSI pełni funkcję organu notyfikującego, który formalnie wyznacza francuskie jednostki notyfikowane CRA Komisji Europejskiej. ANSSI ocenia, kontroluje i notyfikuje jednostki oceny zgodności.
  • COFRAC (Comité français d'accréditation) jest francuską krajową jednostką akredytującą i ocenia kompetencje techniczne kandydata przed notyfikacją przez ANSSI.

Ramy CRA dla jednostek notyfikowanych obowiązują od 11 czerwca 2026 r., a faza akredytacji i notyfikacji ANSSI przebiega od czerwca do grudnia 2026 r. Pod koniec maja 2026 r. żadna jednostka notyfikowana nie jest wyznaczona w całej UE w ramach CRA, a formalne krajowe wyznaczenie we Francji nadal oczekuje w Journal Officiel. Łańcuch jest wciąż budowany.

Producent francuski może korzystać z dowolnej unijnej jednostki notyfikowanej, nie tylko z jednostek wyznaczonych przez Francję. Wybór jednostki wyznaczonej przez Francję (LNE, LCIE Bureau Veritas, SGS France oraz inne historycznie akredytowane podmioty) to preferencja zakupowa, nie wymóg CRA. Ostateczne wyznaczenia CRA są publikowane w bazie NANDO Komisji Europejskiej.

ANFR: organ nadzoru rynku CRA

Nadzór rynku CRA dla produktów z elementami cyfrowymi wprowadzanych na rynek francuski ma zgodnie z oczekiwaniami spoczywać na ANFR (Agence nationale des fréquences), nie na DGCCRF. ANSSI potwierdza ten kierunek instytucjonalny na swojej oficjalnej stronie CRA pod adresem cyber.gouv.fr, a sama ANSSI zapewnia ANFR wsparcie techniczne w ramach nadzoru rynku. Przed formalnym zgłoszeniem należy sprawdzić ostateczne wyznaczenie w Journal Officiel.

Francuska ścieżka wdrożenia przyznałaby ANFR uprawnienia sankcyjne do 15 milionów euro lub 2,5% globalnych rocznych przychodów za najpoważniejsze naruszenia CRA, w granicach wyznaczonych przez rozporządzenie na poziomie UE.

DGCCRF zachowuje ogólną rolę inspektora bezpieczeństwa produktów konsumenckich i nadal będzie wykrywać niezgodne towary na granicy lub w handlu detalicznym, lecz oczekiwana rola organu nadzoru rynku CRA dla produktów cyfrowych należy do ANFR. Należy planować pod ANFR, ale przed formalnym zgłoszeniem sprawdzić ostateczny tekst JO.

Wymóg języka francuskiego w praktyce

Akt o cyberodporności wymaga, aby informacje o produkcie skierowane do użytkowników były w języku zrozumiałym dla użytkowników i lokalnego organu nadzoru rynku. Dla produktów wprowadzanych na rynek francuski jest to język francuski. Loi Toubon (loi n° 94-665) niezależnie wymaga języka francuskiego we wszelkich informacjach konsumenckich, więc obowiązek CRA jest spójny z długoletnią regułą krajową.

Wymagane po francusku:

  • Instrukcje obsługi i informacje o produkcie dostarczane wraz z produktem.
  • Dane kontaktowe producenta (nazwa, adres, adres e-mail lub inny kontakt cyfrowy) wszędzie tam, gdzie się pojawiają, w tym na samym produkcie, opakowaniu lub dokumencie towarzyszącym.
  • Informacja o dacie zakończenia wsparcia technicznego udostępniana w punkcie sprzedaży.

Dopuszczalne wielojęzykowo:

  • Etykieta produktu i oznakowanie CE.
  • Tekst opakowania.
  • Dokumentacja online, pod warunkiem że dostępna jest wersja francuska.

Angielski jest na ogół akceptowany dla:

  • Wewnętrznej dokumentacji technicznej. ANFR lub organ nadzoru rynku innego państwa członkowskiego może zażądać tłumaczenia na język francuski w uzasadnionym wniosku, dlatego producent powinien być na to przygotowany nawet bez proaktywnego tłumaczenia.

Deklaracja zgodności UE musi być udostępniona w językach wymaganych przez państwo członkowskie, w którym produkt jest wprowadzany lub udostępniany na rynku. Dla Francji należy zaplanować wersję francuską, zamiast traktować tłumaczenie wyłącznie jako ryzyko kontrolne.

Sprzedaż transgraniczna z Francji

Producenci francuscy sprzedający do Belgii, Hiszpanii, Niemiec, Włoch lub jakiegokolwiek innego państwa UE podlegają tej samej regule pojedynczego routingu: powiadomienia nadal trafiają do CERT-FR, ponieważ routing zależy od głównego miejsca prowadzenia działalności, a nie od miejsca dostawy. Producent nie składa zgłoszeń do belgijskiego, hiszpańskiego, niemieckiego ani włoskiego CSIRT.

Obowiązek językowy rozszerza się jednak proporcjonalnie do rynków. Produkt wysyłany na rynek hiszpański wymaga hiszpańskich informacji skierowanych do użytkownika. Produkt wysyłany na rynek niemiecki wymaga treści w języku niemieckim. Jeden pakiet w języku francuskim nie obejmuje tych rynków.

Organ nadzoru rynku każdego z przyjmujących państw członkowskich może zażądać dokumentacji technicznej w języku zrozumiałym dla tego organu. Producent prowadzący dystrybucję na szeroką skalę w UE powinien z wyprzedzeniem przetłumaczyć przynajmniej najczęściej wymagane sekcje dokumentacji technicznej na jeden z powszechnie stosowanych języków roboczych.

Krajowe programy finansowania

W odróżnieniu od hiszpańskiego Plan de Recuperación, który zamyka okno NextGenEU w 2026 r., francuskie krajowe programy cyberbezpieczeństwa pozostają otwarte i aktywne w 2026 r. i w kolejnych latach.

  • Bpifrance prowadzi Diagnostic Cybersécurité (dofinansowany audyt cyberbezpieczeństwa dla MŚP) oraz program Cyber PME. Cyber PME, faza B, przyjmował wnioski do 26 listopada 2025 r. dla firm, których termin złożenia planu bezpieczeństwa przypada po 1 stycznia 2024 r. Faza A i kolejne nabory nadal się odbywają.
  • France 2030 to krajowy plan inwestycyjny z naborami z obszaru cyberbezpieczeństwa prowadzonymi wspólnie przez SGPI (General Secretariat for Investment), Bpifrance i ANSSI. Nabory na produkty z zakresu cyberbezpieczeństwa są współfinansowane z unijnego Digital Europe Programme, a niedawne edycje oferowały do 2 milionów euro w łącznym wsparciu. Prace B+R w zakresie cyberbezpieczeństwa napędzane przez CRA kwalifikują się, gdy mają charakter innowacji produktowej.
  • France Num oferuje regionalne bony diagnostyczne prowadzone przez izby handlowe i przemysłowe. Przydatne dla wstępnego Plan de Cybersécurité, lecz niewystarczające dla pełnej inwestycji w narzędzia CRA.
  • Prêt Innovation oraz Aide pour le développement de l'innovation to linie pożyczek i dotacji Bpifrance, które mogą sfinansować narzędzia SBOM, budowanie zdolności obsługi podatności oraz opłaty za ocenę zgodności, gdy prace z zakresu cyberbezpieczeństwa mają rzeczywisty komponent innowacyjny.

Okna kwalifikowalności i limity budżetowe zmieniają się co roku. Przed ujęciem którejkolwiek z tych pozycji w planie budżetowym należy potwierdzić aktualną edycję naboru.

Często zadawane pytania

Który francuski CSIRT odbiera powiadomienia o podatnościach CRA?

CERT-FR, operacyjny CSIRT wewnątrz ANSSI, gdy główne miejsce prowadzenia działalności producenta w Unii znajduje się we Francji. Za główne miejsce prowadzenia działalności uznaje się to, gdzie podejmowane są decyzje dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi. Zgłoszenia składa się przez platformę pojedynczego zgłaszania ENISA od 11 września 2026 r., z CERT-FR jako odbierającym koordynatorem.

Kto wyznacza francuskie jednostki notyfikowane: COFRAC czy ANSSI?

ANSSI ma zgodnie z oczekiwaniami być organem notyfikującym, który formalnie wyznacza francuskie jednostki notyfikowane CRA Komisji Europejskiej. COFRAC akredytuje kandydatów jako etap techniczny poprzedzający tę notyfikację. Obie instytucje są zaangażowane z odrębnymi rolami. Faza akredytacji i notyfikacji ANSSI trwa od czerwca do grudnia 2026 r. Pod koniec maja 2026 r. żadna jednostka notyfikowana nie jest wyznaczona w całej UE w ramach CRA. Producent francuski może jednak nadal korzystać z dowolnej unijnej jednostki notyfikowanej do oceny zgodności CRA.

Czy certyfikacja CSPN lub Visa de Sécurité zastępuje ocenę zgodności CRA?

Nie. Żadna z nich nie zastępuje oceny zgodności CRA, choć obie mogą dostarczyć dowodów ją wspierających. CSPN (Certification de Sécurité de Premier Niveau) to lekka krajowa ocena produktu ANSSI. Visa de Sécurité to znak certyfikacji, który ANSSI przyznaje produktom po przejściu oceny CSPN. CSPN wpisuje się w unijną metodykę oceny w ustalonym czasie przez FITCEM EN 17640:2022, obok niemieckiej metodologii BSZ i hiszpańskiej LINCE, więc jego wyniki mogą zasilać dokumentację techniczną CRA jako dowód wspierający. Własne ścieżki oceny zgodności CRA (Moduł A, Moduł B+C, Moduł H) stanowią odrębny łańcuch. Posiadana certyfikacja CSPN lub Visa de Sécurité powinna być traktowana jako wkład do akt CRA, nie jako substytut samej oceny zgodności.

Który organ francuski jest organem nadzoru rynku CRA: ANFR czy DGCCRF?

ANFR (Agence nationale des fréquences) jest głównym kandydatem na organ nadzoru rynku CRA dla produktów z elementami cyfrowymi na rynku francuskim, zgodnie ze stroną CRA ANSSI i francuską ścieżką wdrożenia. ANSSI zapewnia ANFR wsparcie techniczne w ramach nadzoru rynku. DGCCRF zachowuje długoletnią ogólną rolę inspektora bezpieczeństwa produktów konsumenckich i nadal będzie wykrywać niezgodne towary na granicy lub w handlu detalicznym, lecz nie jest oczekiwanym organem nadzoru rynku CRA. Francuska ścieżka wdrożenia przyznałaby ANFR uprawnienia sankcyjne do 15 milionów euro lub 2,5% globalnych rocznych przychodów w granicach unijnych wyznaczonych przez rozporządzenie. Przed formalnym zgłoszeniem należy sprawdzić ostateczny tekst JO.

Kiedy Francja opublikuje krajowy décret wdrażający CRA w Journal Officiel?

Akt o cyberodporności to rozporządzenie UE o bezpośrednim skutku, więc Francja nie musi transponować go do prawa krajowego, aby zobowiązania materialne zaczęły obowiązywać od 11 grudnia 2027 r. Francja powinna jednak opublikować przed 11 czerwca 2026 r. décret lub arrêté ministériel, który formalnie potwierdzi wyznaczenia instytucjonalne (ANFR jako organ nadzoru rynku, ANSSI jako organ notyfikujący, CERT-FR jako odbierający CSIRT) oraz ustali krajową skalę kar w granicach unijnych wyznaczonych przez rozporządzenie. Na 25 maja 2026 r. ANFR, ANSSI i CERT-FR są głównymi wyznaczeniami w materiałach ANSSI i materiałach legislacyjnych, ale nie znalazłem ostatecznego instrumentu dotyczącego CRA w Journal Officiel. Warto śledzić JO pod kątem décret dotyczącego CRA w okolicach terminu ramowego 11 czerwca 2026 r.

Czy przy sprzedaży B2B wszystko musi być przetłumaczone na język francuski?

W przypadku produktów wprowadzanych na rynek francuski z użytkownikami końcowymi we Francji tak. Akt o cyberodporności wymaga informacji dla użytkowników po francusku. Loi Toubon (loi n° 94-665) niezależnie wymaga języka francuskiego w informacjach konsumenckich. Sprzedaż B2B między profesjonalistami daje pewną elastyczność na gruncie Loi Toubon, lecz obowiązek CRA nie rozróżnia na tej podstawie, gdy produkt jest już wprowadzony na rynek francuski. Producent powinien zapewnić francuskie instrukcje użytkownika, informację o okresie wsparcia po francusku oraz dane kontaktowe producenta po francusku zarówno w kanałach konsumenckich, jak i profesjonalnych.

Czy Bpifrance lub France 2030 może sfinansować narzędzia zgodności CRA?

Gdy prace mają charakter rzeczywistego B+R i innowacji (nowe metody detekcji, narzędzia do analizy SBOM, potoki obsługi podatności, rozwój produktów cyberbezpieczeństwa istotnych dla CRA) tak. Bpifrance Cyber PME oraz nabory cyberbezpieczeństwa France 2030 bezpośrednio finansowały prace istotne dla CRA, a France 2030 jest współfinansowany z unijnego Digital Europe Programme dla naborów na produkty cyberbezpieczeństwa. Czyste prace zgodności (audyty, opłaty za ocenę zgodności, budowanie wewnętrznych procesów) trudniej wcisnąć w ramy, ponieważ France 2030 to finansowanie innowacji, a nie finansowanie zgodności. France Num oferuje regionalne bony diagnostyczne dla MŚP, przydatne dla wstępnego Plan de Cybersécurité.

Producent wysyła towary z Francji do innych państw UE. Gdzie zgłaszać incydenty?

Przez CERT-FR, niezależnie od tego, do których państw UE wysyłane są produkty. Akt o cyberodporności wiąże routing powiadomień z głównym miejscem prowadzenia działalności, nie z miejscem dostawy. Obowiązek językowy rozszerza się jednak proporcjonalnie do rynków: hiszpańskie informacje o produkcie dla produktów wysyłanych do Hiszpanii, niemieckie dla produktów wysyłanych do Niemiec i tak dalej. Producent powinien z wyprzedzeniem przygotować przynajmniej najczęściej wymagane sekcje dokumentacji technicznej w jednym z powszechnie stosowanych języków roboczych, aby sprawnie obsłużyć transgraniczne uzasadnione wnioski.

Dla francuskich producentów przygotowujących się na 11 grudnia 2027 r.

  1. Potwierdź obowiązki producenta korzystając z przewodnika klastra producenta.
  2. Zweryfikuj, że główne miejsce prowadzenia działalności firmy znajduje się we Francji, i udokumentuj to uzasadnienie. Liczy się lokalizacja podejmowania decyzji dotyczących cyberbezpieczeństwa, nie adres rejestracyjny.
  3. Zmapuj przepływ powiadomień CRA do CERT-FR jako odbierającego CSIRT i przetestuj zgłoszenie przez platformę pojedynczego zgłaszania ENISA po jej uruchomieniu 11 września 2026 r.
  4. Jeśli ścieżka oceny zgodności wymaga jednostki notyfikowanej, sprawdź jednostki akredytowane przez COFRAC i notyfikowane przez ANSSI jako opcję krajową oraz co najmniej jedną alternatywę transgraniczną dla zapewnienia ciągłości.
  5. Przygotuj się na wnioski o dokumenty i kontrole ANFR w języku francuskim. Deklaracja zgodności UE musi być dostępna w języku wymaganym przez Francję, więc przygotuj wersję francuską dla rynku francuskiego.
  6. Przetłumacz instrukcje użytkownika i informacje o produkcie na język francuski. Pokrywanie się z Loi Toubon oznacza, że prace te są dla wielu firm częściowo już wykonane. Dodaj tłumaczenia dla każdego rynku UE, na który wysyłane są produkty.
  7. Sprawdź Bpifrance Cyber PME, nabory cyberbezpieczeństwa France 2030 oraz Prêt Innovation pod kątem prac CRA z komponentem B+R. Potwierdź aktualne okno naboru przed uwzględnieniem tych pozycji w budżecie.
  8. Przeczytaj kwestionariusz należytej staranności wobec dostawców, aby zapoznać się z ramami należytej staranności komponentowej po stronie producenta.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności z aktem o cyberodporności należy skonsultować się z wykwalifikowanym doradcą prawnym.

CRA Francja Zarządzanie podatnościami
Share

Powiązane artykuły

Powrót do wszystkich artykułów

Czy CRA dotyczy Twojego produktu?

Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.

Sprawdź teraz

Gotowy na osiągnięcie zgodności z CRA?

Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.

Rozpocznij 14-dniowy bezpłatny okres próbny

Szczegółowe omówienie zagadnień CRA

Stale aktualizowane przewodniki po wymaganiach, procesach i rolach określonych przez akt o cyberodporności (CRA).

Deklaracja zgodności UE

Co musi zawierać Deklaracja zgodności, kto ją podpisuje i kiedy jest wymagana.

Przeczytaj przewodnik →
Ocena zgodności

Jak działa ocena zgodności w ramach CRA i kiedy wymagana jest jednostka notyfikowana.

Przeczytaj przewodnik →
Dokumentacja techniczna

Co musi zawierać dokumentacja techniczna CRA (Załącznik VII sekcja po sekcji) i jak producenci powinni ją strukturyzować.

Przeczytaj przewodnik →
Wymagania SBOM

Czego CRA wymaga w zakresie SBOM i jak BSI TR-03183 definiuje kryteria jakości.

Przeczytaj przewodnik →
Zgłaszanie podatności

Jak działa wymóg powiadamiania ENISA w ciągu 24 godzin i co liczy się jako aktywnie wykorzystywana podatność.

Przeczytaj przewodnik →
Obowiązki importera

Czego artykuł 19 wymaga od importerów i jak weryfikować zgodność producenta.

Przeczytaj przewodnik →
Planowanie okresu wsparcia

Co oznacza obowiązek okresu wsparcia CRA dla aktualizacji zabezpieczeń i planowania końca życia.

Przeczytaj przewodnik →
View full CRA compliance guide