CRA för franska tillverkare: ANSSI, ANFR och CE-märkning

Landöversikt för franska tillverkare under CRA: CERT-FR-routing, ANSSI som anmälande myndighet, ANFR för marknadskontroll, COFRAC-ackreditering.

CRA Evidence Team Publicerad 4 januari 2026 Uppdaterad 11 juni 2026
CRA-landöversikt för franska tillverkare med det nationella institutionskedjan: CERT-FR för sårbarhetsrapporter, ANSSI som anmälande myndighet, COFRAC för ackreditering, ANFR för marknadskontroll
I denna artikel

Franska tillverkare har samma skyldigheter enligt cyberresiliensförordningen som alla andra EU-tillverkare. Den här sidan är en landöversikt för Frankrike: hur anmälningar om sårbarheter och incidenter routas via CERT-FR (ANSSI:s operativa CSIRT), hur organ för bedömning av överensstämmelse väntas utses inom den franska uppdelningen (ANSSI anmäler, COFRAC ackrediterar), hur ANFR är huvudkandidat för CRA-marknadskontroll i väntan på det formella instrumentet i Journal Officiel (en roll som ofta felaktigt tillskrivs DGCCRF), vad det franska språkkravet faktiskt innebär, och vilka av Bpifrances och France 2030:s linjer som är öppna för efterlevnadsinvesteringar. För det fullständiga tillverkarskyldighetsutbudet, se klusterguiden för tillverkare.

Sammanfattning

  • Cyberresiliensförordningen är en EU-förordning med direkt effekt. Det finns inga franska undantag för produkttillverkare.
  • CERT-FR, det operativa CSIRT inom ANSSI, är den mottagande franska CSIRT:en för anmälningar om CRA-sårbarheter och incidenter när din huvudsakliga etablering finns i Frankrike.
  • ANSSI väntas agera som den franska anmälande myndigheten som formellt utser CRA-notifierade organ till Europeiska kommissionen. COFRAC ackrediterar kandidatorgan som det tekniska steget innan den notifieringen.
  • ANFR (Agence nationale des fréquences) är huvudkandidat för CRA-marknadskontroll av produkter med digitala element på den franska marknaden, i väntan på det formella instrumentet i Journal Officiel. ANSSI ger tekniskt stöd. DGCCRF är den historiska inspektionsmyndigheten för konsumentproduktsäkerhet och är INTE den väntade CRA-marknadskontrollmyndigheten.
  • Franska (français) krävs för användarriktad produktinformation på den franska marknaden enligt cyberresiliensförordningen, förstärkt av Loi Toubon för konsumentprodukter.
  • Bpifrance driver Cyber PME-programmet och flera France 2030-utlysningar inom cybersäkerhet. France 2030 samfinansieras med EU Digital Europe Programme och är ett användbart planeringsinstrument för efterlevnadsinvesteringar inför deadline den 11 december 2027.

När den här guiden gäller för dig

Du är målgruppen om din tillverkares "huvudsakliga etablering i unionen" finns i Frankrike. Det innebär den plats där beslut om cybersäkerheten för dina produkter med digitala element huvudsakligen fattas. En franskregistrerad säljdotterbolag med teknikutveckling utomlands är inte den huvudsakliga etableringen. Om ditt teknikteam, din SDLC-styrning och de personer som godkänner säkerhetsuppdateringar finns i Frankrike är den här guiden för dig.

Om din huvudsakliga etablering finns i ett annat EU-land och du enbart säljer till Frankrike routas dina CRA-rapporter via CSIRT i din etableringsmedlemsstat, inte CERT-FR. Det franska språkkravet för användarriktad information gäller ändå för varje produkt som placeras på den franska marknaden.

ANSSI och CERT-FR: den franska CSIRT-vägen

CRA-anmälningar routas via den CSIRT som utsetts till samordnare i den medlemsstat där tillverkaren har sin huvudsakliga etablering i unionen. För en tillverkare med huvudsaklig etablering i Frankrike är denna CSIRT CERT-FR, den operativa armen inom ANSSI (Agence nationale de la sécurité des systèmes d'information).

ANSSI är knutet till SGDSN och driver de franska nationella certifieringsprogrammen (CSPN, Visa de Sécurité) och de ackrediterade utvärderingscentren (CESTI). CERT-FR publicerar franskspråkiga sårbarhetsrådgivningar och driver det nationella samordningsflödet för sårbarheter.

CERT-FR kontakt: webbplats https://www.cert.ssi.gouv.fr, e-post cert-fr@ssi.gouv.fr. ANSSI: https://www.ssi.gouv.fr.

Den tekniska kanalen för rapporteringskadensen 24h / 72h / 14 dagar är ENISA:s gemensamma rapporteringsplattform, som tas i drift den 11 september 2026. En fransk tillverkare lämnar in via den plattformen med CERT-FR som mottagande samordnare. CSIRT-utpekandet är routingen. Plattformen är transporten.

Anmälda organ: ANSSI anmäler, COFRAC ackrediterar

För Important Class I-produkter där ingen harmoniserad standard tillämpas, Important Class II-produkter och kritiska produkter krävs ett anmält organ för bedömning av överensstämmelse (modul B+C eller modul H).

Den franska institutionella uppdelningen är:

  • ANSSI är den anmälande myndigheten som formellt utser franska anmälda organ till Europeiska kommissionen under cyberresiliensförordningen. ANSSI utvärderar, kontrollerar och notifierar organen för bedömning av överensstämmelse.
  • COFRAC (Comité français d'accréditation) är det franska nationella ackrediteringsorganet och bedömer den tekniska kompetensen hos ett kandidatorgan innan ANSSI notifierar det.

CRA-ramverket för anmälda organ gäller från den 11 juni 2026, med ANSSI:s ackrediterings- och notifieringsfas löpande från juni till december 2026. Den 11 juni 2026 visar NANDO fortfarande noll anmälda organ utsedda i hela EU under cyberresiliensförordningen. Verifiera det slutliga franska Journal Officiel-instrumentet innan du förlitar dig på nationella utpekanden.

En fransk tillverkare kan använda vilket som helst EU-notifierat organ, inte bara franskutsedda. Att välja ett franskutsett organ (LNE, LCIE Bureau Veritas, SGS France och andra historiskt ackrediterade organ) är en upphandlingspreferens, inte ett krav enligt cyberresiliensförordningen. Slutliga CRA-utpekanden publiceras i Europeiska kommissionens NANDO-databas.

ANFR: CRA-marknadskontrollmyndigheten

CRA-marknadsövervakning för produkter med digitala element på den franska marknaden väntas åvila ANFR (Agence nationale des fréquences), inte DGCCRF. ANSSI bekräftar denna institutionella riktning på sin officiella CRA-sida på cyber.gouv.fr, och ANSSI ger tekniskt stöd till ANFR inom ramen för marknadskontroll. Kontrollera det slutliga utpekandet i Journal Officiel innan formella inlagor.

Den franska genomförandevägen skulle ge ANFR sanktionsbefogenheter upp till 15 miljoner euro eller 2,5 procent av global årsomsättning för de allvarligaste CRA-överträdelserna, inom de EU-tak som fastställs av förordningen.

DGCCRF behåller sin allmänna inspektionsroll för konsumentproduktsäkerhet och kommer att fortsätta att identifiera icke-kompatibla varor vid gränsen eller i butiker, men den väntade CRA-marknadskontrollrollen för digitala produkter är ANFR:s. Planera mot ANFR, men kontrollera den slutliga JO-texten innan formella inlagor.

Det franska språkkravet i praktiken

Cyberresiliensförordningen kräver att användarriktad produktinformation är på ett språk som lätt förstås av användare och den lokala marknadskontrollmyndigheten. För produkter på den franska marknaden är det franska. Loi Toubon (loi n° 94-665) kräver oberoende av detta franska i all konsumentinformation, så CRA-skyldigheten harmonierar med en sedan länge gällande nationell regel.

Måste vara på franska:

  • Bruksanvisningar och produktinformation som följer med produkten.
  • Tillverkarens kontaktuppgifter (namn, adress, e-post eller annan digital kontakt) oavsett var de visas, inklusive på produkten, förpackningen eller medföljande dokument.
  • Upplysningen om supportperiodens slutdatum vid inköpsstället.

Kan vara flerspråkigt:

  • Produktetiketten och CE-märkningen.
  • Text på förpackningen.
  • Onlinedokumentation, förutsatt att en fransk version är tillgänglig.

Engelska accepteras normalt för:

  • Intern teknisk dokumentation. ANFR eller någon annan medlemsstats marknadskontrollmyndighet kan begära en fransk översättning om de gör en motiverad begäran, så planera för det även om du inte översätter proaktivt.

EU-försäkran om överensstämmelse måste göras tillgänglig på de språk som krävs av den medlemsstat där produkten släpps ut eller tillhandahålls på marknaden. För Frankrike bör du planera en fransk version i stället för att behandla översättning som enbart en inspektionsrisk.

Gränsöverskridande försäljning från Frankrike

Franska tillverkare som säljer till Belgien, Spanien, Tyskland, Italien eller ett annat EU-land följer samma enroutningsregel: dina rapporter går fortfarande till CERT-FR, eftersom routingen följer den huvudsakliga etableringen, inte leveransdestinationen. Du lämnar inte in till belgisk, spansk, tysk eller italiensk CSIRT.

Språkskyldigheten sprider sig däremot per marknad. En produkt som säljs till den spanska marknaden behöver spansk användarriktad information. En produkt till den tyska marknaden behöver tyskt innehåll. Den franska språkpaketen täcker inte dessa marknader.

Varje mottagande medlemsstats marknadskontrollmyndighet kan också begära din tekniska dokumentation på ett språk som den lätt förstår. Om din distribution är bred över EU, räkna med begäran på minst ett allmänt använt arbetsspråk, och se tidig översättning av de mest efterfrågade sektionerna i den tekniska dokumentationen som en praktisk försiktighetsåtgärd.

Nationella finansieringsprogram

Till skillnad från den spanska Plan de Recuperación som stänger sitt NextGenEU-fönster under 2026 är franska nationella program för cybersäkerhetsinvesteringar öppna och aktiva 2026 och framåt.

  • Bpifrance driver Diagnostic Cybersécurité (en subventionerad cybersäkerhetsrevision för SME) och Cyber PME-programmet. Cyber PME fas B tog emot ansökningar fram till den 26 november 2025 för företag vars plan för cybersäkerhet lämnades in efter den 1 januari 2024. Fas A och efterföljande utlysningar fortsätter att genomföras.
  • France 2030 är den nationella investeringsplanen med cybersäkerhetsspecifika utlysningar som drivs gemensamt av SGPI, Bpifrance och ANSSI. Utlysningar för cybersäkerhetsproduktutveckling samfinansieras med EU Digital Europe Programme, och nyligen genomförda utlysningar har erbjudit upp till 2 miljoner euro i kombinerat stöd. CRA-driven säkerhetsforskning passar in där inriktningen är genuint produktutvecklande innovation.
  • France Num erbjuder regionala diagnostikvouchers via handels- och industrikamrarna. Användbart för en inledande Plan de Cybersécurité men inte för en fullständig CRA-verktygsinsats.
  • Prêt Innovation och Aide pour le développement de l'innovation är Bpifrances lån- och bidragslinjer som kan täcka SBOM-verktyg, uppbyggnad av kapacitet för sårbarhetshantering och avgifter för bedömning av överensstämmelse där cybersäkerhetsarbetet har en genuint innovativ komponent.

Behörighetsfönster och budgettak ändras årligen. Bekräfta den aktuella utlysningen innan du planerar någon post mot dessa program.

Vanliga frågor

Vilken fransk CSIRT tar emot mina CRA-anmälningar om sårbarheter?

CERT-FR, det operativa CSIRT inom ANSSI, när tillverkarens huvudsakliga etablering finns i Frankrike. Cyberresiliensförordningen definierar huvudsaklig etablering som den plats där beslut om cybersäkerheten för produkter med digitala element huvudsakligen fattas. Rapporter lämnas in via ENISA:s gemensamma rapporteringsplattform från den 11 september 2026, med CERT-FR som mottagande samordnare.

Vem utser franska anmälda organ, COFRAC eller ANSSI?

ANSSI väntas vara den anmälande myndigheten som formellt utser franska CRA-notifierade organ till Europeiska kommissionen. COFRAC ackrediterar kandidatorgan som det tekniska steget innan den notifieringen. Båda är inblandade med tydliga roller. ANSSI:s ackrediterings- och notifieringsfas löper från juni 2026 till december 2026. Den 11 juni 2026 visar NANDO fortfarande noll anmälda organ utsedda i hela EU under cyberresiliensförordningen. En fransk tillverkare kan ändå använda vilket som helst EU-notifierat organ för CRA-bedömning av överensstämmelse.

Täcker min CSPN eller Visa de Sécurité-certifiering CRA-bedömning av överensstämmelse?

Nej, ingen av dem ersätter CRA-bedömning av överensstämmelse, även om båda kan ge bevis som stödjer den. CSPN (Certification de Sécurité de Premier Niveau) är ANSSI:s lättviktiga nationella produktutvärdering. Visa de Sécurité är den certifieringsstämpel som ANSSI utfärdar för CSPN-utvärderade produkter. CSPN passar in i EU:s metodik för tidsbunden utvärdering via FITCEM EN 17640:2022 tillsammans med de tyska BSZ- och spanska LINCE-metoderna, så dess resultat kan ingå i din CRA-tekniska dokumentation som stödjande bevis. CRA:s egna bedömningsvägar (modul A självbedömning, modul B+C typgranskning, modul H fullständig kvalitetssäkring) fungerar som en separat kedja. Om du har CSPN eller Visa de Sécurité, behandla det som indata till din CRA-akt, inte som ersättning för bedömningen av överensstämmelse i sig.

Vilken fransk myndighet är CRA-marknadskontrollmyndigheten, ANFR eller DGCCRF?

ANFR (Agence nationale des fréquences) är huvudkandidat för CRA-marknadskontroll av produkter med digitala element på den franska marknaden, enligt ANSSI:s CRA-referenssida och den franska genomförandevägen. ANSSI ger tekniskt stöd till ANFR inom ramen för marknadskontroll. DGCCRF behåller sin sedan länge etablerade allmänna inspektionsroll för konsumentproduktsäkerhet och kommer att fortsätta identifiera icke-kompatibla varor vid gränsen eller i butiker, men det är inte den väntade CRA-marknadskontrollmyndigheten. Den franska genomförandevägen skulle ge ANFR sanktionsbefogenheter upp till 15 miljoner euro eller 2,5 procent av global årsomsättning inom CRA:s EU-nivåtak. Kontrollera den slutliga JO-texten innan formella inlagor.

När publicerar Frankrike sin nationella CRA-genomförandedekret i Journal Officiel?

Cyberresiliensförordningen är en EU-förordning med direkt effekt, så Frankrike behöver inte transponera den till nationell lag för att de materiella skyldigheterna ska gälla från den 11 december 2027. Vad Frankrike måste publicera innan den 11 juni 2026 är ett décret eller arrêté ministériel som formellt bekräftar de institutionella utpekandena (ANFR som marknadskontrollmyndighet, ANSSI som anmälande myndighet, CERT-FR som mottagande CSIRT) och fastställer den nationella sanktionsskalan inom CRA:s EU-nivåtak. Per den 25 maj 2026 är ANFR, ANSSI och CERT-FR de viktigaste utpekandena i ANSSI- och lagstiftningsmaterial, men jag hittade inget slutligt CRA-specifikt instrument i Journal Officiel. Bevaka JO för ett CRA-specifikt décret kring ramverksdeadlinen den 11 juni 2026.

Måste jag översätta allt till franska för B2B-försäljning?

För produkter som placeras på den franska marknaden med slutanvändare i Frankrike, ja. Cyberresiliensförordningen kräver användarinformation på franska. Loi Toubon (loi n° 94-665) kräver oberoende av detta franska i konsumentinformation. B2B-försäljning mellan yrkesverksamma har viss flexibilitet under Loi Toubon, men CRA-skyldigheten gör ingen skillnad på den grunden när produkten väl placeras på den franska marknaden. Planera att leverera fransk användarinformation, franskt stödperiodavslöjande och franska tillverkaruppgifter i både konsument- och professionella kanaler.

Kan Bpifrance eller France 2030 betala för mina CRA-efterlevnadsverktyg?

Där arbetet är genuint forskning och innovation (nya detektionsmetoder, SBOM-analysverktyg, pipelines för sårbarhetshantering, CRA-relevant cybersäkerhetsproduktutveckling), ja. Bpifrance Cyber PME och France 2030:s cybersäkerhetsutlysningar har finansierat CRA-relevant arbete direkt, och France 2030 samfinansieras med EU Digital Europe Programme för utlysningar inom cybersäkerhetsprodukter. Rent efterlevnadsarbete (revisioner, avgifter för bedömning av överensstämmelse, intern processutveckling) är svårare att passa in, eftersom France 2030 är innovationsfinansiering snarare än efterlevnadsfinansiering. France Num erbjuder regionala diagnostikvouchers för SME, användbara för en inledande Plan de Cybersécurité.

Jag skickar från Frankrike till andra EU-länder. Var rapporterar jag incidenter?

Via CERT-FR, oavsett vilka EU-länder du levererar till. Cyberresiliensförordningen knyter anmälningsroutingen till den huvudsakliga etableringen, inte till leveransdestinationen per order. Språkskyldigheten sprider sig däremot per marknad: spansk användarinformation för produkter som skickas till Spanien, tyska för produkter till Tyskland, och så vidare. Förbered åtminstone de mest efterfrågade sektionerna i den tekniska dokumentationen på ett allmänt använt arbetsspråk för att hantera gränsöverskridande motiverade begäran.

För franska tillverkare som förbereder sig inför 11 december 2027

  1. Bekräfta dina tillverkarskyldigheter med hjälp av klusterguiden för tillverkare.
  2. Kontrollera att din huvudsakliga etablering finns i Frankrike och dokumentera motiveringen. Det är platsen för cybersäkerhetsbeslut, inte det registrerade sätet, som avgör.
  3. Kartlägg ditt CRA-rapporteringsflöde till CERT-FR som mottagande CSIRT, med en testad inlämning till ENISA:s gemensamma rapporteringsplattform när den tas i drift den 11 september 2026.
  4. Om din bedömning av överensstämmelse kräver ett anmält organ, identifiera COFRAC-ackrediterade och ANSSI-notifierade organ som förstahandsalternativ, plus minst ett gränsöverskridande alternativ för motståndskraft.
  5. Planera för ANFR:s dokumentbegäran och inspektioner på franska. EU-försäkran om överensstämmelse måste vara tillgänglig på det språk Frankrike kräver; förbered därför en fransk version för den franska marknaden.
  6. Översätt bruksanvisningar och produktinformation till franska. Loi Toubon-överlappningen innebär att detta arbete redan är halvklart för många franska företag. Lägg till marknadsspecifika översättningar för de andra EU-länder du levererar till.
  7. Titta på Bpifrance Cyber PME, France 2030:s cybersäkerhetsutlysningar och Prêt Innovation för eventuellt FoU-inriktat CRA-arbete. Bekräfta det aktuella utlysningsfönstret innan du räknar med det.
  8. Läs leverantörens due diligence-frågeformulär för ramverket för komponentgranskning på tillverkarsidan.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. Konsultera kvalificerade juridiska rådgivare för specifik CRA-efterlevnadsvägledning.

CRA Frankrike Sårbarhetshantering
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Tidlösa guider om de krav, processer och roller som anges i EU:s cyberresiliensförordning (CRA).

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Europeisk cybersäkerhetscertifiering (EUCC)

Hur EUCC-certifieringssystemet fungerar och när det kan stödja CRA-överensstämmelse.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
Visa hela guiden för CRA-efterlevnad