Aller au contenu
PolicyForge
Tous les articles
Par Vyrhak SATH · Fondateur, NAGASHIELD SECURITY10 min

Cyber Resilience Act : notifications dès le 11 septembre 2026 — qui est concerné et que faire

Le Cyber Resilience Act (règlement (UE) 2024/2847) expliqué : quels produits comportant des éléments numériques sont concernés, le calendrier vérifié (notifications dès le 11 septembre 2026, application pleine le 11 décembre 2027), l’escalade 24 h/72 h/14 jours, les exigences essentielles et les sanctions.

Ce qu’est le Cyber Resilience Act

Le Cyber Resilience Act — CRA, règlement (UE) 2024/2847 — est la première loi européenne imposant des exigences de cybersécurité horizontales aux produits comportant des éléments numériques : matériels connectés et logiciels mis sur le marché de l’UE, du routeur à l’objet connecté en passant par les systèmes d’exploitation et les applications. Entré en vigueur le 10 décembre 2024, il s’applique en deux vagues : obligations de notification dès le 11 septembre 2026, puis obligations principales le 11 décembre 2027. La conformité conditionne le marquage CE : un produit non conforme ne peut tout simplement plus être vendu dans l’UE.

Le calendrier vérifié

DateCe qui s’applique
10 décembre 2024Entrée en vigueur
11 septembre 2026Notifications de l’article 14 : vulnérabilités activement exploitées et incidents graves — y compris pour les produits déjà sur le marché
11 décembre 2027Application pleine : exigences essentielles, évaluation de conformité, surveillance du marché

Les produits mis sur le marché avant le 11 décembre 2027 ne sont pas rétroactivement soumis aux exigences principales (sauf modification substantielle) — mais l’obligation de notification de l’article 14 s’applique dès septembre 2026, produits existants compris.

L’escalade de notification (article 14)

À partir du 11 septembre 2026, un fabricant qui a connaissance d’une vulnérabilité activement exploitée dans l’un de ses produits, ou d’un incident grave touchant la sécurité du produit, doit notifier l’ENISA et son CSIRT national :

  1. Alerte précoce sous 24 heures après la prise de connaissance ;
  2. Notification structurée sous 72 heures, avec une première évaluation de gravité et d’impact ;
  3. Rapport final — sous 14 jours dès qu’un correctif ou une atténuation est disponible (vulnérabilité exploitée), ou sous un mois (incident grave).

Le schéma parlera à quiconque suit NIS2 ou le RGPD : l’UE a standardisé l’escalade 24 h/72 h. La conséquence pratique est la même — il faut un processus documenté et répété avant le premier événement, pas pendant.

Qui est concerné — et la nuance SaaS

Le CRA vise les fabricants de produits comportant des éléments numériques vendus dans l’UE (plus importateurs et distributeurs), où que soit établi le fabricant. Le pur SaaS n’est en général pas couvert — les services cloud relèvent de NIS2 — sauf lorsqu’un traitement de données à distance est partie intégrante des fonctions d’un produit. Les régimes sont proportionnés : une catégorie par défaut auto-évaluée par le fabricant, et des catégories *importantes* ou *critiques* (systèmes d’identité, pare-feu, compteurs intelligents…) soumises à une évaluation de conformité plus stricte. Le logiciel libre développé hors activité commerciale bénéficie d’un régime allégé.

Les exigences essentielles, en pratique

Les exigences essentielles de l’annexe I se lisent comme une politique de développement sécurisé : configuration sûre par défaut, absence de vulnérabilité exploitable connue à la mise sur le marché, gestion des vulnérabilités avec divulgation coordonnée, mises à jour de sécurité pendant la durée de vie attendue du produit, et documentation technique qui démontre le tout. Pour un éditeur, les livrables sont concrets : une politique de développement sécurisé, un processus de gestion et de divulgation des vulnérabilités, un engagement de support/mises à jour et le runbook de notification ci-dessus. Les sanctions atteignent 15 M€ ou 2,5 % du chiffre d’affaires mondial pour les manquements aux exigences essentielles.

Que faire avant septembre 2026

  1. Qualifiez vos produits : lesquels de vos offres sont des produits comportant des éléments numériques mis sur le marché de l’UE, et dans quelle catégorie ?
  2. Montez le runbook de l’article 14 dès maintenant — l’horloge des 24 heures démarre à la prise de connaissance, et elle s’applique aux produits déjà vendus.
  3. Documentez le développement sécurisé et la gestion des vulnérabilités — à la fois exigence essentielle et meilleure preuve.
  4. Suivez les ressources de l’ANSSI sur le CRA, publiées sur cyber.gouv.fr.

Sources de référence

Comment PolicyForge vous aide

PolicyForge génère l’ossature documentaire du CRA — développement sécurisé, gestion des vulnérabilités avec divulgation, réponse aux incidents avec l’escalade 24 h/72 h, sécurité fournisseurs — bilingue, versionnée et approuvée. Commencer gratuitement →

Questions fréquentes

Quand le Cyber Resilience Act s’applique-t-il ?

Le CRA est entré en vigueur le 10 décembre 2024. Ses obligations de notification (article 14 — vulnérabilités activement exploitées et incidents graves) s’appliquent dès le 11 septembre 2026, y compris aux produits déjà sur le marché. Les obligations principales — exigences essentielles, évaluation de conformité, marquage CE — s’appliquent aux produits mis sur le marché à compter du 11 décembre 2027.

Le CRA s’applique-t-il au SaaS ?

En général non : les services cloud purs relèvent de NIS2, pas du CRA. Le CRA couvre les produits comportant des éléments numériques — matériels et logiciels mis sur le marché de l’UE — et n’atteint le traitement à distance que lorsqu’il est partie intégrante des fonctions d’un produit. Le logiciel vendu comme produit (desktop, mobile, embarqué, on-premise) est pleinement concerné.

Que faut-il notifier au titre de l’article 14 du CRA ?

Dès le 11 septembre 2026, les fabricants doivent notifier à l’ENISA et à leur CSIRT national toute vulnérabilité activement exploitée dans un produit et tout incident grave touchant sa sécurité : alerte précoce sous 24 heures, notification structurée sous 72 heures, rapport final sous 14 jours (vulnérabilité, une fois le correctif disponible) ou un mois (incident).

Quelles sont les sanctions du CRA ?

Un manquement aux exigences essentielles peut coûter jusqu’à 15 M€ ou 2,5 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu, avec des plafonds inférieurs pour les autres manquements. Tout aussi important : un produit non conforme perd l’accès au marché de l’UE, la conformité CRA conditionnant le marquage CE.