Actualité Cyber Resilience Act 2026
Actualité CRA 2026 : Cyber Resilience Act, sécurité des produits numériques, marquage CE.
Suivez l’actualité du Cyber Resilience Act 2026 : obligations des fabricants, sécurité des produits connectés, calendrier de mise en œuvre.
Dernières actualités
2 avril 2026 — CRA : consultation close, premières obligations dès septembre 2026
La consultation publique ouverte le 3 mars 2026 par la Commission européenne sur les lignes directrices d'application du Cyber Resilience Act s'est clôturée le 31 mars 2026. Ce document non contraignant clarifie des points clés du règlement : qualification des solutions de traitement de données à distance, statut des logiciels libres et open source, notion de « périodes de support », et articulation du CRA avec les autres législations européennes. Deux échéances réglementaires imminentes : au 11 juin 2026, les autorités notifiantes doivent avoir établi les procédures d'évaluation et de désignation des organismes de conformité ; au 11 septembre 2026, les fabricants de produits connectés seront soumis à l'obligation de signalement des vulnérabilités activement exploitées (rapport initial sous 24 h, compléments sous 72 h, rapport final sous 14 jours). L'ensemble des obligations du CRA s'appliquera au 11 décembre 2027.
Ce que ça change pour vous — les fabricants et éditeurs doivent dès maintenant structurer leur processus de signalement de vulnérabilités pour être prêts au 11 septembre 2026. Cyber Résilience Act (CRA) : guide complet — CRA : qui est concerné ? — SBOM : nomenclature logicielle imposée par le CRA
12 mars 2026 — CRA : guide DGE et aide de 30 000 € pour la conformité des PME
La Direction générale des Entreprises (DGE) a publié un guide pratique sur ce que le Cyber Resilience Act (CRA) change pour les entreprises et comment s'y préparer (mars 2026). Un dispositif de financement pouvant atteindre 30 000 euros est également disponible pour accompagner les PME dans leur mise en conformité CRA (Solutions-Numeriques). Le CRA impose aux fabricants de produits numériques connectés de garantir la sécurité tout au long du cycle de vie, de gérer les vulnérabilités et d'assurer les mises à jour de sécurité, avec un marquage CE obligatoire exigible en décembre 2027. Les obligations clés incluent une politique de gestion des vulnérabilités, la notification des incidents aux CSIRT nationaux (Art. 14 CRA), et la fourniture d'une nomenclature des composants logiciels (SBOM). L'intersection avec le RGPD est directe pour les produits traitant des données personnelles : les obligations CRA rejoignent l'article 25 RGPD (privacy by design) et l'article 32 RGPD.
Évaluer si vos produits numériques entrent dans le périmètre CRA et consulter le guide DGE pour identifier les obligations applicables à votre catégorie de produit. CRA : qui est concerné ? — Support sécurité des produits numériques — CRA et RGPD : intersection
4 mars 2026 — Cyber Resilience Act : consultation sur les lignes directrices jusqu'au 31 mars
La Commission européenne a lancé une consultation publique sur un projet de lignes directrices destinées à accompagner les entreprises dans l'application du Cyber Resilience Act (CRA). Cette consultation, ouverte depuis le 3 mars 2026, se clôture le 31 mars 2026. Le projet de guidance clarifie les obligations et le champ d'application du CRA, avec un focus particulier sur la facilitation de la mise en conformité pour les fabricants de produits comportant des éléments numériques. Les lignes directrices abordent notamment la classification des produits, les exigences de cybersécurité essentielles et les obligations de signalement des vulnérabilités. Les entreprises concernées par le CRA ont tout intérêt à participer à cette consultation pour influencer l'interprétation finale du texte.
Soumettez vos commentaires avant le 31 mars 2026 sur le site de la Commission européenne. SBOM : l'obligation de nomenclature logicielle imposée par le CRA — CRA : qui est concerné par le Cyber Resilience Act ?
Faits marquants 2026
- 4 mars 2026 — Cyber Resilience Act : consultation sur les lignes directrices jusqu’au 31 mars
ACTION_REQUISE— Soumettez vos commentaires avant le 31 mars 2026 sur le site de la Commission européenne.
Chronologie
Mars 2026
- CRA : guide DGE et aide de 30 000 € pour la conformité des PME ↗
- Cyber Resilience Act : consultation sur les lignes directrices jusqu’au 31 mars ↗
Voir aussi
- Actualité RGPD 2026 : sanctions, décisions et jurisprudence
- Actualité DORA 2026 : résilience numérique
- Actualité NIS2 2026 : directive cybersécurité européenne
- Actualité AI Act 2026 : calendrier et conformité
- Actualité cybersécurité 2026 : NIS2, CRA, ANSSI
- Actualité CSRD 2026 : reporting durabilité et ESG