Actualité Cyber Resilience Act 2026
Actualité CRA 2026 : Cyber Resilience Act, sécurité des produits numériques, marquage CE.
Suivez l’actualité du Cyber Resilience Act 2026 : obligations des fabricants, sécurité des produits connectés, calendrier de mise en œuvre.
Dernières actualités
20 avril 2026 — CRA : la France désigne l'ANFR surveillance marché, l'ANSSI autorité notifiante
Le cabinet Lexing revient, dans une note publiée le 20 avril 2026, sur le schéma de gouvernance nationale envisagé pour la mise en œuvre du règlement (UE) 2024/2847 (Cyber Resilience Act). Le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne (Ddadue 2026) modifie, à son article 32, l'article L. 43 du Code des postes et des communications électroniques : l'Agence nationale des fréquences (ANFR) serait désignée autorité de surveillance du marché des produits comportant des éléments numériques soumis au CRA. Parallèlement, l'étude d'impact publiée par le Sénat indique que l'ANSSI exercerait les fonctions d'autorité notifiante au sens de l'article 3(26) du CRA, c'est-à-dire qu'elle encadrerait l'évaluation, la désignation et le contrôle des organismes notifiés chargés de la conformité des produits. Sur le plan opérationnel, cette répartition signifie que les fabricants auront deux interlocuteurs français distincts : l'ANFR pour le contrôle produit et les retraits/rappels, l'ANSSI pour la certification et la gestion des organismes d'évaluation. Les obligations des autorités notifiantes sont encadrées par les articles 36 et 37 du CRA (procédures d'évaluation, surveillance continue, suspension ou retrait de notification en cas de manquement).
Ce que ça change pour vous — les fabricants et importateurs de produits connectés doivent commencer à cartographier leurs interlocuteurs français (ANFR/ANSSI) et intégrer ce schéma dans leur plan de conformité CRA, en vue de l'entrée en vigueur des obligations produit au 11 décembre 2027. CRA : qui est concerné par le Cyber Résilience Act ? — Évaluation de conformité CRA : procédures et organismes notifiés — CRA et RGPD : intersection
2 avril 2026 — CRA : consultation close, premières obligations dès septembre 2026
La consultation publique ouverte le 3 mars 2026 par la Commission européenne sur les lignes directrices d'application du Cyber Resilience Act s'est clôturée le 31 mars 2026. Ce document non contraignant clarifie des points clés du règlement : qualification des solutions de traitement de données à distance, statut des logiciels libres et open source, notion de « périodes de support », et articulation du CRA avec les autres législations européennes. Deux échéances réglementaires imminentes : au 11 juin 2026, les autorités notifiantes doivent avoir établi les procédures d'évaluation et de désignation des organismes de conformité ; au 11 septembre 2026, les fabricants de produits connectés seront soumis à l'obligation de signalement des vulnérabilités activement exploitées (rapport initial sous 24 h, compléments sous 72 h, rapport final sous 14 jours). L'ensemble des obligations du CRA s'appliquera au 11 décembre 2027.
Ce que ça change pour vous — les fabricants et éditeurs doivent dès maintenant structurer leur processus de signalement de vulnérabilités pour être prêts au 11 septembre 2026. Cyber Résilience Act (CRA) : guide complet — CRA : qui est concerné ? — SBOM : nomenclature logicielle imposée par le CRA
12 mars 2026 — CRA : guide DGE et aide de 30 000 € pour la conformité des PME
La Direction générale des Entreprises (DGE) a publié un guide pratique sur ce que le Cyber Resilience Act (CRA) change pour les entreprises et comment s'y préparer (mars 2026). Un dispositif de financement pouvant atteindre 30 000 euros est également disponible pour accompagner les PME dans leur mise en conformité CRA (Solutions-Numeriques). Le CRA impose aux fabricants de produits numériques connectés de garantir la sécurité tout au long du cycle de vie, de gérer les vulnérabilités et d'assurer les mises à jour de sécurité, avec un marquage CE obligatoire exigible en décembre 2027. Les obligations clés incluent une politique de gestion des vulnérabilités, la notification des incidents aux CSIRT nationaux (Art. 14 CRA), et la fourniture d'une nomenclature des composants logiciels (SBOM). L'intersection avec le RGPD est directe pour les produits traitant des données personnelles : les obligations CRA rejoignent l'article 25 RGPD (privacy by design) et l'article 32 RGPD.
Évaluer si vos produits numériques entrent dans le périmètre CRA et consulter le guide DGE pour identifier les obligations applicables à votre catégorie de produit. CRA : qui est concerné ? — Support sécurité des produits numériques — CRA et RGPD : intersection
4 mars 2026 — Cyber Resilience Act : consultation sur les lignes directrices jusqu'au 31 mars
La Commission européenne a lancé une consultation publique sur un projet de lignes directrices destinées à accompagner les entreprises dans l'application du Cyber Resilience Act (CRA). Cette consultation, ouverte depuis le 3 mars 2026, se clôture le 31 mars 2026. Le projet de guidance clarifie les obligations et le champ d'application du CRA, avec un focus particulier sur la facilitation de la mise en conformité pour les fabricants de produits comportant des éléments numériques. Les lignes directrices abordent notamment la classification des produits, les exigences de cybersécurité essentielles et les obligations de signalement des vulnérabilités. Les entreprises concernées par le CRA ont tout intérêt à participer à cette consultation pour influencer l'interprétation finale du texte.
Soumettez vos commentaires avant le 31 mars 2026 sur le site de la Commission européenne. SBOM : l'obligation de nomenclature logicielle imposée par le CRA — CRA : qui est concerné par le Cyber Resilience Act ?
Faits marquants 2026
- 4 mars 2026 — Cyber Resilience Act : consultation sur les lignes directrices jusqu’au 31 mars
ACTION_REQUISE— Soumettez vos commentaires avant le 31 mars 2026 sur le site de la Commission européenne.
Chronologie
Avril 2026
- CRA : la France désigne l’ANFR surveillance marché, l’ANSSI autorité notifiante ↗
Mars 2026
- CRA : guide DGE et aide de 30 000 € pour la conformité des PME ↗
- Cyber Resilience Act : consultation sur les lignes directrices jusqu’au 31 mars ↗
Voir aussi
- Actualité RGPD 2026 : sanctions, décisions et jurisprudence
- Actualité DORA 2026 : résilience numérique
- Actualité NIS2 2026 : directive cybersécurité européenne
- Actualité AI Act 2026 : calendrier et conformité
- Actualité cybersécurité 2026 : NIS2, CRA, ANSSI
- Actualité CSRD 2026 : reporting durabilité et ESG