Actualité Cyber Resilience Act 2026
Actualité CRA 2026 : Cyber Resilience Act, sécurité des produits numériques, marquage CE.
Suivez l’actualité du Cyber Resilience Act 2026 : obligations des fabricants, sécurité des produits connectés, calendrier de mise en œuvre.
Dernières actualités
6 juillet 2026 — CRA : l'ANSSI rappelle que la conformité s'impose sans attendre les normes
L'ANSSI a mis à jour sa FAQ sur le Cyber Resilience Act (CRA) pour lever une idée reçue tenace chez les fabricants : la conformité ne dépend pas de la disponibilité des normes. Les exigences essentielles de cybersécurité fixées à l'annexe I du règlement s'appliquent dès l'entrée en vigueur du texte, sans qu'il soit nécessaire d'attendre l'adoption des normes harmonisées ni la mise en place des schémas de certification européens. L'agence précise qu'aucune norme n'est obligatoire dans le cadre du CRA : leur usage reste volontaire et ne procure qu'une présomption de conformité, tout autre moyen pouvant être employé par le fabricant pour démontrer le respect des exigences. Sur le plan opérationnel, cela signifie que les fabricants de produits comportant des éléments numériques doivent d'ores et déjà intégrer la sécurité par conception et documenter leurs choix techniques, sans se retrancher derrière l'absence de référentiel finalisé. La première échéance contraignante reste fixée au 11 septembre 2026 : signalement des vulnérabilités activement exploitées et des incidents graves affectant la sécurité des produits. L'ANSSI indique par ailleurs qu'une dizaine d'organismes notifiés sont envisagés en France, les premières désignations étant attendues d'ici fin 2026.
Ce que ça change pour vous : n'attendez pas les normes harmonisées pour lancer votre mise en conformité CRA — cartographiez dès maintenant vos produits numériques, structurez la sécurité par conception et préparez votre processus de signalement des vulnérabilités pour l'échéance du 11 septembre 2026. Cyber Résilience Act (CRA) : guide complet du règlement européen — Signalement des vulnérabilités : les obligations du Cyber Résilience Act — Marquage CE et cybersécurité : les nouvelles exigences du Cyber Résilience Act
29 juin 2026 — CRA : 66% des PME connaissent le règlement mais bloquent sur sa mise en œuvre
Une étude relayée par L'Usine Digitale révèle que 66% des PME connaissent le Cyber Resilience Act (CRA) mais peinent à le mettre en œuvre sur leurs appareils connectés. Le règlement impose aux fabricants, importateurs et distributeurs de produits comportant des éléments numériques des exigences de cybersécurité tout au long du cycle de vie : sécurité dès la conception, gestion des vulnérabilités, fourniture de mises à jour et signalement des incidents. Le marquage CE intégrera désormais ces exigences cyber. Sur le plan opérationnel, l'écart entre notoriété et conformité s'explique par la difficulté à cartographier les composants logiciels (SBOM) et à organiser le suivi des vulnérabilités exigé par le texte. Les principales obligations du CRA deviennent applicables à compter de fin 2027, mais les obligations de signalement interviennent plus tôt : le délai de préparation se réduit pour les PME du secteur.
Ce que ça change pour vous : si vous fabriquez ou distribuez des produits connectés, lancez dès maintenant l'inventaire de vos composants logiciels (SBOM) et un processus de gestion des vulnérabilités pour absorber les exigences CRA avant leur entrée en application. CRA : qui est concerné par le Cyber Résilience Act ? — Marquage CE et cybersécurité : les nouvelles exigences du Cyber Résilience Act — CRA et IoT : sécuriser les objets connectés sous le Cyber Résilience Act
23 juin 2026 — CRA x AI Act : double conformité pour les produits à IA à haut risque
Le cabinet Lexing (Alain Bensoussan Avocats) détaille l'articulation entre le règlement sur la cyber-résilience (CRA) et le règlement européen sur l'intelligence artificielle (AI Act) pour les produits comportant des éléments numériques qui intègrent un système d'IA qualifié à haut risque au sens de l'article 6 de l'AI Act. Ces produits relèvent simultanément des exigences de cybersécurité du CRA et des obligations propres à l'IA. Le législateur a prévu un mécanisme de simplification : aux termes de l'article 12 du CRA, la conformité aux exigences essentielles de cybersécurité du CRA (annexe I, parties I et II) vaut présomption de conformité à l'exigence de cybersécurité de l'article 15 de l'AI Act, dans les limites couvertes par la déclaration UE de conformité, ce qui évite une double certification redondante. Sur le plan opérationnel, le considérant 51 du CRA impose que l'analyse de risque cyber, menée sur tout le cycle de vie du produit, intègre les menaces spécifiques à l'IA : empoisonnement des données d'entraînement (data poisoning) et attaques adversariales visant à altérer le comportement du modèle, ainsi que, le cas échéant, les risques pour les droits fondamentaux. La présomption ne dispense pas le fabricant des autres obligations de l'AI Act (qualité des données, transparence, supervision humaine, documentation technique).
Ce que ça change pour vous : si vous fabriquez un produit numérique embarquant une IA à haut risque, cartographiez vos obligations CRA et AI Act, exploitez la présomption de conformité de l'article 12 du CRA pour éviter une double certification, et intégrez data poisoning et attaques adversariales dans votre analyse de risque cyber. CRA : qui est concerne par le Cyber Resilience Act ? — IA a haut risque : liste des systemes et obligations — Cyber Resilience Act (CRA) : guide complet du reglement europeen
13 juin 2026 — CRA : signalement des vulnérabilités obligatoire dès le 11 septembre 2026
À compter du 11 septembre 2026, les obligations de signalement du règlement sur la cyber-résilience (CRA, art. 14) deviennent applicables. Les fabricants de produits comportant des éléments numériques devront déclarer les vulnérabilités activement exploitées ainsi que les incidents graves affectant la sécurité de leurs produits. Le calendrier est strict : une alerte précoce dans les 24 heures suivant la prise de connaissance, une notification complète sous 72 heures, puis un rapport final dans un délai de 14 jours après la mise à disposition d'une mesure corrective (pour une vulnérabilité exploitée) ou d'un mois (pour un incident grave). Les signalements passeront par la plateforme unique de signalement (Single Reporting Platform) de l'ENISA, qui transmettra au CSIRT national compétent — en France, le CERT-FR de l'ANSSI. L'obligation vise aussi les produits déjà mis sur le marché de l'UE avant l'application complète du CRA. Ces délais font écho aux obligations de notification d'incident de la directive NIS2 (art. 23) et à la notification de violation de données sous 72 heures du RGPD (art. 33) : un même incident pourra déclencher plusieurs canaux de déclaration.
Ce que ça change pour vous : recensez vos produits dans le champ du CRA et mettez en place une procédure interne de détection et d'escalade capable de tenir le délai d'alerte de 24 heures via la plateforme de l'ENISA. Signalement des vulnérabilités : les obligations du Cyber Résilience Act — Cyber Résilience Act (CRA) : guide complet du règlement européen — CRA : qui est concerné par le Cyber Résilience Act ?
3 juin 2026 — CRA : la Finlande adopte sa loi nationale, surveillance confiée à Traficom
Le gouvernement finlandais a proposé le 28 mai 2026 d'adopter les dispositions nationales complétant le règlement européen sur la cyber-résilience (Cyber Resilience Act, CRA), pour une entrée en vigueur au 1er juin 2026. Le texte instaure une nouvelle loi sur la cyber-résilience de certains produits et sur la certification de cybersécurité : elle organise la surveillance des obligations applicables aux produits, la notification des organismes d'évaluation de la conformité et les sanctions administratives. La surveillance du marché ainsi que la désignation et le contrôle des organismes notifiés sont confiées à l'agence des transports et des communications Traficom. Concrètement, les organismes d'évaluation pourront demander leur notification dès le 11 juin 2026, et l'obligation de signaler les vulnérabilités activement exploitées s'appliquera à partir du 11 septembre 2026 (Art. 14 CRA). Le projet étend par ailleurs la collecte et la communication des données d'enregistrement de noms de domaine au-delà des .fi et .ax, complétant la transposition de la directive NIS2 (Art. 28 NIS2). La Finlande rejoint ainsi la France, qui a désigné l'ANSSI et l'ANFR, dans la construction de la gouvernance nationale du CRA.
Vérifiez si vos produits connectés relèvent du CRA et préparez dès maintenant votre processus de signalement des vulnérabilités activement exploitées, qui devient une obligation pour les fabricants à partir de septembre 2026. Cyber Résilience Act (CRA) : guide complet du règlement européen — CRA : qui est concerné par le Cyber Résilience Act ? — Signalement des vulnérabilités : les obligations du Cyber Résilience Act
22 mai 2026 — Kimwolf : Canada arrete l'admin d'un botnet IoT de 2 millions d'appareils
Les autorites americaines et canadiennes ont annonce le 21 mai 2026 l'arrestation a Ottawa d'un homme de 23 ans, soupconne d'avoir construit et exploite Kimwolf, un botnet IoT de classe Mirai qui a infecte pres de deux millions d'appareils a l'echelle mondiale — principalement des routeurs, cameras IP et enregistreurs video grand public. Le botnet a alimente une activite soutenue de denis de service (DDoS) loues a la demande contre des hebergeurs, jeux en ligne et entreprises europeennes. L'enquete confirme que la propagation reposait sur des identifiants par defaut jamais changes et sur des vulnerabilites non corrigees dans des firmwares en fin de support. Operationnellement, ce demantelement illustre exactement le risque que vise a contenir le Cyber Resilience Act : a partir de decembre 2027, les fabricants d'objets connectes mis sur le marche UE devront fournir des correctifs sur toute la duree de vie attendue du produit et notifier les vulnerabilites exploitees a l'ENISA. Cette obligation CRA rejoint pour les exploitants l'article 32 du RGPD lorsque l'IoT traite des donnees personnelles.
Inventoriez vos equipements IoT (cameras, routeurs, imprimantes connectees), verifiez la politique de mises a jour de l'editeur et excluez ceux en fin de support — un appareil non patche compromis devient votre responsabilite, pas celle du fabricant. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — CRA : qui est concerné par le Cyber Résilience Act ? — CRA et AI Act : double conformité produits IA
18 mai 2026 — OpenSSF : appel d'alarme sur la conformité CRA de l'open source
L'Open Source Security Foundation publie le 18 mai 2026 un billet qualifié d'« urgent wake-up call » pour l'écosystème open source européen face au Cyber Resilience Act. La fondation rappelle deux échéances proches qui structurent désormais la feuille de route des mainteneurs et des intégrateurs : à compter du 11 septembre 2026, les fabricants devront notifier les vulnérabilités activement exploitées au CSIRT compétent et à l'ENISA dans les 24 heures ; au 11 décembre 2027, l'ensemble des exigences essentielles de cybersécurité du règlement deviendront applicables (gestion des vulnérabilités, marquage CE, documentation technique). L'OpenSSF souligne que les contributeurs individuels d'un projet libre tiers ne sont pas concernés, mais que toute entreprise qui intègre un composant open source dans un produit commercial ou un service à valeur ajoutée hérite des obligations CRA associées. La fondation pousse trois ressources concrètes pour préparer la mise en conformité : la Security Baseline for OSS Projects (check-list de bonnes pratiques), les Scorecards & Badges OpenSSF (métadonnées lisibles par machine pour évaluer le risque amont), et le cours gratuit Linux Foundation LF1001 dédié aux exigences CRA. Cette obligation de signalement coordonné rejoint mécaniquement l'obligation NIS2 de notification d'incident significatif et l'obligation RGPD de notification des violations de données personnelles lorsque la vulnérabilité a entraîné une compromission de données.
Ce que ça change pour vous : si vous éditez ou intégrez des composants open source dans un produit ou un service à destination du marché européen, cartographiez dès maintenant la chaîne d'approvisionnement logicielle, désignez un canal de remontée vulnérabilités opérable sous 24h pour le 11 septembre 2026, et inscrivez l'évaluation Scorecard / Badge de vos dépendances critiques au registre des activités de traitement au titre de l'article 32 du RGPD. CRA et logiciels open source : exemptions et obligations — Signalement des vulnérabilités : les obligations du Cyber Résilience Act — CRA : qui est concerné par le Cyber Résilience Act ?
17 mai 2026 — Azure AKS : Microsoft refuse d'attribuer un CVE pour une faille critique
BleepingComputer revele le 16 mai 2026 que Microsoft a rejete le signalement d'une vulnerabilite critique affectant Azure Backup for Azure Kubernetes Service (AKS), puis l'a corrigee silencieusement sans attribuer de CVE ni publier d'avis client. La faille permettait a tout titulaire du seul role Backup Contributor sur un coffre de sauvegarde de declencher une relation Trusted Access avec un cluster AKS, et d'obtenir automatiquement des privileges cluster-admin sans aucun droit Kubernetes prealable — soit une escalade de privileges totale au perimetre du plan de controle. Le CERT/CC avait planifie une divulgation publique pour le 1er juin 2026, finalement annulee, et Microsoft a, le 4 mai, demande explicitement a MITRE de ne pas reserver de CVE en qualifiant le comportement de « conforme aux attentes ». Sans identifiant CVE, les equipes securite ne peuvent pas tracer l'exposition, ce qui empeche tout audit retroactif des droits attribues entre une date de debut inconnue et mai 2026. Cette pratique de silencieuse remediation interroge frontalement les futures obligations du Cyber Resilience Act (Reglement (UE) 2024/2847), dont l'article 14 imposera aux fabricants, a compter du 11 septembre 2026, une alerte precoce a l'ENISA et au CSIRT competent dans les 24 heures suivant la connaissance d'une vulnerabilite activement exploitee, puis une notification preliminaire a 72 heures. Pour les entites essentielles et importantes au sens de la directive NIS2, l'evenement reactive egalement les obligations de gestion de la chaine d'approvisionnement de l'article 21 et celles de l'article 32 du RGPD pour les responsables de traitement utilisant ces services.
Ce que ca change pour vous : auditez vos roles IAM Azure (notamment Backup Contributor sur les coffres lies a des clusters AKS), pratiquez un least privilege strict, verifiez la liste des relations Trusted Access actives, et documentez la procedure de veille CVE pour vos fournisseurs cloud — y compris les cas ou aucun CVE n'est emis. Pour vos clauses sous-traitants au sens de l'article 28 du RGPD, exigez explicitement la transparence sur les corrections de vulnerabilites, meme sans CVE public. Securite du cloud : modele de responsabilite partagee et obligations legales — Audit de securite informatique : methodologie et outils — Sous-traitance securite : exigences NIS2 et RGPD pour la chaine d'approvisionnement
15 mai 2026 — CRA : la Trusted Connectivity Alliance alerte sur les normes UICC et eUICC
La Trusted Connectivity Alliance, association industrielle qui rassemble les acteurs des cartes SIM, eSIM et autres elements securises, a transmis le 14 mai 2026 ses observations aux organismes europeens de normalisation (CEN, CENELEC) sur les projets de normes harmonisees applicables au Cyber Resilience Act, parmi lesquelles prEN 18330, prEN 40000 et prEN 50764, rapporte SecurityBrief UK. L'alliance soutient l'objectif du reglement (UE) 2024/2847 mais identifie trois points de blocage. Premier point : le risque de double certification, les UICC et eUICC etant deja couverts par des schemas internationaux tels que le profil de protection commun et le GSMA eUICC Security Assurance, dont elle demande la reconnaissance explicite comme voie d'evaluation de la conformite au titre de l'article 32 du CRA. Deuxieme point : le traitement juridique et technique des UICC et eUICC comme composants integres et non comme produits finis vendus au consommateur, ce qui appelle un parcours distinct de demonstration de conformite et une clarification des regles de marquage CE pour les composants integres dans un produit conforme. Troisieme point : les obligations de fourniture de correctifs de securite tout au long de la duree de vie du produit (article 13 et annexe I du CRA), que les UICC classiques ne peuvent pratiquement pas satisfaire faute de capacite de mise a jour a distance ; l'alliance demande que les normes precisent si cette configuration constitue une non-conformite ou une situation d'inapplicabilite. Les obligations centrales du CRA s'appliquent au 11 decembre 2027, les obligations de signalement des vulnerabilites au 11 septembre 2026 et la notification des organismes d'evaluation au 11 juin 2026.
Ce que ca change pour vous : si vous integrez des elements securises (UICC, eUICC, modules HSM, TPM) dans vos produits connectes, recensez les schemas de certification existants, anticipez la question du marquage CE composant vs. produit fini et documentez des a present votre politique de mises a jour ou les raisons pour lesquelles certaines mises a jour ne sont techniquement pas possibles, avant le 11 decembre 2027. CRA : qui est concerne par le Cyber Resilience Act ? — CRA et IoT : securiser les objets connectes — Actualite Cyber Resilience Act 2026
24 avril 2026 — ANSSI : Panorama cybermenace 2025, IA offensive et sous-traitance ciblees
L'Agence nationale de la securite des systemes d'information (ANSSI) a publie son Panorama de la cybermenace 2025, relaye le 24 avril 2026 par le cabinet Lexing. L'Agence indique avoir traite 3 586 evenements de securite sur l'annee, en baisse de 18 % par rapport a 2024, dont 2 209 signalements et 1 366 incidents. Le nombre de compromissions par rancongiciel portees a sa connaissance s'etablit a 128. L'ANSSI observe une diversification des strategies d'extorsion, avec recours accru a l'exfiltration de donnees sans chiffrement systematique, ce qui place mecaniquement une part plus large de ces incidents dans le champ des violations de donnees personnelles au sens de l'article 33 du RGPD. Les etablissements de sante restent tres cibles (8 % des attaques rancongiciel), et le secteur education-recherche concentre 34 % des incidents traites. L'Agence pointe aussi la montee en puissance de l'ingenierie sociale (SIM swapping, bombardement de demandes MFA, technique Clickfix), l'usage croissant de l'IA generative a des fins offensives, ainsi que la persistance du ciblage des sous-traitants comme vecteur d'acces. Le rapport rappelle que le Cyber Resilience Act imposera des le 11 septembre 2026 aux fabricants de produits numeriques commercialises dans l'UE de signaler toute vulnerabilite activement exploitee, et que de nouvelles obligations s'ajouteront au 11 decembre 2027. Ces signalements recoupent les obligations de gestion des vulnerabilites de l'article 21 de la directive NIS2 et les exigences de securite de l'article 32 du RGPD.
Ce que ca change pour vous : rejouez votre cartographie rancongiciel + sous-traitants a la lumiere du Panorama, verifiez vos procedures de signalement NIS2/CRA et mettez a jour votre procedure de notification des violations RGPD. Actualité cybersécurité 2026 : NIS2, CRA, ANSSI — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement
20 avril 2026 — CRA : la France désigne l'ANFR surveillance marché, l'ANSSI autorité notifiante
Le cabinet Lexing revient, dans une note publiée le 20 avril 2026, sur le schéma de gouvernance nationale envisagé pour la mise en œuvre du règlement (UE) 2024/2847 (Cyber Resilience Act). Le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne (Ddadue 2026) modifie, à son article 32, l'article L. 43 du Code des postes et des communications électroniques : l'Agence nationale des fréquences (ANFR) serait désignée autorité de surveillance du marché des produits comportant des éléments numériques soumis au CRA. Parallèlement, l'étude d'impact publiée par le Sénat indique que l'ANSSI exercerait les fonctions d'autorité notifiante au sens de l'article 3(26) du CRA, c'est-à-dire qu'elle encadrerait l'évaluation, la désignation et le contrôle des organismes notifiés chargés de la conformité des produits. Sur le plan opérationnel, cette répartition signifie que les fabricants auront deux interlocuteurs français distincts : l'ANFR pour le contrôle produit et les retraits/rappels, l'ANSSI pour la certification et la gestion des organismes d'évaluation. Les obligations des autorités notifiantes sont encadrées par les articles 36 et 37 du CRA (procédures d'évaluation, surveillance continue, suspension ou retrait de notification en cas de manquement).
Ce que ça change pour vous — les fabricants et importateurs de produits connectés doivent commencer à cartographier leurs interlocuteurs français (ANFR/ANSSI) et intégrer ce schéma dans leur plan de conformité CRA, en vue de l'entrée en vigueur des obligations produit au 11 décembre 2027. CRA : qui est concerné par le Cyber Résilience Act ? — Évaluation de conformité CRA : procédures et organismes notifiés — CRA et RGPD : intersection
2 avril 2026 — CRA : consultation close, premières obligations dès septembre 2026
La consultation publique ouverte le 3 mars 2026 par la Commission européenne sur les lignes directrices d'application du Cyber Resilience Act s'est clôturée le 31 mars 2026. Ce document non contraignant clarifie des points clés du règlement : qualification des solutions de traitement de données à distance, statut des logiciels libres et open source, notion de « périodes de support », et articulation du CRA avec les autres législations européennes. Deux échéances réglementaires imminentes : au 11 juin 2026, les autorités notifiantes doivent avoir établi les procédures d'évaluation et de désignation des organismes de conformité ; au 11 septembre 2026, les fabricants de produits connectés seront soumis à l'obligation de signalement des vulnérabilités activement exploitées (rapport initial sous 24 h, compléments sous 72 h, rapport final sous 14 jours). L'ensemble des obligations du CRA s'appliquera au 11 décembre 2027.
Ce que ça change pour vous — les fabricants et éditeurs doivent dès maintenant structurer leur processus de signalement de vulnérabilités pour être prêts au 11 septembre 2026. Cyber Résilience Act (CRA) : guide complet — CRA : qui est concerné ? — SBOM : nomenclature logicielle imposée par le CRA
12 mars 2026 — CRA : guide DGE et aide de 30 000 € pour la conformité des PME
La Direction générale des Entreprises (DGE) a publié un guide pratique sur ce que le Cyber Resilience Act (CRA) change pour les entreprises et comment s'y préparer (mars 2026). Un dispositif de financement pouvant atteindre 30 000 euros est également disponible pour accompagner les PME dans leur mise en conformité CRA (Solutions-Numeriques). Le CRA impose aux fabricants de produits numériques connectés de garantir la sécurité tout au long du cycle de vie, de gérer les vulnérabilités et d'assurer les mises à jour de sécurité, avec un marquage CE obligatoire exigible en décembre 2027. Les obligations clés incluent une politique de gestion des vulnérabilités, la notification des incidents aux CSIRT nationaux (Art. 14 CRA), et la fourniture d'une nomenclature des composants logiciels (SBOM). L'intersection avec le RGPD est directe pour les produits traitant des données personnelles : les obligations CRA rejoignent l'article 25 RGPD (privacy by design) et l'article 32 RGPD.
Évaluer si vos produits numériques entrent dans le périmètre CRA et consulter le guide DGE pour identifier les obligations applicables à votre catégorie de produit. CRA : qui est concerné ? — Support sécurité des produits numériques — CRA et RGPD : intersection
4 mars 2026 — Cyber Resilience Act : consultation sur les lignes directrices jusqu'au 31 mars
La Commission européenne a lancé une consultation publique sur un projet de lignes directrices destinées à accompagner les entreprises dans l'application du Cyber Resilience Act (CRA). Cette consultation, ouverte depuis le 3 mars 2026, se clôture le 31 mars 2026. Le projet de guidance clarifie les obligations et le champ d'application du CRA, avec un focus particulier sur la facilitation de la mise en conformité pour les fabricants de produits comportant des éléments numériques. Les lignes directrices abordent notamment la classification des produits, les exigences de cybersécurité essentielles et les obligations de signalement des vulnérabilités. Les entreprises concernées par le CRA ont tout intérêt à participer à cette consultation pour influencer l'interprétation finale du texte.
Soumettez vos commentaires avant le 31 mars 2026 sur le site de la Commission européenne. SBOM : l'obligation de nomenclature logicielle imposée par le CRA — CRA : qui est concerné par le Cyber Resilience Act ?
Faits marquants 2026
- 13 juin 2026 — CRA : signalement des vulnérabilités obligatoire dès le 11 septembre 2026
ACTION_REQUISE— Ce que ça change pour vous : recensez vos produits dans le champ du CRA et mettez en place une procédure interne de détection et d’escalade capable de tenir le délai d’alerte de 24 heures via la plateforme de l’ENISA. - 4 mars 2026 — Cyber Resilience Act : consultation sur les lignes directrices jusqu’au 31 mars
ACTION_REQUISE— Soumettez vos commentaires avant le 31 mars 2026 sur le site de la Commission européenne.
Chronologie
Juillet 2026
- CRA : l’ANSSI rappelle que la conformité s’impose sans attendre les normes ↗
Juin 2026
- CRA : 66% des PME connaissent le règlement mais bloquent sur sa mise en œuvre ↗
- CRA x AI Act : double conformité pour les produits à IA à haut risque ↗
- CRA : signalement des vulnérabilités obligatoire dès le 11 septembre 2026 ↗
- CRA : la Finlande adopte sa loi nationale, surveillance confiée à Traficom ↗
Mai 2026
- Kimwolf : Canada arrete l’admin d’un botnet IoT de 2 millions d’appareils ↗
- OpenSSF : appel d’alarme sur la conformité CRA de l’open source ↗
- Azure AKS : Microsoft refuse d’attribuer un CVE pour une faille critique ↗
- CRA : la Trusted Connectivity Alliance alerte sur les normes UICC et eUICC ↗
Avril 2026
- ANSSI : Panorama cybermenace 2025, IA offensive et sous-traitance ciblees ↗
- CRA : la France désigne l’ANFR surveillance marché, l’ANSSI autorité notifiante ↗
Mars 2026
- CRA : guide DGE et aide de 30 000 € pour la conformité des PME ↗
- Cyber Resilience Act : consultation sur les lignes directrices jusqu’au 31 mars ↗
Voir aussi
- Actualité RGPD 2026 : sanctions, décisions et jurisprudence
- Actualité DORA 2026 : résilience numérique
- Actualité NIS2 2026 : directive cybersécurité européenne
- Actualité AI Act 2026 : calendrier et conformité
- Actualité cybersécurité 2026 : NIS2, CRA, ANSSI
- Actualité CSRD 2026 : reporting durabilité et ESG