Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Cyber Resilience Act/Cyber Résilience Act : calendrier d'application et dates clé...
Cyber Resilience Act

Cyber Résilience Act : calendrier d'application et dates clés

Le Cyber Résilience Act entre en application progressivement entre 2024 et 2027. Toutes les dates clés, échéances et obligations par phase.

Par Thiébaut DevergrannePublie le 15 janvier 2026Mis a jour le 15 janvier 20267 min de lecture
Sommaire
  1. I. Vue d’ensemble du calendrier CRA
  2. II. Phase 1 – Entree en vigueur et période de préparation (décembre 2024 - juin 2026)
  3. III. Phase 2 – Signalement des vulnérabilités (septembre 2026)
  4. IV. Phase 3 – Application intégrale (décembre 2027)
  5. V. Planification recommandée : le retroplanning a suivre
  6. VI. Points de vigilance

Le Cyber Résilience Act (CRA) – règlement (UE) 2024/2847 – n’entre pas en application d’un seul bloc. Le législateur européen a prévu une mise en oeuvre progressive etalee sur trois ans, de fin 2024 a décembre 2027. Ce calendrier échelonné permet aux opérateurs économiques de se préparer, mais il implique aussi des échéances intermédiaires qu’il est essentiel de connaître. Voici le calendrier complet et les actions a engager à chaque étape.

I. Vue d’ensemble du calendrier CRA

Le CRA suit une logique en trois phases principales. Le tableau ci-dessous synthétise l’ensemble des échéances.

Date Évènement Base juridique
23 octobre 2024 Adoption du règlement par le Parlement européen et le Conseil
20 novembre 2024 Publication au Journal officiel de l’Union européenne
10 décembre 2024 Entree en vigueur (J+20 après publication) Art. 71
11 juin 2026 Applicabilite des dispositions relatives aux organismes d’évaluation de la conformité (organismes notifies) Art. 71(2)
11 juin 2026 Mise en place des autorités de surveillance du marché par les États membres Art. 52
11 septembre 2026 Obligation de signalement des vulnérabilités activement exploitées à l’ENISA (J+21 mois) Art. 71(2), Art. 14
11 décembre 2027 Application intégrale de toutes les obligations (J+36 mois) Art. 71(2)

Ce calendrier est impératif. Il n’existe aucun mécanisme de report ni de clause de grâce : à chaque échéance, les obligations correspondantes deviennent directement applicables dans tous les États membres.

II. Phase 1 – Entree en vigueur et période de préparation (décembre 2024 - juin 2026)

Depuis le 10 décembre 2024, le CRA est juridiquement en vigueur. Pendant cette première phase, les obligations substantielles ne sont pas encore applicables, mais plusieurs processus critiques sont en cours.

A. Designation des organismes notifies

Les États membres doivent identifier et notifier les organismes charges de l’évaluation de la conformité des produits comportant des éléments numériques. Ces organismes notifies joueront un rôle central pour les produits des catégories “important” et “critique” qui nécessitent une évaluation par un tiers (voir article 32 et annexes III et IV du règlement). L’échéance du 11 juin 2026 donne aux États membres 18 mois pour mettre en place ce dispositif.

B. Mise en place de la surveillance du marché

Chaque État membre doit désigner une ou plusieurs autorités de surveillance du marché, conformément à l’article 52 du CRA. Ces autorités seront responsables du contrôle de la conformité des produits mis sur le marché, des enquêtes, et le cas échéant, des mesures correctives et des sanctions. En France, on peut s’attendre à ce que l’ANSSI joué un rôle central dans ce dispositif.

C. Ce que les entreprises doivent faire des maintenant

Cette phase est la fenêtre de préparation. Les fabricants, importateurs et distributeurs doivent mettre ce temps a profit pour :

  • Réaliser un inventaire de tous les produits comportant des éléments numériques qu’ils mettent sur le marché européen ;
  • Évaluer la classification de chaque produit (par défaut, important classe I, important classe II, ou critique) car le régime d’évaluation de la conformité en dépend ;
  • Mettre en place un processus de gestion des vulnérabilités conforme aux exigences de l’article 14, car l’obligation de signalement arrivé des septembre 2026 ;
  • Préparer la documentation technique et les SBOM (Software Bill of Materials) exigés par le règlement ;
  • Former les équipes produit, sécurité et juridique aux nouvelles obligations.

III. Phase 2 – Signalement des vulnérabilités (septembre 2026)

L’échéance du 11 septembre 2026 constitue le premier jalon opérationnel majeur. À compter de cette date, tout fabricant de produits comportant des éléments numériques devra notifier à l’ENISA (via la plateforme de signalement unique) toute vulnérabilité activement exploitée, dans un délai de 24 heures après en avoir eu connaissance.

Cette obligation mérite une attention particulière car elle entre en application neuf mois avant les autres obligations. Concrètement, cela signifie que même si un produit n’a pas encore besoin d’être pleinement conforme au CRA, son fabricant est déjà tenu de signaler les vulnérabilités exploitées.

Les détails de cette obligation sont analysés dans notre article dédié au signalement des vulnérabilités sous le CRA. Retenons ici les points essentiels :

  • Délai de notification initiale : 24 heures après la prise de connaissance d’une vulnérabilité activement exploitée ;
  • Notification complète : 72 heures après la prise de connaissance ;
  • Rapport final : 14 jours après la mise à disposition du correctif.

Les entreprises qui ne disposent pas encore d’un processus structuré de détection et de gestion des vulnérabilités doivent le mettre en place avant cette date. C’est une priorité absolue.

IV. Phase 3 – Application intégrale (décembre 2027)

Le 11 décembre 2027, l’ensemble des obligations du CRA deviennent applicables. Cela comprend notamment :

  • Les exigences essentielles de cybersécurité (annexe I) : sécurité par conception, configuration sécurisée par défaut, protection contre les accès non autorisés, intégrité des données, minimisation des données, résilience et disponibilité ;
  • Les obligations de gestion des vulnérabilités dans leur intégralité (au-delà du seul signalement) : identification, documentation, correction et diffusion des mises à jour de sécurité pendant toute la durée de vie attendue du produit ;
  • Les procédures d’évaluation de la conformité : auto-évaluation (module A) pour les produits par défaut, évaluation par un tiers (modules B+C ou H) pour les produits importants de classe II et les produits critiques ;
  • Le marquage CE attestant de la conformité au CRA ;
  • La documentation technique et les SBOM devant accompagner chaque produit ;
  • Les obligations des importateurs et distributeurs en matière de vérification et de traçabilité.

À partir de cette date, les autorités de surveillance du marché pourront pleinement exercer leurs pouvoirs de contrôle et de sanction. Les sanctions prévues par le CRA sont significatives : jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial pour les manquements les plus gravés.

V. Planification recommandée : le retroplanning a suivre

Pour les entreprises qui n’ont pas encore engagé leur mise en conformité, voici le retroplanning minimal a respecter.

Maintenant (T0 – mars 2026) :

  • Finaliser l’inventaire des produits concernés et leur classification ;
  • Mettre en place le processus de signalement des vulnérabilités à l’ENISA (échéance dans 6 mois) ;
  • Lancer l’analyse d’écart entre les pratiques actuelles de sécurité et les exigences de l’annexe I.

D’ici septembre 2026 (T+6 mois) :

  • Processus de signalement des vulnérabilités pleinement opérationnel ;
  • Outillage de détection et de suivi des vulnérabilités en place ;
  • Contacts établis avec l’ENISA et les CSIRT nationaux.

D’ici juin 2027 (T+15 mois) :

  • Documentation technique et SBOM en cours de finalisation ;
  • Processus d’évaluation de la conformité engagé (contact avec les organismes notifies si nécessaire) ;
  • Mesures de sécurité par conception intégrées dans les cycles de développement.

D’ici décembre 2027 (T+21 mois) :

  • Conformité intégrale : marquage CE, documentation technique, SBOM, processus de mise à jour, surveillance post-commercialisation.

VI. Points de vigilance

Trois éléments méritent une attention particulière dans la gestion de ce calendrier :

  1. Le chevauchement avec d’autres réglementations. Le CRA s’articule avec la directive NIS2, le règlement sur l’IA et les réglementations sectorielles existantes. Les entreprises soumises à plusieurs textes doivent construire une approche intégrée.

  2. Les actes délégués et d’exécution. La Commission européenne doit adopter plusieurs actes complémentaires, notamment sur le format de notification des vulnérabilités, les spécifications techniques des SBOM et les critères de désignation des organismes notifies. Ces actes peuvent modifier les modalités pratiques de mise en oeuvre.

  3. Les produits déjà sur le marché. Le CRA s’applique aux produits mis sur le marché à compter du 11 décembre 2027. Les produits commercialises avant cette date ne sont pas retroactivement soumis aux exigences de conformité, mais l’obligation de signalement des vulnérabilités s’applique à tout fabricant des septembre 2026, y compris pour des produits existants.

Le calendrier du CRA est serre. Dix-huit mois separent encore les entreprises de l’application intégrale, mais les premières obligations arrivent dans moins de six mois. Il est temps d’agir.

Articles lies

Cyber Resilience Act

Signalement des vulnérabilités : les obligations du Cyber Résilience Act

21 mars 2026 · 11 min
Cyber Resilience Act

Support sécurité des produits numériques : les obligations de mises à jour du CRA

16 mars 2026 · 9 min
Cyber Resilience Act

SBOM : l'obligation de nomenclature logicielle imposée par le CRA

12 mars 2026 · 10 min