Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 28 mars 2026
Accueil/Cyber Resilience Act/Cyber Resilience Act : calendrier d'application et dates cle...
Cyber Resilience Act

Cyber Resilience Act : calendrier d'application et dates cles

Le Cyber Resilience Act entre en application progressivement entre 2024 et 2027. Toutes les dates cles, echeances et obligations par phase.

Par Thiebaut DevergrannePublie le 15 janvier 2026Mis a jour le 15 janvier 20267 min de lecture
Sommaire
  1. I. Vue d’ensemble du calendrier CRA
  2. II. Phase 1 – Entree en vigueur et periode de preparation (decembre 2024 - juin 2026)
  3. III. Phase 2 – Signalement des vulnerabilites (septembre 2026)
  4. IV. Phase 3 – Application integrale (decembre 2027)
  5. V. Planification recommandee : le retroplanning a suivre
  6. VI. Points de vigilance

Le Cyber Resilience Act (CRA) – reglement (UE) 2024/2847 – n’entre pas en application d’un seul bloc. Le legislateur europeen a prevu une mise en oeuvre progressive etalee sur trois ans, de fin 2024 a decembre 2027. Ce calendrier echelonne permet aux operateurs economiques de se preparer, mais il implique aussi des echeances intermediaires qu’il est essentiel de connaitre. Voici le calendrier complet et les actions a engager a chaque etape.

I. Vue d’ensemble du calendrier CRA

Le CRA suit une logique en trois phases principales. Le tableau ci-dessous synthetise l’ensemble des echeances.

Date Evenement Base juridique
23 octobre 2024 Adoption du reglement par le Parlement europeen et le Conseil
20 novembre 2024 Publication au Journal officiel de l’Union europeenne
10 decembre 2024 Entree en vigueur (J+20 apres publication) Art. 71
11 juin 2026 Applicabilite des dispositions relatives aux organismes d’evaluation de la conformite (organismes notifies) Art. 71(2)
11 juin 2026 Mise en place des autorites de surveillance du marche par les Etats membres Art. 52
11 septembre 2026 Obligation de signalement des vulnerabilites activement exploitees a l’ENISA (J+21 mois) Art. 71(2), Art. 14
11 decembre 2027 Application integrale de toutes les obligations (J+36 mois) Art. 71(2)

Ce calendrier est imperatif. Il n’existe aucun mecanisme de report ni de clause de grace : a chaque echeance, les obligations correspondantes deviennent directement applicables dans tous les Etats membres.

II. Phase 1 – Entree en vigueur et periode de preparation (decembre 2024 - juin 2026)

Depuis le 10 decembre 2024, le CRA est juridiquement en vigueur. Pendant cette premiere phase, les obligations substantielles ne sont pas encore applicables, mais plusieurs processus critiques sont en cours.

A. Designation des organismes notifies

Les Etats membres doivent identifier et notifier les organismes charges de l’evaluation de la conformite des produits comportant des elements numeriques. Ces organismes notifies joueront un role central pour les produits des categories “important” et “critique” qui necessitent une evaluation par un tiers (voir article 32 et annexes III et IV du reglement). L’echeance du 11 juin 2026 donne aux Etats membres 18 mois pour mettre en place ce dispositif.

B. Mise en place de la surveillance du marche

Chaque Etat membre doit designer une ou plusieurs autorites de surveillance du marche, conformement a l’article 52 du CRA. Ces autorites seront responsables du controle de la conformite des produits mis sur le marche, des enquetes, et le cas echeant, des mesures correctives et des sanctions. En France, on peut s’attendre a ce que l’ANSSI joue un role central dans ce dispositif.

C. Ce que les entreprises doivent faire des maintenant

Cette phase est la fenetre de preparation. Les fabricants, importateurs et distributeurs doivent mettre ce temps a profit pour :

  • Realiser un inventaire de tous les produits comportant des elements numeriques qu’ils mettent sur le marche europeen ;
  • Evaluer la classification de chaque produit (par defaut, important classe I, important classe II, ou critique) car le regime d’evaluation de la conformite en depend ;
  • Mettre en place un processus de gestion des vulnerabilites conforme aux exigences de l’article 14, car l’obligation de signalement arrive des septembre 2026 ;
  • Preparer la documentation technique et les SBOM (Software Bill of Materials) exiges par le reglement ;
  • Former les equipes produit, securite et juridique aux nouvelles obligations.

III. Phase 2 – Signalement des vulnerabilites (septembre 2026)

L’echeance du 11 septembre 2026 constitue le premier jalon operationnel majeur. A compter de cette date, tout fabricant de produits comportant des elements numeriques devra notifier a l’ENISA (via la plateforme de signalement unique) toute vulnerabilite activement exploitee, dans un delai de 24 heures apres en avoir eu connaissance.

Cette obligation merite une attention particuliere car elle entre en application neuf mois avant les autres obligations. Concretement, cela signifie que meme si un produit n’a pas encore besoin d’etre pleinement conforme au CRA, son fabricant est deja tenu de signaler les vulnerabilites exploitees.

Les details de cette obligation sont analyses dans notre article dedie au signalement des vulnerabilites sous le CRA. Retenons ici les points essentiels :

  • Delai de notification initiale : 24 heures apres la prise de connaissance d’une vulnerabilite activement exploitee ;
  • Notification complete : 72 heures apres la prise de connaissance ;
  • Rapport final : 14 jours apres la mise a disposition du correctif.

Les entreprises qui ne disposent pas encore d’un processus structure de detection et de gestion des vulnerabilites doivent le mettre en place avant cette date. C’est une priorite absolue.

IV. Phase 3 – Application integrale (decembre 2027)

Le 11 decembre 2027, l’ensemble des obligations du CRA deviennent applicables. Cela comprend notamment :

  • Les exigences essentielles de cybersecurite (annexe I) : securite par conception, configuration securisee par defaut, protection contre les acces non autorises, integrite des donnees, minimisation des donnees, resilience et disponibilite ;
  • Les obligations de gestion des vulnerabilites dans leur integralite (au-dela du seul signalement) : identification, documentation, correction et diffusion des mises a jour de securite pendant toute la duree de vie attendue du produit ;
  • Les procedures d’evaluation de la conformite : auto-evaluation (module A) pour les produits par defaut, evaluation par un tiers (modules B+C ou H) pour les produits importants de classe II et les produits critiques ;
  • Le marquage CE attestant de la conformite au CRA ;
  • La documentation technique et les SBOM devant accompagner chaque produit ;
  • Les obligations des importateurs et distributeurs en matiere de verification et de traçabilite.

A partir de cette date, les autorites de surveillance du marche pourront pleinement exercer leurs pouvoirs de controle et de sanction. Les sanctions prevues par le CRA sont significatives : jusqu’a 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial pour les manquements les plus graves.

V. Planification recommandee : le retroplanning a suivre

Pour les entreprises qui n’ont pas encore engage leur mise en conformite, voici le retroplanning minimal a respecter.

Maintenant (T0 – mars 2026) :

  • Finaliser l’inventaire des produits concernes et leur classification ;
  • Mettre en place le processus de signalement des vulnerabilites a l’ENISA (echeance dans 6 mois) ;
  • Lancer l’analyse d’ecart entre les pratiques actuelles de securite et les exigences de l’annexe I.

D’ici septembre 2026 (T+6 mois) :

  • Processus de signalement des vulnerabilites pleinement operationnel ;
  • Outillage de detection et de suivi des vulnerabilites en place ;
  • Contacts etablis avec l’ENISA et les CSIRT nationaux.

D’ici juin 2027 (T+15 mois) :

  • Documentation technique et SBOM en cours de finalisation ;
  • Processus d’evaluation de la conformite engage (contact avec les organismes notifies si necessaire) ;
  • Mesures de securite par conception integrees dans les cycles de developpement.

D’ici decembre 2027 (T+21 mois) :

  • Conformite integrale : marquage CE, documentation technique, SBOM, processus de mise a jour, surveillance post-commercialisation.

VI. Points de vigilance

Trois elements meritent une attention particuliere dans la gestion de ce calendrier :

  1. Le chevauchement avec d’autres reglementations. Le CRA s’articule avec la directive NIS2, le reglement sur l’IA et les reglementations sectorielles existantes. Les entreprises soumises a plusieurs textes doivent construire une approche integree.

  2. Les actes delegues et d’execution. La Commission europeenne doit adopter plusieurs actes complementaires, notamment sur le format de notification des vulnerabilites, les specifications techniques des SBOM et les criteres de designation des organismes notifies. Ces actes peuvent modifier les modalites pratiques de mise en oeuvre.

  3. Les produits deja sur le marche. Le CRA s’applique aux produits mis sur le marche a compter du 11 decembre 2027. Les produits commercialises avant cette date ne sont pas retroactivement soumis aux exigences de conformite, mais l’obligation de signalement des vulnerabilites s’applique a tout fabricant des septembre 2026, y compris pour des produits existants.

Le calendrier du CRA est serre. Dix-huit mois separent encore les entreprises de l’application integrale, mais les premieres obligations arrivent dans moins de six mois. Il est temps d’agir.

Restez informe sur la conformite

Recevez nos analyses et guides pratiques sur le RGPD, NIS2, AI Act et plus. Rejoint par 52 000+ professionnels.

Articles lies

Cyber Resilience Act

Signalement des vulnerabilites : les obligations du Cyber Resilience Act

21 mars 2026 · 11 min
Cyber Resilience Act

Support securite des produits numeriques : les obligations de mises a jour du CRA

16 mars 2026 · 9 min
Cyber Resilience Act

SBOM : l'obligation de nomenclature logicielle imposee par le CRA

12 mars 2026 · 10 min