Règlement (UE) 2024/2847
ANSSI • CERT-FR • ANFR
Cyber Resilience Act
pour les fabricants français
Le règlement (UE) 2024/2847 impose des exigences de cybersécurité obligatoires à tous les fabricants, importateurs et distributeurs de produits comportant des éléments numériques sur le marché européen. Les entreprises françaises sont directement concernées.
Automatiser votre conformité CRA →
Le rôle de l'ANSSI dans le CRA
L'ANSSI est l'autorité centrale pour l'application du CRA en France, avec deux rôles distincts.
🏗
Autorité notifiante
L'ANSSI évalue, contrôle et notifie les organismes d'évaluation de la conformité (OEC) pour le CRA. En juillet 2025, elle a lancé un appel à manifestation d'intérêt auprès des laboratoires et centres de certification.
🚨
CERT-FR — CSIRT coordinateur
Le CERT-FR est le CSIRT coordinateur national pour la France. Les fabricants notifient via la plateforme ENISA (SRP), qui transmet automatiquement au CERT-FR les vulnérabilités et incidents signalés.
📊
ANFR — surveillance du marché
L'Agence nationale des fréquences (ANFR) assure la surveillance du marché pour le CRA en France, avec l'appui technique de l'ANSSI.
Source : ANSSI — Cyber Resilience Act (cyber.gouv.fr)
CRA et NIS 2 — deux réglementations complémentaires
Les entreprises françaises peuvent être soumises simultanément au CRA et à NIS 2. Ces deux textes sont distincts mais se renforcent mutuellement.
⚠ Point de vigilance France : La France n'a pas encore transposé la directive NIS 2 dans les délais fixés (17 octobre 2024). Le projet de loi Résilience est en cours d'examen. L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026 comme document de travail pour aider les entités à anticiper leurs obligations NIS 2.
CRA (Règlement) — s'applique aux produits
Le CRA est un règlement européen d'application directe. Il concerne les fabricants de produits comportant des éléments numériques : exigences de cybersécurité dès la conception, gestion des vulnérabilités, marquage CE, déclaration UE de conformité.
NIS 2 (Directive) — s'applique aux entités
NIS 2 concerne les entités opérant des infrastructures critiques (secteurs essentiels et importants). En France, plus de 15 000 entités seront concernées selon l'ANSSI. L'autorité compétente est l'ANSSI/CERT-FR.
Sources : Règlement (UE) 2024/2847 ; Directive (UE) 2022/2555 ; ANSSI NIS 2 (cyber.gouv.fr)
Calendrier clé pour les fabricants français
Dates officielles issues du règlement (UE) 2024/2847, Articles 71–72.
10 décembre 2024
Entrée en vigueur du CRA Fait
Le règlement (UE) 2024/2847 est entré en vigueur. Les fabricants français doivent débuter leur préparation à la conformité.
17 mars 2026
Publication du ReCyF par l'ANSSI Fait NIS 2
L'ANSSI a publié le Référentiel Cyber France (ReCyF), document de travail listant les mesures recommandées pour atteindre les objectifs NIS 2.
11 juin 2026
Organismes d'évaluation
L'ANSSI commence à notifier les organismes d'évaluation de la conformité (OEC) au titre du CRA. Chapitre IV du règlement applicable.
11 septembre 2026
Notification des vulnérabilités
Les fabricants doivent notifier les vulnérabilités activement exploitées et les incidents graves via la plateforme ENISA (SRP). Le CERT-FR reçoit automatiquement ces notifications pour la France. Délais : 24h notification initiale, 72h notification avancée.
11 décembre 2027
Application complète du CRA
Toutes les exigences s'appliquent : exigences essentielles de cybersécurité (Annexe I), marquage CE, déclaration UE de conformité, documentation technique (Annexe VII). Sanctions jusqu'à 15 millions € ou 2,5 % du CA mondial (Article 64).
Questions fréquentes
Réponses basées sur le texte officiel du règlement (UE) 2024/2847 et les informations publiées par l'ANSSI.
Le CRA s'applique-t-il aux PME françaises ?
Oui. Le CRA s'applique à tous les fabricants, quelle que soit leur taille. Cependant, l'Article 64 du règlement prévoit une exemption de sanction pour les micro-entreprises et petites entreprises en cas de non-respect du délai de 24 heures pour la notification des vulnérabilités. Par ailleurs, la Commission européenne a publié des orientations spécifiques pour les PME (MSME guidance).
Quel est le rôle du CERT-FR pour les fabricants ?
Le CERT-FR (centre de réponse aux incidents de l'ANSSI) est le CSIRT coordinateur national pour la France au titre du CRA. Lorsqu'un fabricant notifie une vulnérabilité activement exploitée ou un incident grave via la plateforme unique ENISA (Single Reporting Platform), la notification est automatiquement transmise au CERT-FR. Le CERT-FR assure la réception, l'analyse et la coordination du traitement.
Quelle est la différence entre le CRA et NIS 2 ?
Le CRA (règlement d'application directe) concerne la sécurité des produits comportant des éléments numériques : il s'adresse aux fabricants et impose des exigences sur le produit lui-même (conception, vulnérabilités, mises à jour). NIS 2 (directive devant être transposée) concerne la cybersécurité des entités opérant des services essentiels ou importants. Une même entreprise peut être soumise aux deux : au CRA en tant que fabricant, et à NIS 2 en tant qu'entité régulée.
Sources : Règlement (UE) 2024/2847, Article 1 ; Directive (UE) 2022/2555
Quelles sont les sanctions en cas de non-conformité au CRA ?
L'Article 64 du règlement (UE) 2024/2847 prévoit des sanctions échelonnées : non-respect des exigences essentielles de cybersécurité jusqu'à 15 000 000 € ou 2,5 % du chiffre d'affaires annuel mondial (le montant le plus élevé prévalant) ; autres manquements jusqu'à 10 000 000 € ou 2 % du CA mondial ; informations inexactes aux autorités jusqu'à 5 000 000 € ou 1 % du CA mondial. En France, la surveillance du marché est assurée par l'ANFR.
Avertissement juridique : Cette page est une ressource d'information. Tout le contenu relatif au CRA fait référence au texte officiel du règlement (UE) 2024/2847 publié au Journal officiel de l'UE (EUR-Lex). Les informations relatives à l'ANSSI sont issues de cyber.gouv.fr. Cette page ne constitue pas un conseil juridique. Pour une interprétation contraignante, consultez les textes officiels.