Guide indépendant du règlement (UE) 2024/2847 · Statut : en vigueur
Cette page est une traduction automatique (IA) qui n'a pas été révisée par un humain.
Comprendre le CRA · Notification

Notification d'incidents et de vulnérabilités dans le cadre du CRA

À partir du 11 septembre 2026, les fabricants doivent notifier les vulnérabilités activement exploitées et les incidents sévères en vertu de l'article 14 ; ce qui doit être notifié, les délais de 24 heures, 72 heures et 14 jours, et les destinataires de la notification.

Environ 8 min de lectureArticle 14 · 16Applicable à partir du 11 sep. 2026

01Ce qui doit être notifié

L'article 14 du Cyber Resilience Act crée deux obligations de notification distinctes pour les fabricants de produits comportant des éléments numériques. Elles sont plus limitées qu'elles n'y paraissent à première vue : les bogues courants et les correctifs ordinaires ne sont pas dans le champ d'application. Art. 14

  • Vulnérabilités activement exploitées; une vulnérabilité dans votre produit qui est exploitée dans le cadre d'une attaque. Une vulnérabilité que vous découvrez et corrigez avant qu'elle soit exploitée est gérée par votre processus de gestion des vulnérabilités, et non par ce canal de notification.
  • Incidents sévères; un incident ayant un impact sévère sur la sécurité du produit, par exemple un incident compromettant la confidentialité, l'intégrité ou la disponibilité pour les utilisateurs.
Le test

Si une faiblesse de sécurité de votre produit est activement exploitée, ou si un incident de sécurité l'a gravement affecté, le délai de l'article 14 commence à courir. Tout le reste relève de votre gestion quotidienne des vulnérabilités.

02Les trois délais

Chaque notification se déroule en trois étapes, calculées à partir du moment où vous prise de connaissance de la vulnérabilité exploitée ou de l'incident sévère. Les délais sont stricts, c'est pourquoi l'état de préparation est plus important que le processus le jour venu. Art. 14(2)–(4)

  • Dans les 24hAlerte précoce. Une première notification signalant qu'une vulnérabilité activement exploitée ou un incident sévère s'est produit, indiquant notamment si l'on soupçonne qu'il est dû à des actes illicites ou malveillants.
  • Dans les 72hNotification de vulnérabilité / d'incident. Un compte rendu plus complet, comprenant une évaluation initiale, la gravité et l'impact, ainsi que, le cas échéant, les mesures correctives ou d'atténuation prises.
  • Dans les 14 joursRapport final. Une fois qu'une mesure corrective est disponible : une description de la vulnérabilité ou de l'incident, sa gravité et son impact, ainsi que la remédiation appliquée. Pour les incidents, le délai court à partir du moment où l'incident est traité.

03À qui notifier

Les notifications sont adressées à ENISA et au CSIRT désigné comme coordinateur pour l'État membre concerné. Vous ne contactez pas chaque autorité séparément : le CRA établit une plateforme de notification unique, gérée par ENISA, comme point d'entrée unique pour toutes les notifications. Art. 14 · 16

La plateforme achemine chaque notification vers le CSIRT national compétent et, si nécessaire, vers d'autres autorités. Dans des cas limités, par exemple lorsque la divulgation créerait un risque disproportionné en matière de cybersécurité, le règlement autorise une notification limitée, mais le principe par défaut est une notification complète et rapide via la plateforme.

Statut · mi-2026

La plateforme de notification unique est pas encore disponible en général. ENISA est encore en train de la développer (le développement a fait l'objet d'un appel d'offres et d'un contrat), et publie des documents d'inscription, d'intégration et de simulation dans la phase préparatoire. Elle est destinée à être opérationnelle pour la date de démarrage du 11 septembre 2026, avec une période de test avant cette date ; il n'existe donc pas encore de plateforme opérationnelle sur laquelle s'inscrire.

04Quand elles commencent

Les obligations de notification constituent la première partie majeure du CRA à entrer en vigueur. Alors que la plupart des dispositions s'appliquent à partir du 11 décembre 2027, l'article 14 s'applique à partir du 11 septembre 2026; 21 mois après l'entrée en vigueur du règlement. La plateforme de notification unique est destinée à être opérationnelle à cette date. Art. 71

Pourquoi c'est la première échéance importante

Contrairement au marquage CE, que vous effectuez une seule fois avant de mettre un produit sur le marché, la notification est une obligation permanente et continue qui débute en septembre 2026 et peut être déclenchée à tout moment par la suite. Se préparer n'est pas un projet ponctuel.

Encore en cours de finalisation

Le format et procédure pour les notifications peut être précisé par des actes d'exécution de la Commission, et les normes harmonisées qui sous-tendent la gestion des vulnérabilités sont attendues aux alentours du 30 août 2026. Ces deux éléments ne devraient être disponibles que peu avant l'entrée en vigueur de l'obligation. La conclusion pratique : construisez dès maintenant votre processus interne de détection et de notification ; n'attendez pas les mécanismes définitifs de la plateforme ni un modèle de notification publié, car l'obligation s'applique à partir du 11 septembre 2026 quelle que soit la situation.

05Comment se préparer

Respecter un délai de 24 heures est un problème opérationnel, non administratif. Les fabricants qui y parviendront sont ceux qui savent déjà ce que contiennent leurs produits et qui en assurent une surveillance continue.

  • Tenir un SBOM à jour; vous ne pouvez pas notifier un composant dont vous ignoriez la présence dans votre produit. Tenez un SBOM à jour et actualisez-le à chaque nouvelle version.
  • Le surveiller en permanence; comparez vos composants aux sources de vulnérabilités connues afin qu'une faille activement exploitée soit détectée en quelques heures et non en quelques semaines.
  • Définir le processus à l'avance; décidez dès maintenant qui détermine qu'une notification est requise, qui la rédige et qui la soumet, afin que le délai ne soit pas consommé par des procédures d'escalade internes.
  • Suivre les exigences sous-jacentes; le matrice de conformité rattache la notification aux obligations plus larges de gestion des vulnérabilités de l'Annexe I dans lesquelles elle s'inscrit.

Le SBOM et analyseur de vulnérabilités couvre les deux premiers : il compare votre liste de composants au NVD et à la base de données européenne de vulnérabilités (EUVD), de sorte qu'un composant activement exploité est signalé dans le délai de 24 heures.

Ouvrir l'analyseur de vulnérabilités →Le CRA, expliqué →

06Questions fréquentes

Que dois-je notifier dans le cadre du CRA, et dans quel délai ?

Les vulnérabilités activement exploitées et les incidents sévères affectant la sécurité de votre produit. Vous devez envoyer une alerte précoce dans les 24 heures suivant la prise de connaissance, une notification plus complète dans les 72 heures, et un rapport final dans les 14 jours suivant la disponibilité d'une mesure corrective. Art. 14

Quand les obligations de notification commencent-elles ?

11 septembre 2026 ; 21 mois après l'entrée en vigueur du règlement, bien avant l'application complète au 11 décembre 2027.

À qui dois-je notifier ?

ENISA et le CSIRT national désigné comme coordinateur, par l'intermédiaire de la plateforme de notification unique qu'ENISA établit en vertu de l'article 16. Il s'agit d'un point d'entrée unique et non de déclarations séparées.

Dois-je notifier chaque bogue ou vulnérabilité ?

Non. Seules les vulnérabilités activement exploitées et les incidents sévères sont soumis à obligation de notification. Les vulnérabilités que vous détectez et corrigez avant exploitation sont gérées dans le cadre de votre processus ordinaire de gestion des vulnérabilités.

La plateforme de notification unique d'ENISA est-elle déjà disponible ?

Pas encore. À mi-2026, elle est encore en cours de construction en vertu de l'article 16 ; ENISA publie des documents d'inscription et de simulation dans la phase préparatoire et la plateforme est destinée à être opérationnelle d'ici le 11 septembre 2026, avec une période de test avant cette date.

Existe-t-il déjà un format standard ou un modèle de notification ?

Pas encore de format définitif. La Commission peut préciser le format et la procédure de notification par des actes d'exécution, et les normes harmonisées sous-tendant la gestion des vulnérabilités sont attendues aux alentours du 30 août 2026. Préparez votre processus interne dès maintenant plutôt que d'attendre les mécanismes définitifs ; l'obligation s'applique à partir du 11 septembre 2026 quelle que soit la situation.

Poursuivre la lecture

Références associées

§Le CRA, expliqué

Champ d'application, classes, obligations et calendrier complet en langage clair.

§SBOM et analyseur de vulnérabilités

Comparez vos composants au NVD et à l'EUVD pour respecter le délai de 24 heures.

§Le règlement complet

Les articles 14 et 16 dans le texte contraignant du Regulation (EU) 2024/2847.

§Questions fréquentes

Réponses concises aux questions fréquentes des parties prenantes, avec références.