Quels sont les délais de signalement au titre du Cyber Resilience Act ?
Réponse directe
À compter du 11 septembre 2026 (art. 14), les fabricants signalent via la plateforme unique ENISA les vulnérabilités exploitées activement et les incidents graves en trois étapes : alerte précoce sous 24 h après prise de connaissance, notification sous 72 h, rapport final sous 14 jours après correction d'une vulnérabilité ou sous un mois pour un incident grave.
Key Facts
- Base juridique : RCR article 14, via la plateforme unique de signalement de l'article 16.
- Applicable à compter du 11 septembre 2026, première obligation majeure du RCR à entrer en vigueur (art. 71).
- 24 heures : alerte précoce · 72 heures : notification avec mesures correctives ou d'atténuation.
- Rapport final : 14 jours après correction d'une vulnérabilité ; un mois pour un incident grave.
- Signalements adressés à l'ENISA et au CSIRT national compétent via la plateforme unique de signalement.
- Déclencheurs : vulnérabilités exploitées activement (art. 3, point 42) et incidents graves affectant la sécurité du produit.
- Le délai de 24 heures ne s'interrompt pas les week-ends ni les jours fériés — contrairement à DORA (RTS (UE) 2025/301, art. 5).
Le Règlement sur la cyberrésilience impose aux fabricants de produits comportant des éléments numériques un délai de signalement en trois étapes. L'obligation prend effet le 11 septembre 2026 et constitue la première des principales obligations du RCR à entrer en vigueur (art. 71). Dès qu'un fabricant a connaissance d'une vulnérabilité exploitée activement ou d'un incident grave affectant la sécurité d'un produit, il dispose de **24 heures** pour transmettre une alerte précoce et de **72 heures** pour soumettre une notification plus complète, incluant les mesures correctives ou d'atténuation prises (art. 14). Le rapport final est dû dans les **14 jours** suivant la mise à disposition d'une mesure corrective pour une vulnérabilité, ou dans le **mois** suivant la notification de 72 heures pour un incident grave. Les signalements sont adressés à l'ENISA et au CSIRT national compétent via la plateforme unique de signalement instituée à l'article 16. Le délai de 24 heures pour l'alerte précoce démarre au moment où le fabricant en a connaissance et ne s'interrompt pas les week-ends ni les jours fériés. Les équipes habituées à DORA doivent noter la différence : le règlement délégué (UE) 2025/301 autorise certaines entités financières à reporter au jour ouvrable suivant les notifications initiales tombant un week-end ; aucun report équivalent n'existe au titre du RCR. L'obligation est absolue dès la prise de connaissance.
Related Questions
- Quelle est la différence entre le Cyber Resilience Act et NIS2 ? →
- Quelle est la différence entre le Cyber Resilience Act (CRA) et DORA ? →
- Qu'est-ce que la plateforme unique de signalement ENISA (SRP) du Cyber Resilience Act ? →
- Quel est le calendrier du Cyber Resilience Act ? →
- Que signifie « aucune vulnérabilité exploitable connue » dans le Cyber Resilience Act ? →