Quel est le calendrier du Cyber Resilience Act ?
Réponse directe
Le Règlement sur la cyberrésilience est entré en vigueur le 10 décembre 2024. Les obligations de signalement débutent le 11 septembre 2026 et l'essentiel des exigences — conception sécurisée, gestion des vulnérabilités, SBOM, marquage CE — s'applique à partir du 11 décembre 2027. Les produits déjà sur le marché à cette date ne nécessitent pas une nouvelle évaluation de conformité sauf en cas de modification substantielle.
Key Facts
- 10 décembre 2024 : entrée en vigueur du règlement (art. 71).
- 11 juin 2026 : application du cadre de notification des organismes d'évaluation de la conformité (chapitre IV).
- 11 septembre 2026 : début des obligations de signalement — alerte précoce sous 24 h, notification sous 72 h, rapport final sous 14 jours à l'ENISA et aux CSIRT nationaux (art. 14).
- 11 décembre 2027 : application de toutes les exigences essentielles, du SBOM, de l'évaluation de conformité et du marquage CE.
- Piège du parc existant : les produits mis sur le marché avant le 11 décembre 2027 ne nécessitent pas une nouvelle évaluation sauf modification substantielle — mais l'obligation de signalement de l'art. 14 s'applique dès le 11 septembre 2026 à tous les produits en usage dans l'UE.
- Paliers de sanctions : jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial pour les manquements à l'annexe I ou aux art. 13 et 14 (art. 64).
Le RCR est déjà en vigueur. Il est entré en application le 10 décembre 2024 et ses obligations se déploient en trois étapes (art. 71) : | Date | Étape | |---|---| | 10 décembre 2024 | Entrée en vigueur du règlement | | 11 juin 2026 | Application du cadre de notification des organismes d'évaluation de la conformité (chapitre IV) | | **11 septembre 2026** | **Obligations de signalement (art. 14) : alerte précoce sous 24 h · notification sous 72 h · rapport final sous 14 jours** | | 11 décembre 2027 | Application intégrale : toutes les exigences essentielles et obligations des fabricants | **La date du 11 septembre 2026 est la plus immédiate.** À partir de ce jour, les fabricants doivent signaler les vulnérabilités activement exploitées et les incidents graves via la plateforme unique de signalement de l'ENISA. Cette obligation concerne aussi les produits déjà sur le marché de l'UE. C'est le « piège du parc existant » : les équipes qui considèrent l'échéance de conformité de 2027 comme le vrai point de départ risquent d'être prises au dépourvu par l'obligation de signalement antérieure. **L'échéance du 11 décembre 2027** couvre tout le reste : sécurité dès la conception, processus de gestion des vulnérabilités, SBOM, documentation technique, évaluation de conformité, déclaration UE de conformité et marquage CE.