Quel impact le Cyber Resilience Act a-t-il sur les PME ?

Alexis Hirschhorn· CEO, Acuna16 juillet 2026

Réponse directe

Les petites entreprises qui fabriquent des produits comportant des éléments numériques relèvent du Règlement sur la cyberrésilience, mais le texte prévoit des mesures de proportionnalité : les microentreprises et petites entreprises peuvent utiliser une documentation technique simplifiée, et la Commission ainsi que les États membres doivent fournir des orientations et un accompagnement. Les obligations de fond restent applicables.

Key Facts

  • Les PME et microentreprises qui mettent des produits sur le marché sont dans le champ d'application.
  • Article 33, par. 5 : les microentreprises et petites entreprises peuvent fournir leur documentation technique (annexe VII) dans un format simplifié, que les organismes notifiés doivent accepter.
  • La Commission et les États membres doivent fournir des mesures d'accompagnement des PME, notamment des bacs à sable réglementaires et des canaux dédiés (art. 33).
  • Les microentreprises et petites entreprises sont exemptées d'amendes en cas de dépassement du délai d'alerte précoce de 24 heures ; toutes les autres obligations subsistent.
  • Le signalement à compter du 11 septembre 2026 s'applique quelle que soit la taille ; la notification sous 72 heures et le rapport final ne sont pas supprimés.

Le RCR s'applique aux petites entreprises qui fabriquent des produits comportant des éléments numériques, mais il intègre la proportionnalité. **Documentation technique simplifiée.** En vertu de l'article 33, par. 5, les microentreprises et petites entreprises peuvent fournir leur documentation technique (annexe VII) dans un format simplifié, et les organismes notifiés sont tenus d'accepter ce format. Cela allège la charge administrative sans supprimer aucune exigence de sécurité de fond. **Mesures d'accompagnement des PME.** L'article 33 impose à la Commission et aux États membres de fournir un soutien adapté, notamment des bacs à sable réglementaires, des canaux de communication dédiés et des orientations sectorielles. Ces mesures sont obligatoires, non facultatives. **Exemption d'amende pour l'alerte précoce de 24 heures.** Les microentreprises et petites entreprises sont exemptées d'amendes administratives en cas de dépassement du délai d'alerte précoce de 24 heures uniquement. La notification sous 72 heures et le rapport final ne sont pas couverts par cette exemption -- ces obligations et leurs sanctions restent pleinement en vigueur. La proportionnalité ne supprime pas le fond. Un petit fabricant doit toujours concevoir de manière sécurisée, mettre en place un processus de gestion des vulnérabilités, maintenir un SBOM et transmettre une notification sous 72 heures dans les délais. L'obligation de signalement à compter du 11 septembre 2026 s'applique quelle que soit la taille de l'entreprise.

Et maintenant

Découvrez comment Acuna automatise ça

Quel impact le Cyber Resilience Act a-t-il sur les PME ? | Acuna GRC Answers | Acuna