CYBER RESILIENCE ACT
Soyez prêt pour le Cyber Resilience Act dès septembre 2026, sans construire un quatrième silo.
Le Cyber Resilience Act (le règlement européen sur la cyberrésilience) ajoute des obligations de cybersécurité au niveau produit par-dessus NIS2 et DORA. Acuna les recoupe avec les contrôles que vous pilotez déjà, pour qu'un seul processus documenté couvre les trois régimes au lieu de trois programmes déconnectés.
LE CYBER RESILIENCE ACT EN UNE PHRASE
À compter du 11 septembre 2026, vous devez déclarer les vulnérabilités activement exploitées sous 24 heures ; Acuna vous donne un seul endroit pour piloter le traitement des vulnérabilités, l'horloge de déclaration et les preuves qu'une autorité de surveillance du marché acceptera réellement. Consultez le [guide Cyber Resilience Act](/frameworks/cyber-resilience-act).
Vous savez déjà faire cela. Le RCR déplace simplement l'exigence sur vos produits.
Si vous pilotez déjà l'ISO 27001, NIS2 ou DORA, le RCR n'introduit pas un concept nouveau. Il déplace un travail familier -- traitement des vulnérabilités, risque, preuves -- sur un nouvel objet : les produits que vous mettez sur le marché de l'UE, et pas seulement votre organisation. À compter du 11 septembre 2026, les fabricants doivent déclarer à l'ENISA, sous 24 heures, les vulnérabilités activement exploitées et les incidents graves. À compter du 11 décembre 2027, chaque produit comportant des éléments numériques doit disposer de preuves de sécurité dès la conception, d'une période de support déclarée, d'un SBOM et d'une déclaration de conformité. La plupart des équipes ne manquent pas de travail de sécurité. Elles manquent d'un seul endroit pour l'exécuter, par produit, sur une horloge qu'elles peuvent prouver.
Un seul jeu de contrôles, recoupé entre RCR, NIS2 et DORA.
Arrêtez de traiter le RCR comme un projet et exécutez-le comme une obligation de plus sur un jeu de contrôles que vous pilotez déjà. L'idée centrale : un contrôle, plusieurs référentiels -- collectez une preuve une fois et réutilisez-la pour le RCR, NIS2, DORA et l'ISO 27001, plutôt que de la reconstruire par régime. //CONFIRM crosswalk capability
L'horloge est le risque. La documentation est la preuve.
| Ce qu'un seul jeu de contrôles débloque | Ce que coûte l'attente |
|---|---|
| Déclarer une fois, recoupé : un seul dossier d'incident sert les déclarations RCR, NIS2 et DORA au lieu de trois reconstructions. | Le goulot d'étranglement inversé : trouver des vulnérabilités passe à l'échelle, mais les corriger et les documenter à la main, non. |
| Une piste horodatée et défendable qui répond à une autorité de surveillance du marché, au lieu d'une course improvisée. | Un régulateur n'acceptera pas « nous y travaillons » ; captures d'écran et fils de discussion échouent à l'audit. |
| Classification des produits et périodes de support suivies en un seul endroit, pas un tableur par produit. | Une posture de triage fondée uniquement sur le CVSS est difficile à défendre quand le RCR exige des décisions de risque alignées sur l'activité. |
| Une préparation au 11 septembre 2026 fondée sur la détection et l'escalade que vous pouvez lancer dès maintenant. | Le même incident peut déclencher RCR, NIS2 et DORA sur trois horloges ; trois playbooks multiplient le risque de déclarations contradictoires. |
| Les sanctions maximales atteignent 15 millions d'EUR ou 2,5 % du chiffre d'affaires mondial, et l'obligation de déclaration est la première à mordre. |
Nous n'avons pas de nombre de clients à citer, voici donc le mécanisme. Une vulnérabilité activement exploitée dans un composant partagé peut déclencher une déclaration RCR à l'ENISA, une déclaration NIS2 à votre CSIRT et une déclaration DORA à votre autorité financière, sur trois horloges différentes. Exécutez-les depuis un seul jeu de contrôles recoupé et vous préparez les faits une fois, puis déposez trois vues de ceux-ci. Exécutez-les depuis trois outils et vous reconstruisez les mêmes preuves trois fois, sous une horloge de 24 heures, en espérant que les versions concordent. L'économie n'est pas un pourcentage ; c'est la différence entre un processus défendable et trois processus fragiles.
Les objections que nous entendons en premier.
GRC ROI is genuinely hard to prove precisely. Use your own numbers below to build the internal case. These inputs are yours; the output is your estimate, not ours.
Pipeline at risk
Enterprise deal value
typical affected deal, annualised
CHF 200K
Deals blocked or slowed
per year, your estimate
3 deals
Security questionnaires
your team fills out, per month
5 / month
Questionnaire overhead
Hours per questionnaire
across all people involved (SIG/CAIQ often run 6–12 hrs)
6 hrs
All-in hourly cost
fully-loaded: salary + overhead of the person filling it
CHF 125
Acuna starts from
CHF 5'388 / year, all frameworks included
120×
your est. cost
These are your estimates, not ours. GRC ROI is notoriously hard to measure: most of the value is in deals not lost, incidents not escalated, and audits not rebuilt from scratch. Use this to structure the internal conversation, not as a number we stand behind.
Conçu par des personnes qui ont piloté ces programmes.
Acuna est une plateforme GRC, pas un scanner SBOM, un analyseur de code ou un organisme notifié. Elle opérationnalise les obligations de gouvernance, de déclaration et de preuves du RCR au sein de votre programme. L'évaluation de la conformité et le marquage CE restent de votre ressort et, le cas échéant, de celui d'un organisme notifié.
Conçu par des praticiens, dont un ancien auditeur de certification ISO 27001 (Alexis Hirschhorn). //CONFIRM
Souveraineté suisse : données hébergées en Suisse et dans l'UE. //CONFIRM wording
Plus de 50 référentiels sur une seule plateforme, pour que le RCR soit un ajout, pas une migration. //CONFIRM count
Tarification transparente en CHF, sans frais par siège. //CONFIRM current figure before quoting
Un contrôle, plusieurs référentiels : preuves collectées une fois et réutilisées entre RCR, NIS2 et DORA. //CONFIRM
Commencez par l'échéance qui mord en premier.
Voir le flux de déclaration sur votre propre stack.
Réserver une démonstration RCR
Also compounds with