CYBER RESILIENCE ACT

Soyez prêt pour le Cyber Resilience Act dès septembre 2026, sans construire un quatrième silo.

Le Cyber Resilience Act (le règlement européen sur la cyberrésilience) ajoute des obligations de cybersécurité au niveau produit par-dessus NIS2 et DORA. Acuna les recoupe avec les contrôles que vous pilotez déjà, pour qu'un seul processus documenté couvre les trois régimes au lieu de trois programmes déconnectés.

LE CYBER RESILIENCE ACT EN UNE PHRASE

À compter du 11 septembre 2026, vous devez déclarer les vulnérabilités activement exploitées sous 24 heures ; Acuna vous donne un seul endroit pour piloter le traitement des vulnérabilités, l'horloge de déclaration et les preuves qu'une autorité de surveillance du marché acceptera réellement. Consultez le [guide Cyber Resilience Act](/frameworks/cyber-resilience-act).

Vous savez déjà faire cela. Le RCR déplace simplement l'exigence sur vos produits.

Si vous pilotez déjà l'ISO 27001, NIS2 ou DORA, le RCR n'introduit pas un concept nouveau. Il déplace un travail familier -- traitement des vulnérabilités, risque, preuves -- sur un nouvel objet : les produits que vous mettez sur le marché de l'UE, et pas seulement votre organisation. À compter du 11 septembre 2026, les fabricants doivent déclarer à l'ENISA, sous 24 heures, les vulnérabilités activement exploitées et les incidents graves. À compter du 11 décembre 2027, chaque produit comportant des éléments numériques doit disposer de preuves de sécurité dès la conception, d'une période de support déclarée, d'un SBOM et d'une déclaration de conformité. La plupart des équipes ne manquent pas de travail de sécurité. Elles manquent d'un seul endroit pour l'exécuter, par produit, sur une horloge qu'elles peuvent prouver.

Un seul jeu de contrôles, recoupé entre RCR, NIS2 et DORA.

Arrêtez de traiter le RCR comme un projet et exécutez-le comme une obligation de plus sur un jeu de contrôles que vous pilotez déjà. L'idée centrale : un contrôle, plusieurs référentiels -- collectez une preuve une fois et réutilisez-la pour le RCR, NIS2, DORA et l'ISO 27001, plutôt que de la reconstruire par régime. //CONFIRM crosswalk capability

Un processus documenté de traitement des vulnérabilités, avec responsable désigné et historique auditable, exécuté selon un rythme plutôt que dans des fils ad hoc (Annex I). //CONFIRM

Un seul flux d'incident qui capture les champs de données ENISA et suit l'horloge 24h / 72h / rapport final. Comme la plateforme unique de déclaration se lance sans API, Acuna structure le dossier pour une soumission manuelle rapide, pas un dépôt système à système (Art. 14). //CONFIRM

Classez chaque produit et priorisez les vulnérabilités selon l'exploitabilité réelle et l'impact, une décision fondée sur le risque et défendable plutôt qu'un score CVSS brut. CVSS et EPSS sont des entrées utiles, pas des exigences légales. //CONFIRM

Un dépôt structuré de preuves pour le dossier technique (Annex VII), incluant les références au SBOM et aux dossiers de conformité, prêt pour une demande d'une autorité de surveillance du marché. Acuna stocke et suit le SBOM comme preuve ; il ne génère pas de SBOM à partir du code source. //CONFIRM

Framework-specific extension

Supervision des tiers et des fournisseurs via Supplier Shield, incluant la notation des risques fournisseurs, pour soutenir l'obligation de diligence raisonnable du fabricant (Art. 13). //CONFIRM

L'horloge est le risque. La documentation est la preuve.

Ce qu'un seul jeu de contrôles débloque vs Ce que coûte l'attente
Ce qu'un seul jeu de contrôles débloqueCe que coûte l'attente
Déclarer une fois, recoupé : un seul dossier d'incident sert les déclarations RCR, NIS2 et DORA au lieu de trois reconstructions.Le goulot d'étranglement inversé : trouver des vulnérabilités passe à l'échelle, mais les corriger et les documenter à la main, non.
Une piste horodatée et défendable qui répond à une autorité de surveillance du marché, au lieu d'une course improvisée.Un régulateur n'acceptera pas « nous y travaillons » ; captures d'écran et fils de discussion échouent à l'audit.
Classification des produits et périodes de support suivies en un seul endroit, pas un tableur par produit.Une posture de triage fondée uniquement sur le CVSS est difficile à défendre quand le RCR exige des décisions de risque alignées sur l'activité.
Une préparation au 11 septembre 2026 fondée sur la détection et l'escalade que vous pouvez lancer dès maintenant.Le même incident peut déclencher RCR, NIS2 et DORA sur trois horloges ; trois playbooks multiplient le risque de déclarations contradictoires.
Les sanctions maximales atteignent 15 millions d'EUR ou 2,5 % du chiffre d'affaires mondial, et l'obligation de déclaration est la première à mordre.

Nous n'avons pas de nombre de clients à citer, voici donc le mécanisme. Une vulnérabilité activement exploitée dans un composant partagé peut déclencher une déclaration RCR à l'ENISA, une déclaration NIS2 à votre CSIRT et une déclaration DORA à votre autorité financière, sur trois horloges différentes. Exécutez-les depuis un seul jeu de contrôles recoupé et vous préparez les faits une fois, puis déposez trois vues de ceux-ci. Exécutez-les depuis trois outils et vous reconstruisez les mêmes preuves trois fois, sous une horloge de 24 heures, en espérant que les versions concordent. L'économie n'est pas un pourcentage ; c'est la différence entre un processus défendable et trois processus fragiles.

Les objections que nous entendons en premier.

GRC ROI is genuinely hard to prove precisely. Use your own numbers below to build the internal case. These inputs are yours; the output is your estimate, not ours.

Pipeline at risk

Enterprise deal value

typical affected deal, annualised

CHF 200K

CHF 10KCHF 1M

Deals blocked or slowed

per year, your estimate

3 deals

015

Security questionnaires

your team fills out, per month

5 / month

020 / month

Questionnaire overhead

Hours per questionnaire

across all people involved (SIG/CAIQ often run 6–12 hrs)

6 hrs

1 hr40 hrs

All-in hourly cost

fully-loaded: salary + overhead of the person filling it

CHF 125

CHF 25CHF 500
Pipeline at riskCHF 600'000
Questionnaire overhead / year (5×/mo × 6 hrs × CHF 125)CHF 45'000
Total identifiable costCHF 645'000

Acuna starts from

CHF 5'388 / year, all frameworks included

120×

your est. cost

These are your estimates, not ours. GRC ROI is notoriously hard to measure: most of the value is in deals not lost, incidents not escalated, and audits not rebuilt from scratch. Use this to structure the internal conversation, not as a number we stand behind.

Conçu par des personnes qui ont piloté ces programmes.

Acuna est une plateforme GRC, pas un scanner SBOM, un analyseur de code ou un organisme notifié. Elle opérationnalise les obligations de gouvernance, de déclaration et de preuves du RCR au sein de votre programme. L'évaluation de la conformité et le marquage CE restent de votre ressort et, le cas échéant, de celui d'un organisme notifié.

  1. Conçu par des praticiens, dont un ancien auditeur de certification ISO 27001 (Alexis Hirschhorn). //CONFIRM

  2. Souveraineté suisse : données hébergées en Suisse et dans l'UE. //CONFIRM wording

  3. Plus de 50 référentiels sur une seule plateforme, pour que le RCR soit un ajout, pas une migration. //CONFIRM count

  4. Tarification transparente en CHF, sans frais par siège. //CONFIRM current figure before quoting

  5. Un contrôle, plusieurs référentiels : preuves collectées une fois et réutilisées entre RCR, NIS2 et DORA. //CONFIRM

Cyber Resilience Act: common questions.

PRÉPARATION RCR

Soyez prêt pour les déclarations dès septembre 2026, sur un seul jeu de contrôles.

Découvrez comment Acuna recoupe les obligations RCR avec les contrôles que vous pilotez déjà pour NIS2 et DORA.