Aller au contenu

Calendrier CRA

RESSOURCE GRATUITE · MIS À JOUR 2025

Calendrier Cyber Resilience Act — toutes les échéances 2024–2027

Frise interactive des obligations CRA avec les délais, les sanctions et ce qui doit être en place à chaque étape. Cliquez sur une échéance pour voir le détail.

2024 → 2027 7 échéances clés Filtrable par type Cliquez pour le détail
mois avant
sept. 2026
semaines
disponibles
24h
délai notification
vulnérabilité
2027
application
complète
Aujourd’hui — Mars 2026
2024
Novembre 2024 Publication JOUE

Publication du CRA au Journal Officiel de l’UE

Le règlement (UE) 2024/2847 est officiellement publié. Il entre en vigueur 20 jours plus tard.

Le CRA est le premier règlement européen à imposer des exigences de cybersécurité obligatoires sur les produits numériques. Il complète NIS 2 (opérateurs de services) et le RGPD (données personnelles).

  • Règlement (UE) 2024/2847 — directement applicable dans tous les États membres sans transposition nationale
  • Couvre tous les produits comportant des éléments numériques mis sur le marché européen
  • S’applique aux fabricants, importateurs et distributeurs
Décembre 2024 Entrée en vigueur

Entrée en vigueur — le compte à rebours commence

Le règlement entre officiellement en vigueur. Toutes les organisations concernées doivent commencer leur plan de mise en conformité.

À partir de cette date, toutes les organisations qui fabriquent, importent ou distribuent des produits comportant des éléments numériques dans l’UE sont dans le champ du CRA.

  • Identifier la classe de vos produits (par défaut, I ou II)
  • Lancer votre analyse de risque initiale
  • Commencer l’inventaire des composants logiciels (SBOM)
  • Nommer un responsable conformité CRA en interne
2025
2025 — À planifier Préparation

Phase de préparation — fondations à mettre en place

Fenêtre idéale pour mettre en place les fondations sans pression des échéances. Une mise en conformité sérieuse demande 12 à 24 mois.

Les organisations qui commencent en 2025 seront prêtes avant septembre 2026. Celles qui attendent 2026 prendront des risques importants.

  • Produire un SBOM complet pour chaque produit concerné
  • Mettre en place un processus de surveillance CVE corrélé à vos composants
  • Documenter votre analyse de risque et vos décisions de sécurité
  • Former les équipes R&D aux principes Security by Design
  • Rédiger votre politique de gestion des vulnérabilités

Attention : 18 mois pour mettre en conformité plusieurs produits avec des équipes existantes est court. Commencer maintenant n’est pas en avance — c’est à temps.

2026 — Première échéance
Septembre 2026 ⚠ Échéance critique

Obligations de notification d’incidents — applicables

Les fabricants doivent notifier l’ENISA et les autorités nationales compétentes en cas de vulnérabilité activement exploitée dans leur produit.

C’est la première échéance concrète du CRA. Sans processus en place, les sanctions peuvent déjà s’appliquer à partir de cette date.

  • Notification à l’ENISA sous 24h en cas de vulnérabilité activement exploitée
  • Notification sous 72h pour tout incident ayant un impact significatif sur la sécurité
  • Rapport final sous 14 jours après résolution de l’incident
  • Processus PSIRT documenté et opérationnel
  • Canal de communication sécurisé avec les autorités de surveillance

Sans SBOM à jour, il est pratiquement impossible d’identifier en moins de 24h quels produits sont affectés par une CVE et de notifier les autorités dans les délais.

2027 — Application complète
Décembre 2027 Conformité obligatoire

Application complète — toutes les obligations en vigueur

Tous les produits mis sur le marché après cette date doivent être pleinement conformes au CRA sur l’ensemble des obligations.

C’est l’échéance finale. À partir de décembre 2027, tout produit non conforme ne peut plus être mis sur le marché européen.

  • SBOM complet et à jour pour chaque produit
  • Analyse de risque documentée et versionnée
  • Déclaration de conformité UE signée par le fabricant
  • Marquage CE incluant la conformité CRA
  • Durée de support sécurité communiquée avant la vente
  • Processus PSIRT opérationnel et testé
  • Capacité à produire des VEX pour les CVE affectant les produits
  • Documentation des décisions de sécurité accessible en cas d’audit
Décembre 2027 Sanctions applicables

Interdiction de mise sur le marché sans conformité

Tout produit non conforme est interdit de vente dans l’Espace Économique Européen. Les autorités de surveillance de marché peuvent ordonner le retrait.

Les autorités nationales de surveillance de marché ont le pouvoir de retirer des produits non conformes, d’en interdire la commercialisation, et d’infliger des amendes.

  • Amende jusqu’à 15 M€ ou 2,5 % du CA mondial (Classe II)
  • Amende jusqu’à 10 M€ ou 2 % du CA mondial (Classe I)
  • Amende jusqu’à 7,5 M€ ou 1,5 % du CA mondial (Classe par défaut)
  • Retrait du produit du marché européen
  • Suspension de la mise sur le marché jusqu’à mise en conformité
Décembre 2027 Transition

Fin de la période de transition pour les produits existants

Les produits déjà sur le marché avant 2027 sans modification substantielle bénéficient d’une tolérance. Elle prend fin à cette date.

Si votre produit existant subit une modification substantielle après décembre 2027, il entre immédiatement dans le champ du CRA et doit être conforme.

  • Une modification substantielle inclut : nouvelle fonctionnalité majeure, changement d’architecture, nouvelle version avec modifications de sécurité significatives
  • Les mises à jour de sécurité seules ne constituent pas une modification substantielle
  • En cas de doute, consulter un conseil juridique spécialisé avant toute mise à jour majeure

Conseil : Ne comptez pas sur cette tolérance pour retarder votre mise en conformité. La définition de « modification substantielle » est large et sera interprétée strictement par les autorités.

Réglementation
Préparation
Notification incidents
Application / Sanctions
Transition
Septembre 2026 est dans 6 mois

Évaluez votre niveau de préparation aux obligations de notification ou téléchargez la checklist des 20 obligations CRA.

Évaluer ma maturité Checklist CRA
Prêt avant les échéances

VAST vous aide à respecter chaque échéance CRA

Inventaire automatisé, surveillance CVE continue, génération de VEX et rapports versionnés — tout ce qu’il faut pour être conforme en septembre 2026 et décembre 2027.

Demander une démo Calculer mon exposition

FR EN