Le DA RED cyber est abrogé : la CRA prend le relais au 11 décembre 2027

Pourquoi ce règlement délégué était attendu

Depuis l'entrée en application des exigences cyber de la directive RED le 1er août 2025, les fabricants d'équipements radio soumis au règlement délégué (UE) 2022/30 font face à une question sans réponse officielle : à partir du 11 décembre 2027, date d'application complète du CRA, seront-ils simultanément tenus de respecter les exigences RED Article 3(3)(d)(e)(f) et les exigences de l'Annexe I du CRA ? Les deux corps de règles couvrent en partie le même terrain: protection contre les atteintes au réseau, protection des données, anti-fraude du côté RED ; cybersécurité horizontale du côté CRA.

Le règlement délégué (UE) 2026/339, adopté par la Commission le 16 février 2026 et publié au Journal officiel le 29 avril 2026, apporte la réponse. Le DA 2022/30 est abrogé avec effet au 11 décembre 2027. La double-obligation n'aura pas lieu.

Ce que fait le règlement délégué 2026/339

L'article premier du règlement 2026/339 est d'une concision remarquable : « Le règlement délégué (UE) 2022/30 est abrogé avec effet au 11 décembre 2027. » L'article 2 précise que le règlement entre lui-même en vigueur vingt jours après sa publication, soit le 19 mai 2026, mais que l'abrogation ne prend effet qu'à la date d'application complète du CRA.

Le considérant 4 du règlement 2026/339 explique la logique : « afin de garantir la sécurité juridique et d'empêcher que les équipements radioélectriques couverts par le règlement délégué (UE) 2022/30 ne soient soumis simultanément à des exigences portant également sur la cybersécurité énoncées dans le règlement (UE) 2024/2847, il est nécessaire d'abroger le règlement délégué (UE) 2022/30 avec effet à la date à partir de laquelle le règlement (UE) 2024/2847 s'applique pleinement. » La Commission confirme explicitement que les exigences essentielles de l'Annexe I du CRA couvrent l'intégralité des exigences des points (d), (e) et (f) de l'Article 3(3) de la directive RED.

Le considérant 5 règle le sort des produits déjà mis sur le marché pendant la fenêtre août 2025 – décembre 2027 : l'abrogation du DA 2022/30 « n'a pas d'incidence sur la surveillance du marché de l'Union et le contrôle, en vertu de la directive 2014/53/UE, de la conformité des équipements radioélectriques » mis sur le marché pendant cette période. Un équipement radio placé sur le marché en octobre 2026 reste soumis aux exigences RED pour toute action de surveillance du marché postérieure à l'abrogation. L'ANFR conserve la compétence pour ces contrôles.

Ce que cela signifie concrètement pour les fabricants en cours de conformité EN 18031

Pour un fabricant de systèmes d'alarme radio, de passerelles IoT, ou d'équipements domotiques qui a engagé son projet de conformité EN 18031 depuis le 1er août 2025 : ce projet reste valide, requis, et doit être mené à son terme. Les normes EN 18031-1, EN 18031-2 et EN 18031-3 sont les normes harmonisées pour les exigences RED Article 3(3)(d)(e)(f). Elles couvrent respectivement la protection contre les atteintes au réseau (EN 18031-1), la protection des données à caractère personnel (EN 18031-2), et la protection contre la fraude (EN 18031-3). Jusqu'au 10 décembre 2027 inclus, c'est ce référentiel qui s'applique aux produits radio soumis au DA 2022/30.

À compter du 11 décembre 2027, le CRA s'applique pleinement. Les produits radio connectés qui entrent dans le champ du CRA, c'est-à-dire la quasi-totalité des équipements soumis au DA 2022/30, doivent satisfaire aux exigences de l'Annexe I du CRA. Le DA 2022/30 n'est plus le référentiel applicable pour les produits mis sur le marché à partir de cette date.

Il n'y a pas de période de transition supplémentaire. Pas de double marquage. Pas de double dossier technique. La coupure est nette.

Ce que l'abrogation ne règle pas : le delta CRA

L'abrogation du DA 2022/30 résout le chevauchement entre les deux régimes. Elle ne résout pas le delta entre ce que EN 18031 couvre et ce que le CRA exige.

Les normes EN 18031 couvrent les exigences RED (d)(e)(f) : protection réseau, confidentialité, anti-fraude. Ce sont des exigences de conception — ce que le produit doit faire au moment de sa mise sur le marché. Le CRA exige tout cela et, en plus, des obligations de cycle de vie que EN 18031 ne couvre pas :

• La gestion des vulnérabilités post-commercialisation (Article 14 CRA et Annexe I Partie II) : identifier, analyser, notifier et remédier aux vulnérabilités pendant toute la durée du support. Une conformité EN 18031 complète ne donne aucune capacité de notification dans les 24 heures exigées par l'Article 14 si l'infrastructure interne ne l'a pas été construite parallèlement ;
• Le SBOM (Annexe VII §3f du CRA) : inventaire structuré des composants logiciels du produit, dans un format exploitable pour la surveillance de l'EUVD ;
• La politique CVD (Annexe I Partie II point 1 du CRA) : canal public de signalement des vulnérabilités, opérationnel avant la mise sur le marché ;
• La période de support documentée (Article 13(8) du CRA) : engagement public et formel sur la durée pendant laquelle le fabricant traitera les correctifs de sécurité.

Un fabricant qui a terminé sa conformité EN 18031 a accompli une part substantielle du travail technique requis par le CRA pour les exigences de conception. Il reste à construire la partie cycle de vie, et c'est cette partie qui représente le changement organisationnel le plus profond pour la majorité des fabricants d'équipements radio.

Séquencer la transition

La fenêtre août 2025 – décembre 2027 est une opportunité de construction, pas seulement une période de conformité RED.

Les fabricants dont le projet EN 18031 est en cours doivent le mener à terme: c'est l'obligation immédiate, et c'est la base du dossier technique CRA pour les exigences de conception. La stratégie efficace consiste à superposer les chantiers CRA-spécifiques au projet EN 18031 en cours plutôt que de les reporter à 2027 : conception du SBOM en parallèle de l'analyse de risques EN 18031, rédaction de la politique CVD pendant la phase de validation, désignation et formation du coordinateur PSIRT avant la finalisation du dossier EN 18031.

Les fabricants dont les produits ne sont pas dans le champ du DA 2022/30 mais qui sont dans le champ du CRA, certains équipements industriels connectés, certains produits IoT non radio, ne bénéficient pas de cette continuité. Pour eux, le CRA est un point de départ sans précédent réglementaire direct. Les normes EN 18031 peuvent servir de référence technique pour les exigences de conception, même sans obligation légale RED.

Ce qui reste inchangé : l'ANFR comme autorité compétente pour les deux régimes

L'abrogation du DA 2022/30 ne change pas la répartition des compétences. L'ANFR est l'autorité de surveillance du marché pour la directive RED depuis l'origine. Elle sera l'autorité de surveillance pour le CRA en droit français, en vertu de l'article 32 du projet de loi DDADUE, dont l'entrée en vigueur de la mission est prévue au 11 septembre 2026.

Pour un fabricant de produits radio connectés, le même interlocuteur administratif gère les contrôles RED depuis août 2025 et gérera les contrôles CRA à partir de septembre 2026. La continuité de l'interlocuteur signifie aussi la continuité de la méthode : l'ANFR travaillera sur les mêmes logiques d'investigation (dossier technique, évaluation de maturité, Article 14 comme déclencheur) pour les deux régimes.

Les produits mis sur le marché entre le 1er août 2025 et le 10 décembre 2027 restent soumis aux exigences RED cyber pour toute action de surveillance du marché, même après l'entrée en vigueur du CRA. L'ANFR conserve la compétence pour ces contrôles au titre de la directive RED.