CRA : la surveillance de marché vue depuis l'ANFR À la une
ANFR Article 14 CRA Conformité CE Contrôle de marché Due diligence

CRA : la surveillance de marché vue depuis l'ANFR

Pour les fabricants de produits radio connectés, l'autorité qui compte pour la directive RED et pour le CRA, c'est l'ANFR, pas la DGCCRF. Ces deux réglementations partagent le même corps d'inspecteurs et une logique de mise en application qui a ses caractéristiques propres : environ 300 contrôles RED par an, 4 à 5 inspecteurs au niveau national, et un nouveau canal d'investigation inédit, l'Article 14, qui rend visible tout fabricant qui notifie une vulnérabilité. Ce que l'ANFR cherche dans un dossier CRA, comment un contrôle se déclenche, et pourquoi les sanctions CRA changent structurellement le calcul de risque dans une due diligence.

 30 avr. 2026  12 min
SBOM : ce que le CRA exige concrètement et comment s'y préparer
Article 14 CRA Cybersécurité Firmware Gestion des vulnérabilités SBOM

SBOM : ce que le CRA exige concrètement et comment s'y préparer

Le SBOM (Software Bill of Materials) est requis par l'Annexe VII du CRA, mais sa valeur réglementaire dépasse la case à cocher documentaire : sans SBOM à jour et corrélable aux bases de vulnérabilités, le délai de 24 heures de l'Article 14 est intenable. Formats, contenu minimum, défis spécifiques au firmware embarqué, et ce qu'un SBOM viable ressemble pour une PME industrielle qui n'a pas de pipeline CI/CD complet.

 1 mai 2026  12 min
Article 14 CRA : le jalon de septembre 2026 que beaucoup de fabricants n'ont pas vu venir
Article 14 CRA CVD Cybersécurité Gestion des vulnérabilités PSIRT

Article 14 CRA : le jalon de septembre 2026 que beaucoup de fabricants n'ont pas vu venir

Le 11 septembre 2026, les obligations de notification des vulnérabilités activement exploitées (Article 14 du CRA) entrent en application. Elles concernent tous les produits déjà sur le marché, sans clause de grand-père. Pour un fabricant dont le SBOM est incomplet et dont la fonction PSIRT n'existe pas, le délai de 24 heures n'est pas tenable. Ce qui doit être en place, dans quel ordre, et ce qu'une autorité de surveillance du marché cherche dans un dossier de notification.

 1 mai 2026  11 min
Tous ANFR Annexe III Article 14 CRA CVD Conformité Conformité CE Contrôle de marché Cybersécurité DDADUE DGCCRF Directive Machines Directive RED Dossier technique Due diligence EN 18031 EN 304 632 Firmware Gestion des vulnérabilités Marquage CE PSIRT SBOM Surveillance du marché