Blog — cutuil.dev

ANFR CRA Conformité Contrôle de marché DDADUE

DDADUE article 32 : l'ANFR en passe d'être désignée autorité CRA en droit français

Le projet de loi DDADUE, adopté par le Sénat sous procédure accélérée, désigne formellement l'ANFR comme autorité de surveillance du marché pour le CRA en droit français. L'article 32 insère un I quinquies dans l'article L.43 du CPCE, fixe la séquence mise en demeure → amende, et codifie les trois niveaux de sanction du CRA (jusqu'à 15 M€ ou 2,5 % du CA mondial). Deux points méritent l'attention particulière des fabricants : le secret des affaires n'est pas opposable à l'ANFR dans le cadre des investigations CRA, et l'entrée en vigueur est fractionnée, mission ANFR le 11 septembre 2026, régime de sanctions le 11 décembre 2027.

1 mai 2026 6 min

Annexe III CRA Conformité Cybersécurité Marquage CE

Classer ses produits sous le CRA : guide pratique de l'Annexe III

La classification d'un produit sous le CRA (standard, important Classe I ou Classe II) détermine le module d'évaluation de la conformité, et avec lui la nécessité ou non de recourir à un organisme notifié. Pour un fabricant de PME, la différence représente facilement 15 000 à 50 000 euros et six à douze mois de calendrier. Ce guide offre une lecture pratique de l'Annexe III, intègre le règlement d'exécution (UE) 2025/2392, et traite les cas d'application les plus fréquents pour les fabricants d'alarmes, d'équipements IoT et d'équipements réseaux.

1 mai 2026 13 min

CRA Conformité Cybersécurité Directive RED EN 18031 EN 304 632

CRA et directive RED (EN 18031) : cartographie des synergies pour les fabricants d'équipements radio

Depuis août 2025, les fabricants d'équipements radio connectés à Internet sont soumis aux exigences cybersécurité de la directive RED (EN 18031-1/2/3). Beaucoup pensent que ce travail couvre l'essentiel de leurs obligations CRA. Ce n'est pas inexact, mais c'est incomplet. Cet article cartographie précisément ce qu'EN 18031 apporte pour le CRA, ce qu'il ne couvre pas, et ce que la question du module d'évaluation de la conformité (qui dépend de l'harmonisation des normes verticales) change opérationnellement pour les fabricants de produits de sécurité domestique connectés.

1 mai 2026 13 min

CRA Conformité Cybersécurité EN 304 632 Marquage CE

CRA : cartographie d'une réglementation inédite

Le Règlement (UE) 2024/2847 introduit une logique réglementaire que le secteur de l'électronique connectée n'avait pas connue sous les directives précédentes : une obligation de cybersécurité qui court tout au long du cycle de vie du produit, et non seulement à la mise sur le marché. Cet article en cartographie la structure interne (périmètre, classification, modules d'évaluation et double vitesse des échéances) pour les fabricants qui engagent leur démarche aujourd'hui.

1 mai 2026 15 min

CRA CVD Conformité Cybersécurité Gestion des vulnérabilités PSIRT

CVD : rédiger et publier une politique de divulgation coordonnée des vulnérabilités

La politique de divulgation coordonnée des vulnérabilités (CVD) est un document public que la plupart des fabricants de produits connectés n'ont jamais rédigé, parce qu'avant le CRA, rien ne l'imposait. À partir du 11 septembre 2026, son absence constitue une non-conformité directe. Cet article explique ce que la CVD doit contenir selon l'Annexe I Partie II du CRA et la prEN 40000-1-3, ce qui la distingue de la procédure interne de traitement des vulnérabilités, comment la rendre opérationnelle plutôt que décorative, et ce que la clause de non-poursuite implique juridiquement.

30 avr. 2026 11 min

Tous ANFR Annexe III Article 14 CRA CVD Conformité Conformité CE Contrôle de marché Cybersécurité DDADUE DGCCRF Directive Machines Directive RED Dossier technique Due diligence EN 18031 EN 304 632 Firmware Gestion des vulnérabilités Marquage CE PSIRT SBOM Surveillance du marché