Le DA RED cyber est abrogé : la CRA prend le relais au 11 décembre 2027 À la une
CRA Conformité CE Cybersécurité Directive RED EN 18031

Le DA RED cyber est abrogé : la CRA prend le relais au 11 décembre 2027

Le règlement délégué (UE) 2026/339, publié au Journal officiel le 29 avril 2026, abroge le règlement délégué (UE) 2022/30 avec effet au 11 décembre 2027. Cette date est celle de l'entrée en application complète du CRA. La double-obligation cyber n'aura pas lieu : les fabricants d'équipements radio qui ont engagé leur conformité EN 18031 depuis août 2025 sont couverts jusqu'à cette date, et le CRA prend le relais exclusivement. Ce que l'abrogation règle, ce qu'elle ne règle pas, et comment séquencer la transition.

 1 mai 2026  6 min
Classer ses produits sous le CRA : guide pratique de l'Annexe III
Annexe III CRA Conformité Cybersécurité Marquage CE

Classer ses produits sous le CRA : guide pratique de l'Annexe III

La classification d'un produit sous le CRA (standard, important Classe I ou Classe II) détermine le module d'évaluation de la conformité, et avec lui la nécessité ou non de recourir à un organisme notifié. Pour un fabricant de PME, la différence représente facilement 15 000 à 50 000 euros et six à douze mois de calendrier. Ce guide offre une lecture pratique de l'Annexe III, intègre le règlement d'exécution (UE) 2025/2392, et traite les cas d'application les plus fréquents pour les fabricants d'alarmes, d'équipements IoT et d'équipements réseaux.

 1 mai 2026  13 min
CRA et directive RED (EN 18031) : cartographie des synergies pour les fabricants d'équipements radio
CRA Conformité Cybersécurité Directive RED EN 18031 EN 304 632

CRA et directive RED (EN 18031) : cartographie des synergies pour les fabricants d'équipements radio

Depuis août 2025, les fabricants d'équipements radio connectés à Internet sont soumis aux exigences cybersécurité de la directive RED (EN 18031-1/2/3). Beaucoup pensent que ce travail couvre l'essentiel de leurs obligations CRA. Ce n'est pas inexact, mais c'est incomplet. Cet article cartographie précisément ce qu'EN 18031 apporte pour le CRA, ce qu'il ne couvre pas, et ce que la question du module d'évaluation de la conformité (qui dépend de l'harmonisation des normes verticales) change opérationnellement pour les fabricants de produits de sécurité domestique connectés.

 1 mai 2026  13 min
SBOM : ce que le CRA exige concrètement et comment s'y préparer
Article 14 CRA Cybersécurité Firmware Gestion des vulnérabilités SBOM

SBOM : ce que le CRA exige concrètement et comment s'y préparer

Le SBOM (Software Bill of Materials) est requis par l'Annexe VII du CRA, mais sa valeur réglementaire dépasse la case à cocher documentaire : sans SBOM à jour et corrélable aux bases de vulnérabilités, le délai de 24 heures de l'Article 14 est intenable. Formats, contenu minimum, défis spécifiques au firmware embarqué, et ce qu'un SBOM viable ressemble pour une PME industrielle qui n'a pas de pipeline CI/CD complet.

 1 mai 2026  12 min
Article 14 CRA : le jalon de septembre 2026 que beaucoup de fabricants n'ont pas vu venir
Article 14 CRA CVD Cybersécurité Gestion des vulnérabilités PSIRT

Article 14 CRA : le jalon de septembre 2026 que beaucoup de fabricants n'ont pas vu venir

Le 11 septembre 2026, les obligations de notification des vulnérabilités activement exploitées (Article 14 du CRA) entrent en application. Elles concernent tous les produits déjà sur le marché, sans clause de grand-père. Pour un fabricant dont le SBOM est incomplet et dont la fonction PSIRT n'existe pas, le délai de 24 heures n'est pas tenable. Ce qui doit être en place, dans quel ordre, et ce qu'une autorité de surveillance du marché cherche dans un dossier de notification.

 1 mai 2026  11 min
CRA : cartographie d'une réglementation inédite
CRA Conformité Cybersécurité EN 304 632 Marquage CE

CRA : cartographie d'une réglementation inédite

Le Règlement (UE) 2024/2847 introduit une logique réglementaire que le secteur de l'électronique connectée n'avait pas connue sous les directives précédentes : une obligation de cybersécurité qui court tout au long du cycle de vie du produit, et non seulement à la mise sur le marché. Cet article en cartographie la structure interne (périmètre, classification, modules d'évaluation et double vitesse des échéances) pour les fabricants qui engagent leur démarche aujourd'hui.

 1 mai 2026  15 min
CVD : rédiger et publier une politique de divulgation coordonnée des vulnérabilités
CRA CVD Conformité Cybersécurité Gestion des vulnérabilités PSIRT

CVD : rédiger et publier une politique de divulgation coordonnée des vulnérabilités

La politique de divulgation coordonnée des vulnérabilités (CVD) est un document public que la plupart des fabricants de produits connectés n'ont jamais rédigé, parce qu'avant le CRA, rien ne l'imposait. À partir du 11 septembre 2026, son absence constitue une non-conformité directe. Cet article explique ce que la CVD doit contenir selon l'Annexe I Partie II du CRA et la prEN 40000-1-3, ce qui la distingue de la procédure interne de traitement des vulnérabilités, comment la rendre opérationnelle plutôt que décorative, et ce que la clause de non-poursuite implique juridiquement.

 30 avr. 2026  11 min
Tous ANFR Annexe III Article 14 CRA CVD Conformité Conformité CE Contrôle de marché Cybersécurité DDADUE DGCCRF Directive Machines Directive RED Dossier technique Due diligence EN 18031 EN 304 632 Firmware Gestion des vulnérabilités Marquage CE PSIRT SBOM Surveillance du marché