Ce qui change réellement le 11 septembre 2026
Le règlement européen sur la cyberrésilience instaure une obligation stricte de signalement qui débute le 11 septembre 2026. Dès qu'un fabricant a un degré raisonnable de certitude qu'une vulnérabilité de l'un de ses produits fait l'objet d'une exploitation active, ou qu'un incident grave a porté atteinte à la sécurité de ce produit, le compte à rebours démarre. Une alerte précoce doit parvenir à l'agence européenne pour la cybersécurité ENISA et au CSIRT national compétent dans les 24 heures, via une plateforme de signalement unique qui les notifie tous deux en même temps.
L'alerte sous 24 heures n'est pas le point final. Une notification plus complète est due dans les 72 heures, puis un rapport final dans les 14 jours une fois qu'une mesure corrective ou d'atténuation est disponible. Le déclencheur n'est pas une preuve forensique complète. Une enquête en cours n'arrête pas le compte à rebours, si bien que la question pratique pour un dirigeant est simple : votre équipe saurait-elle détecter le signal, juger qu'il relève de l'obligation et transmettre le signalement en un jour ouvré ?
Pourquoi cela touche des produits que vous avez déjà vendus
Le point qui surprend beaucoup d'opérateurs, c'est le champ d'application. L'obligation ne se limite pas aux produits lancés après l'échéance. Tant qu'un produit comportant des éléments numériques reste sur le marché de l'UE le 11 septembre 2026 ou après, ses vulnérabilités et ses incidents graves relèvent de l'obligation de signalement, y compris les unités anciennes et les gammes plus anciennes encore commercialisées. Un capteur connecté, un automate de machine ou un composant logiciel livré il y a des années peut vous entraîner dans un signalement sous 24 heures.
C'est là que se situe l'exposition d'un fabricant type du Mittelstand. L'ingénierie a été validée il y a longtemps, le produit est mature, et personne ne détient de plan d'action de signalement sous 24 heures pour ce dernier. L'orientation actuelle de la Commission, datée de mars 2026, constitue la lecture la plus autorisée disponible, mais elle reste à l'état de projet et n'est pas formellement adoptée, si bien que certains détails peuvent évoluer. Les délais essentiels et la portée vers les produits existants sont déjà assez clairs pour permettre de s'y préparer.
Ce qu'un dirigeant peut raisonnablement vérifier dès maintenant
Commencez par une cartographie honnête de ce que vous vendez réellement qui comporte des éléments numériques, y compris les logiciels embarqués et les fonctions connectées des gammes plus anciennes. Demandez-vous ensuite qui, au sein de l'entreprise, apprendrait le premier qu'un de ces produits fait l'objet d'une exploitation, et comment cette information remonte jusqu'à un décideur capable d'autoriser un signalement. Si la réponse honnête est que le message resterait dans une boîte de réception tout un week-end, vous avez trouvé l'écart. Un responsable nommé, un circuit défini et un exercice de simulation sous 24 heures comptent ici davantage qu'un épais document de politique.
Rien de tout cela ne constitue un conseil juridique, et la forme finale de l'orientation n'est pas encore figée. Mais la direction est prise, et l'échéance est proche. Traiter l'obligation de signalement dès maintenant comme une question de préparation opérationnelle, plutôt que comme une note de conformité ultérieure, est ce qui sépare les entreprises qui signalent avec calme de celles qui se précipitent. Le travail relève surtout du processus et de la responsabilité, non d'une nouvelle technologie.
À lire ensuite: Une échéance quantique vise vos fournisseurs · Votre devoir de cybersécurité devient personnel