CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
Première échéance CRA contraignante — applicable 18 mois plus tôt

Article 14 — Obligations de signalement et de notification des vulnérabilités

À partir du 11 septembre 2026, tous les fabricants concernés doivent signaler à l'ENISA les vulnérabilités activement exploitées et les incidents graves — avant l'application du reste de la CRA en décembre 2027.

Ce que requiert l'Article 14

L'Article 14 du Règlement (UE) 2024/2847 crée une chaîne de signalement obligatoire en trois étapes à l'ENISA chaque fois qu'un fabricant découvre qu'une vulnérabilité de son produit est activement exploitée par des attaquants, ou qu'un incident grave s'est produit.

Ceci est distinct de — et en plus de — la notification des utilisateurs affectés (Art. 14(4)), qui doit avoir lieu simultanément. Le signalement à l'ENISA ne remplace pas la notification aux utilisateurs.

Les rapports sont soumis via la plateforme de signalement unique ENISA, qui achemine les informations vers les CSIRT nationaux concernés. La plateforme doit être opérationnelle avant le 11 septembre 2026.

La chaîne de signalement en trois étapes

Le compteur commence lorsque le fabricant prend connaissance de l'exploitation active — et non lorsque la vulnérabilité est confirmée ou entièrement analysée.

1Art. 14(2)

24 heures

Avertissement précoce

Signal à l'ENISA qu'un événement grave est en cours. Détails minimaux requis — la rapidité est la priorité.

2Art. 14(2)

72 heures

Notification complète

Notification détaillée à l'ENISA : identification du produit, description de la vulnérabilité, gravité, impact et mesures correctives ou d'atténuation prises ou prévues.

3Art. 14(3)

14 jours

Rapport final

Analyse complète : identifiant CVE, score CVSS, cause profonde, remédiation déployée et confirmation que les utilisateurs ont été notifiés.

Notification des utilisateurs affectés (Art. 14(4))

En parallèle avec la chaîne de signalement ENISA, les fabricants doivent notifier les utilisateurs affectés sans délai indu. N'attendez pas la correction complète — les utilisateurs doivent savoir :

  • Quels produits et versions sont affectés
  • La nature de la vulnérabilité et que son exploitation active a été observée
  • Les mesures d'atténuation qu'ils peuvent prendre immédiatement avant qu'un correctif soit disponible
  • Si un correctif est disponible et comment l'obtenir — ou un calendrier de publication prévu

Qui doit se conformer

Fabricants ✓

Tous les fabricants de produits concernés avec éléments numériques — quelle que soit la classe de produit. L'Art. 14 s'applique à chaque fabricant à partir du 11 septembre 2026.

Importateurs et distributeurs —

Non directement requis de signaler à l'ENISA au titre de l'Art. 14. Cependant, ils doivent transmettre les informations sur les vulnérabilités aux fabricants sans délai indu (Art. 20 / Art. 24).

Cartes d'obligations Article 14

Quatre obligations atomiques — chacune traçable jusqu'à l'article du règlement, avec des conseils sur les preuves et des explications en langage clair.

OBL-ART14-01Binding

Signaler à l'ENISA les vulnérabilités activement exploitées et les incidents

Les fabricants doivent signaler à l'ENISA, via la plateforme unique de signalement, toute vulnérabilité activement exploitée dans leur produit dans un délai de 24 heures (avertissement précoce) et de 72 heures (notification). Un rapport final est dû dans un délai de 14 jours. Cette obligation s'applique à compter du 11 septembre 2026.

Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding

Soumettre à l'ENISA une notification détaillée de vulnérabilité dans les 72 heures

Dans les 72 heures suivant la prise de connaissance d'une vulnérabilité activement exploitée dans un produit, les fabricants doivent soumettre à l'ENISA une notification détaillée via la plateforme unique de signalement. Cette notification fait suite à l'avertissement précoce de 24 heures (OBL-ART14-01) et doit inclure les détails techniques sur la vulnérabilité et le produit concerné.

Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding

Soumettre à l'ENISA un rapport final de vulnérabilité dans les 14 jours

Dans les 14 jours suivant la prise de connaissance d'une vulnérabilité activement exploitée, les fabricants doivent soumettre à l'ENISA un rapport final contenant une description complète de la vulnérabilité, les mesures correctives prises et l'indication de la divulgation publique éventuelle ou de l'attribution d'un CVE.

Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding

Notifier sans délai les utilisateurs des vulnérabilités activement exploitées

Lorsqu'une vulnérabilité est activement exploitée, les fabricants doivent notifier les utilisateurs affectés sans délai injustifié. La notification doit contenir des informations suffisantes pour permettre aux utilisateurs de prendre des mesures de protection, y compris les mesures d'atténuation disponibles avant la publication d'un correctif.

Art. 14(4)
Manufacturer

Sanctions en cas de non-conformité (Art. 64)

Voir tous les niveaux de sanctions sur la page de présentation du CRA →

Art. 14 — Vulnerability & Incident Reporting

Meet the three-step ENISA reporting chain for actively exploited vulnerabilities in your products.

Calculateur de délais de signalement

Saisissez le moment de prise de connaissance d'une vulnérabilité activement exploitée pour calculer vos trois délais de signalement ENISA.

Open tool

Aide au signalement ENISA

Listes de contrôle interactives pour chaque étape de la chaîne de signalement en trois étapes de l'Art. 14.

Open tool

Générateur de politique CVD

Générez une politique de divulgation coordonnée des vulnérabilités, un fichier security.txt et un modèle de workflow de signalement ENISA.

Open tool

Préparez-vous avant l'échéance

Examinez toutes les obligations des fabricants, comprenez votre classification de produit et consultez le calendrier réglementaire complet.

Toutes les obligationsCalendrier réglementaire
Article 14 — Vulnerability reporting & notification obligations — Hub Conformité CRA