CRA : Une gouvernance nationale articulée entre ANSSI et ANFR

La mise en œuvre du règlement (UE) 2024/2847 – dit règlement sur la cyber-résilience (CRA) (1) – suppose la désignation d’autorités nationales compétentes chargées d’assurer la certification, la coordination technique et la surveillance du marché.

Dans le cadre du projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne (Ddadue 2026) (2), la France envisage un schéma de gouvernance reposant sur plusieurs autorités complémentaires.

A ce jour, son article 32 modifie l’article L. 43 du Code des postes et des communications électroniques (CPCE) afin de confier à l’Agence nationale des fréquences (ANFR) des missions relatives à la surveillance du marché des produits comportant des éléments numériques soumis au CRA (dite « autorité de surveillance du marché »).

Parallèlement, l’étude d’impact publiée par le Sénat (3), indiquent que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) serait appelée à exercer les fonctions d’autorité notifiante prévues par le CRA.

Le dispositif français en cours de définition reposerait ainsi sur une répartition des compétences entre plusieurs autorités, l’ANSSI intervenant principalement dans le champ de la certification et de l’expertise en cybersécurité, tandis que l’ANFR assurerait la surveillance du marché et le contrôle des produits.

L’« autorité notifiante » au sens de l’article 3 (26) du CRA

L’article 3, point (26), du CRA définit l’« autorité notifiante » comme l’autorité nationale chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle.

Autrement dit, l’autorité notifiante intervient en amont du processus de certification des produits. Elle ne procède pas elle-même à l’évaluation de conformité des produits numériques ; cette mission relève des organismes notifiés. En revanche, elle encadre strictement ces organismes, dont elle garantit la compétence, l’indépendance et la fiabilité.

L’article 36 du CRA encadre les obligations des autorités notifiantes. Celles-ci doivent notamment :
• établir et mettre en œuvre des procédures d’évaluation des organismes candidats ;
• s’assurer que les organismes disposent des compétences, de l’indépendance et des ressources nécessaires ;
• surveiller en continu les organismes notifiés ;
• suspendre, restreindre ou retirer une notification en cas de manquement.

L’article 37 complète ce dispositif en imposant des garanties organisationnelles. Les autorités notifiantes doivent être structurées de manière à prévenir tout conflit d’intérêts et à assurer l’objectivité et l’impartialité de leurs décisions. Le règlement exige ainsi une séparation claire entre les fonctions de notification et toute activité susceptible de compromettre leur indépendance.

La notification ne produit d’effets qu’à l’échelle de l’Union. Le considérant (103) précise que l’autorité notifiante transmet la notification d’un organisme d’évaluation de la conformité à la Commission et aux autres États membres par l’intermédiaire du système d’information NANDO (New Approach Notified and Designated Organisations). Ce système électronique, développé et géré par la Commission européenne, constitue la base de données officielle recensant l’ensemble des organismes notifiés au titre des législations harmonisées de l’Union.

Cette exigence est formalisée à l’article 43 du CRA. Celui-ci prévoit que :
• seules peuvent être notifiées les entités satisfaisant aux exigences de l’article 39 ;
• la notification à la Commission et aux autres États membres s’effectue obligatoirement via le système NANDO.

La fonction d’autorité notifiante constitue ainsi un maillon central du dispositif de confiance instauré par le CRA : elle conditionne l’accès au statut d’organisme notifié et engage la responsabilité de l’État membre dans le fonctionnement harmonisé du marché intérieur.

L’« autorité de surveillance du marché » au sens de l’article 3 (33) du CRA

L’article 3, point (33), du CRA définit l’« autorité de surveillance du marché » comme une autorité nationale chargée de contrôler la conformité des produits comportant des éléments numériques mis à disposition sur le marché et de veiller au respect des obligations imposées par le CRA aux opérateurs économiques.

Contrairement à l’autorité notifiante, qui intervient en amont dans la désignation des organismes d’évaluation de la conformité, l’autorité de surveillance du marché agit en aval, au stade de la mise à disposition ou de la mise sur le marché des produits. Sa mission consiste à vérifier que les produits mis sur le marché respectent effectivement les exigences de cybersécurité prévues par le règlement.

Le CRA impose aux États membres de désigner une ou plusieurs autorités de surveillance du marché compétentes pour l’application du règlement (art. 52).

Dans l’exercice de ces missions, elles disposent de pouvoirs d’enquête et de contrôle permettant notamment de vérifier la conformité des produits avec les exigences essentielles de cybersécurité et les obligations des opérateurs économiques prévues par le règlement (art. 54).

Lorsqu’un produit comportant des éléments numériques présente un risque ou ne respecte pas les exigences applicables, l’autorité de surveillance du marché peut exiger de l’opérateur économique concerné qu’il prenne les mesures correctrices nécessaires (art. 54).

Le règlement prévoit également des mécanismes de coopération entre autorités nationales et avec la Commission européenne afin d’assurer une application cohérente du dispositif au sein du marché intérieur (art. 54).

Le projet de loi Ddadue 2026 : vers la désignation de l’ANFR comme autorité de surveillance du marché et l’ANSSI comme autorité notifiante

L’article 32 du projet de loi portant diverses dispositions d’adaptation au droit de l’UE (Ddadue 2026), dans sa version adoptée par le Sénat le 18 février 2026, organise la mise en œuvre nationale du CRA.

Plus précisément, cet article modifie l’article L. 43 du Code des postes et des communications électroniques (CPCE) afin de confier à l’ANFR des missions relatives à l’application du règlement, en particulier en matière de surveillance du marché des produits comportant des éléments numériques.

Dans ce cadre, l’ANFR serait chargée de contrôler la conformité des produits couverts par le CRA et de veiller au respect des obligations applicables aux opérateurs économiques après leur mise sur le marché. L’ANFR a d’ailleurs déjà engagé des travaux préparatoires relatifs à l’application du CRA et à ses implications pour la surveillance du marché des équipements numériques. L’agence présente notamment sur son site les enjeux du CRA pour la régulation des produits numériques (4).

L’étude d’impact du projet de loi (3) souligne en effet que l’ANFR dispose d’une expérience reconnue dans le contrôle de conformité des équipements radioélectriques et de mise en œuvre du règlement (UE) 2019/1020 relatif à la surveillance du marché. Elle indique également que la mise en œuvre du CRA devrait reposer sur plusieurs autorités complémentaires, avec notamment l’ANSSI appelée à exercer les fonctions d’autorité notifiante, chargée de la désignation et de la supervision des organismes d’évaluation de la conformité. L’ANSSI indique également sur son site institutionnel qu’elle sera amenée à exercer ce rôle dans le cadre du règlement sur la cyber-résilience (5).

Le rapport de la commission des affaires économiques du Sénat (6) souligne que cette répartition des compétences s’inscrit dans une logique de spécialisation des autorités, mais qu’elle implique également un renforcement des moyens techniques et humains afin d’assurer l’effectivité du dispositif de contrôle prévu par le règlement.Les orientations stratégiques de l’ANFR prévoientun renforcement de ses compétences dans le domaine de la cybersécurité et de la surveillance des équipements connectés, comme l’indique le contrat d’objectifs et de performance de l’agence pour la période 2025-2028 (7).

Portée pratique pour les fabricants et organismes d’évaluation

La désignation de l’ANFR comme autorité de surveillance et l’ANSSI comme autorité notifiante entraînerait plusieurs conséquences :
• L’ANFR pourrait, après une procédure contradictoire, mettre en demeure, dans un délai qu’elle déterminerait, la personne responsable de se mettre en conformité avec ses obligations. Lorsque la personne responsable ne se conformerait pas dans le délai imparti à la mise en demeure, l’agence pourrait prononcer à son encontre une amende administrative (projet de loi Ddadue 2026).
• Les opérateurs économiques feraient l’objet d’un contrôle par l’ANSSI conformément à l’article 36 du CRA.
• L’ANSSI pourrait déléguer l’évaluation, la notification ou le contrôle à un organisme qui n’appartient pas au secteur public (art. 36).
• Les organismes souhaitant être notifiés au titre du CRA devraient se soumettre aux procédures nationales établies par l’ANSSI (art. 42).

Le CRA renforce par ailleurs les pouvoirs de surveillance du marché, permettant des mesures correctrices, voire des retraits de produits en cas de non-conformité. L’ensemble s’inscrit dans une logique de responsabilisation accrue des opérateurs économiques.

Notes de bas de page :

Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) n° 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience).
Texte n° 118 (2025-2026) de M. Roland LESCURE, ministre de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique, déposé au Sénat le 10 novembre 2025 – exposé des motifs – étude d’impact – avis du Conseil d’État – avis du CNEN.
ÉTUDE D’IMPACT – Projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique, financière, environnementale, énergétique, d’information, de transport, de santé, d’agriculture et de pêche – 7 novembre 2025.
Site institutionnel de l’ANFR – Cyber Resilience Act (CRA).
Site institutionnel de l’ANSSI – Cyber Resilience Act (CRA).
Rapport de la commission des affaires économiques du Sénat – Rapport n° 347 (2025-2026), déposé le 4 février 2026 – Projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique, financière, environnementale, énergétique, d’information, de transport, de santé, d’agriculture et de pêche.
Contrat d’objectifs et de performance 2025-2028 – ANFR.

Katharina Berbett

Avocate
Directrice du département Informatique contentieux complexe

Photo Mathilde Pennès-Lavoye MAP — Mathilde Pennès-Lavoye
Avocate
Directrice du département Informatique contentieux complexe

Miniature YouTube Lexbase - Les secrets d'Alain Bensoussan

Cookie	Durée	Description
cookielawinfo-checkbox-functional	12 mois	Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels
cookielawinfo-checkbox-necessary	12 mois	Gestion de l'affichage du bandeau d'information.
CookieLawInfoConsent	12 mois	Enregistrement de l'absence d'affichage du bandeau.

Cookie	Durée	Description
sbjs_current	12 mois	Boutique en ligne
sbjs_current_add		Boutique en ligne
sbjs_first		Boutique en ligne
sbjs_first_add		Boutique en ligne
sbjs_migrations		Boutique en ligne
sbjs_udata		Boutique en ligne
wpr_guest_token		Mise en cache
_GRECAPTCHA	6 mois	Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot.

CRA : Une gouvernance nationale articulée entre ANSSI et ANFR

L’« autorité notifiante » au sens de l’article 3 (26) du CRA

L’« autorité de surveillance du marché » au sens de l’article 3 (33) du CRA

Le projet de loi Ddadue 2026 : vers la désignation de l’ANFR comme autorité de surveillance du marché et l’ANSSI comme autorité notifiante

Portée pratique pour les fabricants et organismes d’évaluation

Informations

Navigation