Tandis que le Cloud and AI Development Act faisait les gros titres, une seconde horloge européenne avance — et elle est déjà armée. À partir du 11 septembre 2026 s'appliquent les obligations de signalement de l'Article 14 du Cyber Resilience Act (CRA). Contrairement au CADA, encore à l'état de proposition, le CRA est un texte déjà adopté. Cette échéance est ferme.
Ce que recouvre l'obligation de signalement
Dès qu'une organisation prend connaissance d'une vulnérabilité activement exploitée ou d'un incident de sécurité grave, un délai échelonné s'applique : une alerte précoce dans les 24 heures, une notification complète dans les 72 heures, et un rapport final dans les 14 jours suivant la disponibilité d'une mesure corrective. Les signalements transitent par le Single Reporting Platform géré par l'Agence de l'Union européenne pour la cybersécurité (ENISA).
Avec NIS2 : un mandat de 24 heures
Le CRA ne s'applique pas isolément. Pour les entités essentielles et importantes — santé, énergie, administration, infrastructures critiques —, NIS2 impose déjà une obligation d'alerte précoce dans les 24 heures. Ensemble, ils forment ce que l'on appelle en pratique un mandat cyber de 24 heures : les organisations régulées doivent savoir, à très brève échéance, ce qu'elles exécutent, quels composants sont exploitables, et le signaler.
On ne peut signaler que ce que l'on voit
Le cœur du défi est la visibilité. La plupart des organisations connaissent leur inventaire logiciel, mais pas les dépendances enfouies au plus profond de ces logiciels — la bibliothèque vulnérable nichée dans une application, le type de faille Log4Shell que les inventaires standard ne détectent pas. Sans une Software Bill of Materials (SBOM) à jour et une visibilité sur les vulnérabilités réellement exploitées, un signalement dans les 24 heures relève davantage de l'espoir que du processus.
« La souveraineté ne se résume pas à savoir où sont vos données, mais aussi à pouvoir rendre compte de votre chaîne — de manière démontrable, et à temps. »
L'angle souverain
Pour Sovereign AI-Grid, cela s'inscrit parfaitement dans le récit plus large : une infrastructure européenne, indépendante et maîtrisable de manière démontrable. Là où le CADA dote d'une référence le volet calcul de la souveraineté, le CRA assortit le volet cyber d'une échéance ferme et vérifiée. Pour les secteurs régulés, ce n'est pas un « nice to have », mais le seuil d'accès — et le travail commence maintenant, pas en septembre.
Le CRA est inscrit dans le Règlement (UE) 2024/2847 ; les obligations de signalement s'appliquent aux produits comportant des éléments numériques mis à disposition sur le marché européen. Le texte intégral et son explication figurent sur Shaping Europe's digital future.
Compliance-by-design pour les secteurs régulés
Découvrez comment Sovereign AI-Grid aide la santé et d'autres secteurs critiques à conjuguer souveraineté et démontrabilité.
Solutions pour la santé →