Registre des vulnérabilités & signalements

Gestion des vulnérabilités et signalement — règl. (UE) 2024/2847 (Cyber Resilience Act), art. 13-14

Confidentialité absolue. Aucune donnée saisie ici n'est envoyée ni conservée par AVCA Legal. L'identité de l'entreprise, le produit et le détail des vulnérabilités et incidents restent dans votre navigateur. Pour conserver et poursuivre le registre, vous exportez un fichier chiffré que vous rangez vous-même dans votre dossier de conformité, sous votre seul contrôle. Rien ne permet de savoir quelle entreprise utilise l'outil, ni pour quel produit.

Comment ça marche — et comment reprendre le registre plus tard

1. Je renseigne le registre

Complétez l'en-tête d'identité, puis ajoutez une ligne par vulnérabilité activement exploitée ou incident grave, directement à l'écran. Aucun compte, aucune installation.

2. J'exporte et je classe

Un clic sur « Exporter » crée un fichier chiffré, protégé par une phrase de passe. Enregistrez-le dans le dossier du produit, comme une pièce du dossier de conformité.

3. Je ré-importe pour continuer

Plus tard, cliquez sur « Importer », rouvrez ce fichier avec votre phrase de passe : le registre se recharge, vous ajoutez les nouvelles entrées, puis vous ré-exportez.

Ce fichier chiffré est votre seule copie, sous votre seul contrôle : rien n'est enregistré sur nos serveurs. Sans votre phrase de passe, personne ne peut l'ouvrir — pas même AVCA Legal. Conservez-les ensemble, en lieu sûr.

Délais de signalement — article 14 CRA

Alerte précoce≤ 24 h

Sans retard injustifié et, en tout état de cause, dans les 24 heures suivant la connaissance de la vulnérabilité activement exploitée ou de l'incident grave.

Notification≤ 72 h

Dans les 72 heures : nature de la vulnérabilité ou évaluation de l'incident (gravité, impact), et mesures correctives ou d'atténuation prises.

Rapport final — vulnérabilité≤ 14 j

Au plus tard 14 jours après la mise à disposition d'une mesure corrective ou d'atténuation (vulnérabilité activement exploitée).

Rapport final — incident grave≤ 1 mois

Dans un délai d'un mois après la notification de l'incident grave.

Destinataires : notification simultanée au CSIRT désigné comme coordinateur (le CERT-FR pour un établissement principal en France) et à l'ENISA, via la plateforme unique de signalement. Ces obligations s'appliquent depuis le 11/09/2026 (art. 71).

1Entreprise

Identité de l'opérateur économique responsable du registre.

2Produit & rôle au sens du CRA

Produit comportant des éléments numériques couvert par ce registre — art. 3, 13 CRA.

3Période de support & établissement

Période de support d'au moins 5 ans — art. 13 CRA. Les vulnérabilités sont gérées pendant toute cette période.

4Entrées du registre

Une ligne par vulnérabilité activement exploitée ou incident grave affectant la sécurité du produit. Le suivi des délais retrace l'alerte précoce (≤ 24 h), la notification (≤ 72 h) et le rapport final (≤ 14 j pour une vulnérabilité, ≤ 1 mois pour un incident) — art. 14 CRA.

0
Entrées
0
Activement exploitées
0
Incidents graves
0
Ouvertes
0
Corrigées / closes

Aucune entrée. Ajoutez une ligne à chaque vulnérabilité activement exploitée ou incident grave affectant la sécurité du produit.

5Notes libres

Ce registre aide à structurer la gestion des vulnérabilités (art. 13, annexe I partie II) et le suivi des signalements (art. 14) au regard du règlement (UE) 2024/2847 ; il ne se substitue pas à une analyse individualisée. Les délais et destinataires rappelés proviennent du texte du règlement. Les données restent dans votre navigateur : le fichier chiffré que vous exportez et archivez dans votre dossier de conformité en est la seule copie.

Registre de gestion des vulnérabilités & de signalement — Cyber Resilience Act (règl. (UE) 2024/2847, art. 13-14)
Produit
EntrepriseImmatriculation
Siège socialReprésentant
Rôle (CRA)FabricantPoint de contact unique
Période de support5 an(s)Registre établi le07/07/2026
Délais de signalement (art. 14)Alerte précoce ≤ 24 h · Notification ≤ 72 h · Rapport final — vulnérabilité ≤ 14 j · Rapport final — incident grave ≤ 1 mois. Notification simultanée au CSIRT coordinateur (CERT-FR en France) et à l'ENISA, via la plateforme unique de signalement. Obligations applicables depuis le 11/09/2026.
Entrées du registre
Aucune entrée.
Registre établi au titre du règlement (UE) 2024/2847 (Cyber Resilience Act), articles 13 et 14. Le fabricant gère les vulnérabilités pendant toute la période de support (annexe I, partie II) et signale les vulnérabilités activement exploitées et incidents graves au CSIRT coordinateur et à l'ENISA, via la plateforme unique de signalement, selon les délais de l'article 14 (obligations applicables depuis le 11/09/2026). Registre tenu avec l'outil offert par AVCA Legal — aucune donnée n'a été transmise à AVCA Legal.