¿Se aplica el CRA a mi producto? / SaaS / aplicación web
¿Se aplica el Cyber Resilience Act al SaaS?
Mayormente no — con dos trampas. Los servicios cloud puros, sin nada que instalar, caen bajo NIS 2, no bajo el CRA. Pero en cuanto entregas cualquier componente instalable, ese componente es un producto con elementos digitales. Y las «soluciones de tratamiento de datos a distancia» integrales a un producto se evalúan junto con él.
Qué significa esto en concreto para ti
- ▸Entras en el ámbito en cuanto ofreces: cliente de escritorio, app móvil, herramienta CLI, versión self-hosted/on-premise, extensión de navegador o agente local. Cada artefacto es un producto con el programa completo de obligaciones.
- ▸Si vendes un dispositivo o una app cuya función depende de tu backend cloud, ese backend es una solución de tratamiento a distancia y se evalúa con el producto.
- ▸Los despliegues self-hosted de tu «SaaS» en clientes enterprise son, sencillamente, software entregado — dentro del ámbito.
- ▸Incluso en SaaS puro: tus clientes enterprise bajo presión CRA/NIS 2 te trasladarán por contrato las exigencias de SBOM y política de divulgación.
La trampa en la que caen la mayoría de los equipos
El «agentito auxiliar» o el CLI con el que, sin darte cuenta, colocas un producto regulado en el mercado de la UE — mientras tu discurso de cumplimiento sigue diciendo «somos SaaS, exentos».
Los plazos
2026-09-11
Inicio de las obligaciones de notificación: las vulnerabilidades explotadas activamente y los incidentes graves deben notificarse en 24 h / 72 h a través de la plataforma única de la ENISA.
2027-12-11
Aplicación plena: requisitos esenciales, documentación técnica, declaración UE de conformidad y marcado CE serán obligatorios para vender en la UE.
¿Dónde está tu producto exactamente?
El Risk Check gratuito (en inglés) te da en 3 minutos tu veredicto de ámbito, la clase de riesgo, una puntuación de preparación y una lista de acciones priorizada. Sin registro.
O deja que CRAdar se encargue de forma continua — te avisamos en el lanzamiento:
Otros tipos de producto
Guía editorial sobre el Reglamento (UE) 2024/2847 — no es asesoramiento jurídico.