Le CRA s'applique-t-il à mon produit ? / SaaS / application web
Le Cyber Resilience Act s'applique-t-il au SaaS ?
Essentiellement non — avec deux pièges. Les services cloud purs, sans rien à installer, relèvent de NIS 2, pas du CRA. Mais dès que vous livrez un composant installable, ce composant est un produit comportant des éléments numériques. Et les « solutions de traitement de données à distance » intégrales à un produit sont évaluées avec lui.
Ce que cela signifie concrètement pour vous
- ▸Vous entrez dans le champ dès que vous proposez : client de bureau, app mobile, outil CLI, version auto-hébergée/on-premise, extension de navigateur ou agent local. Chaque artefact est un produit à part entière, avec le programme complet d'obligations.
- ▸Si vous vendez un appareil ou une app dont la fonction dépend de votre backend cloud, ce backend est une solution de traitement à distance évaluée avec le produit.
- ▸Les déploiements self-hosted de votre « SaaS » chez des clients entreprise sont tout simplement du logiciel livré — dans le champ.
- ▸Même en SaaS pur : vos clients entreprise sous pression CRA/NIS 2 répercuteront contractuellement les exigences de SBOM et de politique de divulgation sur vous.
Le piège dans lequel tombent la plupart des équipes
Le « petit agent utilitaire » ou le CLI avec lequel vous placez sans le remarquer un produit réglementé sur le marché de l'UE — pendant que votre discours conformité dit encore « nous sommes un SaaS, exemptés ».
Les échéances
2026-09-11
Début des obligations de notification : les vulnérabilités activement exploitées et les incidents graves doivent être signalés sous 24 h / 72 h via la plateforme unique de l'ENISA.
2027-12-11
Application intégrale : exigences essentielles, documentation technique, déclaration UE de conformité et marquage CE deviennent obligatoires pour vendre dans l'UE.
Où en est votre produit, concrètement ?
Le Risk Check gratuit (en anglais) vous donne en 3 minutes votre verdict, la classe de risque, un score de préparation et une liste d'actions priorisée. Sans inscription.
Ou laissez CRAdar s'en charger en continu — soyez prévenu au lancement :
Autres types de produits
Guide éditorial sur le règlement (UE) 2024/2847 — ceci n'est pas un conseil juridique.