CRAdarCheck

Le CRA s'applique-t-il à mon produit ? / SaaS / application web

Le Cyber Resilience Act s'applique-t-il au SaaS ?

Ça dépend — lisez la suiteEnglish version →

Essentiellement non — avec deux pièges. Les services cloud purs, sans rien à installer, relèvent de NIS 2, pas du CRA. Mais dès que vous livrez un composant installable, ce composant est un produit comportant des éléments numériques. Et les « solutions de traitement de données à distance » intégrales à un produit sont évaluées avec lui.

Ce que cela signifie concrètement pour vous

Le piège dans lequel tombent la plupart des équipes

Le « petit agent utilitaire » ou le CLI avec lequel vous placez sans le remarquer un produit réglementé sur le marché de l'UE — pendant que votre discours conformité dit encore « nous sommes un SaaS, exemptés ».

Les échéances

2026-09-11

Début des obligations de notification : les vulnérabilités activement exploitées et les incidents graves doivent être signalés sous 24 h / 72 h via la plateforme unique de l'ENISA.

2027-12-11

Application intégrale : exigences essentielles, documentation technique, déclaration UE de conformité et marquage CE deviennent obligatoires pour vendre dans l'UE.

Où en est votre produit, concrètement ?

Le Risk Check gratuit (en anglais) vous donne en 3 minutes votre verdict, la classe de risque, un score de préparation et une liste d'actions priorisée. Sans inscription.

Lancer le Risk Check gratuit →Sans inscription · résultat immédiat

Ou laissez CRAdar s'en charger en continu — soyez prévenu au lancement :

Autres types de produits

Guide éditorial sur le règlement (UE) 2024/2847 — ceci n'est pas un conseil juridique.