Il CRA si applica al mio prodotto? / SaaS / applicazione web
Il Cyber Resilience Act si applica al SaaS?
In gran parte no — con due trappole. I servizi cloud puri, senza nulla da installare, ricadono sotto NIS 2, non sotto il CRA. Ma appena consegni un componente installabile, quel componente è un prodotto con elementi digitali. E le «soluzioni di trattamento dati a distanza» integrali a un prodotto vengono valutate insieme ad esso.
Cosa significa concretamente per te
- ▸Entri nell'ambito appena offri: client desktop, app mobile, strumento CLI, versione self-hosted/on-premise, estensione browser o agente locale. Ogni artefatto è un prodotto a sé, con il programma completo di obblighi.
- ▸Se vendi un dispositivo o un'app la cui funzione dipende dal tuo backend cloud, quel backend è una soluzione di trattamento a distanza valutata con il prodotto.
- ▸I deployment self-hosted del tuo «SaaS» presso clienti enterprise sono semplicemente software consegnato — nell'ambito.
- ▸Anche nel SaaS puro: i tuoi clienti enterprise sotto pressione CRA/NIS 2 ti gireranno per contratto i requisiti di SBOM e politica di divulgazione.
La trappola in cui cade la maggior parte dei team
Il «piccolo agente di supporto» o il CLI con cui, senza accorgertene, immetti un prodotto regolamentato sul mercato UE — mentre il tuo discorso di conformità dice ancora «siamo SaaS, esenti».
Le scadenze
2026-09-11
Inizio degli obblighi di segnalazione: le vulnerabilità attivamente sfruttate e gli incidenti gravi vanno segnalati entro 24 h / 72 h tramite la piattaforma unica dell'ENISA.
2027-12-11
Applicazione piena: requisiti essenziali, documentazione tecnica, dichiarazione di conformità UE e marcatura CE diventano obbligatori per vendere nell'UE.
A che punto è il tuo prodotto, concretamente?
Il Risk Check gratuito (in inglese) ti dà in 3 minuti il verdetto sull'ambito, la classe di rischio, un punteggio di preparazione e una lista di azioni prioritizzata. Senza registrazione.
Oppure lascia fare a CRAdar in modo continuativo — ti avvisiamo al lancio:
Altri tipi di prodotto
Guida editoriale sul regolamento (UE) 2024/2847 — non è consulenza legale.