CRA : ton logiciel est-il concerné ? Le test rapide en 3 questions

Challenge rapide : est-ce que ton logiciel est concerné par le Cyber Resilience Act (CRA) ?

💬 “Si ton produit contient du code numérique et peut être utilisé ou connecté, le CRA t’impacte très probablement.”

Depuis l’adoption du Cyber Resilience Act, une question revient chez les éditeurs SaaS, ESN et fournisseurs cloud :

👉 Suis-je réellement concerné par le CRA ?

La réponse est souvent oui, même quand on ne s’y attend pas.

🧠 Rappel clé : le champ d’application du CRA est très large

Le règlement européen CRA s’applique à tout produit comportant des éléments numériques, qu’il soit :

1. logiciel,
2. SaaS,
3. service cloud,
4. module intégré,
5. composant open source redistribué,
6. produit connecté ou interopérable.

📌 Source – Commission européenne (2024) :

“Any product with digital elements whose intended or reasonably foreseeable use includes a connection to a device or network”.

👉 Autrement dit : connexion + code = exposition CRA.

✅ Test express CRA : réponds OUI / NON à ces 3 questions

1️⃣ Ton produit contient-il du code exécutable ?

Application web, API, agent, binaire, script, firmware, librairie…

👉 Oui = premier signal CRA

2️⃣ Ton produit peut-il se connecter à un réseau ou à un autre système ?

Internet, LAN, API tierce, cloud, SI client, IoT, OT…

👉 Oui = champ CRA confirmé

3️⃣ Ton produit est-il distribué, commercialisé ou mis à disposition dans l’UE ?

Vente directe, abonnement SaaS, marketplace, bundle, intégration client…

👉 Oui = obligation réglementaire potentielle

🎯 Résultat du challenge

1. ✅ 3 “oui” → CRA te concerne très probablement
2. ⚠️ 2 “oui” → analyse CRA fortement recommandée
3. ❌ 1 ou 0 “oui” → cas particulier (à documenter)

🧩 Et maintenant la vraie question : quelle est ta classe CRA ?

Le CRA distingue notamment :

1. produits standards,
2. produits importants (classe I / classe II),
3. avec des niveaux d’exigences très différents en matière de :
4. sécurité by design,
5. gestion des vulnérabilités,
6. documentation,
7. surveillance post-mise sur le marché.

👉 Mal se classer = surcoût inutile ou non-conformité critique.

🚀 Comment CompliKey aide à répondre (vite et proprement)

CompliKey permet de :

1. 🧭 Qualifier ton exposition CRA,
2. 🧩 Documenter ta classe produit et sa justification,
3. 📋 Mapper les exigences CRA aux mesures existantes,
4. 📊 Piloter la conformité CRA dans un tableau multi-normes,
5. 🧾 Produire des preuves prêtes pour audit ou client.

👉 Le CRA n’est pas qu’une contrainte : c’est un nouvel avantage compétitif pour les éditeurs préparés.

💬 Et toi, quelle est ta classe de produit CRA ?

👉 Fais le test, documente ta réponse, et anticipe avant 2027.