complair.
Langue
English Deutsch Français Español
Commencer gratuitement
Échéance 11 sept. 2026
Pour éditeurs de logiciels, fabricants d’IoT et agences — CRA seul ou avec l’AI Act

Conformité Cyber Resilience Act, sans la panique .

Les obligations de signalement s’appliquent à partir du 11 septembre 2026. Applicabilité complète au 11 décembre 2027. Commencez par le diagnostic CRA gratuit — classe, top-5 obligations et décompte des délais en 60 secondes. Passez à l’étape supérieure quand vous êtes prêt à suivre l’Annexe I, ingérer les SBOM, surveiller les CVE et rédiger les notifications ENISA.

Démarrer le diagnostic CRA gratuit Voir les tarifs

Sans carte bancaire · inscription, classez votre produit, recevez le verdict

  • Liste de contrôle de l’annexe I adaptée à votre classe de produit
  • Ingestion de SBOM depuis CI (CycloneDX 1.5 / SPDX 2.3 / package-lock / Gemfile.lock)
  • Surveillance des vulnérabilités via OSV + NVD + CISA KEV
  • Notifications multi-fenêtres 24h / 72h / 14j / 1 mois vers l’ENISA
TEMPS RESTANT AVANT LES OBLIGATIONS DE SIGNALEMENT CRA
120
jours
11 Sep 2026
576 days avant l’applicabilité complète du CRA (11 déc. 2027)
GRATUIT · 60 SECONDES · SANS CARTE

Commencez par le diagnostic CRA gratuit

Cinq questions, un verdict, cinq obligations à traiter en premier. Découvrez si le CRA s’applique, dans quelle classe tombe votre produit et combien de temps il vous reste — avant de vous engager sur un plan.

Démarrer le diagnostic gratuit
  1. 1

    Nom du produit + votre rôle (fabricant / importateur / distributeur)

  2. 2

    Estimation de la classe CRA (nous expliquons l’Annexe III/IV en clair)

  3. 3

    Statut sur le marché UE + date de mise sur le marché

  4. 4

    Recevez le verdict + top-5 obligations + décompte des délais

  5. 5

    Passez à Growth (CRA Lite) ou Scale (Full CRA) quand vous êtes prêt

Qui le CRA touche le plus durement

Si vous distribuez des logiciels avec composants numériques dans l’UE, le CRA s’applique. Nous nous concentrons sur les profils les plus exposés :

Petits éditeurs de logiciels en UE

SaaS, outils pour développeurs, outils internes vendus aux entreprises. Annexe I + SBOM + politique de divulgation des vulnérabilités. Accélérateur de cycle de vente.

Fabricants embarqués / IoT

Matériel livrant un firmware. Classe importante I/II selon l’annexe III. Évaluation par tiers obligatoire.

Agences maintenant les produits clients

Si vous livrez, vous êtes fabricant. Marquage CE + déclaration UE de conformité par produit.

Ce qui est livré dès le premier jour

Classification produit

Le questionnaire annexe III/IV vous oriente vers Standard / Classe importante I / Classe importante II / Essentiel. La bonne procédure d’évaluation à chaque fois.

Liste de contrôle annexe I

Les 22 exigences essentielles de cybersécurité de l’annexe I, priorité calibrée selon la classe de produit, liens EUR-Lex par article.

Ingestion de SBOM

Glisser-déposer CycloneDX, SPDX, package-lock.json, Gemfile.lock. Ou pousser des SBOM depuis votre CI via un jeton API par produit. Clés d’idempotence + plafond 50 Mo + comptage des erreurs d’analyse.

Surveillance des vulnérabilités

Synchronisation delta quotidienne depuis OSV + NVD + CISA KEV. Les vulnérabilités KEV (« exploitées dans la nature ») sont en haut de chaque tableau de bord.

Notifications multi-fenêtres

Cascade de l’article 14 dans la vue Incident : 24h alerte précoce, 72h notification, 14 jours rapport final vulnérabilité, 1 mois rapport final incident grave — chacune correctement ancrée.

Brouillon ENISA SRP

Génération du payload SRP en JSON ou PDF. « Marquer comme soumis » avec l’horodatage réel. Piste d’audit pour le régulateur.

Notification client

E-mail d’information aux utilisateurs (art. 14(8)) rédigé par IA. Repli à deux modèles (Anthropic → OpenAI → Gemini → modèle manuel) — jamais vide.

Documents de conformité

Déclaration UE de conformité (art. 28), enregistrement du marquage CE (art. 29), instructions d’utilisation annexe II, documentation technique (art. 31). Un clic chacun.

Onglet CRA du Trust Center public

Politique de divulgation des vulnérabilités (art. 13) + grille des SLA de réponse + agrégat 90 derniers jours. URL prête à envoyer aux acheteurs.

Du verdict gratuit au suivi CRA complet

Commencez par le diagnostic gratuit sur Starter. Empilez CRA Lite sur Growth ou choisissez Scale pour le CRA complet — SBOM, surveillance des vulnérabilités et reporting prêt pour ENISA inclus.

Module · 14 jours gratuits

CRA Lite

€29 /mois

Classification annexe I + checklist CRA de base. Idéal pour les produits qui valident le périmètre et documentent l'essentiel.

  • Classification annexe I (default / important classe I & II / essential)
  • Checklist CRA + journal d'audit
  • Coffre-fort manuel pour les preuves
  • Jusqu'à 5 sièges
Démarrer avec Starter + CRA Lite
Module · Le plus populaire · 14 jours gratuits

CRA Full

€79 /mois

Tout le CRA : ingestion SBOM, surveillance des vulnérabilités OSV/NVD/KEV, rapports ENISA et onglet CRA public du Trust Center.

  • Tout ce qui est dans CRA Lite
  • Ingestion de SBOM (manuel + API CI, CycloneDX 1.5 + SPDX 2.3)
  • Surveillance des vulnérabilités (OSV + NVD + CISA KEV)
  • Notifications d'incident multi-fenêtres + brouillon ENISA
  • Onglet CRA du Trust Center public
  • Politique de divulgation (art. 13)
Démarrer avec Starter + CRA Full

Starter (gratuit pour toujours) inclut le diagnostic CRA — verdict + top-5 obligations + décompte des délais pour un produit. Inscription gratuite →

Vous avez déjà un plan Complair AI Act ? Ajoutez CRA depuis votre espace. Growth inclut CRA Lite. Scale et Business incluent CRA complet.

Questions fréquentes

Nous vendons du SaaS — le CRA s’applique-t-il à nous ?

Si votre SaaS inclut des composants téléchargeables (CLI, SDK, extension de navigateur, connecteur sur site), oui. Le SaaS purement cloud sans code livré sort généralement du périmètre du CRA — bien que des cas particuliers existent. Le questionnaire de classification CRA vous guide.

Notre produit a été mis sur le marché avant le 11 décembre 2027 — sommes-nous exemptés ?

Globalement oui. Les produits mis sur le marché avant cette date ne sont soumis à l’ensemble des obligations CRA qu’après une modification substantielle. Les obligations de signalement de l’article 14 s’appliquent quand même à partir du 11 septembre 2026. Complair suit cette règle transitoire produit par produit.

Nous n’avons pas encore d’outil SBOM — pouvons-nous quand même utiliser Complair ?

Oui. Glissez-déposez un package-lock.json ou un Gemfile.lock et nous synthétisons le SBOM. Ou utilisez notre snippet GitHub Action / GitLab CI pour pousser un SBOM CycloneDX à chaque tag de release.

Et pour les produits essentiels de l’annexe IV ?

Les produits essentiels exigent un schéma européen de certification de cybersécurité. Complair suit les obligations et produit la documentation technique ; la certification elle-même est réalisée par un organisme habilité.

Le signalement CRA via ComplAir est-il une chaîne automatisée vers l’ENISA ?

Nous générons le payload SRP en JSON et PDF. Vous le soumettez hors plateforme via le portail ENISA, puis cliquez sur « Confirmer la soumission » avec l’horodatage réel. La soumission programmatique par webhook est dans la feuille de route, dès que l’ENISA publiera une API publique stable.

Le 11 septembre 2026 est plus proche qu’il n’y paraît

Inventoriez vos produits, lancez le classificateur, livrez un brouillon de notification client dès aujourd’hui.

Commencer gratuitement Voir les tarifs