Tu empresa española vende software como servicio a clientes europeos. El Reglamento (UE) 2024/2847 define "producto con elementos digitales" como cualquier producto software o hardware y sus soluciones de procesamiento de datos remoto (Art. 3.1). Si tu software incluye procesamiento remoto de datos como parte integral del producto, el CRA puede aplicarse. CRACheck genera la documentación técnica.

La cuestión no es si tu producto es SaaS. La cuestión es si cumple la definición del Art. 3(1): "un producto software o hardware y sus soluciones de procesamiento de datos remoto, incluidos los componentes software o hardware que se comercialicen por separado". El Considerando 12 del Reglamento aclara que el CRA se aplica a soluciones de procesamiento de datos remoto si forman parte integral del producto con elementos digitales. Las soluciones puramente SaaS sin componente descargable pueden quedar fuera, pero el límite es difuso y depende de la arquitectura de tu producto. Si tu software tiene un componente instalable (app, SDK, agente, plugin) o si el procesamiento remoto es parte integral de un producto con elementos digitales, estás en el ámbito. CRACheck genera 8 documentos PDF. 149 €. 15-25 minutos. 100% en tu navegador.

Generar dossier CRA — 149 €Gratis: clasificar tu producto

149 € pago único · 8 documentos ZIP · 15-25 minutos · Browser-side

Cifras clave

Art. 3(1)

Definición: producto software o hardware y sus soluciones de procesamiento de datos remoto.

Considerando 12

Las soluciones remotas de datos son parte del producto si forman parte integral.

149 €

Documentación técnica completa. Sin consultoría.

Cómo documentar tu software para el CRA

Verifica primero si tu SaaS entra en el ámbito.

Verifica si tu SaaS entra en el ámbito del CRA

¿Tiene componente instalable (app, SDK, agente, plugin)? ¿El procesamiento remoto es parte integral? Si sí, probablemente en el ámbito.

Clasifica

Checker gratuito. Muchos SaaS B2B son Default (Módulo A).

Documenta la arquitectura software

APIs, componentes, protocolos, tratamiento de datos, medidas de seguridad.

Genera la evaluación de riesgos

Art. 13.2: amenazas específicas de software — inyección, acceso no autorizado, fuga de datos.

Obtén el dossier completo

8 PDFs con la documentación técnica Anexo VII de tu producto software.

Archiva

Conserva para la autoridad de vigilancia del mercado (10 años, Art. 13.13).

Errores de empresas de software con el CRA

❌

ÁMBITO

El CRA solo aplica a hardware, mi SaaS está fuera

El Art. 3(1) del Reglamento (UE) 2024/2847 define producto con elementos digitales como "un producto software o hardware". Software es parte explícita de la definición. Si tu software se comercializa como producto y tiene componentes instalables o procesamiento remoto integral, el CRA puede aplicarse.

❌

OPEN SOURCE

Mi software es open source, no me aplica

El CRA sí se aplica a software libre y de código abierto cuando se comercializa en el curso de una actividad comercial (Art. 2.6, Considerandos 18-19). Si cobras por tu software, ofreces soporte comercial o lo integras en un producto comercial, estás en el ámbito.

❌

UBICACIÓN

Como mi empresa está en España y solo vendo online, no necesito CRA

El Art. 2.1 se aplica a productos comercializados en el mercado de la UE. Si tu software se descarga o se accede desde cualquier Estado miembro, estás poniendo el producto en el mercado europeo.

8 documentos adaptados a software

Documentación técnica Anexo VII adaptada a producto software/SaaS.

Product Classifier

Clasificación del producto según Art. 7 + Anexo III: Default, Important Class I, Important Class II o Critical.

Technical Documentation

Documentación técnica completa con las 8 secciones del Anexo VII conforme al Art. 31.

Risk Assessment

Evaluación de riesgos de ciberseguridad conforme al Art. 13.2 y Anexo I, Parte I.

User Information

Información e instrucciones para el usuario conforme al Anexo II.

Declaration of Conformity

Declaración UE de conformidad conforme al Art. 28 y Anexo V.

CVD Policy

Política de divulgación coordinada de vulnerabilidades conforme al Anexo I, Parte II, punto 5.

Notification Template

Plantilla de notificación a ENISA conforme al Art. 14 (early warning 24h, notificación 72h, informe final 14 días).

Obligations Calendar

Calendario con fechas clave: 11 sept 2026 (Art. 14), 11 dic 2027 (aplicación completa), periodo de soporte (Art. 13.8).

Mira antes de comprar — Descargar dossier de muestra (PDF, empresa ficticia) — Estructura real, artículos reales, formato real. Datos ficticios.

Generado en tu navegador. Ningún dato sale de tu máquina.

Qué pagas

🧾 ABOGADO TECH + CONSULTOR CIBERSEGURIDAD

€7.000–€15.000

Análisis ámbito + documentación. 2-4 meses.

✓ CRACHECK

149 €

8 documentos. 15 min. Sin consultoría.

Documentación vs. determinación de ámbito

● CAPA 1

Lo que CRACheck hace

Documenta tu producto software conforme al Anexo VII. 8 PDFs. 15 min. 149 €.

∅ CAPA 2

Lo que CRACheck NO hace

No determina jurídicamente si tu SaaS entra o no en el ámbito del CRA (eso lo decide tu análisis legal). No implementa medidas de seguridad en tu código.

Nosotros documentamos. Tú decides si te aplica y aseguras el código.

Régimen sancionador — Artículo 64 del Reglamento (UE) 2024/2847

El Art. 64 establece tres niveles de multas administrativas.

🇪🇺

Incumplimiento requisitos esenciales ciberseguridad (Anexo I) + obligaciones fabricante (Art. 13) + notificación vulnerabilidades (Art. 14)

€15M / 2,5%

Art. 64.2 del Reglamento (UE) 2024/2847. La cifra mayor entre ambas.

🇪🇺

Incumplimiento obligaciones documentales (Art. 31), declaración de conformidad (Art. 28), marcado CE (Art. 30), representante autorizado (Art. 18)

€10M / 2%

Art. 64.3.

🇪🇺

Información incorrecta, incompleta o engañosa a organismos notificados o autoridades de vigilancia

€5M / 1%

Art. 64.4.

Art. 64.5: se tendrán en cuenta la naturaleza, gravedad y duración de la infracción, el tamaño de la empresa, y si se han impuesto multas anteriores.

Alternativas

Alternativa	Coste	Qué obtienes
Abogado tech + consultor ciberseguridad	€7.000–€15.000	Análisis completo + documentación. 2-4 meses.
Asumir que SaaS no está en el ámbito	0 €	Riesgo si la interpretación cambia o el cliente lo exige.
Dejar de vender en la UE	0 €	Pierdes el mercado europeo.
CRACheck	149 €	8 documentos, 15 min, documentación por si aplica

¿Varios productos software?

Cada producto necesita dossier independiente. Contacta para volumen.

Solicitar precio por volumen

Respuesta en un día laborable.

Qué garantiza CRACheck y qué no

CRACheck genera un documento estructurado según el Art. 31 y Anexo VII del Reglamento (UE) 2024/2847 a partir de la información que tú introduces. La veracidad, precisión y completitud de esa información es tu responsabilidad como fabricante.

Garantizamos que la estructura del documento sigue el Art. 31 y Anexo VII del Reglamento (UE) 2024/2847 y que las referencias legales citadas son correctas en la fecha de la última verificación. No garantizamos que un documento concreto sea aceptado por una autoridad de vigilancia del mercado en un caso específico.

CRACheck no es asesoramiento jurídico. Para situaciones específicas, consulta con un abogado o consultoría regulatoria especializada.

Preguntas frecuentes — software y SaaS

¿Un SaaS puro sin descarga está en el ámbito del CRA?

Depende. El Considerando 12 aclara que las soluciones de procesamiento remoto son parte del producto cuando forman "parte integral". Si tu SaaS es puramente web sin componente instalable y sin ser parte integral de otro producto con elementos digitales, puede estar fuera. Pero el límite es difuso. Consulta con un abogado para tu caso específico.

¿Y si mi software es un componente integrado en hardware de terceros?

Si tu software se comercializa por separado, es un producto con elementos digitales propio (Art. 3(1)). Si solo se integra como parte del hardware y no se vende por separado, el fabricante del hardware documenta el producto completo y tú le proporcionas datos bajo Art. 13.5.

¿El CRA aplica a APIs?

Una API por sí sola no es un producto. Pero si tu API forma parte de un producto software que comercializas, el producto es el que está en el ámbito, y la API es parte de su arquitectura que debe documentarse.

¿Y si solo vendo a empresas B2B?

El Art. 2.1 no distingue B2B de B2C. Si pones el producto en el mercado de la UE, aplica.

¿Qué diferencia hay entre CRA y NIS2 para software?

NIS2 (Directiva (UE) 2022/2555) regula obligaciones de ciberseguridad de operadores de servicios esenciales e importantes. El CRA regula productos con elementos digitales. Son regulaciones complementarias con sujetos y objetos diferentes.

¿Es una suscripción?

No. Pago único. La licencia incluye 30 días de edición y 10 regeneraciones. El PDF descargado es tuyo para siempre.

¿Puedo pedir la devolución?

Conforme al Art. 16.m de la Directiva (UE) 2011/83 sobre derechos de los consumidores, al activar la licencia das consentimiento expreso para la generación inmediata del contenido digital, renunciando al plazo de desistimiento de 14 días. Solo se aceptan devoluciones por fallo técnico reproducible.

¿Y si la normativa cambia?

Si la normativa cambia durante la vigencia de tu licencia, puedes regenerar el documento con la versión actualizada del generador sin coste adicional.

Fuentes legales oficiales

Reglamento (UE) 2024/2847 — Cyber Resilience Act — texto completo

⚠️ Aviso importante: CRACheck es una herramienta de auto-evaluación documental, no asesoramiento jurídico ni auditoría de terceros. El documento conforme al Artículo 31 y Anexo VII del Reglamento (UE) 2024/2847 se genera a partir de los datos que tú introduces. La veracidad de los datos es tu responsabilidad. CRACheck no sustituye una auditoría de terceros ni un dictamen profesional cualificado.