Resiliencia Estratégica

Sabes exactamente dónde está tu producto con el CRA.

La UE Cyber Resilience Act exige que los productos sean secure-by-design. Análisis de brechas y hoja de ruta para fabricantes y proveedores de software. Plazo 2027.

Contactar Línea de Incidentes 24/7

¿Qué es un CRA Readiness Assessment?

Un CRA Readiness Assessment evalúa tu producto y proceso de desarrollo frente a los requisitos de la UE Cyber Resilience Act. Recibes un análisis de brechas por área de requisitos CRA, una clasificación de tu producto y una hoja de ruta priorizada hacia el cumplimiento. El CRA requiere productos secure-by-design, un SBOM, gestión de vulnerabilidades y actualizaciones de seguridad durante todo el ciclo de vida. Plazo: 2027.

Sobre este servicio

El CRA exige secure-by-design a fabricantes y proveedores de software

La Cyber Resilience Act establece requisitos de seguridad para los productos con elementos digitales. Si fabricas o vendes hardware o software en la UE, tu producto debe ser secure-by-design y mantenerse con actualizaciones de seguridad durante todo su ciclo de vida.

Un CRA Readiness Assessment evalúa si tu producto y proceso de desarrollo cumplen con los requisitos del CRA. El equipo combina experiencia en seguridad con conocimiento del desarrollo de productos para entregar un assessment práctico.

El CRA cubre todo el espectro: desde los requisitos de seguridad del producto y la gestión de vulnerabilidades hasta la documentación y el marcado CE. El assessment mapea dónde estás y qué necesitas hacer para ser conforme para 2027.

El Problema

Tienes productos con elementos digitales pero sin una hoja de ruta de cumplimiento CRA

Los fabricantes y proveedores de software que venden en la UE enfrentan una nueva realidad regulatoria. El plazo de 2027 parece lejano, pero implementar secure-by-design requiere tiempo y cambios estructurales en los procesos de desarrollo.

  • No sabes en qué categoría CRA cae tu producto (predeterminado, importante o crítico) y por tanto qué requisitos aplican y qué tan riguroso debe ser el assessment de conformidad.
  • Secure-by-design y un SBOM requieren cambios estructurales en tu proceso de desarrollo, cadena de suministro y procedimientos de divulgación de vulnerabilidades que toman tiempo implementar.
  • El incumplimiento puede resultar en multas de hasta 15 millones de euros y la retirada del producto del mercado de la UE, lo que lo convierte en un desafío de cumplimiento crítico para el negocio.
Alcance

Qué cubre el assessment

  • Assessment de requisitos de seguridad del producto
  • Evaluación secure-by-design y secure-by-default
  • Procesos de manejo y divulgación de vulnerabilidades
  • Software Bill of Materials (SBOM)
  • Actualizaciones de seguridad y gestión del ciclo de vida
  • Requisitos de documentación y marcado CE
  • Procedimientos de assessment de conformidad
Nuestro Enfoque

Cómo DEFION realiza un assessment CRA

01

Clasificación del producto

Determinar la categoría CRA de tu producto (predeterminado, importante o crítico) y qué requisitos aplican.

02

Revisión de requisitos de seguridad

Assessment del producto frente a los requisitos esenciales del CRA para propiedades de seguridad.

03

Revisión de procesos

Assessment del proceso de desarrollo, gestión de vulnerabilidades y mecanismos de actualización frente a los requisitos del CRA.

04

Análisis de brechas

Identificación de medidas faltantes por área de requisitos CRA con clasificación de riesgos y priorización.

05

Asesoramiento SBOM y divulgación

Orientación sobre la estructura SBOM y el proceso de divulgación de vulnerabilidades para cumplir con los requisitos del CRA.

06

Hoja de ruta hacia el cumplimiento

Plan de implementación priorizado con cronograma, estimaciones de esfuerzo y requisitos de recursos.

Lo que recibes

Entregables

  • Clasificación CRA y assessment de aplicabilidad
  • Informe de análisis de brechas por área de requisitos CRA
  • Hoja de ruta de implementación hacia el cumplimiento
  • Asesoramiento SBOM y proceso de manejo de vulnerabilidades
  • Resumen de gestión
  • Opcional: apoyo en la implementación
Para quién

Adecuado para

  • Fabricantes de hardware y software que venden productos en la UE
  • Fabricantes de IoT
  • Empresas SaaS (en la medida en que son productos con elementos digitales)
  • Importadores y distribuidores de productos digitales
Preguntas Frecuentes

FAQ

¿Cuándo entra en vigor el CRA?
El CRA ha sido adoptado y tiene un período de transición. Los fabricantes típicamente tienen 36 meses para cumplir con la mayoría de los requisitos. El plazo es 2027. Comenzar ahora da suficiente tiempo para implementar los requisitos de secure-by-design.
¿El CRA también aplica al software?
Sí. Tanto el hardware como el software con elementos digitales están bajo el CRA. El software open source con carácter comercial también puede estar en alcance.
¿Qué es un SBOM y por qué es importante?
Un Software Bill of Materials es una lista de todos los componentes de software en tu producto. El CRA requiere que los fabricantes mantengan un SBOM para el seguimiento de vulnerabilidades y la transparencia.
¿Cómo se relaciona el CRA con NIS2?
NIS2 se centra en las organizaciones y su seguridad. El CRA se centra en los productos. Si fabricas un producto y caes bajo NIS2, debes cumplir con ambos.
¿Cuáles son las sanciones por incumplimiento?
Multas de hasta 15 millones de euros o el 2,5% de la facturación anual global. Además, el producto puede ser retirado del mercado.
NIS2 Readiness Assessment

Más información →
ISO 27001 Readiness Assessment

Más información →
Security Compliance Services

Más información →

¿Listo para evaluar tu posición CRA?

Cuéntanos qué necesitas. Definimos el enfoque correcto y comenzamos en días.

Contactar Línea de Incidentes 24/7