Guía independiente del Reglamento (UE) 2024/2847 · Estado: en vigor
Esta página es una traducción automática (mediante IA) y no ha sido revisada por una persona.
Camino hacia la conformidad · Orientación

Guía del CRA para desarrolladores de software

Cómo se aplica el Reglamento de Ciberresiliencia a los productos de software; desde el desarrollo seguro hasta el tratamiento de vulnerabilidades, los SBOM y el marcado CE.

Se aplica a
Software con elementos digitales
Conformidad
Normas o tercero
Período de soporte
Definido, ≥ uso previsto

Pasos de conformidad

1

Confirme el ámbito de aplicación y la clase

Art. 2 · 6

La mayoría del software introducido en el mercado de la UE con una conexión de datos está dentro del ámbito de aplicación, y muchas herramientas para desarrolladores entran en la categoría de productos «importantes» del Anexo III.

  • Realice el CRA Fast Check para confirmar el ámbito de aplicación
  • Determine si su producto es por defecto, importante o crítico
  • Registre el razonamiento en su documentación
Herramienta para este paso
2

Integre la seguridad desde el diseño

Annex I · I

Diseñe y desarrolle el producto para que cumpla las propiedades esenciales de seguridad a lo largo de todo su ciclo de vida.

  • Entregue una configuración segura por defecto
  • Aplique controles de autenticación y de acceso
  • Proteja los datos mediante cifrado en tránsito y en reposo
  • Minimizar la superficie de ataque y las interfaces expuestas
Error frecuente

Dejar habilitadas interfaces de depuración, credenciales predeterminadas o mensajes de error detallados en las versiones de producción.

Herramienta para este paso
3

Establezca el tratamiento de vulnerabilidades

Annex I · II

Mantenga un proceso documentado para detectar, corregir y divulgar vulnerabilidades a lo largo del período de soporte.

  • Publique una política de divulgación coordinada de vulnerabilidades
  • Facilite un punto de contacto para notificar problemas
  • Subsanar las vulnerabilidades sin demora indebida
  • Divulgar las vulnerabilidades corregidas una vez que la actualización esté disponible
4

Mantener una lista de materiales de software (SBOM)

Anexo I · II(1)

Mantener un SBOM actualizado que cubra al menos las dependencias de nivel superior de su producto.

  • Genere un SBOM en un formato legible por máquina
  • Realice un seguimiento de los componentes y de sus vulnerabilidades conocidas
  • Mantenerlo actualizado con cada versión
Herramienta para este paso
5

Proporcione actualizaciones de seguridad gratuitas y oportunas

Annex I · I(2)

Proporcione las actualizaciones de seguridad por separado de las actualizaciones de funcionalidades, de forma gratuita, durante el período de soporte declarado.

  • Definir y publicar el período de soporte
  • Entregar las actualizaciones de seguridad sin demora
  • Distribuir los parches a través de un mecanismo seguro
6

Reúna la documentación técnica

Anexo VII

Recopile la documentación que demuestre la conformidad y manténgala disponible para la vigilancia del mercado.

  • Descripción del producto y uso previsto
  • Evaluación de riesgos de ciberseguridad
  • Registros de las normas aplicadas
7

Evalúe la conformidad y coloque el marcado CE

Art. 32 · 36

Lleve a cabo la vía de evaluación de la conformidad correspondiente a su clase y cumplimente la declaración UE de conformidad.

  • Autoevaluación (por defecto) o recurso a un organismo notificado (importante/crítico)
  • Redacte y firme la declaración UE de conformidad
  • Colocar el marcado CE
Herramienta para este paso
8

Cumplir las obligaciones de notificación y mantener el producto

Art. 13(8) · 14

A partir de septiembre de 2026, notifique las vulnerabilidades explotadas activamente y los incidentes graves, y mantenga el producto durante todo su período de soporte.

  • Presente una alerta temprana a ENISA y al CSIRT en un plazo de 24 horas
  • Continúe con una notificación y un informe final
  • Informar a los usuarios afectados cuando proceda
Su obligación continua

El período de soporte debe ser de al menos cinco años (o la vida útil prevista del producto, si es mayor), contados a partir del momento en que se introduce en el mercado de la UE. Durante todo este período debe tratar las vulnerabilidades y proporcionar actualizaciones de seguridad gratuitas; cada actualización debe permanecer disponible durante 10 años, y la documentación técnica y la declaración UE de conformidad deben conservarse durante 10 años.

Herramientas gratuitas para este perfil

Todas las herramientas que figuran a continuación son de uso gratuito y se abren aquí en un panel lateral, de modo que no pierda su lugar.

GratisComprobación Rápida del CRA

Confirme si el Reglamento es aplicable y cuál es su clase probable.

Abrir aquí →GratisMatriz de conformidad

Asocie cada obligación de los Anexos I y VII y haga su seguimiento hasta completarla.

Abrir aquí →GratisCalculadora de costes

Estime el coste puntual y anual de la conformidad.

Abrir aquí →GratisVulnerability Analyzer

Coteje su SBOM con la NVD y la EUVD, y haga un seguimiento de los componentes que alcanzan su fin de vida útil.

Abrir aquí →GratisGenerador de DoC

Genere una declaración UE de conformidad (Anexo V) para su producto.

Abrir aquí →GratisBuscador de clasificación

Determine con precisión si su producto es por defecto, importante o crítico, por categoría.

Abrir aquí →GratisPlanificador del período de soporte

Establezca su período de soporte mínimo y detecte los componentes que llegan al fin de vida útil demasiado pronto.

Abrir aquí →
Más orientación

Otras guías para las partes interesadas

M

Fabricantes

Las obligaciones que el Reglamento de Ciberresiliencia impone a los productores de productos con elementos digitales; desde la evaluación de riesgos hasta el marcado CE y las obligaciones posteriores a la comercialización.

Leer esta guía →
I

Importadores y distribuidores

Lo que los agentes económicos deben verificar antes; y después; de comercializar un producto con elementos digitales en el mercado de la UE.

Leer esta guía →
CE

Cómo obtener el marcado CE

Los pasos para declarar la conformidad y colocar el marcado CE en un producto con elementos digitales.

Leer la guía →