Autoevaluación de madurez de la CRA
Valore 25 prácticas en cinco dominios para ver el grado de madurez de su configuración de seguridad de productos conforme al Cyber Resilience Act, y obtenga una lista personalizada de lo que mejorar a continuación. Todo se ejecuta en su navegador y se guarda localmente.
Basado en el SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, julio de 2026), reproducido con reconocimiento de la fuente. Este sitio es independiente y no está afiliado a ENISA ni a la UE.
Gobernanza y documentación
1.1¿Dispone de políticas de seguridad de productos escritas y aprobadas?
1.2¿Están claramente definidos los roles y responsabilidades para las actividades de seguridad de los productos (por ejemplo, desarrollo, gestión de vulnerabilidades, actualizaciones)?
1.3¿Mantiene documentación técnica a nivel de producto que describa las funciones de seguridad implementadas, las evaluaciones de riesgos, las decisiones de diseño y los procedimientos de actualización?
1.4¿Existe un proceso para revisar periódicamente la seguridad de los productos y la calidad de la documentación relacionada?
1.5¿Conoce a la Autoridad de Vigilancia del Mercado responsable de hacer cumplir la CRA, el procedimiento de evaluación de la conformidad aplicable a sus productos, y cómo interactuar con las autoridades pertinentes en caso necesario?
Gestión de riesgos y seguridad desde el diseño
2.1¿Realiza evaluaciones de riesgos de ciberseguridad y utiliza los resultados para orientar las decisiones de diseño, desarrollo, configuración y gestión de componentes de los productos?
2.2¿Se diseñan los productos aplicando principios de seguridad desde el diseño desde el principio?
2.3¿Se entregan los productos con configuraciones y ajustes seguros por defecto?
2.4¿Realiza comprobaciones y pruebas de seguridad antes de publicar o actualizar un producto, y en qué medida se utilizan herramientas automatizadas?
2.5Cuando cambian los riesgos o surgen nuevas amenazas, ¿se revisan y actualizan las evaluaciones de riesgos, las configuraciones y los componentes de terceros?
Gestión de vulnerabilidades y parches
3.1¿Dispone de un proceso para recibir, confirmar, registrar y realizar un seguimiento de las vulnerabilidades notificadas por clientes, investigadores o personal interno?
3.2¿Dispone de un proceso definido para crear, probar, entregar y comunicar actualizaciones de seguridad a los clientes para los productos con soporte?
3.3¿Mantiene y utiliza un SBOM como apoyo a la gestión de vulnerabilidades y dependencias?
3.4¿Se priorizan las vulnerabilidades y las actualizaciones en función del riesgo y del impacto potencial?
3.5¿Verifica que las actualizaciones de seguridad resuelven eficazmente las vulnerabilidades notificadas y conserva evidencia de esa verificación?
Gestión del ciclo de vida del producto
4.1¿Existe un enfoque definido para gestionar la seguridad de los productos durante la fase operativa?
4.2¿Se gestiona de forma activa el ciclo de vida del producto, incluidos los períodos de soporte definidos, las responsabilidades de actualización, las disposiciones de fin de vida útil y la comunicación con los clientes?
4.3¿Se utiliza la experiencia derivada del funcionamiento de los productos, las revisiones posteriores a incidentes y las aportaciones de los clientes para mejorar los productos con el tiempo?
4.4¿Existe una forma estructurada y probada de abordar los problemas de seguridad de productos identificados?
4.5¿Se supervisan los productos durante su funcionamiento para identificar riesgos de seguridad, vulnerabilidades y amenazas emergentes?
Concienciación, competencia y capacidades
5.1¿Se dispone de las competencias suficientes para diseñar, desarrollar y mantener productos de forma segura, incluido el recurso a experiencia externa cuando la capacidad interna es limitada?
5.2¿Recibe el personal pertinente formación adecuada sobre prácticas de ciberseguridad relevantes para sus funciones, incluidas la gestión de riesgos de producto, la gestión de vulnerabilidades y la seguridad desde el diseño?
5.3¿Promueve la organización una cultura de desarrollo responsable de productos, notificación abierta y concienciación sobre los riesgos de los productos?
5.4¿Realiza un seguimiento de la información externa pertinente sobre seguridad de productos (por ejemplo, avisos, alertas)?
5.5¿Evalúa y valida que su equipo cuenta con las competencias y la capacidad necesarias para mantener productos seguros?
Adaptado del SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, julio de 2026), reproducido con reconocimiento de la fuente conforme al aviso legal de ENISA. Esta versión interactiva se ofrece únicamente con fines informativos y no constituye asesoramiento profesional o jurídico; no sustituye una evaluación de la conformidad formal. cyberresilienceact.eu es independiente y no está afiliado a ENISA ni a la Unión Europea, ni cuenta con su respaldo.
