CRA vs ISO 27001: Cómo tu SGSI Apoya el Cumplimiento de Seguridad de Productos

Muchos fabricantes ya tienen certificación ISO 27001 para su sistema de gestión de seguridad de la información. ¿Ayuda esto con el cumplimiento CRA? La respuesta corta: sí, pero no es suficiente. ISO 27001 se enfoca en seguridad organizacional, mientras Qué CRA se enfoca en seguridad del producto. Se complementan pero no se sustituyen.

Esta guía explica la relación entre ISO 27001 y CRA.

Entendiendo los Diferentes Ámbitos

Qué Cubre ISO 27001

ISO 27001 es un estándar de sistema de gestión de seguridad de la información (SGSI) Qué cubre:

Controles a nivel organizacional:

• Políticas de seguridad de la información
• Gestión de activos
• Control de acceso (a sistemas y datos)
• Uso de criptografía
• Seguridad física
• Seguridad de operaciones
• Seguridad de comunicaciones
• Relaciones con proveedores
• Gestión de incidentes
• Continuidad del negocio
• Gestión del cumplimiento

Enfoque: Proteger los activos de información de tu organización

Qué Cubre CRA

CRA es una regulación de productos Qué cubre:

Requisitos a nivel de producto:

• Seguridad desde el diseño en productos
• Sin vulnerabilidades explotables conocidas
• Configuración segura por defecto
• Protección contra acceso no autorizado (en el producto)
• Protección de datos (por el producto)
• Capacidad de actualización (del producto)
• Gestión de vulnerabilidades (del producto)
• SBOM para componentes del producto
• Marcado CE y evaluación de conformidad

Enfoque: Asegurar Qué los productos Qué vendes sean seguros

La Diferencia Fundamental

ÁMBITO ISO 27001 vs CRA

ISO 27001:
"¿Cómo gestiona tu ORGANIZACIÓN la seguridad?"
┌─────────────────────────────────────────────┐
│ Tu Empresa                                  │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Sistemas │ │ Datos   │ │Personas │        │
│ └─────────┘ └─────────┘ └─────────┘        │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Procesos │ │  Red    │ │Instalac.│        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

CRA:
"¿Qué tan seguros son los PRODUCTOS Qué vendes?"
┌─────────────────────────────────────────────┐
│ Tus Productos (vendidos a clientes)         │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │ProductoA│ │ProductoB│ │ProductoC│        │
│ └─────────┘ └─────────┘ └─────────┘        │
│                                             │
│ Cada producto debe cumplir requisitos CRA   │
└─────────────────────────────────────────────┘

Mapeo Detallado de Requisitos

Donde ISO 27001 Ayuda a CRA

Donde ISO 27001 Se Queda Corto

Resumen del Análisis de Brechas

ANÁLISIS DE BRECHAS ISO 27001 → CRA

BASE SÓLIDA (ISO 27001 ayuda significativamente):
✓ Cultura y concienciación de seguridad
✓ Metodología de gestión de riesgos
✓ Capacidad de respuesta a incidentes
✓ Gestión de seguridad de proveedores
✓ Políticas de ciclo de vida de desarrollo seguro
✓ Marco de control de acceso
✓ Prácticas de documentación

COBERTURA PARCIAL (ISO 27001 ayuda pero no suficiente):
◐ Gestión de vulnerabilidades (org vs. enfoque producto)
◐ Criptografía (política vs. implementación)
◐ Pruebas de seguridad (empresa vs. producto)
◐ Gestión de cambios (TI vs. producto)

BRECHAS (específicas CRA, no en ISO 27001):
✗ Generación y mantenimiento de SBOM
✗ Evaluación de conformidad del producto
✗ Proceso de marcado CE
✗ Notificación de vulnerabilidades a ENISA
✗ Expediente técnico específico del producto
✗ Compromiso de período de soporte de 5 años
✗ Verificación de configuración segura por defecto
✗ Requisitos de mecanismo de actualización del producto

Cómo Aprovechar ISO 27001 para CRA

Usa tu SGSI Cómo Base

Si estás certificado ISO 27001, tienes bases sólidas sobre las Qué construir:

APROVECHANDO ISO 27001 PARA CRA

1. EXTENDER PROCESOS EXISTENTES:

   Proceso ISO 27001          →  Extensión CRA
   ─────────────────────────────────────────────
   Evaluación Riesgos (6.1)   →  Evaluación riesgos producto
   Gestión Vuln. (A.8.8)      →  Gestión vuln. productos
   Gestión Proveed. (A.5.19-22) → SBOM de proveedores
   Gestión Incidentes (A.5.24-26) → Notificación ENISA
   Desarrollo Seguro (A.8.25-28) → Pruebas seguridad producto

2. AÑADIR ELEMENTOS ESPECÍFICOS CRA:

   Nuevo Proceso                    Propósito
   ─────────────────────────────────────────────
   Generación SBOM                 Seguimiento componentes
   Evaluación de conformidad       Marcado CE
   Expediente técnico producto     Documentación regulatoria
   Gestión período soporte         Compromiso 5 años
   Notificación ENISA             Notificación vulnerabilidades

Pasos Prácticos de Integración

INTEGRACIÓN ISO 27001 + CRA

PASO 1: EXTENSIÓN DEL ALCANCE
- Añadir "seguridad del producto" al alcance del SGSI
- Incluir desarrollo de productos en evaluación de riesgos
- Extender inventario de activos para incluir componentes del producto

PASO 2: ACTUALIZACIONES DE PROCESOS
- Actualizar procedimiento de vulnerabilidades para notificación de productos
- Añadir SBOM a gestión de cambios
- Incluir ENISA en respuesta a incidentes

PASO 3: ADICIONES DE DOCUMENTACIÓN
- Expedientes técnicos de productos
- Registros SBOM
- Evidencia de evaluación de conformidad
- Documentación de período de soporte

PASO 4: ROLES Y RESPONSABILIDADES
- Asignar propiedad de seguridad del producto
- Definir responsabilidad de notificación ENISA
- Establecer propiedad de mantenimiento de SBOM

Controles Anexo A de ISO 27001 y CRA

Controles Más Relevantes

A.8.25 Ciclo de vida de desarrollo seguro

• ISO 27001: Políticas para desarrollo seguro
• Uso CRA: Base para requisitos de seguridad del producto

A.8.26 Requisitos de seguridad de aplicaciones

• ISO 27001: Requisitos de seguridad en desarrollo
• Uso CRA: Base para requisitos esenciales del producto

A.8.27 Arquitectura de sistemas segura

• ISO 27001: Principios de arquitectura segura
• Uso CRA: Arquitectura de seguridad del producto

A.8.28 Codificación segura

• ISO 27001: Prácticas de codificación segura
• Uso CRA: Seguridad del código del producto

A.8.8 Gestión de vulnerabilidades técnicas

• ISO 27001: Gestión de vulnerabilidades organizacional
• Uso CRA: Extender a vulnerabilidades de productos + notificación ENISA

A.5.19-22 Relaciones con proveedores

• ISO 27001: Gestión de seguridad de proveedores
• Uso CRA: Recolección de SBOM de proveedores, seguridad de cadena de suministro

Implementación de Controles para CRA

EXTENDIENDO CONTROLES ISO 27001 PARA CRA

EXTENSIÓN A.8.8 GESTIÓN DE VULNERABILIDADES:

Requisito ISO 27001:
"La información sobre vulnerabilidades técnicas de
sistemas de información en uso se obtendrá..."

Extensión CRA:
- Monitorizar vulnerabilidades en TUS PRODUCTOS
- Mantener proceso de notificación a clientes
- Implementar notificación ENISA (24h/72h)
- Seguir estado de vulnerabilidades por producto
- Generar documentos VEX

EXTENSIÓN A.8.25-28 DESARROLLO SEGURO:

Requisito ISO 27001:
"Se establecerán y aplicarán reglas para el
desarrollo de software y sistemas..."

Extensión CRA:
- Incluir generación de SBOM en proceso de compilación
- Verificar configuración "segura por defecto"
- Probar requisitos de seguridad del producto
- Documentar para expediente técnico
- Mantener evidencia para evaluación de conformidad

Consideraciones de Certificación

Certificación ISO 27001 ≠ Cumplimiento CRA

Entendimiento crítico:

• La certificación ISO 27001 muestra madurez de seguridad organizacional
• El cumplimiento CRA es un requisito regulatorio por producto
• Tener ISO 27001 NO te exime de CRA
• Los auditores de ISO 27001 no evalúan cumplimiento CRA

Usando ISO 27001 en Contexto CRA

CÓMO REFERENCIAR ISO 27001 EN DOCUMENTACIÓN CRA

EN EL EXPEDIENTE TÉCNICO:
"[Empresa] mantiene un Sistema de Gestión de
Seguridad de la Información certificado ISO/IEC 27001:2022
(Certificado No. XXX, emitido por [Organismo de Certificación]).

El SGSI proporciona la base organizacional para
la seguridad del producto, incluyendo:
- Ciclo de vida de desarrollo seguro (A.8.25-28)
- Proceso de gestión de vulnerabilidades (A.8.8)
- Requisitos de seguridad de proveedores (A.5.19-22)

El cumplimiento CRA específico del producto está documentado
en este expediente técnico, construyendo sobre estos controles del SGSI."

QUÉ DEMUESTRA ESTO:
- Madurez en gestión de seguridad
- Existe base de procesos
- No es sustituto de evidencia del producto

Sinergias de Auditoría

ALINEACIÓN DE AUDITORÍAS ISO 27001 Y CRA

AUDITORÍA DE VIGILANCIA ISO 27001:
- Evaluación anual del SGSI
- Puede incluir alcance de seguridad del producto
- Evidencia reutilizable para CRA

EVALUACIÓN DE CONFORMIDAD CRA:
- Evaluación específica del producto
- Referencia SGSI para evidencia de procesos
- Necesita evidencia adicional del producto

OPORTUNIDADES DE SINERGIA:
- Alinear calendarios de auditoría
- Reutilizar evidencia donde aplique
- Enfoque de sistema de gestión integrado
- Repositorio único de documentación

Escenarios Comunes

Escenario 1: Certificado ISO 27001, Iniciando CRA

ESCENARIO: ISO 27001 EXISTENTE, NUEVO EN CRA

VENTAJAS:
✓ Metodología de riesgos existe
✓ Cultura de seguridad establecida
✓ Prácticas de documentación implementadas
✓ Gestión de proveedores existe
✓ Capacidad de respuesta a incidentes

QUÉ AÑADIR:
[ ] Clasificación de productos según CRA
[ ] Capacidad de generación de SBOM
[ ] Proceso de notificación ENISA
[ ] Expedientes técnicos de productos
[ ] Proceso de evaluación de conformidad
[ ] Gestión de período de soporte
[ ] Pruebas específicas del producto

ENFOQUE:
1. Análisis de brechas contra requisitos CRA
2. Extender alcance SGSI para incluir productos
3. Añadir procesos específicos CRA
4. Actualizar documentación
5. Formar equipos relevantes

Escenario 2: Sin ISO 27001, Abordando CRA

ESCENARIO: SIN ISO 27001, NECESITA CUMPLIMIENTO CRA

OPCIONES:

OPCIÓN A: Solo CRA
- Implementar requisitos CRA directamente
- Enfoque centrado en producto
- Puede perder beneficios de seguridad organizacional
- Más rápido hacia cumplimiento CRA

OPCIÓN B: ISO 27001 + CRA
- Implementar ambos marcos
- Seguridad general más sólida
- Más trabajo inicial
- Mejor posición a largo plazo

RECOMENDACIÓN:
Para fabricantes de productos, considerar:
- Comenzar con requisitos CRA (fecha límite regulatoria)
- Construir hacia ISO 27001 con el tiempo
- Alinear enfoques desde el principio

Escenario 3: Múltiples Productos, SGSI Central

ESCENARIO: SGSI SOPORTANDO MÚLTIPLES PRODUCTOS

ENFOQUE:

CENTRALIZADO (SGSI):
- Metodología de riesgos
- Proceso de gestión de vulnerabilidades
- Gestión de proveedores
- Respuesta a incidentes
- Estándares de desarrollo

POR PRODUCTO (CRA):
- Expediente técnico
- SBOM
- Evaluación de conformidad
- Documentación del producto
- Período de soporte

BENEFICIOS:
- Reutilización eficiente de procesos
- Enfoque de seguridad consistente
- Experiencia centralizada
- Cumplimiento específico del producto

Marco de Integración

Modelo de Gobernanza

MODELO DE GOBERNANZA INTEGRADO

NIVEL ORGANIZACIONAL (ISO 27001):
┌─────────────────────────────────────────────┐
│ Sistema de Gestión de Seguridad de la Info  │
│                                             │
│ - Políticas de seguridad                    │
│ - Marco de gestión de riesgos               │
│ - Organización de seguridad                 │
│ - Concienciación y formación                │
└─────────────────────────────────────────────┘
            │
            ▼
NIVEL DE PRODUCTO (CRA):
┌─────────────────────────────────────────────┐
│ Cumplimiento de Seguridad del Producto      │
│                                             │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │ProductoA│ │ProductoB│ │ProductoC│        │
│ │- Exped. │ │- Exped. │ │- Exped. │        │
│ │  técnico│ │  técnico│ │  técnico│        │
│ │- SBOM   │ │- SBOM   │ │- SBOM   │        │
│ │- DoC    │ │- DoC    │ │- DoC    │        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

Estructura de Documentación

DOCUMENTACIÓN INTEGRADA

DOCUMENTACIÓN SGSI (ISO 27001):
├── Política de Seguridad de la Información
├── Procedimiento de Evaluación de Riesgos
├── Declaración de Aplicabilidad
├── Política de Desarrollo Seguro
├── Procedimiento de Gestión de Vulnerabilidades
├── Procedimiento de Respuesta a Incidentes
└── Política de Seguridad de Proveedores

DOCUMENTACIÓN CRA (Por Producto):
├── Expediente Técnico del Producto
│   ├── Descripción del producto
│   ├── Evaluación de riesgos
│   ├── Arquitectura de seguridad
│   ├── Informes de pruebas
│   └── SBOM
├── Declaración UE de Conformidad
├── Documentación de Usuario
└── Declaración de Período de Soporte

REFERENCIAS CRUZADAS:
- Expediente técnico referencia procedimientos SGSI
- Procedimientos SGSI incluyen requisitos CRA
- Fuente única de verdad donde sea posible

Lista: Organización ISO 27001 Añadiendo CRA

LISTA DE VERIFICACIÓN ISO 27001 → CUMPLIMIENTO CRA

EVALUACIÓN:
[ ] Revisar alcance actual del SGSI
[ ] Identificar productos con elementos digitales
[ ] Clasificar productos según categorías CRA
[ ] Análisis de brechas: SGSI vs. requisitos CRA

EXTENSIÓN DE ALCANCE:
[ ] Añadir seguridad del producto al alcance SGSI
[ ] Actualizar evaluación de riesgos para incluir productos
[ ] Extender Declaración de Aplicabilidad

ADICIONES DE PROCESOS:
[ ] Proceso de generación de SBOM
[ ] Procedimiento de notificación ENISA
[ ] Proceso de evaluación de conformidad
[ ] Gestión de período de soporte
[ ] Procedimiento de expediente técnico del producto

DOCUMENTACIÓN:
[ ] Plantillas de expediente técnico
[ ] Plantilla de evaluación de riesgos del producto
[ ] Formato y almacenamiento de SBOM
[ ] Plantilla de Declaración de Conformidad

EXTENSIONES DE CONTROLES:
[ ] A.8.8 - Añadir vulnerabilidades del producto
[ ] A.8.25-28 - Añadir pruebas de seguridad del producto
[ ] A.5.19-22 - Añadir SBOM de proveedores

ROLES:
[ ] Asignar propietario de seguridad del producto
[ ] Definir responsabilidad de notificación ENISA
[ ] Establecer rol de evaluación de conformidad

FORMACIÓN:
[ ] Concienciación CRA para equipos de desarrollo
[ ] Formación en herramientas SBOM
[ ] Formación en evaluación de conformidad

Recursos Clave

ESTÁNDARES Y GUÍAS

ISO 27001:
ISO/IEC 27001:2022 - Gestión de seguridad de la información
ISO/IEC 27002:2022 - Controles de seguridad de la información

CRA:
Reglamento (UE) 2024/2847 - Ley de Ciberresiliencia

GUÍAS DE INTEGRACIÓN:
ISO 27001 + Desarrollo de Productos
- Considerar ISO/IEC 27034 (Seguridad de aplicaciones)
- Considerar IEC 62443 (Seguridad industrial)
- Considerar ISO/SAE 21434 (Seguridad automotriz)

ORGANISMOS DE CERTIFICACIÓN:
Pueden certificar ISO 27001 y potencialmente
evaluar alineación CRA Cómo parte del alcance

Guias relacionadas:

• El Expediente Tecnico CRA: Que va en cada seccion (Desglose del Anexo VII)
• Evaluacion de Conformidad CRA: Guia de Decision Modulo A vs B+C vs H

Cómo Ayuda CRA Evidence

CRA Evidence complementa tu SGSI ISO 27001:

• Análisis de brechas: Identificar qué no cubre tu SGSI
• Enfoque en producto: Gestionar cumplimiento CRA por producto
• Integración SBOM: Seguimiento de componentes Qué tu SGSI no proporciona
• Expedientes técnicos: Documentación específica CRA
• Vinculación de evidencia: Referenciar controles SGSI en documentación CRA

Comienza tu cumplimiento CRA en app.craevidence.com.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento, consulte con asesoría legal cualificada.