CRA vs ISO 27001: las brechas de cumplimiento que tu SGSI no cubre

ISO 27001 no cubre el CRA. Esta guía muestra exactamente dónde ayuda tu SGSI, dónde falla y qué necesitas antes del plazo de 2027.

CRA Evidence Team Publicado 12 de enero de 2026 Actualizado 30 de mayo de 2026
Tarjeta editorial CRA vs ISO 27001 sobre las brechas de cumplimiento que tu SGSI no cubre
En este artículo

Si tu empresa tiene la certificación ISO 27001, quizá asumas que estás bien posicionado para el Reglamento de Ciberresiliencia (CRA). No es así. Al menos no sin un trabajo adicional importante.

ISO 27001 protege los activos de información de tu organización. El Reglamento de Ciberresiliencia (Reglamento (UE) 2024/2847) exige que cada producto con elementos digitales que pongas en el mercado de la UE sea seguro por diseño, incluya un software bill of materials (SBOM) y reciba actualizaciones de seguridad durante su vida útil prevista. Son obligaciones de producto, no organizativas. El incumplimiento conlleva multas de hasta 15 millones de euros o el 2,5 % del volumen de negocio anual mundial (Art. 64). Consulta la guía de sanciones del CRA.

Las obligaciones de notificación del Artículo 14 comienzan el 11 de septiembre de 2026. El cumplimiento completo es obligatorio a partir del 11 de diciembre de 2027. Consulta el cronograma completo de implementación del CRA.

Esta guía sobre ISO 27001 vs CRA mapea exactamente dónde ayuda tu SGSI, dónde se queda corto y qué necesitas añadir.

Resumen

  • ISO 27001 = gestión de seguridad organizativa y empresarial
  • CRA = requisitos de ciberseguridad de productos (Anexo I, Reglamento (UE) 2024/2847)
  • ISO 27001 NO equivale al cumplimiento del CRA
  • ISO 27001 proporciona una base para los procesos de desarrollo seguro
  • El CRA exige evidencia específica del producto: SBOM, gestión de vulnerabilidades, marcado CE
  • Ambos juntos, postura de seguridad global sólida
15 M EUR
Multa máxima
o el 2,5 % del volumen de negocio anual mundial
11 sept. 2026
Notificación del Artículo 14
comienzan las obligaciones de vulnerabilidades
11 dic. 2027
Aplicación plena del CRA
evaluación de la conformidad obligatoria
5 años
Soporte mínimo
o vida útil prevista del producto (Art. 13(8))

Fuente: Reglamento (UE) 2024/2847, Artículos 13, 14 y 64.

¿Qué cubre ISO 27001 frente a lo que exige el CRA?

Qué cubre ISO 27001

ISO 27001 es un estándar de sistema de gestión de seguridad de la información (SGSI) para controles a nivel organizativo.

Controles a nivel organizativo
  • Políticas de seguridad de la información
  • Gestión de activos
  • Control de acceso a sistemas y datos
  • Uso de criptografía
  • Seguridad física, operativa y de comunicaciones
  • Relaciones con proveedores
  • Gestión de incidentes
  • Continuidad del negocio
  • Gestión del cumplimiento

Enfoque: proteger los activos de información de tu organización.

Qué cubre el CRA

El CRA es un reglamento de productos que cubre requisitos de ciberseguridad para productos con elementos digitales (Anexo I).

Requisitos a nivel de producto
  • Seguridad por diseño en los productos
  • Sin vulnerabilidades explotables conocidas
  • Configuración segura por defecto
  • Protección frente al acceso no autorizado en el producto
  • Protección de datos y capacidad de actualización del producto
  • Gestión de vulnerabilidades y notificación a ENISA
  • SBOM para los componentes del producto (Anexo I, Parte II(1))
  • Política de divulgación coordinada de vulnerabilidades (Anexo I, Parte II(5))
  • Contacto público para vulnerabilidades (Anexo I, Parte II(6))
  • Marcado CE y evaluación de la conformidad

Enfoque: garantizar que los productos que vendes son seguros.

El CRA clasifica los productos en categorías: predeterminada, importante de Clase I, importante de Clase II y crítica (Anexos III y IV). Cada categoría conlleva requisitos de evaluación de la conformidad distintos. Un producto importante de Clase II exige evaluación obligatoria por un organismo notificado, con independencia del estado de tu certificación ISO 27001. Consulta la guía de clasificación de productos del CRA.

La diferencia fundamental

Diagrama ISO 27001 vs CRA: capas de cobertura de seguridad que muestra tres capas apiladas, seguridad organizativa cubierta por ISO 27001, procesos de desarrollo compartidos y seguridad de producto exigida por el CRA

ISO 27001 vs CRA: ALCANCE

ISO 27001:
"¿Cómo gestiona tu ORGANIZACIÓN la seguridad?"
+---------------------------------------------+
| Tu empresa                                  |
| +---------+ +---------+ +---------+         |
| | Sistemas| |  Datos  | | Personas|         |
| \---------+ \---------+ \---------+         |
| +---------+ +---------+ +---------+         |
| | Procesos| |  Red    | | Instala.|         |
| \---------+ \---------+ \---------+         |
\---------------------------------------------+

CRA:
"¿Cómo de seguros son los PRODUCTOS que vendes?"
+---------------------------------------------+
| Tus productos (vendidos a clientes)         |
| +---------+ +---------+ +---------+         |
| |ProductoA| |ProductoB| |ProductoC|         |
| \---------+ \---------+ \---------+         |
|                                             |
| Cada producto debe cumplir los requisitos   |
| del CRA                                     |
\---------------------------------------------+

Dónde ISO 27001 ayuda al CRA y dónde se queda corto

Dónde ISO 27001 ayuda al CRA

Requisito CRA Soporte ISO 27001 Cómo ayuda
Desarrollo seguro A.8.25-28 (Desarrollo seguro) Base del proceso
Gestión de vulnerabilidades A.8.8 (Vulnerabilidades técnicas) Proceso organizativo
Respuesta a incidentes A.5.24-26 (Gestión de incidentes) Capacidad de respuesta
Gestión de proveedores A.5.19-22 (Relaciones con proveedores) Seguridad de la cadena de suministro
Control de acceso A.5.15-18, A.8.2-5 Seguridad del entorno de desarrollo
Criptografía A.8.24 (Criptografía) Base de la política criptográfica
Documentación A.5.1 (Políticas), 7.5 (Información documentada) Cultura de documentación
Evaluación de riesgos 6.1 (Evaluación de riesgos) Metodología de riesgos

Dónde ISO 27001 se queda corto

Requisito CRA Brecha en ISO 27001 Qué falta
SBOM Parcial: A.8.26/A.8.28 cubren conciencia de componentes, no el formato SBOM legible por máquina SBOM legible por máquina que cubre al menos las dependencias de primer nivel, p. ej. CycloneDX o SPDX (Anexo I, Parte II(1))
Marcado CE No cubierto Proceso de evaluación de la conformidad
Pruebas de seguridad del producto Limitado Evidencia de pruebas específicas del producto para el expediente técnico
Seguridad por defecto No orientado al producto Requisitos de configuración del producto
Período de soporte No cubierto Al menos 5 años, o la vida útil prevista del producto si es menor (Art. 13(8))
Notificación a ENISA No cubierto Notificación de 24 h/72 h más informe final al CSIRT nacional mediante la Plataforma Única de Notificación (Art. 14)
Política CVD No cubierto Política documentada de divulgación coordinada de vulnerabilidades (Anexo I, Parte II(5))
Contacto público para vulnerabilidades No cubierto Punto único de contacto para informes de vulnerabilidades (por ejemplo, security.txt) según Anexo I, Parte II(6)
Documentación de usuario Limitado Instrucciones de seguridad del producto
Expediente técnico No cubierto Formato de documentación CRA según Anexo VII

Resumen del análisis de brechas

Base sólida (ISO 27001 ayuda de forma significativa):

  • Cultura y concienciación en seguridad
  • Metodología de gestión de riesgos
  • Capacidad de respuesta a incidentes
  • Gestión de seguridad de proveedores
  • Políticas del ciclo de vida de desarrollo seguro
  • Marco de control de acceso
  • Prácticas de documentación

Cobertura parcial (ISO 27001 ayuda, pero no es suficiente):

  • Gestión de vulnerabilidades (alcance organizativo frente a alcance de producto)
  • Criptografía (política frente a implementación en el producto)
  • Pruebas de seguridad (sistemas empresariales frente a pruebas de producto)
  • Gestión de cambios (cambios TI frente a modificaciones del producto)
  • SBOM (conciencia de componentes en A.8.26/A.8.28 frente a formato SBOM legible por máquina)

Brechas (específicas del CRA, no cubiertas por ISO 27001):

  • Generación y mantenimiento de SBOM en formato estandarizado
  • Evaluación de la conformidad del producto
  • Proceso de marcado CE
  • Notificación de vulnerabilidades al CSIRT nacional mediante la Plataforma Única de Notificación (Art. 14)
  • Expediente técnico específico del producto (Anexo VII)
  • Compromiso de período de soporte (Art. 13(8))
  • Verificación de la configuración segura por defecto
  • Requisitos del mecanismo de actualización del producto
  • Política de divulgación coordinada de vulnerabilidades (Anexo I, Parte II(5))
  • Contacto público para informes de vulnerabilidades (Anexo I, Parte II(6))

Cómo aprovechar ISO 27001 para el CRA

Usa tu SGSI como base

Si tienes la certificación ISO 27001, cuentas con una base sólida sobre la que construir. La clave es extender los procesos existentes hacia las obligaciones de producto en lugar de empezar desde cero.

Extiende los procesos existentes:

Proceso ISO 27001 Extensión CRA
Evaluación de riesgos (6.1) Evaluación de riesgos del producto
Gestión de vulnerabilidades (A.8.8) Gestión de vulnerabilidades del producto y notificación al CSIRT
Gestión de proveedores (A.5.19-22) Recopilación de SBOM de proveedores
Gestión de incidentes (A.5.24-26) Notificación al CSIRT según el Art. 14
Desarrollo seguro (A.8.25-28) Pruebas de seguridad del producto y expediente técnico

Nuevos procesos que añadir:

Nuevo proceso Finalidad
Generación de SBOM Seguimiento de componentes según Anexo I, Parte II(1)
Evaluación de la conformidad Marcado CE
Expediente técnico del producto Documentación reglamentaria según Anexo VII
Gestión del período de soporte Compromiso según Art. 13(8)
Procedimiento de notificación a ENISA Notificación de vulnerabilidades mediante el CSIRT nacional
Política CVD Divulgación coordinada según Anexo I, Parte II(5)

Pasos prácticos de integración

Paso 1: ampliación del alcance

  • Añade la seguridad del producto al alcance de tu SGSI.
  • Incluye el desarrollo de productos en la evaluación de riesgos.
  • Amplía el inventario de activos para incluir componentes del producto.

Paso 2: actualización de procesos

  • Actualiza el procedimiento de vulnerabilidades para la notificación al CSIRT nacional mediante la Plataforma Única de Notificación.
  • Añade el SBOM a la gestión de cambios.
  • Incluye la cadencia de alerta temprana a 24 h, notificación inicial a 72 h e informe final en tu proceso de respuesta a incidentes.

Paso 3: adiciones de documentación

  • Expedientes técnicos del producto
  • Registros de SBOM
  • Evidencia de evaluación de la conformidad
  • Documentación del período de soporte

Paso 4: roles y responsabilidades

  • Asigna la responsabilidad sobre la seguridad del producto.
  • Define la responsabilidad de notificación al CSIRT.
  • Establece la responsabilidad del mantenimiento del SBOM.
  • Asigna la responsabilidad de la política CVD.

Controles del Anexo A de ISO 27001 y el CRA

Controles más relevantes

Control Rol en ISO 27001 Uso para CRA
A.8.25 Ciclo de vida de desarrollo seguro

Rol en ISO 27001Políticas para el desarrollo seguro.

Uso para CRABase para los requisitos de seguridad del producto (Anexo I, Parte I).

A.8.26 Requisitos de seguridad de aplicaciones

Rol en ISO 27001Requisitos de seguridad en el desarrollo.

Uso para CRABase para los requisitos esenciales del producto; base parcial para el inventario de componentes del SBOM.

A.8.27 Arquitectura segura de sistemas

Rol en ISO 27001Principios de arquitectura segura.

Uso para CRAArquitectura de seguridad del producto.

A.8.28 Codificación segura

Rol en ISO 27001Prácticas de codificación segura, incluido el seguimiento de dependencias.

Uso para CRASeguridad del código del producto; base parcial para la conciencia de componentes del SBOM.

A.8.8 Gestión de vulnerabilidades técnicas

Rol en ISO 27001Gestión organizativa de vulnerabilidades.

Uso para CRAExtensión a vulnerabilidades del producto y notificación al CSIRT nacional mediante la Plataforma Única de Notificación (Art. 14).

A.5.19-22 Relaciones con proveedores

Rol en ISO 27001Gestión de seguridad de proveedores.

Uso para CRARecopilación de SBOM de proveedores y seguridad de la cadena de suministro.

Implementación de controles para el CRA

EXTENSIÓN DE CONTROLES ISO 27001 PARA EL CRA

EXTENSIÓN DE A.8.8 GESTIÓN DE VULNERABILIDADES:

Requisito ISO 27001:
"Se obtendrá información sobre vulnerabilidades
técnicas de los sistemas de información en uso..."

Extensión CRA (Art. 14):
- Monitorizar vulnerabilidades en TUS PRODUCTOS
- Mantener un proceso de notificación a clientes
- Notificar al CSIRT nacional mediante la Plataforma Única:
  alerta temprana a 24 h, notificación inicial a 72 h,
  informe final en 14 días (exploit activo) o
  informe final en 1 mes (incidente grave)
- Seguimiento del estado de vulnerabilidades por producto
- Generar opcionalmente documentos VEX o un registro equivalente de aplicabilidad

EXTENSIÓN DE A.8.25-28 DESARROLLO SEGURO:

Requisito ISO 27001:
"Se establecerán y aplicarán reglas para el
desarrollo de software y sistemas..."

Extensión CRA:
- Incluir la generación de SBOM en el proceso de build (Anexo I, Parte II(1))
- Verificar la configuración "segura por defecto"
- Probar los requisitos de seguridad del producto
- Documentar para el expediente técnico (Anexo VII)
- Mantener evidencia para la evaluación de la conformidad

¿Cuenta la certificación ISO 27001 para la evaluación de la conformidad del CRA?

¿La certificación ISO 27001 cubre el cumplimiento del CRA?

Comprensión fundamental:

  • La certificación ISO 27001 demuestra madurez en seguridad organizativa.
  • El cumplimiento del CRA es un requisito reglamentario por producto.
  • Tener ISO 27001 no te exime del CRA.
  • Los auditores de ISO 27001 no evalúan el cumplimiento del CRA.

Las obligaciones de notificación del Artículo 14 comienzan el 11 de septiembre de 2026. El cumplimiento completo es obligatorio a partir del 11 de diciembre de 2027. El incumplimiento conlleva multas de hasta 15 millones de euros o el 2,5 % del volumen de negocio anual mundial (Art. 64).

Uso de ISO 27001 en el contexto del CRA

CÓMO REFERENCIAR ISO 27001 EN LA DOCUMENTACIÓN CRA

EN EL EXPEDIENTE TÉCNICO:
"[Empresa] mantiene un Sistema de Gestión de
Seguridad de la Información certificado según
ISO/IEC 27001:2022 (Certificado n.º XXX, emitido
por [Organismo de Certificación]).

El SGSI proporciona la base organizativa para la
seguridad del producto, incluyendo:
- Ciclo de vida de desarrollo seguro (A.8.25-28)
- Proceso de gestión de vulnerabilidades (A.8.8)
- Requisitos de seguridad para proveedores (A.5.19-22)

El cumplimiento específico del CRA para el producto
se documenta en este expediente técnico, que se
construye sobre estos controles del SGSI."

QUÉ DEMUESTRA ESTO:
- Madurez en gestión de seguridad
- Existencia de una base de procesos
- No sustituye a la evidencia específica del producto

Sinergias de auditoría

Auditoría de vigilancia ISO 27001:

  • Evaluación anual del SGSI.
  • Puede incluir el alcance de seguridad del producto.
  • Evidencia reutilizable para el CRA.

Evaluación de la conformidad CRA:

  • Evaluación específica del producto.
  • Hace referencia al SGSI para evidencia de procesos.
  • Necesita evidencia adicional del producto.

Oportunidades de sinergia:

  • Alinear los calendarios de auditoría.
  • Reutilizar evidencia cuando sea aplicable.
  • Enfoque de sistema de gestión integrado.
  • Repositorio único de documentación.

Tres escenarios habituales de ISO 27001 + CRA

Escenario 1 Certificado en ISO 27001, iniciando el CRA

Usa el SGSI como evidencia de proceso. No trates el certificado como evidencia de conformidad del producto.

Usar de ISO 27001

Metodología de riesgos, gestión de proveedores, respuesta a incidentes y gobernanza de desarrollo seguro.

Evidencia específica del CRA

Clasificación del producto, generación de SBOM, notificación del Artículo 14 y expedientes técnicos del Anexo VII.

Regla de decisión: reutiliza controles del SGSI solo cuando generen evidencia a nivel de producto.

Escenario 2 Sin ISO 27001, abordando el CRA

Prioriza el reglamento con plazo fijo. Construye la disciplina ISO 27001 alrededor de ese trabajo en vez de retrasar el trabajo de producto.

Datos de plazo

La notificación del Artículo 14 comienza el 11 de septiembre de 2026. La aplicación completa del CRA comienza el 11 de diciembre de 2027.

Trabajo CRA primero

Clasificación, SBOM, expediente técnico, política CVD, contacto público y flujo de notificación.

Regla de decisión: empieza por las obligaciones reglamentarias de producto y luego madura el modelo operativo hacia ISO 27001. Consulta la guía del CRA para startups.

Escenario 3 Múltiples productos, SGSI centralizado

Centraliza los controles comunes, pero mantén separada la evidencia de conformidad de cada familia de productos.

Centralizar

Método de riesgos, gestión de vulnerabilidades, requisitos de proveedores y estándares de desarrollo.

Mantener por producto

Expediente técnico, SBOM, ruta de conformidad, período de soporte y evidencia de release.

Regla de decisión: un procedimiento compartido de seguridad de producto, un registro de evidencias por familia de productos.

Cómo integrar el CRA en tu SGSI existente

Modelo de gobernanza

MODELO DE GOBERNANZA INTEGRADO

NIVEL ORGANIZATIVO (ISO 27001):
+---------------------------------------------+
| Sistema de Gestión de Seguridad             |
| de la Información                           |
|                                             |
| - Políticas de seguridad                    |
| - Marco de gestión de riesgos               |
| - Organización de seguridad                 |
| - Concienciación y formación                |
\---------------------------------------------+
            |
            v
NIVEL DE PRODUCTO (CRA):
+---------------------------------------------+
| Cumplimiento de seguridad del producto      |
|                                             |
| +---------+ +---------+ +---------+         |
| |ProductoA| |ProductoB| |ProductoC|         |
| |- Exped. | |- Exped. | |- Exped. |         |
| |  técnico| |  técnico| |  técnico|         |
| |- SBOM   | |- SBOM   | |- SBOM   |         |
| |- DoC    | |- DoC    | |- DoC    |         |
| \---------+ \---------+ \---------+         |
\---------------------------------------------+

Estructura de documentación

DOCUMENTACIÓN INTEGRADA

DOCUMENTACIÓN SGSI (ISO 27001):
+-- Política de Seguridad de la Información
+-- Procedimiento de Evaluación de Riesgos
+-- Declaración de Aplicabilidad
+-- Política de Desarrollo Seguro
+-- Procedimiento de Gestión de Vulnerabilidades
+-- Procedimiento de Respuesta a Incidentes
\-- Política de Seguridad de Proveedores

DOCUMENTACIÓN CRA (por producto):
+-- Expediente Técnico del Producto (Anexo VII)
|   +-- Descripción del producto
|   +-- Evaluación de riesgos
|   +-- Arquitectura de seguridad
|   +-- Informes de pruebas
|   \-- SBOM
+-- Declaración UE de Conformidad
+-- Documentación de Usuario
\-- Declaración del Período de Soporte

REFERENCIAS CRUZADAS:
- El expediente técnico referencia los
  procedimientos del SGSI
- Los procedimientos del SGSI incluyen requisitos CRA
- Registros conservados durante 10 años o el período
  de soporte, lo que sea mayor (Art. 23(2))

Flujos de trabajo de integración ISO 27001 a CRA

Alcance y clasificación del producto

Objetivo

Decidir qué productos están dentro del alcance del CRA y qué nivel aplica.

Resultado

Registro de clasificación por familia de productos.

Evidencia

Justificación de Anexos III/IV y ruta de conformidad.

Modelo de riesgos de seguridad del producto

Objetivo

Extender el método de riesgos del SGSI a casos de abuso y riesgo de ciclo de vida del producto.

Resultado

Evaluación de riesgos del producto.

Evidencia

Mapeo de requisitos del Anexo I del CRA.

SBOM y evidencia de proveedores

Objetivo

Hacer repetible la visibilidad de componentes para cada release de producto.

Resultado

Proceso de SBOM y requisitos de entrada para proveedores.

Evidencia

Anexo I, Parte II(1), Artículo 13(5), A.5.19-22 y registros de SBOM vinculados a releases.

Gestión y notificación de vulnerabilidades

Objetivo

Conectar la gestión de vulnerabilidades ISO con la notificación de producto del CRA.

Resultado

Política CVD, contacto público y runbook de notificación al CSIRT.

Evidencia

Anexo I, Parte II(5) y (6), propiedad del Art. 14 y plazos de notificación.

Expediente técnico y ruta de conformidad

Objetivo

Convertir la madurez de procesos en evidencia de conformidad específica del producto.

Resultado

Expediente técnico del Anexo VII, Declaración UE de Conformidad y decisión de módulo.

Evidencia

Arquitectura de seguridad, informes de pruebas, período de soporte y registro de evaluación de conformidad.

Propiedad y formación

Objetivo

Hacer que la conformidad de producto sea operativa, no un proyecto puntual.

Resultado

Responsables asignados y formación de equipos.

Evidencia

Tabla de responsabilidades, registros de formación y cadencia de auditoría interna.

Preguntas frecuentes

¿La certificación ISO 27001 exime a una empresa de la evaluación de la conformidad del CRA?

No. La certificación ISO 27001 demuestra la madurez de la seguridad de la información a nivel organizativo, pero no constituye una evaluación de la conformidad del CRA. El CRA exige evidencia por producto: SBOM, expediente técnico, Declaración de Conformidad y, cuando proceda, una evaluación por un organismo notificado. Un auditor que certifica tu SGSI no evalúa la conformidad con el CRA. Consulta las rutas de evaluación de la conformidad del CRA.

¿Qué controles del Anexo A de ISO 27001 son más directamente relevantes para el Anexo I del CRA?

Los controles con mayor superposición son A.8.25-28 (ciclo de vida de desarrollo seguro), A.8.8 (gestión de vulnerabilidades técnicas) y A.5.19-22 (relaciones con proveedores). Se corresponden con los requisitos del CRA sobre seguridad por diseño, obligación de gestión de vulnerabilidades y disposiciones de la cadena de suministro del SBOM. A.8.8 debe extenderse para cubrir la notificación de vulnerabilidades del producto al CSIRT nacional mediante la Plataforma Única de Notificación de ENISA (Artículo 14).

¿Puede reutilizarse la evidencia de auditoría ISO 27001 en un expediente técnico del CRA?

Sí, de forma selectiva. La evidencia de tu SGSI sobre desarrollo seguro (A.8.25-28), gestión de vulnerabilidades (A.8.8) y controles de proveedores (A.5.19-22) puede referenciarse en el expediente técnico del CRA. Sin embargo, el expediente técnico también exige evidencia específica del producto (arquitectura de seguridad, informes de pruebas, SBOM y documentación del período de soporte) que las auditorías ISO 27001 no generan.

¿Está ISO 27001:2022 mejor alineada con el CRA que ISO 27001:2013?

Sí. ISO 27001:2022 añadió controles más relevantes para el CRA, en particular A.8.25-28 (ciclo de vida de desarrollo seguro, requisitos de seguridad de aplicaciones, arquitectura segura, codificación segura). La versión de 2013 tenía una cobertura más débil en estas áreas. Si utilizas la versión de 2013, vale la pena realizar un análisis de brechas frente a los controles de 2022 específicamente para el CRA.

¿Cubre ISO 27001 el requisito de SBOM del CRA?

Parcialmente. A.8.26 (requisitos de seguridad de aplicaciones) y A.8.28 (codificación segura) incluyen conceptos de conciencia de componentes y seguimiento de dependencias. Sin embargo, ISO 27001 no exige un SBOM legible por máquina que cubra al menos las dependencias de primer nivel, que es lo que exige el CRA (Anexo I, Parte II(1)). El CRA no nombra ningún formato específico; CycloneDX y SPDX son opciones comunes y prácticas, y el Artículo 13(24) permite a la Comisión especificar el formato y los elementos más adelante. La conciencia organizativa es una base, no un sustituto.

¿Puede integrarse el trabajo de cumplimiento del CRA en un programa ISO 27001 en curso?

Sí, y es el enfoque recomendado para empresas ya certificadas. Amplía el alcance del SGSI para incluir la seguridad del producto, añade procedimientos específicos para SBOM y notificación al CSIRT, y referencia la evidencia del SGSI en tus expedientes técnicos del CRA. La clave es añadir, no duplicar: la evidencia del CRA se incluye en los expedientes técnicos, no en la Declaración de Aplicabilidad del SGSI.

Próximos pasos

Qué hacer en el próximo trimestre

  1. Realiza un análisis de brechas de los controles del Anexo A de tu SGSI frente al Anexo I del CRA. Empieza por A.8.8, A.8.25-28 y A.5.19-22. Concentran la mayor parte del peso.
  2. Clasifica cada producto según los Anexos III y IV. La ruta de evaluación de la conformidad depende de esto, no del estado de tu certificación ISO 27001.
  3. Amplía la declaración de alcance de tu SGSI para incluir la seguridad del producto. Actualiza la Declaración de Aplicabilidad para que las obligaciones de producto sean visibles a los auditores.
  4. Añade la generación de SBOM (Anexo I, Parte II(1)) a tu proceso de gestión de cambios. CycloneDX o SPDX, legible por máquina, vinculado a cada release.
  5. Crea o actualiza el procedimiento de notificación al CSIRT para el Artículo 14: alerta temprana a 24 h, notificación inicial a 72 h e informe final en 14 días o 1 mes según el tipo de incidente. Consulta la guía de la Plataforma Única de Notificación.
  6. Asigna un responsable de seguridad del producto y un responsable de la política CVD (Anexo I, Parte II(5) y (6)). No puede ser el mismo hueco ambiguo de "equipo de seguridad".
  7. Programa una auditoría interna combinada que cubra tanto la vigilancia ISO 27001 como la preparación del expediente técnico del CRA. Reutiliza la evidencia donde aplique.

Este artículo tiene finalidad informativa y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta a un asesor legal cualificado.

CRA Estándares de Seguridad Cumplimiento
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
View full CRA compliance guide