CRA vs ISO 27001: las brechas de cumplimiento que tu SGSI no cubre
ISO 27001 no cubre el CRA. Esta guía muestra exactamente dónde ayuda tu SGSI, dónde falla y qué necesitas antes del plazo de 2027.
En este artículo
- Resumen
- ¿Qué cubre ISO 27001 frente a lo que exige el CRA?
- Dónde ISO 27001 ayuda al CRA y dónde se queda corto
- Cómo aprovechar ISO 27001 para el CRA
- Controles del Annex A de ISO 27001 y el CRA
- ¿Cuenta la certificación ISO 27001 para la evaluación de conformidad del CRA?
- Tres escenarios habituales de ISO 27001 + CRA
- Cómo integrar el CRA en tu SGSI existente
- Lista de verificación: Organización con ISO 27001 que añade el CRA
- Recursos oficiales de ISO 27001 y el CRA
- Preguntas frecuentes
- Próximos pasos
Si tu empresa tiene la certificación ISO 27001, quizás asumas que estás bien posicionado para el Cyber Resilience Act (CRA). No es así. Al menos no sin un trabajo adicional significativo.
ISO 27001 protege los activos de información de tu organización. El Cyber Resilience Act (Reglamento (UE) 2024/2847) exige que cada producto con elementos digitales que pongas en el mercado de la UE sea seguro por diseño, incluya un software bill of materials (SBOM) y cuente con actualizaciones de seguridad durante su vida útil prevista. Estas son obligaciones a nivel de producto, no organizativas. El incumplimiento conlleva multas de hasta 15 millones de euros o el 2,5% del volumen de negocio anual mundial (Art. 64). Consulta la guía de sanciones del CRA.
Las obligaciones de notificación del Art. 14 comienzan el 11 de septiembre de 2026. El cumplimiento completo es obligatorio a partir del 11 de diciembre de 2027. Consulta el cronograma completo de implementación del CRA.
Esta guía sobre ISO 27001 vs CRA mapea exactamente dónde ayuda tu SGSI, dónde se queda corto y qué necesitas añadir.
Resumen
- ISO 27001 = gestión de seguridad organizativa/empresarial
- CRA = requisitos de ciberseguridad de productos (Annex I, Reglamento (UE) 2024/2847)
- ISO 27001 NO equivale al cumplimiento del CRA
- ISO 27001 proporciona una base para los procesos de desarrollo seguro
- El CRA requiere evidencia específica del producto: SBOM, gestión de vulnerabilidades, marcado CE
- Ambos juntos = postura de seguridad global sólida
¿Qué cubre ISO 27001 frente a lo que exige el CRA?
Qué cubre ISO 27001
ISO 27001 es un estándar de sistema de gestión de seguridad de la información (SGSI) que abarca:
Controles a nivel organizativo:
- Políticas de seguridad de la información
- Gestión de activos
- Control de acceso (a sistemas y datos)
- Uso de criptografía
- Seguridad física
- Seguridad de las operaciones
- Seguridad de las comunicaciones
- Relaciones con proveedores
- Gestión de incidentes
- Continuidad del negocio
- Gestión del cumplimiento
Enfoque: Proteger los activos de información de tu organización
Qué cubre el CRA
El CRA es una regulación de productos que abarca (Annex I):
Requisitos a nivel de producto:
- Seguridad por diseño en los productos
- Sin vulnerabilidades explotables conocidas
- Configuración segura por defecto
- Protección frente al acceso no autorizado (en el producto)
- Protección de datos (por el producto)
- Capacidad de actualización (del producto)
- Gestión de vulnerabilidades y notificación a ENISA (para el producto)
- SBOM para los componentes del producto (Art. 13(5))
- Política de divulgación coordinada de vulnerabilidades (Art. 13(6))
- Contacto público para vulnerabilidades (Art. 13(7))
- Marcado CE y evaluación de conformidad
Enfoque: Garantizar que los productos que vendes son seguros
El CRA clasifica los productos en categorías: predeterminada, Clase I importante, Clase II importante y crítica (Annex III y IV). Cada categoría conlleva requisitos de evaluación de conformidad diferentes. Un producto de Clase II importante requiere evaluación obligatoria por terceros ante un organismo notificado, independientemente del estado de tu certificación ISO 27001. Consulta la guía de clasificación de productos del CRA.
La diferencia fundamental
ISO 27001 vs CRA ALCANCE
ISO 27001:
"¿Cómo gestiona tu ORGANIZACIÓN la seguridad?"
┌─────────────────────────────────────────────┐
│ Tu Empresa │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │Sistemas │ │ Datos │ │Personas │ │
│ └─────────┘ └─────────┘ └─────────┘ │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │Procesos │ │ Red │ │Instala- │ │
│ └─────────┘ └─────────┘ └─────────┘ │
└─────────────────────────────────────────────┘
CRA:
"¿Qué tan seguros son los PRODUCTOS que vendes?"
┌─────────────────────────────────────────────┐
│ Tus Productos (vendidos a clientes) │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ProductoA│ │ProductoB│ │ProductoC│ │
│ └─────────┘ └─────────┘ └─────────┘ │
│ │
│ Cada producto debe cumplir los requisitos │
│ del CRA │
└─────────────────────────────────────────────┘
Dónde ISO 27001 ayuda al CRA y dónde se queda corto
Dónde ISO 27001 ayuda al CRA
| Requisito CRA | Soporte ISO 27001 | Cómo ayuda |
|---|---|---|
| Desarrollo seguro | A.8.25-28 (Desarrollo seguro) | Base del proceso |
| Gestión de vulnerabilidades | A.8.8 (Vulnerabilidades técnicas) | Proceso organizativo |
| Respuesta a incidentes | A.5.24-26 (Gestión de incidentes) | Capacidad de respuesta |
| Gestión de proveedores | A.5.19-22 (Relaciones con proveedores) | Seguridad de la cadena de suministro |
| Control de acceso | A.5.15-18, A.8.2-5 | Seguridad del entorno de desarrollo |
| Criptografía | A.8.24 (Criptografía) | Base de la política criptográfica |
| Documentación | A.5.1 (Políticas), 7.5 (Info documentada) | Cultura de documentación |
| Evaluación de riesgos | 6.1 (Evaluación de riesgos) | Metodología de riesgos |
Dónde ISO 27001 se queda corto
| Requisito CRA | Brecha ISO 27001 | Qué falta |
|---|---|---|
| SBOM | Parcial: A.8.26/A.8.28 cubren conciencia de componentes, no el formato SBOM legible por máquina | SBOM estandarizado (SPDX/CycloneDX) según Art. 13(5) |
| Marcado CE | No cubierto | Proceso de evaluación de conformidad |
| Pruebas de seguridad del producto | Limitado | Evidencia de pruebas específicas del producto para el expediente técnico |
| Seguridad por defecto | No orientado al producto | Requisitos de configuración del producto |
| Período de soporte | No cubierto | Al menos 5 años, o la vida útil prevista del producto si es menor (Art. 13(8)) |
| Notificación ENISA | No cubierto | Notificación 24h/72h + informe final al CSIRT nacional mediante la Plataforma Única de Notificación (Art. 14) |
| Política CVD | No cubierto | Política documentada de divulgación coordinada de vulnerabilidades (Art. 13(6)) |
| Contacto público para vulnerabilidades | No cubierto | Punto único de contacto para informes de vulnerabilidades, p. ej., security.txt (Art. 13(7)) |
| Documentación de usuario | Limitado | Instrucciones de seguridad del producto |
| Expediente técnico | No cubierto | Formato de documentación CRA según Annex VII |
Resumen del análisis de brechas
Base sólida (ISO 27001 ayuda significativamente):
- Cultura y concienciación de seguridad
- Metodología de gestión de riesgos
- Capacidad de respuesta a incidentes
- Gestión de seguridad de proveedores
- Políticas del ciclo de vida de desarrollo seguro
- Marco de control de acceso
- Prácticas de documentación
Cobertura parcial (ISO 27001 ayuda pero no es suficiente):
- Gestión de vulnerabilidades (alcance organizativo vs. alcance de producto)
- Criptografía (política vs. implementación en el producto)
- Pruebas de seguridad (sistemas empresariales vs. pruebas de producto)
- Gestión de cambios (cambios IT vs. modificaciones del producto)
- SBOM (conciencia de componentes en A.8.26/A.8.28 vs. formato SBOM legible por máquina)
Brechas (específicas del CRA, no cubiertas por ISO 27001):
- Generación y mantenimiento de SBOM en formato estandarizado
- Evaluación de conformidad del producto
- Proceso de marcado CE
- Notificación de vulnerabilidades al CSIRT nacional mediante la Plataforma Única de Notificación (Art. 14)
- Expediente técnico específico del producto (Annex VII)
- Compromiso de período de soporte (Art. 13(8))
- Verificación de la configuración segura por defecto
- Requisitos del mecanismo de actualización del producto
- Política de divulgación coordinada de vulnerabilidades (Art. 13(6))
- Contacto público para informes de vulnerabilidades (Art. 13(7))
Cómo aprovechar ISO 27001 para el CRA
Usa tu SGSI como base
Si tienes la certificación ISO 27001, cuentas con bases sólidas sobre las que construir. La clave es extender los procesos existentes hacia las obligaciones del producto, en lugar de empezar desde cero.
Extiende los procesos existentes:
| Proceso ISO 27001 | Extensión CRA |
|---|---|
| Evaluación de riesgos (6.1) | Evaluación de riesgos del producto |
| Gestión de vulnerabilidades (A.8.8) | Gestión de vulnerabilidades del producto + notificación al CSIRT |
| Gestión de proveedores (A.5.19-22) | Recopilación de SBOM de proveedores |
| Gestión de incidentes (A.5.24-26) | Notificación al CSIRT según Art. 14 |
| Desarrollo seguro (A.8.25-28) | Pruebas de seguridad del producto y expediente técnico |
Nuevos procesos a añadir:
| Nuevo proceso | Finalidad |
|---|---|
| Generación de SBOM | Seguimiento de componentes según Art. 13(5) |
| Evaluación de conformidad | Marcado CE |
| Expediente técnico del producto | Documentación reglamentaria según Annex VII |
| Gestión del período de soporte | Compromiso según Art. 13(8) |
| Procedimiento de notificación ENISA | Notificación de vulnerabilidades mediante el CSIRT nacional |
| Política CVD | Divulgación coordinada según Art. 13(6) |
Pasos prácticos de integración
Paso 1: Ampliación del alcance
- Añadir la seguridad del producto al alcance de tu SGSI
- Incluir el desarrollo de productos en la evaluación de riesgos
- Ampliar el inventario de activos para incluir componentes del producto
Paso 2: Actualización de procesos
- Actualizar el procedimiento de vulnerabilidades para la notificación al CSIRT nacional mediante la Plataforma Única de Notificación
- Añadir el SBOM a la gestión de cambios
- Incluir la cadencia de alerta temprana 24h, notificación inicial 72h e informe final en tu proceso de respuesta a incidentes
Paso 3: Adiciones de documentación
- Expedientes técnicos del producto
- Registros de SBOM
- Evidencia de evaluación de conformidad
- Documentación del período de soporte
Paso 4: Roles y responsabilidades
- Asignar responsabilidad sobre la seguridad del producto
- Definir responsabilidad de notificación al CSIRT
- Establecer responsabilidad del mantenimiento del SBOM
- Asignar responsabilidad de la política CVD
Controles del Annex A de ISO 27001 y el CRA
Controles más relevantes
A.8.25 Ciclo de vida de desarrollo seguro
- ISO 27001: Políticas para el desarrollo seguro
- Uso CRA: Base para los requisitos de seguridad del producto (Annex I, Parte I)
A.8.26 Requisitos de seguridad de aplicaciones
- ISO 27001: Requisitos de seguridad en el desarrollo
- Uso CRA: Base para los requisitos esenciales del producto; base parcial para el inventario de componentes del SBOM
A.8.27 Arquitectura segura de sistemas
- ISO 27001: Principios de arquitectura segura
- Uso CRA: Arquitectura de seguridad del producto
A.8.28 Codificación segura
- ISO 27001: Prácticas de codificación segura incluyendo seguimiento de dependencias
- Uso CRA: Seguridad del código del producto; base parcial para la conciencia de componentes del SBOM
A.8.8 Gestión de vulnerabilidades técnicas
- ISO 27001: Gestión organizativa de vulnerabilidades
- Uso CRA: Extensión a vulnerabilidades del producto + notificación al CSIRT nacional mediante la Plataforma Única de Notificación (Art. 14)
A.5.19-22 Relaciones con proveedores
- ISO 27001: Gestión de seguridad de proveedores
- Uso CRA: Recopilación de SBOM de proveedores, seguridad de la cadena de suministro
Implementación de controles para el CRA
EXTENSIÓN DE CONTROLES ISO 27001 PARA EL CRA
EXTENSIÓN DE A.8.8 GESTIÓN DE VULNERABILIDADES:
Requisito ISO 27001:
"Se obtendrá información sobre vulnerabilidades técnicas
de los sistemas de información en uso..."
Extensión CRA (Art. 14):
- Monitorizar vulnerabilidades en TUS PRODUCTOS
- Mantener proceso de notificación a clientes
- Notificar al CSIRT nacional mediante la Plataforma Única:
alerta temprana 24h, notificación inicial 72h,
informe final en 14 días (exploit activo) o
informe final en 1 mes (incidente grave)
- Seguimiento del estado de vulnerabilidades por producto
- Generar documentos VEX
EXTENSIÓN DE A.8.25-28 DESARROLLO SEGURO:
Requisito ISO 27001:
"Se establecerán y aplicarán reglas para el desarrollo
de software y sistemas..."
Extensión CRA:
- Incluir generación de SBOM en el proceso de build (Art. 13(5))
- Verificar la configuración "segura por defecto"
- Probar los requisitos de seguridad del producto
- Documentar para el expediente técnico (Annex VII)
- Mantener evidencia para la evaluación de conformidad
¿Cuenta la certificación ISO 27001 para la evaluación de conformidad del CRA?
¿La certificación ISO 27001 cubre el cumplimiento del CRA?
Comprensión fundamental:
- La certificación ISO 27001 demuestra madurez en seguridad organizativa
- El cumplimiento del CRA es un requisito reglamentario por producto
- Tener ISO 27001 no te exime del CRA
- Los auditores de ISO 27001 no evalúan el cumplimiento del CRA
Las obligaciones de notificación del Art. 14 comienzan el 11 de septiembre de 2026. El cumplimiento completo es obligatorio a partir del 11 de diciembre de 2027. El incumplimiento conlleva multas de hasta 15 millones de euros o el 2,5% del volumen de negocio anual mundial (Art. 64).
Uso de ISO 27001 en el contexto del CRA
CÓMO REFERENCIAR ISO 27001 EN LA DOCUMENTACIÓN CRA
EN EL EXPEDIENTE TÉCNICO:
"[Empresa] mantiene un Sistema de Gestión de Seguridad
de la Información certificado según ISO/IEC 27001:2022
(Certificado N.º XXX, emitido por [Organismo de
Certificación]).
El SGSI proporciona la base organizativa para la
seguridad del producto, incluyendo:
- Ciclo de vida de desarrollo seguro (A.8.25-28)
- Proceso de gestión de vulnerabilidades (A.8.8)
- Requisitos de seguridad para proveedores (A.5.19-22)
El cumplimiento específico del CRA para el producto
está documentado en este expediente técnico,
construido sobre estos controles del SGSI."
QUÉ DEMUESTRA ESTO:
- Madurez en gestión de seguridad
- Existencia de una base de procesos
- No sustituye a la evidencia específica del producto
Sinergias de auditoría
Auditoría de vigilancia ISO 27001:
- Evaluación anual del SGSI
- Puede incluir el alcance de seguridad del producto
- Evidencia reutilizable para el CRA
Evaluación de conformidad CRA:
- Evaluación específica del producto
- Hace referencia al SGSI para evidencia de procesos
- Necesita evidencia adicional del producto
Oportunidades de sinergia:
- Alinear calendarios de auditoría
- Reutilizar evidencia donde sea aplicable
- Enfoque de sistema de gestión integrado
- Repositorio único de documentación
Tres escenarios habituales de ISO 27001 + CRA
Escenario 1: Certificado en ISO 27001, iniciando el CRA
Ventajas que ya tienes:
- Metodología de riesgos establecida
- Cultura de seguridad consolidada
- Prácticas de documentación en marcha
- Gestión de proveedores en funcionamiento
- Capacidad de respuesta a incidentes
Lo que todavía necesitas añadir:
- [ ] Clasificación del producto según el CRA (Annex III/IV)
- [ ] Capacidad de generación de SBOM (Art. 13(5))
- [ ] Proceso de notificación al CSIRT (Art. 14)
- [ ] Expedientes técnicos del producto (Annex VII)
- [ ] Proceso de evaluación de conformidad
- [ ] Gestión del período de soporte (Art. 13(8))
- [ ] Pruebas de seguridad específicas del producto
- [ ] Política CVD (Art. 13(6))
- [ ] Contacto público para vulnerabilidades (Art. 13(7))
Enfoque:
- Análisis de brechas frente a los requisitos del CRA
- Ampliar el alcance del SGSI para incluir productos
- Añadir procesos específicos del CRA
- Actualizar la documentación
- Formar a los equipos relevantes
Escenario 2: Sin ISO 27001, abordando el CRA
Opción A: Solo CRA
- Implementar directamente los requisitos del CRA
- Enfoque centrado en el producto
- Puede omitir beneficios de seguridad organizativa
- Camino más rápido al cumplimiento del CRA
Opción B: ISO 27001 + CRA
- Implementar ambos marcos
- Postura de seguridad global más sólida
- Mayor trabajo inicial
- Mejor posición a largo plazo
Recomendación: Para fabricantes de productos, empieza por los requisitos del CRA (el plazo reglamentario es fijo) y avanza hacia ISO 27001 con el tiempo. Alinea los enfoques desde el principio para no duplicar esfuerzos. Consulta la guía del CRA para startups para un camino con baja carga operativa.
Escenario 3: Múltiples productos, SGSI centralizado
Centralizado (SGSI):
- Metodología de riesgos
- Proceso de gestión de vulnerabilidades
- Gestión de proveedores
- Respuesta a incidentes
- Estándares de desarrollo
Por producto (CRA):
- Expediente técnico
- SBOM
- Evaluación de conformidad
- Documentación del producto
- Período de soporte
Beneficios:
- Reutilización eficiente de procesos
- Enfoque de seguridad coherente
- Experiencia centralizada
- Cumplimiento específico por producto
Cómo integrar el CRA en tu SGSI existente
Modelo de gobernanza
MODELO DE GOBERNANZA INTEGRADO
NIVEL ORGANIZATIVO (ISO 27001):
┌─────────────────────────────────────────────┐
│ Sistema de Gestión de Seguridad │
│ de la Información │
│ - Políticas de seguridad │
│ - Marco de gestión de riesgos │
│ - Organización de seguridad │
│ - Concienciación y formación │
└─────────────────────────────────────────────┘
│
▼
NIVEL DE PRODUCTO (CRA):
┌─────────────────────────────────────────────┐
│ Cumplimiento de Seguridad del Producto │
│ │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ProductoA│ │ProductoB│ │ProductoC│ │
│ │- Exped. │ │- Exped. │ │- Exped. │ │
│ │ técnico│ │ técnico│ │ técnico│ │
│ │- SBOM │ │- SBOM │ │- SBOM │ │
│ │- DoC │ │- DoC │ │- DoC │ │
│ └─────────┘ └─────────┘ └─────────┘ │
└─────────────────────────────────────────────┘
Estructura de documentación
DOCUMENTACIÓN INTEGRADA
DOCUMENTACIÓN SGSI (ISO 27001):
├── Política de Seguridad de la Información
├── Procedimiento de Evaluación de Riesgos
├── Declaración de Aplicabilidad
├── Política de Desarrollo Seguro
├── Procedimiento de Gestión de Vulnerabilidades
├── Procedimiento de Respuesta a Incidentes
└── Política de Seguridad de Proveedores
DOCUMENTACIÓN CRA (Por producto):
├── Expediente Técnico del Producto (Annex VII)
│ ├── Descripción del producto
│ ├── Evaluación de riesgos
│ ├── Arquitectura de seguridad
│ ├── Informes de pruebas
│ └── SBOM
├── Declaración UE de Conformidad
├── Documentación de Usuario
└── Declaración del Período de Soporte
REFERENCIAS CRUZADAS:
- El expediente técnico hace referencia a los
procedimientos del SGSI
- Los procedimientos del SGSI incluyen requisitos CRA
- Registros conservados durante 10 años o el período
de soporte, lo que sea mayor (Art. 23(2))
Lista de verificación: Organización con ISO 27001 que añade el CRA
Evaluación:
- [ ] Revisar el alcance actual del SGSI
- [ ] Identificar productos con elementos digitales
- [ ] Clasificar los productos según las categorías del CRA (Annex III/IV)
- [ ] Análisis de brechas: SGSI vs. requisitos del CRA
Ampliación del alcance:
- [ ] Añadir seguridad del producto al alcance del SGSI
- [ ] Actualizar la evaluación de riesgos para incluir productos
- [ ] Ampliar la Declaración de Aplicabilidad
Adiciones de procesos:
- [ ] Proceso de generación de SBOM (Art. 13(5))
- [ ] Procedimiento de notificación al CSIRT (Art. 14)
- [ ] Proceso de evaluación de conformidad
- [ ] Gestión del período de soporte (Art. 13(8))
- [ ] Procedimiento del expediente técnico del producto (Annex VII)
- [ ] Política CVD (Art. 13(6))
- [ ] Configuración del contacto público para vulnerabilidades (Art. 13(7))
Documentación:
- [ ] Plantillas de expediente técnico
- [ ] Plantilla de evaluación de riesgos del producto
- [ ] Formato y almacenamiento del SBOM
- [ ] Plantilla de Declaración de Conformidad
Extensiones de controles:
- [ ] A.8.8: añadir vulnerabilidades del producto y notificación al CSIRT
- [ ] A.8.25-28: añadir pruebas de seguridad del producto
- [ ] A.5.19-22: añadir SBOM de proveedores
Roles:
- [ ] Asignar responsable de seguridad del producto
- [ ] Definir responsabilidad de notificación al CSIRT
- [ ] Establecer rol de evaluación de conformidad
- [ ] Asignar responsable de la política CVD
Formación:
- [ ] Concienciación sobre el CRA para equipos de desarrollo
- [ ] Formación en herramientas de SBOM
- [ ] Formación en evaluación de conformidad
Recursos oficiales de ISO 27001 y el CRA
ISO 27001:
- ISO/IEC 27001:2022: Gestión de seguridad de la información
- ISO/IEC 27002:2022: Controles de seguridad de la información
CRA:
- Reglamento (UE) 2024/2847: Cyber Resilience Act
- Mapeo de estándares de requisitos del CRA por ENISA (noviembre 2024)
Estándares complementarios:
- ISO/IEC 27034: Seguridad de aplicaciones (conecta SGSI y seguridad del producto)
- IEC 62443: Seguridad industrial (adecuado para fabricantes OT/IoT; candidato firme a estándar armonizado del CRA)
- ISO/SAE 21434: Seguridad automotriz
Importante: La certificación ISO 27001 NO equivale al cumplimiento del CRA. ISO 27001 cubre la seguridad de la información organizativa; el CRA requiere una evaluación de conformidad específica del producto.
Consejo: Mapea tus controles existentes del Annex A frente a los requisitos del Annex I del CRA para identificar brechas. Empieza por A.8.8, A.8.25-28 y A.5.19-22.
Preguntas frecuentes
¿La certificación ISO 27001 exime a una empresa de la evaluación de conformidad del CRA?
No. La certificación ISO 27001 demuestra la madurez de la seguridad de la información a nivel organizativo, pero no constituye una evaluación de conformidad del CRA. El CRA exige evidencia por producto: SBOM, expediente técnico, Declaración de Conformidad y, cuando proceda, una evaluación por organismo notificado. Un auditor que certifica tu SGSI no evalúa la conformidad con el CRA. Consulta las rutas de evaluación de conformidad del CRA.
¿Qué controles del Annex A de ISO 27001 son más directamente relevantes para el Annex I del CRA?
Los controles con mayor superposición son A.8.25-28 (ciclo de vida de desarrollo seguro), A.8.8 (gestión de vulnerabilidades técnicas) y A.5.19-22 (relaciones con proveedores). Estos se corresponden con los requisitos del CRA sobre seguridad por diseño, obligación de gestión de vulnerabilidades y disposiciones de la cadena de suministro del SBOM. A.8.8 debe extenderse para cubrir la notificación de vulnerabilidades del producto al CSIRT nacional mediante la Plataforma Única de Notificación de ENISA (Art. 14).
¿Puede reutilizarse la evidencia de auditoría ISO 27001 en un expediente técnico del CRA?
Sí, de forma selectiva. La evidencia de tu SGSI sobre desarrollo seguro (A.8.25-28), gestión de vulnerabilidades (A.8.8) y controles de proveedores (A.5.19-22) puede referenciarse en el expediente técnico del CRA. Sin embargo, el expediente técnico también requiere evidencia específica del producto, incluyendo arquitectura de seguridad, informes de pruebas, SBOM y documentación del período de soporte, que las auditorías ISO 27001 no generan.
¿Está ISO 27001:2022 mejor alineado con el CRA que ISO 27001:2013?
Sí. ISO 27001:2022 añadió controles más relevantes para el CRA, en particular A.8.25-28 (ciclo de vida de desarrollo seguro, requisitos de seguridad de aplicaciones, arquitectura segura, codificación segura). La versión de 2013 tenía una cobertura más débil en estas áreas. Si utilizas la versión de 2013, vale la pena realizar un análisis de brechas frente a los controles de 2022 específicamente para el CRA.
¿Cubre ISO 27001 el requisito de SBOM del CRA?
Parcialmente. A.8.26 (requisitos de seguridad de aplicaciones) y A.8.28 (codificación segura) incluyen conceptos de conciencia de componentes y seguimiento de dependencias. Sin embargo, ISO 27001 no exige un SBOM legible por máquina en formato CycloneDX o SPDX con los elementos mínimos de la NTIA, que es lo que requiere el Art. 13(5) del CRA. La conciencia organizativa es una base, no un sustituto.
¿Puede integrarse el trabajo de cumplimiento del CRA en un programa ISO 27001 en curso?
Sí, y es el enfoque recomendado para empresas ya certificadas. Amplía el alcance del SGSI para incluir la seguridad del producto, añade procedimientos específicos para SBOM y notificación al CSIRT, y referencia la evidencia del SGSI en tus expedientes técnicos del CRA. La clave es añadir, no duplicar: la evidencia del CRA se incluye en los expedientes técnicos, no en la Declaración de Aplicabilidad del SGSI.
Próximos pasos
- Realiza un análisis de brechas de los controles del Anexo A de tu SGSI frente al Anexo I del CRA. Empieza por A.8.8, A.8.25-28 y A.5.19-22. Son los que concentran la mayor parte del peso.
- Clasifica cada producto según los Anexos III y IV. La ruta de evaluación de conformidad depende de esto, no del estado de tu certificación ISO 27001.
- Amplía la declaración de alcance de tu SGSI para incluir la seguridad del producto. Actualiza la Declaración de Aplicabilidad para que las obligaciones de producto sean visibles a los auditores.
- Añade la generación de SBOM (Art. 13(5)) a tu proceso de gestión de cambios. CycloneDX o SPDX, legible por máquina, vinculado a cada release.
- Crea o actualiza el procedimiento de notificación al CSIRT para el Art. 14: alerta temprana a 24h, notificación inicial a 72h, informe final en 14 días o 1 mes según el tipo de incidente.
- Asigna un responsable de seguridad del producto y un responsable de la política CVD (Art. 13(6)/(7)). No puede ser el mismo hueco ambiguo de "equipo de seguridad".
- Programa una auditoría interna combinada que cubra tanto la vigilancia ISO 27001 como la preparación del expediente técnico del CRA. Reutiliza la evidencia donde aplique.
Consulta las rutas de evaluación de conformidad del CRA para confirmar qué módulo se aplica a cada producto. Revisa el calendario de implementación del CRA para los plazos de septiembre de 2026 y diciembre de 2027.
Este artículo tiene finalidad informativa y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con un asesor legal cualificado.
Artículos Relacionados
ECSMAF v3.0 explicado: cómo ENISA mapea el mercado europeo de ciberseguridad
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.