CRA vs ISO 27001: las brechas de cumplimiento que tu SGSI no cubre

Si tu empresa tiene la certificación ISO 27001, quizá asumas que estás bien posicionado para el Reglamento de Ciberresiliencia (CRA). No es así. Al menos no sin un trabajo adicional importante.

ISO 27001 protege los activos de información de tu organización. El Reglamento de Ciberresiliencia (Reglamento (UE) 2024/2847) exige que cada producto con elementos digitales que pongas en el mercado de la UE sea seguro por diseño, incluya un software bill of materials (SBOM) y reciba actualizaciones de seguridad durante su vida útil prevista. Son obligaciones de producto, no organizativas. El incumplimiento conlleva multas de hasta 15 millones de euros o el 2,5 % del volumen de negocio anual mundial (Art. 64). Consulta la guía de sanciones del CRA.

Las obligaciones de notificación del Artículo 14 comienzan el 11 de septiembre de 2026. El cumplimiento completo es obligatorio a partir del 11 de diciembre de 2027. Consulta el cronograma completo de implementación del CRA.

Esta guía sobre ISO 27001 vs CRA mapea exactamente dónde ayuda tu SGSI, dónde se queda corto y qué necesitas añadir.

¿Qué cubre ISO 27001 frente a lo que exige el CRA?

Qué cubre ISO 27001

ISO 27001 es un estándar de sistema de gestión de seguridad de la información (SGSI) que abarca:

Controles a nivel organizativo:

• Políticas de seguridad de la información
• Gestión de activos
• Control de acceso (a sistemas y datos)
• Uso de criptografía
• Seguridad física
• Seguridad de las operaciones
• Seguridad de las comunicaciones
• Relaciones con proveedores
• Gestión de incidentes
• Continuidad del negocio
• Gestión del cumplimiento

Enfoque: proteger los activos de información de tu organización.

Qué cubre el CRA

El CRA es un reglamento de productos que abarca (Anexo I):

Requisitos a nivel de producto:

• Seguridad por diseño en los productos
• Sin vulnerabilidades explotables conocidas
• Configuración segura por defecto
• Protección frente al acceso no autorizado (en el producto)
• Protección de datos (por el producto)
• Capacidad de actualización (del producto)
• Gestión de vulnerabilidades y notificación a ENISA (para el producto)
• SBOM para los componentes del producto (Art. 13(5))
• Política de divulgación coordinada de vulnerabilidades (Art. 13(6))
• Contacto público para vulnerabilidades (Art. 13(7))
• Marcado CE y evaluación de la conformidad

Enfoque: garantizar que los productos que vendes son seguros.

El CRA clasifica los productos en categorías: predeterminada, importante de Clase I, importante de Clase II y crítica (Anexos III y IV). Cada categoría conlleva requisitos de evaluación de la conformidad distintos. Un producto importante de Clase II exige evaluación obligatoria por un organismo notificado, con independencia del estado de tu certificación ISO 27001. Consulta la guía de clasificación de productos del CRA.

La diferencia fundamental

ISO 27001 vs CRA: ALCANCE

ISO 27001:
"¿Cómo gestiona tu ORGANIZACIÓN la seguridad?"
+---------------------------------------------+
| Tu empresa                                  |
| +---------+ +---------+ +---------+         |
| | Sistemas| |  Datos  | | Personas|         |
| \---------+ \---------+ \---------+         |
| +---------+ +---------+ +---------+         |
| | Procesos| |  Red    | | Instala.|         |
| \---------+ \---------+ \---------+         |
\---------------------------------------------+

CRA:
"¿Cómo de seguros son los PRODUCTOS que vendes?"
+---------------------------------------------+
| Tus productos (vendidos a clientes)         |
| +---------+ +---------+ +---------+         |
| |ProductoA| |ProductoB| |ProductoC|         |
| \---------+ \---------+ \---------+         |
|                                             |
| Cada producto debe cumplir los requisitos   |
| del CRA                                     |
\---------------------------------------------+

Dónde ISO 27001 ayuda al CRA y dónde se queda corto

Dónde ISO 27001 ayuda al CRA

Dónde ISO 27001 se queda corto

Resumen del análisis de brechas

Base sólida (ISO 27001 ayuda de forma significativa):

• Cultura y concienciación en seguridad
• Metodología de gestión de riesgos
• Capacidad de respuesta a incidentes
• Gestión de seguridad de proveedores
• Políticas del ciclo de vida de desarrollo seguro
• Marco de control de acceso
• Prácticas de documentación

Cobertura parcial (ISO 27001 ayuda, pero no es suficiente):

• Gestión de vulnerabilidades (alcance organizativo frente a alcance de producto)
• Criptografía (política frente a implementación en el producto)
• Pruebas de seguridad (sistemas empresariales frente a pruebas de producto)
• Gestión de cambios (cambios TI frente a modificaciones del producto)
• SBOM (conciencia de componentes en A.8.26/A.8.28 frente a formato SBOM legible por máquina)

Brechas (específicas del CRA, no cubiertas por ISO 27001):

• Generación y mantenimiento de SBOM en formato estandarizado
• Evaluación de la conformidad del producto
• Proceso de marcado CE
• Notificación de vulnerabilidades al CSIRT nacional mediante la Plataforma Única de Notificación (Art. 14)
• Expediente técnico específico del producto (Anexo VII)
• Compromiso de período de soporte (Art. 13(8))
• Verificación de la configuración segura por defecto
• Requisitos del mecanismo de actualización del producto
• Política de divulgación coordinada de vulnerabilidades (Art. 13(6))
• Contacto público para informes de vulnerabilidades (Art. 13(7))

Cómo aprovechar ISO 27001 para el CRA

Usa tu SGSI como base

Si tienes la certificación ISO 27001, cuentas con una base sólida sobre la que construir. La clave es extender los procesos existentes hacia las obligaciones de producto en lugar de empezar desde cero.

Extiende los procesos existentes:

Nuevos procesos que añadir:

Pasos prácticos de integración

Paso 1: ampliación del alcance

• Añade la seguridad del producto al alcance de tu SGSI.
• Incluye el desarrollo de productos en la evaluación de riesgos.
• Amplía el inventario de activos para incluir componentes del producto.

Paso 2: actualización de procesos

• Actualiza el procedimiento de vulnerabilidades para la notificación al CSIRT nacional mediante la Plataforma Única de Notificación.
• Añade el SBOM a la gestión de cambios.
• Incluye la cadencia de alerta temprana a 24 h, notificación inicial a 72 h e informe final en tu proceso de respuesta a incidentes.

Paso 3: adiciones de documentación

• Expedientes técnicos del producto
• Registros de SBOM
• Evidencia de evaluación de la conformidad
• Documentación del período de soporte

Paso 4: roles y responsabilidades

• Asigna la responsabilidad sobre la seguridad del producto.
• Define la responsabilidad de notificación al CSIRT.
• Establece la responsabilidad del mantenimiento del SBOM.
• Asigna la responsabilidad de la política CVD.

Controles del Anexo A de ISO 27001 y el CRA

Controles más relevantes

A.8.25 Ciclo de vida de desarrollo seguro

• ISO 27001: políticas para el desarrollo seguro.
• Uso CRA: base para los requisitos de seguridad del producto (Anexo I, Parte I).

A.8.26 Requisitos de seguridad de aplicaciones

• ISO 27001: requisitos de seguridad en el desarrollo.
• Uso CRA: base para los requisitos esenciales del producto, base parcial para el inventario de componentes del SBOM.

A.8.27 Arquitectura segura de sistemas

• ISO 27001: principios de arquitectura segura.
• Uso CRA: arquitectura de seguridad del producto.

A.8.28 Codificación segura

• ISO 27001: prácticas de codificación segura, incluido el seguimiento de dependencias.
• Uso CRA: seguridad del código del producto, base parcial para la conciencia de componentes del SBOM.

A.8.8 Gestión de vulnerabilidades técnicas

• ISO 27001: gestión organizativa de vulnerabilidades.
• Uso CRA: extensión a vulnerabilidades del producto y notificación al CSIRT nacional mediante la Plataforma Única de Notificación (Art. 14).

A.5.19-22 Relaciones con proveedores

• ISO 27001: gestión de seguridad de proveedores.
• Uso CRA: recopilación de SBOM de proveedores, seguridad de la cadena de suministro.

Implementación de controles para el CRA

EXTENSIÓN DE CONTROLES ISO 27001 PARA EL CRA

EXTENSIÓN DE A.8.8 GESTIÓN DE VULNERABILIDADES:

Requisito ISO 27001:
"Se obtendrá información sobre vulnerabilidades
técnicas de los sistemas de información en uso..."

Extensión CRA (Art. 14):
- Monitorizar vulnerabilidades en TUS PRODUCTOS
- Mantener un proceso de notificación a clientes
- Notificar al CSIRT nacional mediante la Plataforma Única:
  alerta temprana a 24 h, notificación inicial a 72 h,
  informe final en 14 días (exploit activo) o
  informe final en 1 mes (incidente grave)
- Seguimiento del estado de vulnerabilidades por producto
- Generar documentos VEX

EXTENSIÓN DE A.8.25-28 DESARROLLO SEGURO:

Requisito ISO 27001:
"Se establecerán y aplicarán reglas para el
desarrollo de software y sistemas..."

Extensión CRA:
- Incluir la generación de SBOM en el proceso de build (Art. 13(5))
- Verificar la configuración "segura por defecto"
- Probar los requisitos de seguridad del producto
- Documentar para el expediente técnico (Anexo VII)
- Mantener evidencia para la evaluación de la conformidad

¿Cuenta la certificación ISO 27001 para la evaluación de la conformidad del CRA?

¿La certificación ISO 27001 cubre el cumplimiento del CRA?

Comprensión fundamental:

• La certificación ISO 27001 demuestra madurez en seguridad organizativa.
• El cumplimiento del CRA es un requisito reglamentario por producto.
• Tener ISO 27001 no te exime del CRA.
• Los auditores de ISO 27001 no evalúan el cumplimiento del CRA.

Las obligaciones de notificación del Artículo 14 comienzan el 11 de septiembre de 2026. El cumplimiento completo es obligatorio a partir del 11 de diciembre de 2027. El incumplimiento conlleva multas de hasta 15 millones de euros o el 2,5 % del volumen de negocio anual mundial (Art. 64).

Uso de ISO 27001 en el contexto del CRA

CÓMO REFERENCIAR ISO 27001 EN LA DOCUMENTACIÓN CRA

EN EL EXPEDIENTE TÉCNICO:
"[Empresa] mantiene un Sistema de Gestión de
Seguridad de la Información certificado según
ISO/IEC 27001:2022 (Certificado n.º XXX, emitido
por [Organismo de Certificación]).

El SGSI proporciona la base organizativa para la
seguridad del producto, incluyendo:
- Ciclo de vida de desarrollo seguro (A.8.25-28)
- Proceso de gestión de vulnerabilidades (A.8.8)
- Requisitos de seguridad para proveedores (A.5.19-22)

El cumplimiento específico del CRA para el producto
se documenta en este expediente técnico, que se
construye sobre estos controles del SGSI."

QUÉ DEMUESTRA ESTO:
- Madurez en gestión de seguridad
- Existencia de una base de procesos
- No sustituye a la evidencia específica del producto

Sinergias de auditoría

Auditoría de vigilancia ISO 27001:

• Evaluación anual del SGSI.
• Puede incluir el alcance de seguridad del producto.
• Evidencia reutilizable para el CRA.

Evaluación de la conformidad CRA:

• Evaluación específica del producto.
• Hace referencia al SGSI para evidencia de procesos.
• Necesita evidencia adicional del producto.

Oportunidades de sinergia:

• Alinear los calendarios de auditoría.
• Reutilizar evidencia cuando sea aplicable.
• Enfoque de sistema de gestión integrado.
• Repositorio único de documentación.

Tres escenarios habituales de ISO 27001 + CRA

Escenario 1: certificado en ISO 27001, iniciando el CRA

Ventajas que ya tienes:

• Metodología de riesgos establecida
• Cultura de seguridad consolidada
• Prácticas de documentación en marcha
• Gestión de proveedores en funcionamiento
• Capacidad de respuesta a incidentes

Lo que todavía necesitas añadir:

• [ ] Clasificación del producto según el CRA (Anexo III/IV)
• [ ] Capacidad de generación de SBOM (Art. 13(5))
• [ ] Proceso de notificación al CSIRT (Art. 14)
• [ ] Expedientes técnicos del producto (Anexo VII)
• [ ] Proceso de evaluación de la conformidad
• [ ] Gestión del período de soporte (Art. 13(8))
• [ ] Pruebas de seguridad específicas del producto
• [ ] Política CVD (Art. 13(6))
• [ ] Contacto público para vulnerabilidades (Art. 13(7))

Enfoque:

1. Análisis de brechas frente a los requisitos del CRA.
2. Ampliar el alcance del SGSI para incluir productos.
3. Añadir procesos específicos del CRA.
4. Actualizar la documentación.
5. Formar a los equipos relevantes.

Escenario 2: sin ISO 27001, abordando el CRA

Opción A: solo CRA

• Implementar directamente los requisitos del CRA.
• Enfoque centrado en el producto.
• Puede omitir beneficios de seguridad organizativa.
• Camino más rápido al cumplimiento del CRA.

Opción B: ISO 27001 + CRA

• Implementar ambos marcos.
• Postura de seguridad global más sólida.
• Mayor trabajo inicial.
• Mejor posición a largo plazo.

Recomendación: para fabricantes de productos, empieza por los requisitos del CRA (el plazo reglamentario es fijo) y avanza hacia ISO 27001 con el tiempo. Alinea los enfoques desde el principio para no duplicar esfuerzos. Consulta la guía del CRA para startups para un camino con baja carga operativa.

Escenario 3: múltiples productos, SGSI centralizado

Centralizado (SGSI):

• Metodología de riesgos
• Proceso de gestión de vulnerabilidades
• Gestión de proveedores
• Respuesta a incidentes
• Estándares de desarrollo

Por producto (CRA):

• Expediente técnico
• SBOM
• Evaluación de la conformidad
• Documentación del producto
• Período de soporte

Beneficios:

• Reutilización eficiente de procesos
• Enfoque de seguridad coherente
• Experiencia centralizada
• Cumplimiento específico por producto

Cómo integrar el CRA en tu SGSI existente

Modelo de gobernanza

MODELO DE GOBERNANZA INTEGRADO

NIVEL ORGANIZATIVO (ISO 27001):
+---------------------------------------------+
| Sistema de Gestión de Seguridad             |
| de la Información                           |
|                                             |
| - Políticas de seguridad                    |
| - Marco de gestión de riesgos               |
| - Organización de seguridad                 |
| - Concienciación y formación                |
\---------------------------------------------+
            |
            v
NIVEL DE PRODUCTO (CRA):
+---------------------------------------------+
| Cumplimiento de seguridad del producto      |
|                                             |
| +---------+ +---------+ +---------+         |
| |ProductoA| |ProductoB| |ProductoC|         |
| |- Exped. | |- Exped. | |- Exped. |         |
| |  técnico| |  técnico| |  técnico|         |
| |- SBOM   | |- SBOM   | |- SBOM   |         |
| |- DoC    | |- DoC    | |- DoC    |         |
| \---------+ \---------+ \---------+         |
\---------------------------------------------+

Estructura de documentación

DOCUMENTACIÓN INTEGRADA

DOCUMENTACIÓN SGSI (ISO 27001):
+-- Política de Seguridad de la Información
+-- Procedimiento de Evaluación de Riesgos
+-- Declaración de Aplicabilidad
+-- Política de Desarrollo Seguro
+-- Procedimiento de Gestión de Vulnerabilidades
+-- Procedimiento de Respuesta a Incidentes
\-- Política de Seguridad de Proveedores

DOCUMENTACIÓN CRA (por producto):
+-- Expediente Técnico del Producto (Anexo VII)
|   +-- Descripción del producto
|   +-- Evaluación de riesgos
|   +-- Arquitectura de seguridad
|   +-- Informes de pruebas
|   \-- SBOM
+-- Declaración UE de Conformidad
+-- Documentación de Usuario
\-- Declaración del Período de Soporte

REFERENCIAS CRUZADAS:
- El expediente técnico referencia los
  procedimientos del SGSI
- Los procedimientos del SGSI incluyen requisitos CRA
- Registros conservados durante 10 años o el período
  de soporte, lo que sea mayor (Art. 23(2))

Lista de verificación: organización con ISO 27001 que añade el CRA

Evaluación:

• [ ] Revisar el alcance actual del SGSI
• [ ] Identificar productos con elementos digitales
• [ ] Clasificar los productos según las categorías del CRA (Anexo III/IV)
• [ ] Análisis de brechas: SGSI frente a requisitos del CRA

Ampliación del alcance:

• [ ] Añadir la seguridad del producto al alcance del SGSI
• [ ] Actualizar la evaluación de riesgos para incluir productos
• [ ] Ampliar la Declaración de Aplicabilidad

Adiciones de procesos:

• [ ] Proceso de generación de SBOM (Art. 13(5))
• [ ] Procedimiento de notificación al CSIRT (Art. 14)
• [ ] Proceso de evaluación de la conformidad
• [ ] Gestión del período de soporte (Art. 13(8))
• [ ] Procedimiento del expediente técnico del producto (Anexo VII)
• [ ] Política CVD (Art. 13(6))
• [ ] Configuración del contacto público para vulnerabilidades (Art. 13(7))

Documentación:

• [ ] Plantillas de expediente técnico
• [ ] Plantilla de evaluación de riesgos del producto
• [ ] Formato y almacenamiento del SBOM
• [ ] Plantilla de Declaración de Conformidad

Extensiones de controles:

• [ ] A.8.8: añadir vulnerabilidades del producto y notificación al CSIRT
• [ ] A.8.25-28: añadir pruebas de seguridad del producto
• [ ] A.5.19-22: añadir SBOM de proveedores

Roles:

• [ ] Asignar responsable de seguridad del producto
• [ ] Definir responsabilidad de notificación al CSIRT
• [ ] Establecer rol de evaluación de la conformidad
• [ ] Asignar responsable de la política CVD

Formación:

• [ ] Concienciación sobre el CRA para equipos de desarrollo
• [ ] Formación en herramientas de SBOM
• [ ] Formación en evaluación de la conformidad

Recursos oficiales de ISO 27001 y el CRA

ISO 27001:

• ISO/IEC 27001:2022: gestión de seguridad de la información
• ISO/IEC 27002:2022: controles de seguridad de la información

CRA:

• Reglamento (UE) 2024/2847: Reglamento de Ciberresiliencia
• Mapeo de estándares de requisitos del CRA por ENISA (noviembre de 2024)

Estándares complementarios:

• ISO/IEC 27034: seguridad de aplicaciones (conecta SGSI y seguridad del producto)
• IEC 62443: seguridad industrial (adecuado para fabricantes OT/IoT, candidato firme a estándar armonizado del CRA)
• ISO/SAE 21434: seguridad automotriz

Próximos pasos

Este artículo tiene finalidad informativa y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta a un asesor legal cualificado.