Debida diligencia de proveedores CRA: plantilla de cuestionario y proceso de verificación
Un marco práctico de evaluación de proveedores para cumplimiento CRA. Incluye cuestionario listo para usar, señales de alerta a observar y requisitos de monitorización continua.
Equipo CRA Evidence
Publicado 12 de febrero de 2026
Actualizado 25 de febrero de 2026
En este artículo
Tu cumplimiento CRA depende de tus proveedores. Si importas productos, debes verificar el cumplimiento del fabricante. Si fabricas, tus componentes afectan la postura de seguridad de tu producto.
Esta guía proporciona un marco completo de debida diligencia de proveedores, incluyendo un cuestionario que puedes enviar hoy.
Resumen Ejecutivo
- Los importadores deben verificar el cumplimiento CRA del fabricante antes de comercializar productos en la UE
- Los fabricantes deben evaluar las prácticas de seguridad de los proveedores de componentes
- La debida diligencia es continua, no puntual
- Áreas clave: Documentación, gestión de vulnerabilidades, prácticas de seguridad, compromiso de soporte
- Señales de alerta: DoC faltante, sin contacto de seguridad, periodos de soporte cortos, sin SBOM
Consejo: Enfoca tu cuestionario en tres áreas clave: 1) Disponibilidad de SBOM, 2) Capacidad de respuesta ante vulnerabilidades, 3) Periodo de compromiso de actualizaciones de seguridad.
Advertencia: La seguridad de la cadena de suministro es una responsabilidad compartida bajo el CRA. Si los componentes de tu proveedor tienen vulnerabilidades conocidas sin parchear, TU producto no es conforme.
Por qué importa la debida diligencia de proveedores
Para Importadores
El Artículo 19 hace a los importadores responsables de verificar el cumplimiento del fabricante:
- El fabricante ha realizado la evaluación de conformidad
- La documentación técnica está disponible
- El producto lleva marcas e información requeridas
- El fabricante tiene procesos de gestión de vulnerabilidades
Si el fabricante no cumple, no puedes importar legalmente.
Para Fabricantes
Incluso como fabricante, tu producto incluye componentes de proveedores:
- Librerías de software de terceros
- Componentes de hardware
- Módulos de firmware
- Servicios cloud
Las vulnerabilidades en estos componentes se convierten en tus vulnerabilidades. Tu evaluación de conformidad debe considerar riesgos de la cadena de suministro.
Marco de debida diligencia
Enfoque por Niveles
No todos los proveedores requieren el mismo nivel de escrutinio:
Evaluación DE NIVEL DE PROVEEDOR
NIVEL 1 (Crítico):
- Componentes con funciones de seguridad (cripto, auth, firewalls)
- Dependencias de software centrales
- Hardware con firmware
Evaluación: Cuestionario completo + revisión de documentación + monitorización continua
NIVEL 2 (Significativo):
- Componentes de funcionalidad principal
- Elementos conectados a red
- Componentes de procesamiento de datos
Evaluación: Cuestionario estándar + revisión de Documentación
NIVEL 3 (Estándar):
- Componentes no relacionados con seguridad
- Librerías de utilidad
- Hardware periférico
Evaluación: Cuestionario básico + verificaciones puntuales
NIVEL 4 (mínimo):
- Componentes commodity
- OSS bien establecido
- Hardware no conectado
Evaluación: verificación básica + inclusión en SBOM
Áreas de evaluación
Tu debida diligencia debe cubrir:
| Área | Qué estás verificando |
|---|---|
| Cumplimiento regulatorio | DoC, marcado CE, evaluación de conformidad |
| Documentación | Disponibilidad de expediente técnico, provisión de SBOM |
| Gestión de vulnerabilidades | Proceso CVD, tiempos de respuesta, capacidad de actualización |
| Prácticas de seguridad | Desarrollo seguro, pruebas, arquitectura |
| Compromiso de soporte | Periodo de soporte, entrega de actualizaciones, planificación EOL |
| Estabilidad del negocio | Salud financiera, presencia en mercado, contingencia |
El Cuestionario
Usa este cuestionario como punto de partida. Adapta según el nivel del proveedor y tus necesidades específicas.
Sección 1: información de la empresa
CUESTIONARIO DE DEBIDA DILIGENCIA DE PROVEEDORES
Sección 1: información de la empresa
1.1 Datos de la Empresa
Nombre de Empresa: _________________________________
Dirección Legal: __________________________________
País de Constitución: _____________________________
Contacto Principal: _______________________________
Contacto de Seguridad: ____________________________
1.2 información del Negocio
Años en el Negocio: _______________________________
Número de Empleados: ______________________________
Ingresos Anuales (rango): _________________________
1.3 Presencia en la UE
[ ] Establecido en la UE
[ ] Representante Autorizado en la UE (si no-UE)
Nombre/Dirección: _____________________________
[ ] Sin presencia en la UE (explicar acuerdo): ____
1.4 Certificaciones (adjuntar copias)
[ ] ISO 9001 (Gestión de Calidad)
[ ] ISO 27001 (Seguridad de la Información)
[ ] ISO 27701 (Privacidad)
[ ] SOC 2
[ ] Otro: _________________________________________
Sección 2: cumplimiento del producto
Sección 2: cumplimiento del producto
2.1 Identificación del Producto
Nombre/Modelo del Producto: _______________________
Versión/Revisión: ________________________________
Categoría del Producto: ___________________________
2.2 Clasificación CRA
¿Cuál es la Clasificación CRA de este producto?
[ ] Por Defecto
[ ] Importante Clase I (Anexo III, Parte I)
[ ] Importante Clase II (Anexo III, Parte II)
[ ] Crítico (Anexo IV)
[ ] Aún no clasificado
2.3 evaluación de Conformidad
¿Qué ruta de evaluación de conformidad se usó?
[ ] Módulo A (Autoevaluación)
[ ] Módulo B+C (Examen UE de Tipo)
[ ] Módulo H (Aseguramiento de Calidad Total)
[ ] Aún no completada
Si Módulo B, C, o H:
Nombre del Organismo Notificado: __________________
Número de Certificado: ____________________________
Fecha del Certificado: ____________________________
2.4 Declaración de Conformidad UE
[ ] DoC disponible (adjuntar copia)
[ ] DoC aún no emitida
Fecha de la DoC: __________________________________
2.5 Marcado CE
[ ] Marcado CE aplicado
[ ] Marcado CE aún no aplicado
Si aplicado, ubicación en el producto: ____________
2.6 documentación Técnica
[ ] Expediente técnico disponible bajo solicitud
[ ] SBOM disponible (formato: ___________________)
[ ] documentación de evaluación de riesgos disponible
[ ] Instrucciones de usuario/seguridad disponibles
Sección 3: prácticas de seguridad
Sección 3: prácticas de seguridad
3.1 Desarrollo Seguro
¿Siguen un ciclo de vida de desarrollo seguro?
[ ] Sí - Describir: ______________________________
[ ] No
¿Realizan pruebas de seguridad?
[ ] Análisis estático (SAST)
[ ] Análisis dinámico (DAST)
[ ] Pruebas de penetración
[ ] Fuzz testing
[ ] Otro: _________________________________________
¿Tienen un estándar de codificación segura?
[ ] Sí - Cuál: ____________________________________
[ ] No
3.2 Gestión de Componentes
¿Cómo rastrean componentes de terceros?
[ ] SBOM mantenido
[ ] Herramienta de seguimiento de dependencias (nombre: ________)
[ ] Seguimiento manual
[ ] No rastreado sistemáticamente
¿Cómo monitorizan vulnerabilidades en dependencias?
[ ] Escaneo automatizado (herramienta: ___________)
[ ] Monitorización manual de CVE
[ ] Dependen de notificaciones del vendedor
[ ] Sin monitorización sistemática
3.3 Arquitectura de Seguridad
Describa las características de seguridad clave del producto:
__________________________________________________
¿Qué estándares criptográficos se usan?
__________________________________________________
¿Cómo está implementada la autenticación?
__________________________________________________
¿Cómo se protegen los datos en reposo y en tránsito?
__________________________________________________
Sección 4: gestión de vulnerabilidades
Sección 4: gestión de vulnerabilidades
4.1 Divulgación de Vulnerabilidades
¿Tienen una Política de Divulgación coordinada de vulnerabilidades?
[ ] Sí - URL: _____________________________________
[ ] No
¿Tienen un archivo security.txt?
[ ] Sí - URL: _____________________________________
[ ] No
¿Cuál es el método de contacto de seguridad?
[ ] Email: ________________________________________
[ ] Formulario web: _______________________________
[ ] Plataforma de bug bounty: _____________________
[ ] Otro: _________________________________________
4.2 Compromisos de Respuesta
¿Cuál es su cronograma de reconocimiento?
[ ] Dentro de 24 horas
[ ] Dentro de 72 horas
[ ] Dentro de 7 días
[ ] Sin compromiso
¿Cuál es su cronograma típico de parche para:
Vulnerabilidades críticas: ________________________
Vulnerabilidades altas: ___________________________
Vulnerabilidades medias: __________________________
4.3 Notificación a ENISA
¿Están preparados para notificación a ENISA (Sept 2026)?
[ ] Sí, proceso establecido
[ ] En progreso
[ ] No
[ ] No aplica (no fabricante)
4.4 Vulnerabilidades Históricas
¿Cuántas vulnerabilidades de seguridad fueron reportadas
en este producto en los últimos 24 meses? __________
¿Cómo fueron resueltas?
[ ] Todas parcheadas dentro de los cronogramas indicados
[ ] Algunos retrasos (explicar): __________________
[ ] Algunas permanecen sin parchear (explicar): ___
Sección 5: actualizaciones y soporte
Sección 5: actualizaciones y soporte
5.1 Periodo de Soporte
¿Cuál es el período de soporte comprometido desde la
comercialización?
[ ] 5 años (mínimo CRA)
[ ] 7 años
[ ] 10 años
[ ] Otro: _________________________________________
[ ] No definido
¿Cuándo fue este producto comercializado por primera vez en la UE?
Fecha: ____________________________________________
¿Cuándo termina el período de soporte?
Fecha: ____________________________________________
5.2 Mecanismo de Actualización
¿Cómo se entregan las actualizaciones de seguridad?
[ ] Actualizaciones automáticas (OTA)
[ ] Descarga manual desde portal
[ ] Medios físicos
[ ] Otro: _________________________________________
¿Están las actualizaciones de seguridad separadas de las de funciones?
[ ] Sí
[ ] No - agrupadas juntas
¿Pueden los usuarios diferir u omitir actualizaciones?
[ ] Sí
[ ] No - obligatorias
[ ] Configurable
5.3 verificación de Actualizaciones
¿Están firmadas las actualizaciones?
[ ] Sí - Método: __________________________________
[ ] No
¿Pueden los usuarios verificar autenticidad de actualizaciones?
[ ] Sí - Cómo: ____________________________________
[ ] No
5.4 planificación de Fin de Soporte
¿Tienen un proceso de EOL documentado?
[ ] Sí
[ ] No
¿Cómo serán notificados los clientes del EOL?
__________________________________________________
¿Qué sucede después de que termina el período de soporte?
[ ] El producto continúa funcionando
[ ] El producto pierde funcionalidad
[ ] El producto requiere migración
Sección 6: requisitos de documentación
Sección 6: requisitos de documentación
6.1 documentación Disponible
Marque toda la documentación que puede proporcionar:
[ ] Declaración de Conformidad UE
[ ] Expediente técnico (o extractos relevantes)
[ ] Software Bill of Materials (SBOM)
Formato: [ ] CycloneDX [ ] SPDX [ ] Otro
[ ] Resumen de evaluación de riesgos
[ ] Documento de arquitectura de seguridad
[ ] Instrucciones de usuario (relevantes para seguridad)
[ ] Política de Divulgación de vulnerabilidades
[ ] Términos de soporte/mantenimiento
6.2 Entrega de Documentación
¿Cómo se proporcionará la Documentación?
[ ] Bajo solicitud (tiempo de respuesta: _________)
[ ] Vía portal seguro
[ ] Incluida con el producto
[ ] Otro: _________________________________________
6.3 Detalles del SBOM (si disponible)
El SBOM cubre:
[ ] Solo dependencias directas
[ ] Dependencias transitivas incluidas
[ ] Componentes de hardware (si aplica)
Frecuencia de actualización del SBOM:
[ ] Por lanzamiento
[ ] Bajo solicitud
[ ] No actualizado sistemáticamente
Sección 7: compromisos contractuales
Sección 7: compromisos contractuales
7.1 Garantía de Cumplimiento
¿Garantizarán cumplimiento CRA en el contrato?
[ ] Sí
[ ] No
[ ] Negociable
7.2 Retención de Documentación
¿Retendrán documentación técnica por 10 años?
[ ] Sí
[ ] No
[ ] Periodo más corto: ____________________________
7.3 Obligaciones de Notificación
¿Nos notificarán de:
[ ] Vulnerabilidades de seguridad en el producto
[ ] Cambios en estado de conformidad
[ ] Decisiones de fin de soporte
[ ] Cambios materiales en arquitectura de seguridad
7.4 Derechos de Auditoría
¿Permitirán auditorías de cumplimiento?
[ ] Sí - sin restricciones
[ ] Sí - con aviso
[ ] No
7.5 Indemnización
¿Indemnizarán por incumplimiento CRA?
[ ] Sí
[ ] No
[ ] Negociable
Sección 8: atestación
Sección 8: atestación
Atestiguo que la información proporcionada en este cuestionario
es precisa y completa a mi leal saber y entender.
Entiendo que [Tu Empresa] está confiando en esta información
para propósitos de cumplimiento CRA y que declaraciones falsas
materiales pueden resultar en terminación del contrato.
Completado por: ______________________________________
Cargo: ______________________________________________
Fecha: ______________________________________________
Firma: ______________________________________________
Señales de alerta
Observa estas señales de advertencia durante la debida diligencia:
Señales de alerta críticas (detener la relación)
| Señal de Alerta | Por qué es crítica |
|---|---|
| Sin DoC disponible | Producto no puede ser legalmente comercializado en la UE |
| Rechaza proporcionar documentación | No se puede verificar cumplimiento |
| Sin contacto de seguridad | No se pueden notificar vulnerabilidades |
| Periodo de soporte < 5 años | Viola requisito del CRA |
| Sin proceso de gestión de vulnerabilidades | No puede cumplir obligaciones continuas |
Señales de alerta serias (requieren mitigación)
| Señal de Alerta | Acción requerida |
|---|---|
| Sin SBOM disponible | Requerir provisión de SBOM antes de compra |
| Respuesta lenta a vulnerabilidades | Negociar cronogramas contractuales |
| Sin mecanismo de actualización | Entender implicaciones para tu producto |
| No-UE sin representante autorizado | Verificar vía legal de importación |
| Sin certificaciones | Requerir evidencia adicional de prácticas |
Señales amarillas (monitorizar de cerca)
| Señal Amarilla | Acción de monitorización |
|---|---|
| Empresa pequeña/startup | Verificaciones de estabilidad financiera |
| Primer producto CRA | Verificación más frecuente |
| Tiempos de respuesta largos | Procedimientos de escalación |
| Experiencia UE limitada | Apoyo con navegación regulatoria |
Proceso de Verificación
Verificación Inicial
-
Recolección de Documentos
- Solicitar copia de DoC
- Solicitar SBOM (o confirmación de disponibilidad)
- Solicitar información de contacto de seguridad
- Solicitar compromiso de período de soporte
-
Revisión de Documentos
- Verificar que DoC está firmada y completa
- Verificar que identificación de producto coincide
- Verificar declaraciones de marcado CE
- Revisar formato y completitud del SBOM
-
Verificaciones Puntuales de Cumplimiento
- Verificar que existe security.txt (si accesible por web)
- Verificar que Política CVD está publicada
- Probar que contacto de seguridad responde
- Verificar declaraciones de período de soporte en Documentación
Monitorización Continua
PROGRAMA DE MONITORIZACIÓN DE PROVEEDORES
Mensual:
[ ] Verificar avisos de seguridad publicados
[ ] Verificar contacto de seguridad aún funcional
[ ] Revisar cualquier Divulgación de vulnerabilidad
Trimestral:
[ ] Solicitar SBOM actualizado (si lanzamientos significativos)
[ ] Verificar Política CVD aún accesible
[ ] Verificar nuevas certificaciones o caducidades
Anual:
[ ] Actualización completa del cuestionario
[ ] Revisar estado del período de soporte
[ ] Verificar documentación aún disponible
[ ] Revisión de estabilidad del negocio
Basado en Disparadores:
[ ] Incidente de seguridad mayor → Revisión inmediata
[ ] Cambio de propiedad → Re-Evaluación completa
[ ] Discontinuación de producto → planificación EOL
[ ] Renovación de contrato → Re-Verificación de cumplimiento
Cláusulas de acuerdo con proveedores
Cláusulas Esenciales para CRA
Incluye estas disposiciones en contratos con proveedores:
Representación de Cumplimiento:
El Proveedor representa y garantiza que el/los Producto(s)
cumplen con el Reglamento (UE) 2024/2847 (Ley de Ciberresiliencia)
y que el Proveedor ha completado la evaluación de conformidad
requerida.
Provisión de Documentación:
El Proveedor proporcionará bajo solicitud:
(a) Copia de la Declaración de Conformidad UE
(b) Software Bill of Materials en formato [CycloneDX/SPDX]
(c) documentación técnica relevante para las obligaciones
de cumplimiento del Comprador
Tiempo de respuesta: [5 días laborables]
Notificación de Vulnerabilidades:
El Proveedor notificará al Comprador dentro de [24/48] horas
de tomar conocimiento de cualquier vulnerabilidad de seguridad
en el/los Producto(s) que:
(a) Esté siendo activamente explotada, o
(b) Tenga puntuación CVSS de 7.0 o superior, o
(c) Esté sujeta a Divulgación pública
Compromiso de Periodo de Soporte:
El Proveedor se compromete a proporcionar actualizaciones de
seguridad para el/los Producto(s) por un período mínimo de
[5/7/10] años desde la fecha de primera comercialización en la UE.
Actualizaciones de SBOM:
El Proveedor proporcionará un SBOM actualizado dentro de [10]
días laborables de cada lanzamiento de producto que incluya
cambios en componentes de terceros.
Derechos de Auditoría:
El Comprador puede auditar el cumplimiento del Proveedor con
este Acuerdo y los requisitos CRA aplicables con [30 días]
de aviso por escrito, no más de una vez por año a menos que
sea desencadenado por una preocupación de cumplimiento.
Errores Comunes
Confiar en autoatestación
Problema: Aceptar garantías verbales del proveedor sin Documentación.
Solución: Siempre obtener evidencia escrita. Sin copia de DoC = sin compra.
Evaluación Puntual
Problema: Debida diligencia solo al firmar contrato.
Solución: Implementar programa de monitorización continua. El cumplimiento puede cambiar.
Ignorar proveedores nivel 3-4
Problema: Solo evaluar proveedores "principales" mientras ignoras los menores.
Solución: Incluso componentes menores pueden introducir vulnerabilidades. Escalar Evaluación, no omitir.
Sin respaldo contractual
Problema: Confiar en buena voluntad del proveedor sin términos contractuales.
Solución: Poner obligaciones de cumplimiento por escrito. Incluir remedios por incumplimiento.
Esperar hasta diciembre 2027
Problema: Comenzar evaluaciones de proveedores justo antes de aplicación del CRA.
Solución: Comenzar ahora. La evaluación toma tiempo. Proveedores no conformes necesitan tiempo para remediar o ser reemplazados.
Lista de verificación de debida diligencia de proveedores
LISTA DE verificación DE DEBIDA DILIGENCIA DE PROVEEDORES
PRE-CONTRATACIÓN:
[ ] Nivel del proveedor determinado
[ ] Cuestionario apropiado seleccionado
[ ] Revisor interno asignado
Evaluación INICIAL:
[ ] Cuestionario enviado
[ ] Cuestionario recibido y revisado
[ ] Señales de alerta identificadas y abordadas
[ ] documentación recolectada:
[ ] Declaración de Conformidad UE
[ ] SBOM (o disponibilidad confirmada)
[ ] Política CVD
[ ] Compromiso de período de soporte
[ ] Verificaciones puntuales completadas:
[ ] security.txt verificado
[ ] Contacto de seguridad probado
[ ] Marcado CE verificado
NEGOCIACIÓN DE CONTRATO:
[ ] Cláusulas de cumplimiento incluidas
[ ] Disposiciones de documentación acordadas
[ ] Términos de Notificación de vulnerabilidades establecidos
[ ] Compromiso de período de soporte asegurado
[ ] Derechos de auditoría incluidos
[ ] Programa de actualización de SBOM acordado
POST-CONTRATO:
[ ] Programa de monitorización establecido
[ ] Primera entrega de documentación confirmada
[ ] Contactos registrados en sistema de gestión de proveedores
[ ] Fechas de revisión en calendario
CONTINUO:
[ ] Verificaciones mensuales completadas
[ ] Revisiones trimestrales completadas
[ ] Re-Evaluación anual completada
[ ] Eventos disparadores gestionados
Cómo ayuda CRA Evidence
CRA Evidence incluye capacidades de gestión de proveedores:
- Registro de proveedores: Rastrea todos los proveedores con roles CRA
- Seguimiento de cuestionarios: Enviar, recibir, revisar evaluaciones
- Almacenamiento de Documentación: DoCs, SBOMs, certificaciones
- Alertas de monitorización: Rastrear periodos de soporte, fechas de revisión
- Agregación de SBOM: Combinar SBOMs de proveedores en el SBOM de tu producto
Gestiona tu cumplimiento de cadena de suministro en craevidence.com.
Guias Relacionadas
- Como Generar un SBOM Conforme con el CRA: Herramientas, Formatos e Integración CI/CD
- El Expediente Técnico CRA: Que Va en Cada Sección (Desglose del Anexo VII)
- Coste de Cumplimiento CRA: Como Presupuestar la evaluación de Conformidad y Documentación
Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados.
Artículos Relacionados
Guías por país y mercado
ECSMAF v3.0 explicado: cómo ENISA mapea el mercado europeo de ciberseguridad
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.