Debida Diligencia de Proveedores CRA: Plantilla de Cuestionario y Proceso de Verificación

Tu cumplimiento CRA depende de tus proveedores. Si importas productos, debes verificar el cumplimiento del fabricante. Si fabricas, tus componentes afectan la postura de seguridad de tu producto.

Esta Guía proporciona un marco completo de debida diligencia de proveedores, incluyendo un cuestionario Qué puedes enviar hoy.

Por Qué Importa la Debida Diligencia de Proveedores

Para Importadores

El Articulo 19 hace a los importadores responsables de verificar el cumplimiento del fabricante:

• El fabricante ha realizado la Evaluación de conformidad
• La Documentación tecnica esta disponible
• El producto lleva marcas e informacion requeridas
• El fabricante tiene procesos de manejo de vulnerabilidades

Si el fabricante no cumple, no puedes importar legalmente.

Para Fabricantes

Incluso Cómo fabricante, tu producto incluye componentes de proveedores:

• Librerias de software de terceros
• Componentes de hardware
• Modulos de firmware
• Servicios cloud

Las vulnerabilidades en estos componentes se convierten en tus vulnerabilidades. Tu Evaluación de conformidad debe considerar riesgos de la cadena de suministro.

Marco de Debida Diligencia

Enfoque por Niveles

No todos los proveedores requieren el mismo nivel de escrutinio:

Evaluación DE NIVEL DE PROVEEDOR

NIVEL 1 (Critico):
- Componentes con funciones de seguridad (cripto, auth, firewalls)
- Dependencias de software centrales
- Hardware con firmware
Evaluación: Cuestionario completo + revision de Documentación + monitoreo continuo

NIVEL 2 (Significativo):
- Componentes de funcionalidad principal
- Elementos conectados a red
- Componentes de procesamiento de datos
Evaluación: Cuestionario estandar + revision de Documentación

NIVEL 3 (Estandar):
- Componentes no relacionados con seguridad
- Librerias de utilidad
- Hardware periferico
Evaluación: Cuestionario basico + verificaciones puntuales

NIVEL 4 (mínimo):
- Componentes commodity
- OSS bien establecido
- Hardware no conectado
Evaluación: Verificación basica + inclusion en SBOM

Areas de Evaluación

Tu debida diligencia debe cubrir:

El Cuestionario

Usa este cuestionario Cómo punto de partida. Adapta segun el nivel del proveedor y tus necesidades especificas.

sección 1: Informacion de la Empresa

CUESTIONARIO DE DEBIDA DILIGENCIA DE PROVEEDORES
sección 1: Informacion de la Empresa

1.1 Datos de la Empresa
    Nombre de Empresa: _________________________________
    Direccion Legal: __________________________________
    Pais de Constitucion: _____________________________
    Contacto Principal: _______________________________
    Contacto de Seguridad: ____________________________

1.2 Informacion del Negocio
    años en el Negocio: _______________________________
    número de Empleados: ______________________________
    Ingresos Anuales (rango): _________________________

1.3 Presencia en la UE
    [ ] Establecido en la UE
    [ ] Representante Autorizado en la UE (si no-UE)
        Nombre/Direccion: _____________________________
    [ ] Sin presencia en la UE (explicar acuerdo): ____

1.4 Certificaciones (adjuntar copias)
    [ ] ISO 9001 (Gestion de Calidad)
    [ ] ISO 27001 (Seguridad de la Informacion)
    [ ] ISO 27701 (Privacidad)
    [ ] SOC 2
    [ ] Otro: _________________________________________

sección 2: Cumplimiento del Producto

sección 2: Cumplimiento del Producto

2.1 Identificacion del Producto
    Nombre/Modelo del Producto: _______________________
    Version/Revision: ________________________________
    Categoria del Producto: ___________________________

2.2 Clasificación CRA
    ¿Cual es la Clasificación CRA de este producto?
    [ ] Por Defecto
    [ ] Importante Clase I (Anexo III, Parte I)
    [ ] Importante Clase II (Anexo III, Parte II)
    [ ] Critico (Anexo IV)
    [ ] Aun no clasificado

2.3 Evaluación de Conformidad
    ¿Qué ruta de Evaluación de conformidad se uso?
    [ ] Modulo A (Autoevaluacion)
    [ ] Modulo B+C (Examen UE de Tipo)
    [ ] Modulo H (Aseguramiento de Calidad Total)
    [ ] Aun no completada

    Si Modulo B, C, o H:
    Nombre del Organismo Notificado: __________________
    número de Certificado: ____________________________
    Fecha del Certificado: ____________________________

2.4 Declaración de Conformidad UE
    [ ] DoC disponible (adjuntar copia)
    [ ] DoC aun no emitida
    Fecha de la DoC: __________________________________

2.5 Marcado CE
    [ ] Marcado CE aplicado
    [ ] Marcado CE aun no aplicado
    Si aplicado, ubicacion en el producto: ____________

2.6 Documentación Tecnica
    [ ] Expediente tecnico disponible bajo solicitud
    [ ] SBOM disponible (formato: ___________________)
    [ ] Documentación de Evaluación de riesgos disponible
    [ ] Instrucciones de usuario/seguridad disponibles

sección 3: Practicas de Seguridad

sección 3: Practicas de Seguridad

3.1 Desarrollo Seguro
    ¿Siguen un ciclo de vida de desarrollo seguro?
    [ ] Si - Describir: ______________________________
    [ ] No

    ¿Realizan pruebas de seguridad?
    [ ] Analisis estatico (SAST)
    [ ] Analisis dinamico (DAST)
    [ ] Pruebas de penetracion
    [ ] Fuzz testing
    [ ] Otro: _________________________________________

    ¿Tienen un estandar de codificacion segura?
    [ ] Si - Cual: ____________________________________
    [ ] No

3.2 Gestion de Componentes
    ¿Cómo rastrean componentes de terceros?
    [ ] SBOM mantenido
    [ ] Herramienta de seguimiento de dependencias (nombre: ________)
    [ ] Seguimiento manual
    [ ] No rastreado sistematicamente

    ¿Cómo monitorean vulnerabilidades en dependencias?
    [ ] Escaneo automatizado (herramienta: ___________)
    [ ] Monitoreo manual de CVE
    [ ] Dependen de notificaciones del vendedor
    [ ] Sin monitoreo sistematico

3.3 Arquitectura de Seguridad
    Describa las caracteristicas de seguridad clave del producto:
    __________________________________________________

    ¿Qué estandares criptograficos se usan?
    __________________________________________________

    ¿Cómo esta implementada la autenticacion?
    __________________________________________________

    ¿Cómo se protegen los datos en reposo y en transito?
    __________________________________________________

sección 4: Gestion de Vulnerabilidades

sección 4: Gestion de Vulnerabilidades

4.1 Divulgación de Vulnerabilidades
    ¿Tienen una Política de Divulgación coordinada de vulnerabilidades?
    [ ] Si - URL: _____________________________________
    [ ] No

    ¿Tienen un archivo security.txt?
    [ ] Si - URL: _____________________________________
    [ ] No

    ¿Cual es el metodo de contacto de seguridad?
    [ ] Email: ________________________________________
    [ ] Formulario web: _______________________________
    [ ] Plataforma de bug bounty: _____________________
    [ ] Otro: _________________________________________

4.2 Compromisos de Respuesta
    ¿Cual es su cronograma de reconocimiento?
    [ ] Dentro de 24 horas
    [ ] Dentro de 72 horas
    [ ] Dentro de 7 dias
    [ ] Sin compromiso

    ¿Cual es su cronograma tipico de parche para:
    Vulnerabilidades criticas: ________________________
    Vulnerabilidades altas: ___________________________
    Vulnerabilidades medias: __________________________

4.3 Reporte a ENISA
    ¿Estan preparados para reporte a ENISA (Sept 2026)?
    [ ] Si, proceso establecido
    [ ] En progreso
    [ ] No
    [ ] No aplica (no fabricante)

4.4 Vulnerabilidades Historicas
    ¿Cuantas vulnerabilidades de seguridad fueron reportadas
    en este producto en los ultimos 24 meses? __________

    ¿Cómo fueron resueltas?
    [ ] Todas parcheadas dentro de los cronogramas indicados
    [ ] Algunos retrasos (explicar): __________________
    [ ] Algunas permanecen sin parchear (explicar): ___

sección 5: Actualizaciones y Soporte

sección 5: Actualizaciones y Soporte

5.1 Periodo de Soporte
    ¿Cual es el periodo de soporte comprometido desde la
    comercializacion?
    [ ] 5 años (mínimo CRA)
    [ ] 7 años
    [ ] 10 años
    [ ] Otro: _________________________________________
    [ ] No definido

    ¿Cuando fue este producto comercializado por primera vez en la UE?
    Fecha: ____________________________________________

    ¿Cuando termina el periodo de soporte?
    Fecha: ____________________________________________

5.2 Mecanismo de Actualizacion
    ¿Cómo se entregan las actualizaciones de seguridad?
    [ ] Actualizaciones automaticas (OTA)
    [ ] Descarga manual desde portal
    [ ] Medios fisicos
    [ ] Otro: _________________________________________

    ¿Estan las actualizaciones de seguridad separadas de las de funciones?
    [ ] Si
    [ ] No - agrupadas juntas

    ¿Pueden los usuarios diferir u omitir actualizaciones?
    [ ] Si
    [ ] No - obligatorias
    [ ] Configurable

5.3 Verificación de Actualizaciones
    ¿Estan firmadas las actualizaciones?
    [ ] Si - Metodo: __________________________________
    [ ] No

    ¿Pueden los usuarios verificar autenticidad de actualizaciones?
    [ ] Si - Cómo: ____________________________________
    [ ] No

5.4 Planificación de Fin de Soporte
    ¿Tienen un proceso de EOL documentado?
    [ ] Si
    [ ] No

    ¿Cómo seran notificados los clientes del EOL?
    __________________________________________________

    ¿Qué sucede despues de Qué termina el periodo de soporte?
    [ ] El producto continua funcionando
    [ ] El producto pierde funcionalidad
    [ ] El producto requiere migracion

sección 6: Requisitos de Documentación

sección 6: Requisitos de Documentación

6.1 Documentación Disponible
    Marque toda la Documentación Qué puede proporcionar:

    [ ] Declaración de Conformidad UE
    [ ] Expediente tecnico (o extractos relevantes)
    [ ] Software Bill of Materials (SBOM)
        Formato: [ ] CycloneDX [ ] SPDX [ ] Otro
    [ ] Resumen de Evaluación de riesgos
    [ ] Documento de arquitectura de seguridad
    [ ] Instrucciones de usuario (relevantes para seguridad)
    [ ] Política de Divulgación de vulnerabilidades
    [ ] Terminos de soporte/mantenimiento

6.2 Entrega de Documentación
    ¿Cómo se proporcionara la Documentación?
    [ ] Bajo solicitud (tiempo de respuesta: _________)
    [ ] Via portal seguro
    [ ] Incluida con el producto
    [ ] Otro: _________________________________________

6.3 Detalles del SBOM (si disponible)
    El SBOM cubre:
    [ ] Solo dependencias directas
    [ ] Dependencias transitivas incluidas
    [ ] Componentes de hardware (si aplica)

    Frecuencia de actualizacion del SBOM:
    [ ] Por lanzamiento
    [ ] Bajo solicitud
    [ ] No actualizado sistematicamente

sección 7: Compromisos Contractuales

sección 7: Compromisos Contractuales

7.1 Garantia de Cumplimiento
    ¿Garantizaran cumplimiento CRA en el contrato?
    [ ] Si
    [ ] No
    [ ] Negociable

7.2 Retencion de Documentación
    ¿Retendran Documentación tecnica por 10 años?
    [ ] Si
    [ ] No
    [ ] Periodo mas corto: ____________________________

7.3 Obligaciones de Notificación
    ¿Nos notificaran de:
    [ ] Vulnerabilidades de seguridad en el producto
    [ ] Cambios en estado de conformidad
    [ ] Decisiones de fin de soporte
    [ ] Cambios materiales en arquitectura de seguridad

7.4 Derechos de Auditoria
    ¿Permitiran auditorias de cumplimiento?
    [ ] Si - sin restricciones
    [ ] Si - con aviso
    [ ] No

7.5 Indemnizacion
    ¿Indemnizaran por incumplimiento CRA?
    [ ] Si
    [ ] No
    [ ] Negociable

sección 8: Atestacion

sección 8: Atestacion

Atestiguo Qué la informacion proporcionada en este cuestionario
es precisa y completa a mi leal saber y entender.

Entiendo Qué [Tu Empresa] esta confiando en esta informacion
para propositos de cumplimiento CRA y Qué declaraciones falsas
materiales pueden resultar en terminacion del contrato.

Completado por: ______________________________________
Cargo: ______________________________________________
Fecha: ______________________________________________
Firma: ______________________________________________

Senales de Alerta

Observa estas senales de advertencia durante la debida diligencia:

Senales de Alerta Criticas (Detener la relacion)

Senales de Alerta Serias (Requieren mitigacion)

Senales Amarillas (Monitorear de cerca)

Proceso de Verificación

Verificación Inicial

1. Recoleccion de Documentos

   • Solicitar copia de DoC
   • Solicitar SBOM (o confirmacion de disponibilidad)
   • Solicitar informacion de contacto de seguridad
   • Solicitar compromiso de periodo de soporte

2. Revision de Documentos

   • Verificar Qué DoC esta firmada y completa
   • Verificar Qué identificacion de producto coincide
   • Verificar declaraciones de marcado CE
   • Revisar formato y completitud del SBOM

3. Verificaciones Puntuales de Cumplimiento

   • Verificar Qué existe security.txt (si accesible por web)
   • Verificar Qué Política CVD esta publicada
   • Probar Qué contacto de seguridad responde
   • Verificar declaraciones de periodo de soporte en Documentación

Monitoreo Continuo

PROGRAMA DE MONITOREO DE PROVEEDORES

Mensual:
[ ] Verificar avisos de seguridad publicados
[ ] Verificar contacto de seguridad aun funcional
[ ] Revisar cualquier Divulgación de vulnerabilidad

Trimestral:
[ ] Solicitar SBOM actualizado (si lanzamientos significativos)
[ ] Verificar Política CVD aun accesible
[ ] Verificar nuevas certificaciones o caducidades

Anual:
[ ] Actualizacion completa del cuestionario
[ ] Revisar estado del periodo de soporte
[ ] Verificar Documentación aun disponible
[ ] Revision de estabilidad del negocio

Basado en Disparadores:
[ ] Incidente de seguridad mayor → Revision inmediata
[ ] Cambio de propiedad → Re-Evaluación completa
[ ] Discontinuacion de producto → Planificación EOL
[ ] Renovacion de contrato → Re-Verificación de cumplimiento

Clausulas de Acuerdo con Proveedores

Clausulas Esenciales para CRA

Incluye estas disposiciones en contratos con proveedores:

Representacion de Cumplimiento:

El Proveedor representa y garantiza Qué el/los Producto(s)
cumplen con el Reglamento (UE) 2024/2847 (Ley de Ciberresiliencia)
y Qué el Proveedor ha completado la Evaluación de conformidad
requerida.

Provision de Documentación:

El Proveedor proporcionara bajo solicitud:
(a) Copia de la Declaración de Conformidad UE
(b) Software Bill of Materials en formato [CycloneDX/SPDX]
(c) Documentación tecnica relevante para las obligaciones
    de cumplimiento del Comprador
Tiempo de respuesta: [5 dias laborables]

Notificación de Vulnerabilidades:

El Proveedor notificara al Comprador dentro de [24/48] horas
de tomar conocimiento de cualquier vulnerabilidad de seguridad
en el/los Producto(s) Qué:
(a) Este siendo activamente explotada, o
(b) Tenga puntuacion CVSS de 7.0 o superior, o
(c) Este sujeta a Divulgación publica

Compromiso de Periodo de Soporte:

El Proveedor se compromete a proporcionar actualizaciones de
seguridad para el/los Producto(s) por un periodo mínimo de
[5/7/10] años desde la fecha de primera comercializacion en la UE.

Actualizaciones de SBOM:

El Proveedor proporcionara un SBOM actualizado dentro de [10]
dias laborables de cada lanzamiento de producto Qué incluya
cambios en componentes de terceros.

Derechos de Auditoria:

El Comprador puede auditar el cumplimiento del Proveedor con
este Acuerdo y los requisitos CRA aplicables con [30 dias]
de aviso por escrito, no mas de una vez por ano a menos Qué
sea desencadenado por una preocupacion de cumplimiento.

Errores Comunes

Confiar en Auto-Atestacion

Problema: Aceptar garantias verbales del proveedor sin Documentación.

Solucion: Siempre obtener evidencia escrita. Sin copia de DoC = sin compra.

Evaluación Puntual

Problema: Debida diligencia solo al firmar contrato.

Solucion: Implementar programa de monitoreo continuo. El cumplimiento puede cambiar.

Ignorar Proveedores Nivel 3-4

Problema: Solo evaluar proveedores "principales" mientras ignoras los menores.

Solucion: Incluso componentes menores pueden introducir vulnerabilidades. Escalar Evaluación, no omitir.

Sin Respaldo Contractual

Problema: Confiar en buena voluntad del proveedor sin terminos contractuales.

Solucion: Poner obligaciones de cumplimiento por escrito. Incluir remedios por incumplimiento.

Esperar Hasta Diciembre 2027

Problema: Comenzar evaluaciones de proveedores justo antes de aplicacion del CRA.

Solucion: Comenzar ahora. La Evaluación toma tiempo. Proveedores no conformes necesitan tiempo para remediar o ser reemplazados.

Lista de Verificación de Debida Diligencia de Proveedores

LISTA DE Verificación DE DEBIDA DILIGENCIA DE PROVEEDORES

PRE-CONTRATACION:
[ ] Nivel del proveedor determinado
[ ] Cuestionario apropiado seleccionado
[ ] Revisor interno asignado

Evaluación INICIAL:
[ ] Cuestionario enviado
[ ] Cuestionario recibido y revisado
[ ] Senales de alerta identificadas y abordadas
[ ] Documentación recolectada:
    [ ] Declaración de Conformidad UE
    [ ] SBOM (o disponibilidad confirmada)
    [ ] Política CVD
    [ ] Compromiso de periodo de soporte
[ ] Verificaciones puntuales completadas:
    [ ] security.txt verificado
    [ ] Contacto de seguridad probado
    [ ] Marcado CE verificado

NEGOCIACION DE CONTRATO:
[ ] Clausulas de cumplimiento incluidas
[ ] Disposiciones de Documentación acordadas
[ ] Terminos de Notificación de vulnerabilidades establecidos
[ ] Compromiso de periodo de soporte asegurado
[ ] Derechos de auditoria incluidos
[ ] Programa de actualizacion de SBOM acordado

POST-CONTRATO:
[ ] Programa de monitoreo establecido
[ ] Primera entrega de Documentación confirmada
[ ] Contactos registrados en sistema de gestion de proveedores
[ ] Fechas de revision en calendario

CONTINUO:
[ ] Verificaciones mensuales completadas
[ ] Revisiones trimestrales completadas
[ ] Re-Evaluación anual completada
[ ] Eventos disparadores manejados

Cómo Ayuda CRA Evidence

CRA Evidence incluye capacidades de gestion de proveedores:

• Registro de proveedores: Rastrea todos los proveedores con roles CRA
• Seguimiento de cuestionarios: Enviar, recibir, revisar evaluaciones
• Almacenamiento de Documentación: DoCs, SBOMs, certificaciones
• Alertas de monitoreo: Rastrear periodos de soporte, fechas de revision
• Agregacion de SBOM: Combinar SBOMs de proveedores en el SBOM de tu producto

Gestiona tu cumplimiento de cadena de suministro en app.craevidence.com.

Guias Relacionadas

• Como Generar un SBOM Conforme con el CRA: Herramientas, Formatos e Integracion CI/CD
• El Expediente Tecnico CRA: Que Va en Cada Seccion (Desglose del Anexo VII)
• Coste de Cumplimiento CRA: Como Presupuestar la Evaluacion de Conformidad y Documentacion

Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con asesores legales cualificados.