Requisitos de SBOM bajo el Cyber Resilience Act (CRA) de la UE

El Cyber Resilience Act (CRA) de la Unión Europea convierte la Lista de Materiales de Software (SBOM) en un requisito legal para todo producto con elementos digitales comercializado en el mercado europeo. Esta guía explica los estándares de SBOM que exige la regulación europea CRA, los formatos aceptados, los campos obligatorios según BSI TR-03183, los plazos de cumplimiento y las consecuencias del incumplimiento.

¿Qué es un SBOM?

Una Lista de Materiales de Software (SBOM, por sus siglas en inglés) es un inventario estructurado de cada componente de software presente en un producto: bibliotecas, frameworks, paquetes del sistema operativo y sus dependencias. Piensa en él como una etiqueta de ingredientes para el software: detalla exactamente qué contiene para que compradores y reguladores puedan evaluar riesgos, rastrear vulnerabilidades y verificar el cumplimiento de licencias. El CRA convierte este inventario en un requisito legal vinculante para todos los fabricantes que operan en el mercado europeo.

¿Qué exige el CRA para los SBOMs?

El CRA hace referencia a los SBOMs en dos secciones fundamentales:

Anexo I: Requisitos Esenciales

"Los fabricantes identificarán y documentarán las vulnerabilidades y componentes contenidos en los productos, incluyendo la elaboración de una lista de materiales de software en un formato de uso común y legible por máquina."

Esto significa:

• Los SBOMs son obligatorios, no opcionales
• Deben estar en formato legible por máquina (no PDFs ni hojas de cálculo)
• Deben cubrir todos los componentes, incluidas las dependencias transitivas

Anexo VII: Documentación Técnica

El expediente técnico debe incluir información del SBOM que permita:

• Seguimiento de vulnerabilidades a nivel de componente
• Identificación de proveedores
• verificación de cumplimiento de licencias
• planificación de fin de vida

¿Qué formatos SBOM son aceptados bajo el CRA?

El CRA requiere formatos "de uso común y legibles por máquina". En la práctica, dos estándares de SBOM cumplen este requisito:

Ambos formatos son aceptados, pero CycloneDX es cada vez más preferido para casos de uso de seguridad debido a su soporte nativo para:

• Intercambio de Explotabilidad de Vulnerabilidades (VEX)
• Avisos de seguridad
• Grafos de dependencias

graph TD
    SBOM((SBOM))
    SCN[Nombres de Componentes] --> SBOM
    VS[Versiones] --> SBOM
    SUP[Información del Proveedor] --> SBOM
    DEP[Dependencias] --> SBOM
    LIC[Licencias] --> SBOM
    PURL[URLs de Paquete] --> SBOM
    HASH[Valores Hash] --> SBOM
    OSC[Componentes de Código Abierto] --> SBOM
    style SBOM fill:#008080,color:#fff,stroke:#006666,stroke-width:4px
    style SCN fill:#e8f4f8,stroke:#008080,color:#333
    style VS fill:#e8f4f8,stroke:#008080,color:#333
    style SUP fill:#e8f4f8,stroke:#008080,color:#333
    style DEP fill:#e8f4f8,stroke:#008080,color:#333
    style LIC fill:#e8f4f8,stroke:#008080,color:#333
    style PURL fill:#e8f4f8,stroke:#008080,color:#333
    style HASH fill:#e8f4f8,stroke:#008080,color:#333
    style OSC fill:#e8f4f8,stroke:#008080,color:#333

¿Qué campos debe contener un SBOM?

La Oficina Federal de Seguridad de la información de Alemania (BSI) ha publicado TR-03183, que proporciona requisitos detallados de calidad de SBOM que van más allá del mínimo exigido por el CRA. Utilízalo como referencia para cumplir con los estándares de SBOM europeos.

Campos Obligatorios (BSI TR-03183)

• Nombre y versión del componente
• información del proveedor/fabricante
• Identificadores únicos (PURL, CPE)
• Relaciones de dependencia
• información de licencias

Niveles de Calidad

TR-03183 define tres niveles de calidad:

Aunque TR-03183 es un estándar alemán, se está convirtiendo en el punto de referencia de calidad de facto para el cumplimiento del CRA en toda la UE. Los fabricantes que cumplan con el nivel "Completo" estarán en la mejor posición para demostrar conformidad ante las autoridades de vigilancia del mercado.

¿Cuáles son los plazos de cumplimiento SBOM del CRA?

El CRA establece un calendario de aplicación escalonado. Los fabricantes deben prepararse para dos fechas clave:

Los productos comercializados en el mercado de la UE después de diciembre de 2027 que carezcan de un SBOM conforme no podrán llevar el marcado CE y no podrán venderse legalmente.

¿Qué sucede si no cumples?

El incumplimiento del CRA conlleva consecuencias severas:

• Multas de hasta 15 millones de EUR o el 2,5% de la facturación anual global (lo que sea mayor)
• Retirada del producto del mercado de la UE
• Prohibición de comercialización — los productos no conformes no pueden llevar el marcado CE
• Impacto en la cadena de suministro — tus clientes podrían no poder utilizar tu producto para su propio cumplimiento del CRA

Las autoridades de vigilancia del mercado de cada Estado miembro de la UE serán las encargadas de aplicar estas sanciones. Para productos con elementos digitales clasificados como "importantes" o "críticos", la supervisión será aún más estricta.

Errores comunes de SBOM

1. Árboles de Dependencias Incompletos

Muchas herramientas solo capturan dependencias directas. El CRA requiere dependencias transitivas, es decir, componentes de los que dependen tus propias dependencias.

Tu Producto
├── Biblioteca A (directa) ✓
│   ├── Biblioteca B (transitiva) ← ¡A menudo falta!
│   └── Biblioteca C (transitiva) ← ¡A menudo falta!
└── Biblioteca D (directa) ✓

2. Información de Versión Faltante

Un SBOM sin información de versión precisa es prácticamente inútil para la detección de vulnerabilidades. Asegúrate de que cada componente tenga:

• Números de versión exactos (no rangos)
• Valores hash para componentes binarios
• Identificadores PURL siempre que sea posible

3. SBOMs Desactualizados

Un SBOM generado en tiempo de compilación pero nunca actualizado crea una falsa sensación de seguridad. Implementa:

• Integración CI/CD para generación automática de SBOM en cada build
• Control de versiones para artefactos SBOM
• Detección periódica de desviaciones entre compilaciones

4. Ignorar Firmware y Hardware

Para productos con componentes embebidos, no olvides incluir:

• Versiones y componentes de firmware
• Lista de Materiales de Hardware (HBOM) cuando corresponda
• Componentes de bootloader y kernel

Cómo empezar

1. Audita tu estado actual: ¿Generas SBOMs hoy? ¿En qué formato? ¿Qué cobertura tienen? Identifica las lagunas antes de actuar.

2. Elige tu formato: CycloneDX para enfoque en seguridad, SPDX para cumplimiento de licencias (o ambos). Ambos cumplen con los estándares de SBOM del CRA.

3. Automatiza la generación: Integra la generación de SBOM en tu pipeline CI/CD usando herramientas como Syft, Trivy o cdxgen. Cada build debe producir un SBOM actualizado automáticamente.

4. Valida la calidad: Comprueba tus SBOMs contra los requisitos de TR-03183 — ¿están todos los campos obligatorios completos? ¿El árbol de dependencias incluye las transitivas?

5. Implementa monitoreo continuo: Vincula tus SBOMs a bases de datos de vulnerabilidades (NVD, OSV, GitHub Advisory Database, CISA KEV) para detectar nuevas amenazas en componentes existentes.

6. Planifica las actualizaciones: Establece procesos para que cada versión de producto genere un SBOM nuevo y validado. Almacénalos de forma segura con controles de acceso y reténlos durante el período de soporte del producto (mínimo 5 años bajo el CRA).

Cómo ayuda CRA Evidence

CRA Evidence proporciona gestión integral de SBOM para cumplir con los estándares de SBOM europeos:

• Carga y Validación: Soporte para CycloneDX y SPDX con puntuación de calidad TR-03183
• Escaneo de Vulnerabilidades: Detección automática contra NVD, OSV y otras bases de datos
• Seguimiento de Versiones: Historial de SBOM y detección de desviaciones entre versiones de producto
• Exportación: Incluye SBOMs validados en tu expediente técnico del Anexo VII

Establecer una práctica sólida de SBOM es la base del cumplimiento del CRA. Empieza a desarrollar estas capacidades ahora — la fecha límite de notificación de vulnerabilidades de septiembre 2026 se acerca rápidamente.

Guías Relacionadas

Generación: Aprende a automatizar la creación de SBOM en nuestra guía de generación de SBOM.

Calidad: Comprende los requisitos de calidad de SBOM en nuestra guía BSI TR-03183.

VEX: Complementa tu SBOM con datos de vulnerabilidades usando documentos VEX.

Expediente Técnico: Descubre cómo los SBOMs encajan en el expediente técnico CRA (Anexo VII).

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con un abogado cualificado.