Plataforma de cumplimiento del CRA para
fabricantes, importadores y distribuidores.

Software de cumplimiento del Cyber Resilience Act (CRA) de la UE para SBOMs, flujos de trabajo de vulnerabilidades, informes ENISA y expedientes técnicos. Todo en un solo lugar.

Gestión de Artefactos

Sus SBOMs, validados y versionados

Cargue un archivo CycloneDX o SPDX. Lo validamos contra los criterios de calidad BSI TR-03183, evaluamos su completitud y mantenemos registros listos para auditoría para cada versión del producto.

CycloneDX y SPDX El formato se detecta automáticamente al cargar. Validación de esquema CycloneDX 1.6, análisis SPDX 2.2+.
Puntuación de calidad TR-03183 Métricas ponderadas para completitud de PURL, hashes, proveedor, licencia y versión.
Soporte HBOM y VEX Extracción de Hardware Bill of Materials y Vulnerability Exploitability eXchange desde CycloneDX.
Visualización del grafo de dependencias Árbol interactivo de componentes con Mermaid.js con expansión de dependencias transitivas y navegación por clic.
Comparación de versiones y detección de desviaciones Compare SBOMs entre versiones. Detecte componentes nuevos, eliminados y modificados.
Creación de VEX Cree y publique declaraciones VEX (Vulnerability Exploitability eXchange) directamente en la aplicación. Exporte como CycloneDX VEX.
CycloneDX SPDX HBOM VEX SARIF

Puntuación de calidad

Puntuación automática según el estándar BSI TR-03183 con recomendaciones de mejora.

Árbol de dependencias

Visualice dependencias directas y transitivas con detección de dependencias circulares.

Comparación de versiones

Compare SBOMs entre versiones. Registre qué cambió y por qué.

Verificación de licencias

Identifique combinaciones problemáticas de licencias entre sus componentes.

Escaneo de Vulnerabilidades

Encuentre vulnerabilidades antes que los reguladores

Cada SBOM se escanea contra múltiples bases de datos de vulnerabilidades — NVD vía Trivy y OSV.dev (que agrega avisos de seguridad de GitHub, Go, Rust y PyPI). Cada hallazgo se enriquece con EPSS (Exploit Prediction Scoring System) de FIRST.org para estimar la probabilidad real de explotación en los próximos 30 días — así corrige lo que los atacantes realmente están apuntando, no solo lo que tiene mayor puntuación CVSS. Las versiones de producción y staging se reescanean automáticamente cuando se actualizan las bases de datos de vulnerabilidades, y todos los hallazgos se cruzan con el catálogo CISA Known Exploited Vulnerabilities.

Seguimiento de remediación Ciclo de vida en cinco etapas por vulnerabilidad: inicio, corrección, verificación, publicación. Seguimiento del estado por versión afectada.
Gestión de supresiones Suprima falsos positivos con justificación, fechas de caducidad y flujos de aprobación.
Análisis de alcanzabilidad Marque componentes como alcanzables o no alcanzables para priorizar lo que realmente importa.
Avisos CSAF Ciclo de vida completo de avisos: importar, validar, publicar. De borrador a final con comparación semántica. Conforme al Art. 11 del CRA.
Detección multi-fuente Referencia cruzada Trivy + OSV.dev. Si un escáner no detecta un CVE, el otro lo captura. La deduplicación bidireccional garantiza que no haya duplicados.
Flujo de trabajo VEX automatizado Triage decisions auto-generate draft VEX statements — suppressions, dismissals, and remediation status changes all feed the VEX bridge. Batch review and publish with one click. Export CycloneDX 1.6-compliant VEX per version.
Seguimiento de cobertura VEX Sepa exactamente qué porcentaje de sus vulnerabilidades evaluadas tienen declaraciones VEX publicadas. La métrica de cobertura conecta las decisiones de supresión, el estado de remediación y la autoría VEX en un solo número listo para auditoría.

Qué ocurre cuando carga un fichero

Panel de Eventos de Seguridad de CRA Evidence que muestra el seguimiento de vulnerabilidades e incidentes con plazos de notificación a ENISA, niveles de gravedad y análisis de impacto por producto Haga clic para ampliar
Importación SARIF Análisis de firmware Soporte VEX OSV.dev Puntuación EPSS

Escáneres solo NVD vs. CRA Evidence

Capacidad Solo NVD CRA Evidence
Coverage CVEs generales NVD + GitHub + Go + Rust + PyPI
Inteligencia de exploits CVSS (solo gravedad) EPSS (probabilidad real)
Alertas CISA KEV Automatic
Frecuencia de actualización Diaria Continua (sincronizada con OSV.dev)
Coincidencia de versiones por ecosistema Basado en CPE npm, Maven, Go, Cargo, NuGet, Gem
Soporte VEX Exportación manual (si existe) Auto-borrador desde triaje → Revisión → Publicar
Documentación Técnica

Documentación Técnica Verdaderamente Preparada para el CRA

Artículo 13 exige conservar la documentación técnica durante 10 años después de colocar un producto en el mercado. Generamos los paquetes Anexo VII, certificados e informes de cumplimiento para que no tenga que improvisar cuando una autoridad de vigilancia del mercado llame a su puerta.

Exportación de Archivo Técnico

Un ZIP con todo: manifiesto legible por máquina (JSON), SBOMs (CycloneDX/SPDX), certificaciones, lista de verificación de cumplimiento e informes de atribución. Legible por humanos y por máquinas, estructurado según Annex VII.

Declaración UE de Conformidad

Genere documentos de Declaración UE de Conformidad con formato adecuado, versionado y seguimiento de marcado CE.

Informes de cumplimiento

PDF o HTML. Resumen de vulnerabilidades, inventario de componentes, puntuaciones de calidad y estado de remediación en un informe que puede entregar a los auditores.

Ficha de datos de seguridad

Asistente para la ficha de seguridad de Annex II. Redáctela, valídela y publíquela. Exporte como PDF, Markdown o HTML.

Certificados

Ciclo de vida de certificados: borrador, emisión, revocación. Certificados emitidos inmutables con generación de PDF descargable.

Documentos multidioma

Genere documentos en 6 idiomas: inglés, español, alemán, francés, italiano y polaco.

Preparación para Annex I

Puntúe su producto frente a los 20 requisitos esenciales de ciberseguridad del CRA Annex I Parte I. Haga seguimiento de lo cumplido y lo pendiente.

Firma de artefactos

Firma basada en Sigstore para SBOMs y artefactos. Modos sin clave y con clave con verificación de firma para la integridad de la cadena de suministro.

Seguimiento del período de soporte

Defina y haga seguimiento del período mínimo obligatorio de 5 años de soporte según el Art. 13(5) del CRA. Alertas cuando los productos se acercan al fin de soporte.

Notificaciones ENISA

Cumpla Todos los Plazos de Reporte a ENISA

El CRA Artículo 14 exige notificar a ENISA sobre vulnerabilidades activamente explotadas e incidentes graves. Dos vías separadas con plazos distintos. CRA Evidence gestiona ambas con plantillas estructuradas y seguimiento de cuenta regresiva.

24h

Alerta Temprana

Notificación inicial de vulnerabilidad en las primeras 24 horas desde su descubrimiento. Identificador CVE, productos afectados y evaluación de complejidad del ataque.

72h

Notificación detallada

Análisis técnico con calendario de remediación, soluciones provisionales y evaluación de impacto ampliada en un plazo de 72 horas.

14d

Informe final

Confirmación de resolución con detalles de la corrección permanente, calendario de despliegue y lecciones aprendidas. 14 días para vulnerabilidades, 30 días para incidentes.

Recordatorios de plazos Alertas automáticas antes de que venza cada obligación
Preparado para ENISA SRP Cargas útiles estructuradas para la Plataforma Única de Reporte de ENISA. Integración desde el primer día cuando se lance el API.
Historial de envíos Trazabilidad completa de todas las notificaciones generadas y seguimiento de estado
Gestión de incidentes Flujo de trabajo separado para incidentes graves (Art. 14(3)). Informe final en 30 días frente a 14 días para vulnerabilidades.
Informes PDF y alertas de vencimiento PDFs de alerta temprana, informe detallado e informe final. Cuenta regresiva en el panel cuando se acercan los plazos.
Coordinación con CSIRT Notificación simultánea a ENISA y a su CSIRT nacional según el Artículo 14.
Diseñado para cada rol del CRA

Paneles de Fabricante, Importador y Distribuidor

El CRA impone obligaciones diferentes a fabricantes (Art. 13), importadores (Art. 19) y distribuidores (Art. 20). Cada rol obtiene su propio espacio de trabajo con los flujos de trabajo que realmente le corresponden.

Gestión de productos y versiones

Productos organizados por categoría CRA: Predeterminado, Importante Clase I/Clase II, Crítico. Cada versión registra su estado de publicación, entorno y nivel de retención.

Pipeline completo de artefactos

Cargue SBOM, HBOM y VEX por versión. La puntuación de calidad y el escaneo de vulnerabilidades se inician automáticamente.

Gestión de vulnerabilidades e incidentes

Seguimiento de CVEs, flujos de remediación, notificaciones ENISA. El panel de seguridad clasifica todo por puntuación EPSS y señala las entradas de CISA KEV.

Generación de expedientes técnicos

La exportación Annex VII empaqueta todo en un ZIP: SBOMs legibles por máquina, listas de verificación de cumplimiento, informes de atribución y declaraciones de conformidad. Preparado para auditorías automatizadas de vigilancia del mercado.

Notificaciones a clientes

Sistema de notificación de vulnerabilidades para clientes posteriores. Plantillas multidioma con gestión de listas de distribución.

Insignias de confianza

Insignias de confianza de cumplimiento integrables en las páginas de sus productos. Enlace a la verificación pública del estado de cumplimiento CRA.

Seguimiento de la evaluación de conformidad

Siga su ruta de evaluación según la categoría de producto: autoevaluación (Predeterminado), control interno (Importante Clase I) o evaluación por terceros (Importante Clase II, Crítico).

Flujo de verificación del Art. 19

Lista de verificación paso a paso que cubre lo que exige el Art. 19: verificación del marcado CE, revisión del Annex II, identificación del importador en el producto, Declaración de Conformidad UE recopilada, aprobación final.

Registro de fabricantes

Lleve el registro de sus fabricantes: contactos, representantes en la UE, metadatos CVD/CSAF. Establezca la frecuencia de reverificación de cada uno.

Decisiones de detención de distribución

¿Ha encontrado un problema? Bloquee el producto. Registre su justificación, notifique a las partes interesadas e informe a la autoridad. Todo queda registrado.

Disparadores de reverificación

¿Nueva vulnerabilidad encontrada? ¿Actualización importante publicada? ¿Se acerca la fecha de revisión? Recibirá una alerta para reverificar.

Clonar verificaciones

¿Revisando una nueva versión del mismo producto? Clone la verificación anterior. El estado de la lista de verificación y los datos del fabricante se transfieren.

Panel de verificaciones

Vea de un vistazo el estado de todo: cuántos productos están verificados, pendientes, bloqueados o pendientes de reverificación.

Lista de verificación de diligencia debida del Art. 20

Todo lo que exige el Art. 20, en una lista de verificación: identificación y trazabilidad del producto, marcado CE, declaración UE, contactos del fabricante, detección de anomalías.

Carga de evidencias CE

Cargue sus evidencias de marcado CE: fotos, escaneos, certificados. Las comprobaciones de tipo y tamaño de archivo están integradas y todo queda registrado en auditoría.

Certificados de verificación

Genere certificados PDF que acrediten el cumplimiento de la diligencia debida. Incluye datos del distribuidor, alcance, fecha y número de verificación único.

Acciones de detención de distribución

¿Algo está mal? Detenga la distribución. La justificación queda registrada y se notifica a las autoridades y fabricantes.

Vista de cartera

Vea todas sus verificaciones en un solo lugar. Filtre por estado, producto o fecha de finalización para encontrar lo que requiere atención.

Progreso de cumplimiento

Barras de progreso visuales por producto. Vea de un vistazo el avance de cada verificación y lo que queda.

CI/CD y automatización

Se integra en su pipeline de compilación

Hay un CLI y una API REST. Cargue SBOMs, lance escaneos y controle publicaciones desde CI. Funciona con GitHub Actions, GitLab CI o cualquier herramienta que pueda ejecutar un comando de shell.

Herramienta CLI Cargue SBOM/HBOM/VEX, escanee, compruebe el estado, gestione publicaciones y compare versiones desde la terminal.
Umbrales de fallo por severidad Falle las compilaciones de CI cuando se detecten vulnerabilidades críticas o altas. Configurable por pipeline.
Claves API con alcance definido Permisos granulares: sbom:read, sbom:write, vuln:read, vuln:write y más. Con limitación de frecuencia y auditados.
Webhooks Reciba eventos sobre descubrimiento de vulnerabilidades, avisos de plazos ENISA y otros eventos de cumplimiento.
Motor de políticas Reglas de políticas como código para licencias, umbrales de vulnerabilidad, puntuaciones de calidad y componentes bloqueados. Alcance desde global hasta por versión.
Puertas de aprobación de publicación Flujos de aprobación configurables antes del lanzamiento de versiones. Puertas manuales y verificaciones de condiciones automatizadas.
# Escanee una imagen Docker y cargue el SBOM
$ docker run --rm \
-e CRA_EVIDENCE_API_KEY="cra_xxx" \
-v /var/run/docker.sock:/var/run/docker.sock \
craevidence/cli:latest \
upload-sbom \
--product my-app \
--version 2.1.0 \
--image my-app:2.1.0 \
--scan --fail-on high

Upload successful!

Product       my-app (created new)
Version       2.1.0 (created new)
Components    142
Quality Score 87%

Vulnerabilities
  Critical    0
  High        0
  Medium      3
  Low         1
GitHub Actions GitLab CI Jenkins Cualquier CI
Ver la guía completa de integración CI/CD
Integraciones

Funciona con lo que ya utiliza

Jira

Cree incidencias de vulnerabilidades directamente

Slack

Alertas en tiempo real de vulnerabilidades y plazos

GitHub

Sincronización de avisos de seguridad e integración con repositorios

Dependency-Track

Importe SBOMs desde instancias existentes

Microsoft Teams

Notificaciones en sus canales de Teams

Plazos ENISA

Recordatorios automáticos a las 24h, 72h, 14d/30d

Portal de proveedores

Compartición de SBOMs con clientes con control de acceso

Webhook genérico

Envíe eventos a cualquier endpoint HTTP

Seguridad y confianza

Diseñado para que confíe en nosotros con sus datos de cumplimiento

Control de acceso
Acceso basado en roles

Roles Owner, Admin, Member y Viewer. Claves API con permisos granulares.

SSO y MFA

SAML 2.0, OAuth de Google y Microsoft, aprovisionamiento SCIM. Multifactor TOTP.

Protección de datos
Cifrado

AES-256 en reposo, TLS 1.3 en tránsito. Hash de contraseñas con Argon2id.

Multi-inquilino

Aislamiento completo de inquilinos. Cada consulta respeta los límites de la organización.

Observabilidad
Registro de Auditoría

Trazabilidad completa de todas las acciones. Historial de auditoría consultable con exportación CSV.

Limitación de frecuencia

Limitación de frecuencia por ventana deslizante en endpoints de inicio de sesión, API y carga.

Cumplimiento
Seguridad de contenido

Cabeceras CSP estrictas, protección CSRF, saneamiento HTML y HSTS.

Retención de 10 años

Datos de producción conservados durante 10 años según el Art. 13 del CRA. Retención basada en niveles.

Herramientas Gratuitas

¿No sabe si el CRA le aplica?

Determine sus obligaciones antes de registrarse. Estas herramientas son gratuitas y no requieren cuenta.

Verificador de Aplicabilidad del CRA Asistente de 11 preguntas para determinar si el Cyber Resilience Act se aplica a su producto. Cubre exenciones sectoriales, requisitos de conectividad y clasificación de productos.
Test de rol CRA Averigüe si es fabricante, importador o distribuidor según el CRA. Cada rol tiene obligaciones diferentes.
Resultados compartibles Comparta los resultados de su evaluación con colegas o equipos jurídicos mediante una URL única. Disponible en los 6 idiomas.
Pruebe el verificador de aplicabilidad del CRA Pruebe el test CRA gratuito

Sin necesidad de registro. Tarda unos 2 minutos.

Inicie su sistema de evidencias CRA ahora.

Mapee obligaciones, genere evidencias y manténgase preparado para la auditoría antes del 11 de diciembre de 2027. Prueba gratuita de 14 días, sin tarjeta de crédito.

Crear Cuenta Gratuita
Vea los planes de cumplimiento CRA Lea la guía de cumplimiento CRA