Resumen
Este glosario cubre la terminología esencial del Reglamento de Ciberresiliencia de la UE (CRA): SBOM (Lista de Materiales de Software), CycloneDX, SPDX, VEX (Intercambio de Explotabilidad de Vulnerabilidades), CSAF, CVE, EPSS, KEV, TR-03183, informes ENISA, marcado CE, normas armonizadas, organismos notificados, evaluación de riesgos, requisitos de expediente técnico y evaluación de conformidad. Use esta referencia al prepararse para el cumplimiento CRA antes de la fecha límite de diciembre de 2027.
Glosario de Cumplimiento CRA
Terminología esencial para comprender el Reglamento de Ciberresiliencia de la UE, los estándares de seguridad de la cadena de suministro de software y los requisitos de cumplimiento.
A
Anexo VII
El Anexo VII del CRA especifica el contenido mínimo de la Declaración UE de Conformidad que los fabricantes deben elaborar para productos con elementos digitales. Incluye identificación del producto, datos del fabricante, normas aplicadas y la firma de un representante autorizado.
Artículo 13 - Obligaciones de los Fabricantes
El Artículo 13 del CRA establece las obligaciones fundamentales del fabricante: seguridad por diseño, mantenimiento de SBOM, gestión de vulnerabilidades, provisión de actualizaciones de seguridad durante todo el ciclo de vida del producto y mantenimiento de la documentación técnica durante al menos 10 años.
Artículo 14 - Obligaciones de Reporte
El Artículo 14 del CRA exige que los fabricantes notifiquen a ENISA sobre vulnerabilidades activamente explotadas en 24 horas (alerta temprana), 72 horas (informe detallado) y 14 días (informe final). Los incidentes graves siguen el mismo patrón pero con un plazo de informe final de 30 días.
C
Marcado CE
Marca de conformidad europea que indica cumplimiento con la legislación de la UE. Según el CRA, los productos con elementos digitales deben llevar el marcado CE para venderse legalmente en el mercado de la UE. Requiere completar la evaluación de conformidad y la Declaración UE de Conformidad.
Evaluación de Conformidad
Proceso que verifica que un producto cumple los requisitos esenciales de ciberseguridad del CRA. Productos predeterminados pueden utilizar la autoevaluación (Módulo A), mientras que Importante Clase I, Clase II y Productos críticos requieren evaluación por terceros ante organismos notificados.
CRA - Ley de Ciberresiliencia
Reglamento UE 2024/2847 que establece requisitos obligatorios de ciberseguridad para productos con elementos digitales (PDE) vendidos en la Unión Europea. Entró en vigor el 10 de diciembre de 2024. Las obligaciones principales se aplican desde el 11 de diciembre de 2027. Cubre productos de hardware y software con conectividad de red.
CSAF - Marco Común de Avisos de Seguridad
Estándar OASIS para avisos de seguridad legibles por máquina. Permite el procesamiento automatizado de divulgaciones de vulnerabilidades. Utilizado para divulgación coordinada de vulnerabilidades (CVD) e informes ENISA bajo los requisitos del CRA.
CVD - Divulgación Coordinada de Vulnerabilidades
Proceso para divulgar responsablemente vulnerabilidades de seguridad a los proveedores antes del anuncio público. El Artículo 13(8) del CRA requiere que los fabricantes establezcan y publiquen políticas de CVD, incluyendo información de contacto de seguridad.
CVE - Vulnerabilidades y Exposiciones Comunes
Identificador estandarizado para vulnerabilidades de ciberseguridad conocidas públicamente (ej., CVE-2024-12345). Gestionado por MITRE Corporation. Utilizado globalmente para seguimiento de vulnerabilidades, divulgación y coordinación de remediación.
CVSS - Sistema Común de Puntuación de Vulnerabilidades
Estándar de la industria para evaluar la gravedad de vulnerabilidades en una escala de 0-10. CVSS 4.0 es la última versión. Proporciona métricas base, temporales y ambientales. Crítico (9.0-10.0), Alto (7.0-8.9), Medio (4.0-6.9), Bajo (0.1-3.9).
CycloneDX
Estándar OWASP para crear Listas de Materiales de Software (SBOMs) y artefactos relacionados. Soporta SBOM, VEX, HBOM, SaaSBOM y más. Se recomienda versión 1.5+. Referenciado por BSI TR-03183 como formato preferido para cumplimiento CRA.
Producto crítico — CRA Anexo IV
Productos con elementos digitales que realizan funciones esenciales de ciberseguridad para otros productos, redes o servicios. Enumerados en el Anexo IV del CRA, incluyen módulos de seguridad hardware (HSM), lectores de tarjetas inteligentes, elementos seguros y dispositivos hardware con cajas de seguridad. Los productos críticos requieren certificación europea de ciberseguridad según un esquema aplicable o, en ausencia de dicho esquema, una evaluación de conformidad por terceros ante un organismo notificado.
D
Categoría de producto predeterminada
Productos con elementos digitales que no pertenecen a las categorías Importante o Crítico definidas en los Anexos III y IV del CRA. Los productos predeterminados pueden someterse a la evaluación de conformidad mediante control interno (autoevaluación) por parte del fabricante según el Anexo VIII del CRA, sin intervención de terceros. Esto abarca la gran mayoría del software y hardware comercial y de consumo.
Distribuidor
Cualquier entidad en la cadena de suministro, distinta del fabricante o importador, que comercializa un producto con elementos digitales en el mercado de la UE. Los distribuidores deben verificar que el producto lleve el marcado CE y vaya acompañado de la Declaración de Conformidad UE antes de comercializarlo. Si un distribuidor modifica el producto, se convierte en fabricante según el CRA.
E
ENISA - Agencia de la Unión Europea para la Ciberseguridad
Agencia de la UE responsable de la política de ciberseguridad y la coordinación de incidentes. Según el CRA, los fabricantes deben informar a ENISA sobre vulnerabilidades activamente explotadas en 24 horas e incidentes graves en 72 horas. La obligación de informar comienza el 11 de septiembre de 2026.
EPSS - Sistema de Puntuación de Predicción de Explotación
Modelo de FIRST.org que estima la probabilidad (0-100%) de que una vulnerabilidad sea explotada en el entorno real en los próximos 30 días. Utilizado para la priorización de vulnerabilidades basada en riesgo junto con CVSS. Mayor EPSS = mayor prioridad para remediación.
Declaración UE de Conformidad
Documento formal que declara que un producto cumple con la legislación aplicable de la UE incluyendo el CRA. Debe ser firmado por el fabricante o representante autorizado. Requerido para el marcado CE. Debe hacer referencia a las normas armonizadas aplicables.
H
HBOM - Lista de Materiales de Hardware
Inventario legible por máquina de componentes de hardware en un producto, incluyendo procesadores, memoria, circuitos integrados y firmware. Complementa el SBOM para una transparencia completa del producto. CycloneDX soporta el formato HBOM.
Normas Armonizadas
Normas europeas adoptadas por organismos de normalización reconocidos (CEN, CENELEC, ETSI) y referenciadas en el Diario Oficial de la UE. Los productos conformes con normas armonizadas se benefician de una presunción de conformidad con los requisitos esenciales del CRA correspondientes, simplificando la evaluación de conformidad.
I
Importador
Entidad establecida en la UE que introduce en el mercado europeo un producto con elementos digitales de un fabricante de fuera de la UE. Los importadores deben verificar que el fabricante ha realizado la evaluación de conformidad, que se ha aplicado el marcado CE y que la documentación técnica está disponible. Comparten responsabilidad por productos no conformes.
Producto importante (Clase I) — CRA Anexo III, Parte I
Productos con elementos digitales que realizan una función relevante para la ciberseguridad o conllevan un riesgo elevado. La Clase I incluye sistemas de gestión de identidades, VPN, herramientas de gestión de redes, sistemas SIEM, gestores de arranque y otras categorías enumeradas en el Anexo III Parte I del CRA. Los fabricantes deben aplicar normas armonizadas que cubran todos los requisitos esenciales (lo que permite la autoevaluación) o someterse a una evaluación de conformidad por terceros ante un organismo notificado.
Producto importante (Clase II) — CRA Anexo III, Parte II
Productos con elementos digitales que realizan funciones críticas de ciberseguridad y conllevan un riesgo significativo. La Clase II incluye sistemas operativos, hipervisores, cortafuegos, sistemas de detección de intrusiones, microcontroladores, sistemas de automatización industrial y otras categorías enumeradas en el Anexo III Parte II del CRA. Estos productos siempre requieren una evaluación de conformidad por terceros ante un organismo notificado, independientemente de que existan normas armonizadas.
K
KEV - Vulnerabilidades Explotadas Conocidas
Catálogo oficial de CISA de vulnerabilidades activamente explotadas en el mundo real. Máxima prioridad para remediación ya que representan amenazas reales confirmadas. Las agencias federales deben remediar las vulnerabilidades KEV dentro de los plazos especificados.
M
Fabricante
La entidad que desarrolla o fabrica un producto con elementos digitales y lo comercializa en el mercado de la UE bajo su propio nombre o marca. Los fabricantes asumen las obligaciones principales del CRA: realizar evaluaciones de riesgos, mantener SBOMs, gestionar vulnerabilidades, proporcionar actualizaciones de seguridad durante al menos cinco años e informar de vulnerabilidades explotadas a ENISA.
N
NVD - Base de Datos Nacional de Vulnerabilidades
Repositorio gubernamental de EE.UU. de datos de vulnerabilidades mantenido por NIST. Basado en identificadores CVE. Proporciona puntuaciones CVSS, información CPE (producto afectado), clasificaciones CWE y guías de remediación.
Organismo Notificado
Organismo independiente de evaluación de conformidad designado por un Estado miembro de la UE para evaluar si los productos cumplen los requisitos reglamentarios. Requerido para la evaluación de conformidad por terceros de Importante Clase I, Clase II y Productos críticos según los Anexos III y IV del CRA.
O
OSV.dev - Base de Datos de Vulnerabilidades de Código Abierto
Base de datos de vulnerabilidades de código abierto mantenida por Google. Agrega avisos de seguridad de GitHub (GHSA), Go, Rust, PyPI y más de 15 ecosistemas en una única API consultable. CRA Evidence usa OSV.dev como fuente secundaria de vulnerabilidades junto a NVD para capturar avisos que las bases de datos específicas de ecosistema rastrean antes de recibir identificadores CVE.
P
PDE - Producto con Elementos Digitales
Cualquier producto de software o hardware con conexión (directa o indirecta) a otro dispositivo o red. El alcance principal de la regulación CRA. Incluye dispositivos IoT, equipos industriales, electrónica de consumo y software independiente.
PURL - URL de Paquete
Formato estandarizado para identificar paquetes de software en diferentes ecosistemas (ej., pkg:npm/lodash@4.17.21). Utilizado en SBOMs para identificar componentes de forma única. Permite la coincidencia automatizada de vulnerabilidades y cumplimiento de licencias.
R
Evaluación de Riesgos
Proceso sistemático de identificación, análisis y evaluación de riesgos de ciberseguridad asociados a un producto con elementos digitales. Exigido por el Artículo 13(2) del CRA y debe documentarse en el expediente técnico. Abarca amenazas, vulnerabilidades, impacto potencial y medidas de mitigación de riesgos durante todo el ciclo de vida del producto.
S
SBOM - Lista de Materiales de Software
Inventario formal y legible por máquina de componentes de software y dependencias, incluyendo versiones, licencias y relaciones. Requerido por el Artículo 13(4) del CRA para gestión de vulnerabilidades y transparencia de la cadena de suministro. Puede estar en formato CycloneDX o SPDX.
SPDX - Intercambio de Datos de Paquetes de Software
Estándar ISO/IEC 5962:2021 para comunicar información de lista de materiales de software. Desarrollado por la Linux Foundation. Ampliamente utilizado para cumplimiento de licencias y seguimiento de vulnerabilidades. Se recomienda la versión 2.2.1+ para cumplimiento CRA.
T
Expediente Técnico
Paquete completo de documentación que demuestra el cumplimiento CRA. Incluye evaluación de riesgos, SBOM, documentación de diseño de seguridad, procedimientos de manejo de vulnerabilidades, resultados de pruebas y Declaración UE de Conformidad. Debe conservarse durante 10 años o la vida útil del producto (lo que sea más largo).
TR-03183
Guía Técnica del BSI alemán (Oficina Federal de Seguridad de la Información) que proporciona requisitos detallados para la creación y gestión de SBOM. Ampliamente referenciada como mejor práctica para el cumplimiento del Artículo 13 del CRA. Especifica campos mínimos de SBOM, formatos y requisitos de actualización.
V
VEX - Intercambio de Explotabilidad de Vulnerabilidades
Documento que comunica el estado de explotabilidad de las vulnerabilidades en un producto específico. Indica si un CVE afecta a su producto (afectado, no afectado, corregido, en investigación). Ayuda a los usuarios posteriores a reducir la fatiga de alertas por falsos positivos.
¿Listo para cumplir con el CRA?
CRA Evidence le ayuda a gestionar SBOMs, rastrear vulnerabilidades y generar documentación lista para auditoría.