Glosario de Cumplimiento CRA
Terminología esencial para comprender el Reglamento de Ciberresiliencia de la UE, los estándares de seguridad de la cadena de suministro de software y los requisitos de cumplimiento.
No se encontraron términos coincidentes.
A
Anexo VII
El Anexo VII del CRA especifica el contenido mínimo de la Declaración UE de Conformidad que los fabricantes deben elaborar para productos con elementos digitales. Incluye identificación del producto, datos del fabricante, normas aplicadas y la firma de un representante autorizado.
Artículo 13 - Obligaciones de los Fabricantes
El Artículo 13 del CRA establece las obligaciones fundamentales del fabricante: seguridad por diseño, mantenimiento de SBOM, gestión de vulnerabilidades, provisión de actualizaciones de seguridad durante todo el ciclo de vida del producto y mantenimiento de la documentación técnica durante al menos 10 años.
Artículo 14 - Obligaciones de Notificación
El Artículo 14 del CRA exige que los fabricantes notifiquen a ENISA sobre vulnerabilidades activamente explotadas en 24 horas (alerta temprana), 72 horas (informe detallado) y 14 días (informe final). Los incidentes graves siguen el mismo patrón pero con un plazo de informe final de 30 días.
C
CRA - Ley de Ciberresiliencia
Reglamento UE 2024/2847 que establece requisitos obligatorios de ciberseguridad para productos con elementos digitales (PDE) vendidos en la Unión Europea. Entró en vigor el 10 de diciembre de 2024. Las obligaciones principales se aplican desde el 11 de diciembre de 2027. Cubre productos de hardware y software con conectividad de red.
CSAF - Marco Común de Avisos de Seguridad
Estándar OASIS para avisos de seguridad legibles por máquina. Permite el procesamiento automatizado de divulgaciones de vulnerabilidades. Utilizado para divulgación coordinada de vulnerabilidades (CVD) e informes ENISA bajo los requisitos del CRA.
CSIRT - Computer Security Incident Response Teams
Organismos de ciberseguridad designados que los fabricantes deben notificar sobre vulnerabilidades activamente explotadas e incidentes significativos en virtud del Artículo 14 del CRA, y que coordinan con ENISA la respuesta a las vulnerabilidades a nivel de la UE.
CVD - Divulgación Coordinada de Vulnerabilidades
Proceso para divulgar responsablemente vulnerabilidades de seguridad a los proveedores antes del anuncio público. El Artículo 13(8) del CRA requiere que los fabricantes establezcan y publiquen políticas de CVD, incluyendo información de contacto de seguridad.
CVE - Vulnerabilidades y Exposiciones Comunes
Identificador estandarizado para vulnerabilidades de ciberseguridad conocidas públicamente (ej., CVE-2024-12345). Gestionado por MITRE Corporation. Utilizado globalmente para seguimiento de vulnerabilidades, divulgación y coordinación de remediación.
CVSS - Sistema Común de Puntuación de Vulnerabilidades
Estándar de la industria para evaluar la gravedad de vulnerabilidades en una escala de 0-10. CVSS 4.0 es la última versión. Proporciona métricas base, temporales y ambientales. Crítico (9.0-10.0), Alto (7.0-8.9), Medio (4.0-6.9), Bajo (0.1-3.9).
CycloneDX
Estándar OWASP para crear Listas de Materiales de Software (SBOMs) y artefactos relacionados. Admite SBOM, VEX, HBOM, SaaSBOM y más. Se recomienda versión 1.5+. Referenciado por BSI TR-03183 como formato preferido para cumplimiento CRA.
D
Declaración UE de Conformidad
Documento formal que declara que un producto cumple con la legislación aplicable de la UE incluyendo el CRA. Debe ser firmado por el fabricante o representante autorizado. Requerido para el marcado CE. Debe hacer referencia a las normas armonizadas aplicables.
Distribuidor
Cualquier entidad en la cadena de suministro, distinta del fabricante o importador, que comercializa un producto con elementos digitales en el mercado de la UE. Los distribuidores deben verificar que el producto lleve el marcado CE y vaya acompañado de la Declaración de Conformidad UE antes de comercializarlo. Si un distribuidor modifica el producto, se convierte en fabricante según el CRA.
E
ENISA - Agencia de la Unión Europea para la Ciberseguridad
Agencia de la UE responsable de la política de ciberseguridad y la coordinación de incidentes. Según el CRA, los fabricantes deben informar a ENISA sobre vulnerabilidades activamente explotadas en 24 horas e incidentes graves en 72 horas. La obligación de informar comienza el 11 de septiembre de 2026.
EPSS - Sistema de Puntuación de Predicción de Explotación
Modelo de FIRST.org que estima la probabilidad (0-100%) de que una vulnerabilidad sea explotada en el entorno real en los próximos 30 días. Utilizado para la priorización de vulnerabilidades basada en riesgo junto con CVSS. Mayor EPSS = mayor prioridad para remediación.
Evaluación de Conformidad
Proceso que verifica que un producto cumple los requisitos esenciales de ciberseguridad del CRA. Productos predeterminados pueden utilizar la autoevaluación (Módulo A), mientras que Producto importante (Clase I), Producto importante (Clase II) y Productos críticos requieren evaluación por terceros ante organismos notificados.
Evaluación de Riesgos
Proceso sistemático de identificación, análisis y evaluación de riesgos de ciberseguridad asociados a un producto con elementos digitales. Exigido por el Artículo 13(2) del CRA y debe documentarse en el expediente técnico. Abarca amenazas, vulnerabilidades, impacto potencial y medidas de mitigación de riesgos durante todo el ciclo de vida del producto.
Expediente Técnico
Paquete completo de documentación que demuestra el cumplimiento CRA. Incluye evaluación de riesgos, SBOM, documentación de diseño de seguridad, procedimientos de gestión de vulnerabilidades, resultados de pruebas y Declaración UE de Conformidad. Debe conservarse durante 10 años o la vida útil del producto (lo que sea más largo).
F
Fabricante
La entidad que desarrolla o fabrica un producto con elementos digitales y lo comercializa en el mercado de la UE bajo su propio nombre o marca. Los fabricantes asumen las obligaciones principales del CRA: realizar evaluaciones de riesgos, mantener SBOMs, gestionar vulnerabilidades, proporcionar actualizaciones de seguridad durante al menos cinco años e informar de vulnerabilidades explotadas a ENISA.
H
HBOM - Lista de Materiales de Hardware
Inventario legible por máquina de componentes de hardware en un producto, incluyendo procesadores, memoria, circuitos integrados y firmware. Complementa el SBOM para una transparencia completa del producto. CycloneDX admite el formato HBOM.
I
Importador
Entidad establecida en la UE que introduce en el mercado europeo un producto con elementos digitales de un fabricante de fuera de la UE. Los importadores deben verificar que el fabricante ha realizado la evaluación de conformidad, que se ha aplicado el marcado CE y que la documentación técnica está disponible. Comparten responsabilidad por productos no conformes.
K
KEV - Vulnerabilidades Explotadas Conocidas
Catálogo oficial de CISA de vulnerabilidades activamente explotadas en el mundo real. Máxima prioridad para remediación ya que representan amenazas reales confirmadas. Las agencias federales deben remediar las vulnerabilidades KEV dentro de los plazos especificados.
M
Marcado CE
Marca de conformidad europea que indica cumplimiento con la legislación de la UE. Según el CRA, los productos con elementos digitales deben llevar el marcado CE para venderse legalmente en el mercado de la UE. Requiere completar la evaluación de conformidad y la Declaración UE de Conformidad.
N
Normas Armonizadas
Normas europeas adoptadas por organismos de normalización reconocidos (CEN, CENELEC, ETSI) y referenciadas en el Diario Oficial de la UE. Los productos conformes con normas armonizadas se benefician de una presunción de conformidad con los requisitos esenciales del CRA correspondientes, simplificando la evaluación de conformidad.
NVD - Base de Datos Nacional de Vulnerabilidades
Repositorio gubernamental de EE.UU. de datos de vulnerabilidades mantenido por NIST. Basado en identificadores CVE. Proporciona puntuaciones CVSS, información CPE (producto afectado), clasificaciones CWE y guías de remediación.
O
Organismo Notificado
Organismo de evaluación de conformidad independiente designado por un Estado miembro de la UE para evaluar si los productos cumplen los requisitos reglamentarios. Requerido para la evaluación de conformidad por terceros de Producto importante (Clase I), Producto importante (Clase II) y Productos críticos según los Anexos III y IV del CRA.
OSV.dev - Base de Datos de Vulnerabilidades de Código Abierto
Base de datos de vulnerabilidades de código abierto mantenida por Google. Agrega avisos de seguridad de GitHub (GHSA), Go, Rust, PyPI y más de 15 ecosistemas en una única API consultable. CRA Evidence usa OSV.dev como fuente secundaria de vulnerabilidades junto a NVD para capturar avisos que las bases de datos específicas de ecosistema rastrean antes de recibir identificadores CVE.
P
PDE - Producto con Elementos Digitales
A product with digital elements is hardware or software placed on the EU market whose intended or reasonably foreseeable use involves a direct or indirect data connection to another device or network. The legal definition is in CRA Article 3(1). The CRA distinguishes four forms: software products (Article 3(4)), hardware products (Article 3(5)), components placed on the market separately (Article 3(6), including firmware and SDKs), and remote data processing solutions supplied by the manufacturer (Article 3(2), cloud or remote services necessary for the product to perform its functions). A pure cloud SaaS without an installable client is generally outside the CRA; a hybrid product where the manufacturer's cloud service is necessary for the product to function is in scope through Article 3(2). The decisive test is the data connection, and Article 3(8), (9), and (10) distinguish logical, physical, and indirect connections.
prEN 50742
Proyecto de norma europea para la seguridad de las máquinas que cubre los requisitos de protección contra la corrupción. Proporciona especificaciones técnicas para implementar el §1.1.9 del Reglamento de Maquinaria (UE) 2023/1230. Define dos vías de cumplimiento: un enfoque autónomo y la integración con IEC 62443 para fabricantes que ya trabajan en ese marco de ciberseguridad industrial. Una vez publicada como norma armonizada, la conformidad crea una presunción de conformidad con los requisitos de ciberseguridad del Reglamento de Maquinaria. Publicación prevista para finales de 2026.
Producto crítico (Anexo IV) - CRA Anexo IV
Productos con elementos digitales que realizan funciones esenciales de ciberseguridad para otros productos, redes o servicios. Enumerados en el Anexo IV del CRA, incluyen módulos de seguridad hardware (HSM), lectores de tarjetas inteligentes, elementos seguros y dispositivos hardware con cajas de seguridad. Los productos críticos requieren certificación europea de ciberseguridad según un esquema aplicable o, en ausencia de dicho esquema, una evaluación de conformidad por terceros ante un organismo notificado.
Producto importante (Clase I) - CRA Anexo III, Parte I
Productos con elementos digitales que realizan una función relevante para la ciberseguridad o conllevan un riesgo elevado. La Clase I incluye sistemas de gestión de identidades, VPN, herramientas de gestión de redes, sistemas SIEM, gestores de arranque y otras categorías enumeradas en el Anexo III Parte I del CRA. Los fabricantes deben aplicar normas armonizadas que cubran todos los requisitos esenciales (lo que permite la autoevaluación) o someterse a una evaluación de conformidad por terceros ante un organismo notificado.
Producto importante (Clase II) - CRA Anexo III, Parte II
Productos con elementos digitales que realizan funciones críticas de ciberseguridad y conllevan un riesgo significativo. La Clase II incluye sistemas operativos, hipervisores, cortafuegos, sistemas de detección de intrusiones, microcontroladores, sistemas de automatización industrial y otras categorías enumeradas en el Anexo III Parte II del CRA. Estos productos siempre requieren una evaluación de conformidad por terceros ante un organismo notificado, independientemente de que existan normas armonizadas.
Producto predeterminado
Productos con elementos digitales que no pertenecen a las categorías Importante o Crítico definidas en los Anexos III y IV del CRA. Los productos predeterminados pueden someterse a la evaluación de conformidad mediante control interno (autoevaluación) por parte del fabricante según el Anexo VIII del CRA, sin intervención de terceros. Esto abarca la gran mayoría del software y hardware comercial y de consumo.
PURL - URL de Paquete
Formato estandarizado para identificar paquetes de software en diferentes ecosistemas (ej., pkg:npm/lodash@4.17.21). Utilizado en SBOMs para identificar componentes de forma única. Permite la coincidencia automatizada de vulnerabilidades y cumplimiento de licencias.
R
RDPS - Soluciones de Procesamiento Remoto de Datos
Funcionalidad en la nube o SaaS que procesa datos de forma remota como parte de un producto con elementos digitales. Queda dentro del ámbito de la evaluación de conformidad del CRA del producto si cumple una prueba de tres requisitos: los datos se procesan 'a distancia', el producto perdería una función esencial sin ella, y ha sido diseñada por el fabricante o bajo su responsabilidad. El SaaS de terceros que no supere esta prueba debe tratarse igualmente como un componente en virtud de la diligencia debida del Artículo 13(5).
Reglamento de Maquinaria de la UE - Reglamento (UE) 2023/1230
Reglamento de la UE que reemplaza la Directiva de Máquinas 2006/42/CE, aplicable desde el 20 de enero de 2027. Exige evidencia de ciberseguridad en el expediente técnico (Anexo III §1.1.9 — protección contra la corrupción) para máquinas con elementos digitales. Los productos con elementos digitales deben cumplir simultáneamente este reglamento y el CRA.
Representante autorizado - Artículo 18
Under Article 18(1) of Regulation (EU) 2024/2847 (the EU Cyber Resilience Act), a manufacturer may, by written mandate, appoint an EU-established legal or natural person as authorised representative. Appointment is optional under the CRA, unlike MDR Article 11 or RED Article 5 which require an authorised representative for non-EU manufacturers. Under Article 18(3), the authorised representative holds the EU Declaration of Conformity and the technical documentation at the disposal of market surveillance authorities for at least 10 years (or the support period, whichever is longer), provides information on reasoned request, and cooperates on actions taken to eliminate risks. Article 18(2) excludes the substantive Article 13 cybersecurity obligations from the mandate. Distinct from the Article 19 importer role. See the Article 18 explainer at /cra-authorised-representative.
S
SBOM - Lista de Materiales de Software
Inventario formal y legible por máquina de componentes de software y dependencias, incluyendo versiones, licencias y relaciones. Requerido por el Artículo 13(4) del CRA para gestión de vulnerabilidades y transparencia de la cadena de suministro. Puede estar en formato CycloneDX o SPDX.
SCA - Análisis de composición de software
El análisis de composición de software (SCA) identifica componentes de código abierto y de terceros, versiones, licencias y vulnerabilidades conocidas en un producto de software. Se utiliza habitualmente para generar SBOMs, mantenerlos actualizados entre versiones y alimentar la monitorización de vulnerabilidades conforme al Artículo 13 del CRA.
SPDX - Intercambio de Datos de Paquetes de Software
Estándar ISO/IEC 5962:2021 para comunicar información de lista de materiales de software. Desarrollado por la Linux Foundation. Ampliamente utilizado para cumplimiento de licencias y seguimiento de vulnerabilidades. Se recomienda la versión 2.2.1+ para cumplimiento CRA.
T
TR-03183
Guía Técnica del BSI alemán (Oficina Federal de Seguridad de la Información) que proporciona requisitos detallados para la creación y gestión de SBOM. Ampliamente referenciada como mejor práctica para el cumplimiento del Artículo 13 del CRA. Especifica campos mínimos de SBOM, formatos y requisitos de actualización.
V
VEX - Intercambio de Explotabilidad de Vulnerabilidades
Documento que comunica el estado de explotabilidad de las vulnerabilidades en un producto específico. Indica si un CVE afecta a tu producto (afectado, no afectado, corregido, en investigación). Ayuda a los usuarios posteriores a reducir la fatiga de alertas por falsos positivos.
VKB - Base de Conocimiento de Vulnerabilidades
Base de datos de vulnerabilidades continuamente actualizada que agrega avisos de múltiples fuentes — como NVD/cvelistV5, OSV.dev, GitHub Advisories, CISA KEV y EPSS — en una única base de conocimiento consultable. En lugar de escanear dependencias bajo demanda contra una sola fuente, una VKB mantiene un espejo local de todas las vulnerabilidades conocidas y las compara con los componentes de software a medida que se publican nuevos CVE. Esto reduce la latencia de detección de horas o días a minutos, y la referencia cruzada de múltiples fuentes reduce el riesgo de avisos no detectados.
¿Listo para cumplir con el CRA?
CRA Evidence te ayuda a gestionar SBOMs, rastrear vulnerabilidades y generar documentación lista para auditoría.