Cómo empezó CRA Evidence

Empezó en 2025, cuando Joan Romero oyó hablar del Reglamento de Ciberresiliencia por primera vez.

A partir de ahí empezó a conectarlo con toda su carrera como Cloud Engineer y SRE. Estamos construyendo y lanzando más productos que nunca, pero no estamos cuidando la ciberseguridad. Los incidentes siguen creciendo.

El Reglamento de Ciberresiliencia existe por eso. Europa vio el problema y decidió actuar. Joan decidió ayudar a los equipos a afrontarlo y empezó a construir CRA Evidence.

Eso se convirtió en realidad en 2026. El primer paso fue a través de CEEI, el Centro Europeo de Empresas e Innovación del Principado de Asturias. Con su ayuda, la empresa echó a andar.

Desde Oviedo, España Ayudamos a equipos de producto a convertir las obligaciones del CRA en evidencias que puedan mantener de verdad.
Certificación española de startup La empresa detrás de CRA Evidence ha obtenido el estatus de startup innovadora conforme a la Ley de Startups de España, un reconocimiento que da acceso a las empresas certificadas al marco español para startups. El estatus lo emite Enisa española (Empresa Nacional de Innovación, la agencia pública española de innovación, no la agencia de ciberseguridad de la UE ENISA). Verifícalo en el registro público buscando SENDA TECH SOLUTIONS S.L.
Madrid Barcelona Lisboa Oviedo Asturias ESPAÑA Portugal Francia Baleares 200 km 0 200 N
The problem we solve

Por qué se construyó CRA Evidence

Cada año llegan más productos digitales a Europa, desde controladores industriales hasta dispositivos domésticos, y el Reglamento de Ciberresiliencia es la primera normativa que exige que todos ellos aporten evidencias reales de seguridad a lo largo de toda su vida útil. Quisimos ayudar a los equipos que hacen ese trabajo.

Nadie era claramente responsable del Reglamento de Ciberresiliencia. Ni ingeniería, ni legal, ni producto. Construimos CRA Evidence para que ese trabajo tenga un lugar: registrado, corregido y listo para auditoría durante los diez años que exige la normativa.

Cómo trabajamos con los equipos

Todo producto con elementos digitales vendido en la UE debe diseñarse, producirse y mantenerse con evidencias reales de ciberseguridad a lo largo de todo su ciclo de vida, y conservarse durante al menos diez años.

Reglamento (UE) 2024/2847, artículos 13 y 14 · parafraseado

Ese es el trabajo para el que existimos.

A quién servimos

El CRA se aplica de forma distinta a cada rol. Nos adaptamos a cada uno.

Fabricantes, importadores y distribuidores tienen obligaciones distintas bajo el reglamento. CRA Evidence ofrece el flujo de trabajo adecuado para cada uno.

Fabricantes

Artículo 13 del CRA

Fabricas productos con elementos digitales. Las obligaciones CRA más pesadas recaen sobre ti.

  • Validación de SBOM contra BSI TR-03183
  • Monitoreo continuo de vulnerabilidades con nuevos CVEs detectados en 15 minutos
  • Generador de Declaración de Conformidad UE
  • Constructor de Información e Instrucciones de Usuario (IIU)
  • Seguimiento de cumplimiento por versión
El fabricante medio tiene más de 200 dependencias por producto. No puedes rastrearlo en una hoja de cálculo.

Importadores

Artículo 19 del CRA

Introduces productos al mercado de la UE. Debes verificar el cumplimiento del fabricante antes de vender.

  • Listas de verificación del Artículo 19
  • Solicitudes de documentación del fabricante
  • Almacenamiento de evidencia con registro de auditoría
  • Registros para vigilancia del mercado
Si un producto que importas no cumple con los requisitos CRA, eres responsable. CRA Evidence te ayuda a verificar antes de comprometerte.

Distribuidores

Artículo 20 del CRA

Vendes productos en la UE pero no los fabricas ni importas. Obligaciones más ligeras.

  • Flujos de trabajo de verificación de cumplimiento
  • Acceso a documentación de productos
  • Orientación del Artículo 20
  • Rutas de escalado de incidentes
Obligaciones más ligeras, pero sigues necesitando un sistema. CRA Evidence lo simplifica.

Las preguntas que seguimos escuchando

Todos los equipos que se preparan para el CRA están resolviendo los mismos asuntos básicos:

  • ¿En qué formato debería estar mi SBOM?
  • ¿Cómo rasteo vulnerabilidades a través de 300 dependencias?
  • ¿Qué va exactamente en un archivo técnico?
  • ¿Cómo demuestro el cumplimiento ante una autoridad de vigilancia del mercado?

La normativa ya es bastante compleja. Tus herramientas no deberían serlo.

Con sede en la Unión Europea
Reconocimiento

Reconocimiento independiente

Señales de terceros que puedes verificar por tu cuenta. Lee los anuncios completos en la sala de prensa.

Empresa emergente innovadora, Enisa española

Agencia nacional de innovación de España

Socio de Cluster TIC Asturias

Clúster regional del sector TIC
Visita la sala de prensa →

¿Listo para simplificar el cumplimiento CRA?

Mapee obligaciones, genere evidencias y manténgase preparado para auditorías en todas las versiones de productos antes del 11 de diciembre de 2027.

Iniciar Prueba Gratuita Ver Precios