Implementación técnica y liderazgo de programa para el Reglamento europeo de ciberresiliencia

¿Necesitas a alguien que asuma tu programa CRA? Lideramos el trabajo técnico junto a tu equipo, con las herramientas que encajen en tu stack.

Las obligaciones de notificación CRA empiezan el 11 de septiembre de 2026. Planifica tu programa ya.

Reserva una llamada de hoja de ruta CRA gratuita
¿Te acabas de encontrar con la Ley de Ciberresiliencia? Lee nuestra guía gratuita de cumplimiento CRA
Cómo trabajamos contigo

Tres puntos de partida habituales. Adaptamos cada proyecto a tu situación.

Estas son las tres situaciones que vemos con más frecuencia: prepararte para la fecha límite de notificación del 11 de septiembre de 2026, asumir el trabajo transversal del CRA que tu equipo no tiene capacidad de liderar, o estar listo para la primera vulnerabilidad notificable o la primera carta de una autoridad. La mayoría de los proyectos son una combinación, y muchos no se parecen en nada a esta lista. Nos adaptamos a la situación en la que realmente estás.

El alcance es fijo y se acuerda de antemano. La duración se trata en la llamada de hoja de ruta, porque los plazos reales dependen del número de productos y del trabajo previo que ya exista.

Por dónde suelen empezar los equipos

Sprint de Preparación Técnica CRA

Para quién es

Fabricantes sin responsable CRA interno, con entre una y tres líneas de producto, que necesitan estar listos para la notificación del artículo 14 desde el 11 de septiembre de 2026 mientras construyen el expediente técnico y los controles del Anexo I necesarios para la aplicación completa del CRA el 11 de diciembre de 2027.

Qué recibes
  • Una memoria de alcance CRA escrita por línea de producto, que cubre las obligaciones del artículo 13 y las decisiones de clasificación
  • Un análisis de brechas priorizado frente al Anexo I, con un plan de remediación que tu responsable de ingeniería puede ejecutar
  • Documentación técnica CRA alineada con el Anexo VII, firmada por tu responsable de ingeniería
  • Un proceso operativo de gestión de vulnerabilidades que tu equipo ejecuta de forma continua, no un escaneo puntual
  • Un runbook escrito de notificación de vulnerabilidades alineado con los plazos del artículo 14

Dirección de Programa CRA

Para quién es

Empresas en las que nadie asume el trabajo transversal CRA y lo acaba llevando informalmente el fundador o el CTO.

De qué nos hacemos cargo
  • Responsabilidad sobre el programa CRA, con CRA Evidence coordinando el trabajo de producto, ingeniería, seguridad y dirección
  • Apoyo de implementación para los controles técnicos, las brechas de evidencia y las dudas de alcance que frenan el avance
  • Un calendario vivo de obligaciones ligado a fechas CRA, lanzamientos de producto, normas y responsables pendientes
  • Un expediente técnico que mantenemos al día a medida que salen tus productos, para que la evidencia no quede obsoleta entre auditorías
  • Responsabilidad operativa sobre la respuesta a vulnerabilidades, con revisiones frente a las obligaciones del Anexo I y rutas de escalado acordadas

Plan de Respuesta ante Autoridades e Incidentes

Para quién es

Equipos cuya verdadera preocupación es la primera vulnerabilidad notificable o la primera carta de ENISA o de una autoridad nacional.

Qué queda cubierto
  • Un playbook de respuesta a incidentes escrito que tu ingeniero de guardia puede ejecutar dentro del reloj de notificación del artículo 14
  • Plantillas de alerta temprana y de notificación de incidentes preredactadas para cada CSIRT nacional al que tengas que notificar
  • Una ventana de respuesta de guardia que cubre los incidentes notificables durante el periodo del retainer
  • Un runbook para generar un paquete de evidencias completo cuando una autoridad de vigilancia del mercado lo solicite
¿No está en esta lista?

¿Tu situación es diferente?

Muchos equipos no encajan limpiamente en uno de los tres, y no pasa nada. La mayoría de los proyectos acaban siendo una combinación, y algunos son algo totalmente distinto. Cuéntanos a qué te enfrentas de verdad y diseñamos un proyecto a tu medida. En la llamada de hoja de ruta definimos la forma adecuada, o si el autoservicio es la mejor opción.

Reserva una llamada de hoja de ruta CRA gratuita →

Precio por encargo

No publicamos bandas de precios. La forma de un encargo CRA depende de tu rol conforme al Reglamento, de la complejidad técnica de tus productos y del trabajo previo que ya exista. Una startup con un único producto empotrado complejo es un encargo distinto al de un fabricante con una docena de SKU más simples. La cifra exacta se acuerda en la llamada de hoja de ruta de 30 minutos, con una propuesta detallada por escrito en 48 horas.

Trabajamos con las herramientas que ya tienes

Cada encargo es agnóstico respecto a las herramientas. Lideramos el trabajo técnico dentro de tu stack, ya sea software libre (CycloneDX, SPDX, Grype, Trivy), herramientas comerciales que ya pagas o sistemas internos que tu equipo ha construido. Cuando la plataforma CRA Evidence encaja, la proponemos, pero nunca es un requisito ni el entregable. Los entregables son los resultados de cumplimiento.

Por qué esto funciona

Construimos CRA Evidence frente al texto completo del Reglamento (UE) 2024/2847, los Anexos I a VIII y las 41 normas armonizadas de la petición de normalización M/606 de la Comisión. La plataforma asigna cada obligación a una evidencia, un flujo de trabajo y una notificación. El mismo mapeo guía cada encargo.

CRA Evidence fue construido por ingenieros que han lanzado productos, gestionado programas de vulnerabilidades y mantenido evidencia técnica en empresas tecnológicas europeas. La plataforma y cada proyecto reflejan ese trasfondo operativo.

Aceptamos un número limitado de nuevos programas CRA cada trimestre para mantener alta la calidad de entrega. Cada encargo lo lidera el mismo equipo senior que construye la plataforma.

Qué pasa en la llamada de 30 minutos

Una conversación de trabajo, no una presentación comercial. Cubre tres cosas, por orden:

1
Tu rol conforme al Reglamento. Las obligaciones de fabricante e importador difieren. Los casos solo de distribuidor suelen encajar mejor con orientación self-service, y acertar aquí marca qué encargo encaja.
2
Qué encargo encaja, o si basta con la plataforma. No todas las empresas necesitan apoyo en la implementación. Si la plataforma por sí sola es el mejor encaje, lo diremos.
3
Una propuesta detallada en 48 horas. Tras la llamada, recibes una propuesta escrita con alcance, entregables y precio para tu situación concreta.

Alcance y limitaciones

CRA Evidence ofrece una plataforma de cumplimiento y servicios técnicos de implementación. Somos transparentes sobre lo que somos y lo que no somos.

No somos un organismo notificado. No realizamos evaluación de la conformidad conforme al artículo 32 del Reglamento (UE) 2024/2847, y nuestros servicios no constituyen una evaluación de la conformidad ni una certificación de tus productos. Cuando tu producto exija evaluación de la conformidad por tercero, tienes que contratar a un organismo notificado acreditado.

No somos un despacho de abogados. No prestamos asesoramiento jurídico. Para la interpretación normativa, los dictámenes jurídicos sobre clasificación de producto o las cuestiones de cumplimiento contractual, trabajamos junto a tu asesor legal.

Somos el proveedor comercial de la plataforma CRA Evidence. Nuestros servicios de implementación son independientes de la plataforma: trabajamos con las herramientas que encajen en tu situación, incluyendo software libre, software comercial de terceros que ya pagas y nuestra propia plataforma cuando es el mejor encaje. Cuando tus necesidades estén mejor cubiertas con herramientas o servicios fuera de nuestro producto, lo diremos.

Preguntas frecuentes

Ambas cosas, y son independientes. CRA Evidence es una plataforma SaaS para el cumplimiento de la Ley de Ciberresiliencia de la UE que puedes usar en modo autoservicio, y además prestamos servicios de implementación directa liderados por ingenieros de infraestructura. Los servicios son agnósticos respecto a las herramientas: trabajamos dentro de tu stack actual con software libre, herramientas comerciales que ya pagas o nuestra plataforma cuando encaja mejor. Tres proyectos cubren las situaciones más habituales: un Sprint de Preparación Técnica para fabricantes que se preparan para la fecha de notificación del 11 de septiembre de 2026, un retainer de Dirección de Programa para la responsabilidad técnica continua de tu programa CRA y un Plan de Respuesta ante Autoridades e Incidentes para la notificación de vulnerabilidades y las cartas de vigilancia del mercado. La mayoría de los proyectos son una combinación de estos y, cuando tu situación no encaja en ninguno, diseñamos un proyecto a tu medida.

No publicamos bandas de precios porque el alcance depende de demasiadas variables reales: tu rol conforme al Reglamento, la complejidad técnica de cada producto, cuántos productos comercializas, cuánto trabajo interno previo existe y qué herramientas ya operas. Una startup con un único producto empotrado complejo es un encargo distinto al de un fabricante con una docena de SKU más simples. La cifra exacta se acuerda en una llamada de hoja de ruta de 30 minutos, con una propuesta detallada por escrito en tu bandeja de entrada en 48 horas.

No, ni una cosa ni la otra. CRA Evidence no es un organismo notificado. No realizamos evaluación de la conformidad conforme al artículo 32 del Reglamento (UE) 2024/2847, y nuestros servicios no constituyen una certificación de tus productos. Cuando tu producto exija evaluación de la conformidad por tercero, tienes que contratar a un organismo notificado acreditado. CRA Evidence tampoco es un despacho de abogados. Para la interpretación normativa y los dictámenes jurídicos trabajamos junto a tu propio asesor legal.

Las Big Four ofrecen asesoría estratégica y legal, pero rara vez construyen u operan los sistemas técnicos que hacen el cumplimiento del CRA duradero. Los proyectos de CRA Evidence están dirigidos por ingenieros que trabajan junto a tu equipo para escribir el expediente técnico, montar un proceso de gestión de vulnerabilidades e integrar la generación de evidencias en tus pipelines existentes. Los entregables son operativos, ejecutándose dentro de tu stack, no una presentación de diapositivas.

CTO, VP de Ingeniería, responsables de seguridad de producto y responsables de cumplimiento de fabricantes o importadores que introducen productos con elementos digitales en el mercado de la UE. La llamada es más útil cuando ya sabes que tienes obligaciones CRA, pero nadie de tu equipo tiene capacidad para asumir el trabajo transversal. Si aún estás viendo si el CRA se aplica a tu caso, empieza por el Test de Aplicabilidad CRA gratuito.

Cualquier industria, cualquier tamaño. El CRA se aplica de manera transversal, ya sea una startup de 15 personas lanzando su primer producto conectado o un fabricante con docenas de líneas de producto. Los proyectos son más útiles cuando las obligaciones CRA son reales pero ningún equipo interno se hace cargo del trabajo transversal todavía.

Sí. La plataforma y los servicios son independientes. Puedes usar la plataforma CRA Evidence en autoservicio con una prueba gratuita de 14 días y precios por rol, sin contratarnos nunca para consultoría. Los servicios son para empresas en las que nadie asume internamente el trabajo transversal CRA, o donde la primera vulnerabilidad notificable o la primera carta de una autoridad son una preocupación concreta. Y los servicios tampoco exigen nuestra plataforma: el encargo funciona con las herramientas que encajen en tu stack. Consulta precios para los planes de autoservicio.

Sí. El Reglamento de Ciberresiliencia se aplica a cualquier empresa que ponga productos con elementos digitales en el mercado de la UE, independientemente de dónde tenga su sede. Si envías productos a la UE, estás en el ámbito y podemos ayudarte. Los proyectos se entregan en inglés.

El 11 de septiembre de 2026 es la fecha a partir de la cual son aplicables las obligaciones de notificación de vulnerabilidades e incidentes del artículo 14 del Reglamento (UE) 2024/2847. Los fabricantes tienen que poder notificar a ENISA y al CSIRT nacional correspondiente las vulnerabilidades explotadas activamente y los incidentes graves en 24 h, con una notificación de seguimiento a las 72 h y un informe final a los 14 días para vulnerabilidades o en el plazo de un mes para incidentes graves. El CRA completo es aplicable el 11 de diciembre de 2027. Consulta nuestra guía de cumplimiento CRA para el calendario completo.
Siguiente paso

Si uno de estos encargos encaja, dinos cuál. Si tu necesidad de implementación CRA es diferente, dinos en qué necesitas ayuda.

Recibirás una propuesta detallada por escrito en tu bandeja de entrada, sin presión para continuar.

Contacta con nosotros

¿Prefieres reservar un hueco directamente? Reserva una llamada de hoja de ruta de 30 minutos.