Implementación y liderazgo de programa

Implementación técnica y liderazgo de programa para el Reglamento europeo de ciberresiliencia.

¿Necesitas a alguien que asuma tu programa CRA? Lideramos el trabajo técnico junto a tu equipo, con las herramientas que encajen en tu stack.

Reserva una llamada de hoja de ruta CRA gratuita
¿Te acabas de encontrar con la Ley de Ciberresiliencia? Lee nuestra guía gratuita de cumplimiento CRA
Cómo trabajamos contigo

Tres situaciones, tres encargos.

Cada encargo responde a una situación concreta: preparar la fecha de notificación del 11 de septiembre de 2026, llevar el trabajo transversal CRA que tu equipo no tiene capacidad de asumir o estar listo ante la primera vulnerabilidad notificable o la primera carta de una autoridad.

El alcance es fijo y se acuerda de antemano. La duración se trata en la llamada de hoja de ruta, porque los plazos reales dependen del número de productos y del trabajo previo que ya exista.

Elige el que encaje

Sprint de Preparación Técnica CRA

Encargo de alcance fijo
Para quién es

Fabricantes sin responsable CRA interno, entre una y tres líneas de producto, que se preparan para la fecha de notificación del 11 de septiembre de 2026.

Con qué te quedas
  • Una memoria de alcance CRA escrita por línea de producto, que cubre las obligaciones del artículo 13 y las decisiones de clasificación
  • Un análisis de brechas priorizado frente al Anexo I, con un plan de remediación que tu responsable de ingeniería puede ejecutar
  • Un expediente técnico alineado con el Anexo VII, firmado por tu responsable de ingeniería
  • Un proceso operativo de gestión de vulnerabilidades que tu equipo ejecuta de forma continua, no un escaneo puntual
  • Un runbook escrito de notificación de vulnerabilidades alineado con los plazos del artículo 14
Alcance y precio se acuerdan en la llamada de hoja de ruta.

Programme Lead CRA

Retainer continuo, con la cadencia acordada con tu equipo
Para quién es

Empresas en las que nadie asume el trabajo transversal CRA y lo acaba llevando informalmente el fundador o el CTO.

Con qué te quedas
  • Responsabilidad técnica de tu programa CRA, con un ritmo de trabajo acordado con tus equipos de producto, ingeniería y seguridad
  • Un calendario vivo de obligaciones ligado a las fechas CRA, actualizado conforme evolucionan las obligaciones y las normas
  • Un expediente técnico que se mantiene al día según van saliendo tus productos, no un documento que se pudre entre auditorías
  • Un proceso operativo de respuesta a vulnerabilidades que tu ingeniero de guardia puede ejecutar sin ambigüedad
  • Revisiones periódicas de cumplimiento frente a las obligaciones del Anexo I, con rutas de escalado acordadas de antemano
Alcance y precio se acuerdan en la llamada de hoja de ruta.

Plan de Respuesta ante Autoridades e Incidentes

Encargo inicial de puesta en marcha más retainer de guardia
Para quién es

Equipos cuya verdadera preocupación es la primera vulnerabilidad notificable o la primera carta de ENISA o de una autoridad nacional.

Con qué te quedas
  • Un playbook de respuesta a incidentes escrito que tu ingeniero de guardia puede ejecutar dentro del reloj de notificación del artículo 14
  • Plantillas de alerta temprana y de notificación de incidentes preredactadas para cada CSIRT nacional al que tengas que notificar
  • Una ventana de respuesta de guardia que cubre los incidentes notificables durante el periodo del retainer
  • Un runbook para generar un paquete de evidencias completo cuando una autoridad de vigilancia del mercado lo solicite
Alcance y precio se acuerdan en la llamada de hoja de ruta.

Precio por encargo

No publicamos bandas de precios. La forma de un encargo CRA depende de tu rol conforme al Reglamento, de la complejidad técnica de tus productos y del trabajo previo que ya exista. Una startup con un único producto empotrado complejo es un encargo distinto al de un fabricante con una docena de SKU más simples. La cifra exacta se acuerda en la llamada de hoja de ruta de 30 minutos, con una propuesta detallada por escrito en 48 horas.

Trabajamos con las herramientas que ya tienes

Cada encargo es agnóstico respecto a las herramientas. Lideramos el trabajo técnico dentro de tu stack, ya sea software libre (CycloneDX, SPDX, Grype, Trivy), herramientas comerciales que ya pagas o sistemas internos que tu equipo ha construido. Cuando la plataforma CRA Evidence encaja, la proponemos, pero nunca es un requisito ni el entregable. Los entregables son los resultados de cumplimiento.

Por qué esto funciona

Construimos CRA Evidence frente al texto completo del Reglamento (UE) 2024/2847, los Anexos I a VIII y las 41 normas armonizadas de la petición de normalización M/606 de la Comisión. La plataforma asigna cada obligación a una evidencia, un flujo de trabajo y una notificación. El mismo mapeo guía cada encargo.

CRA Evidence lo construyeron ingenieros con trayectoria en infraestructura y seguridad en la nube en empresas tecnológicas europeas. La plataforma y cada encargo reflejan esa experiencia operativa.

Aceptamos un número limitado de nuevos programas CRA cada trimestre para mantener alta la calidad de entrega. Cada encargo lo lidera el mismo equipo senior que construye la plataforma.

Qué pasa en la llamada de 30 minutos

Una conversación de trabajo, no una presentación comercial. Cubre tres cosas, por orden:

1
Tu rol conforme al Reglamento. Fabricante, importador y distribuidor afrontan obligaciones distintas. Acertar aquí marca qué encargo encaja.
2
Qué encargo encaja, o si basta con la plataforma. No todas las empresas necesitan apoyo en la implementación. Si la plataforma por sí sola es el mejor encaje, lo diremos.
3
Una propuesta detallada en 48 horas. Tras la llamada, recibes una propuesta escrita con alcance, entregables y precio para tu situación concreta.

Alcance y limitaciones

CRA Evidence ofrece una plataforma de cumplimiento y servicios técnicos de implementación. Somos transparentes sobre lo que somos y lo que no somos.

No somos un organismo notificado. No realizamos evaluación de la conformidad conforme al artículo 32 del Reglamento (UE) 2024/2847, y nuestros servicios no constituyen una evaluación de la conformidad ni una certificación de tus productos. Cuando tu producto exija evaluación de la conformidad por tercero, tienes que contratar a un organismo notificado acreditado.

No somos un despacho de abogados. No prestamos asesoramiento jurídico. Para la interpretación normativa, los dictámenes jurídicos sobre clasificación de producto o las cuestiones de cumplimiento contractual, trabajamos junto a tu asesor legal.

Somos el proveedor comercial de la plataforma CRA Evidence. Nuestros servicios de implementación son independientes de la plataforma: trabajamos con las herramientas que encajen en tu situación, incluyendo software libre, software comercial de terceros que ya pagas y nuestra propia plataforma cuando es el mejor encaje. Cuando tus necesidades estén mejor cubiertas con herramientas o servicios fuera de nuestro producto, lo diremos.

Preguntas frecuentes

Ambas cosas, y son independientes. CRA Evidence es una plataforma SaaS para el cumplimiento de la Ley de Ciberresiliencia de la UE que puedes usar en modo autoservicio, y además prestamos servicios de implementación directa liderados por ingenieros de infraestructura. Los servicios son agnósticos respecto a las herramientas: trabajamos dentro de tu stack actual con software libre, herramientas comerciales que ya pagas o nuestra plataforma cuando encaja mejor. Hay tres encargos de alcance fijo: un Sprint de Preparación Técnica para fabricantes que se preparan para la fecha de notificación del 11 de septiembre de 2026, un retainer de Programme Lead para la responsabilidad técnica continua de tu programa CRA y un Plan de Respuesta ante Autoridades e Incidentes para la notificación de vulnerabilidades y las cartas de vigilancia del mercado.

No publicamos bandas de precios porque el alcance depende de demasiadas variables reales: tu rol conforme al Reglamento, la complejidad técnica de cada producto, cuántos productos comercializas, cuánto trabajo interno previo existe y qué herramientas ya operas. Una startup con un único producto empotrado complejo es un encargo distinto al de un fabricante con una docena de SKU más simples. La cifra exacta se acuerda en una llamada de hoja de ruta de 30 minutos, con una propuesta detallada por escrito en tu bandeja de entrada en 48 horas.

No, ni una cosa ni la otra. CRA Evidence no es un organismo notificado. No realizamos evaluación de la conformidad conforme al artículo 32 del Reglamento (UE) 2024/2847, y nuestros servicios no constituyen una certificación de tus productos. Cuando tu producto exija evaluación de la conformidad por tercero, tienes que contratar a un organismo notificado acreditado. CRA Evidence tampoco es un despacho de abogados. Para la interpretación normativa y los dictámenes jurídicos trabajamos junto a tu propio asesor legal.

Las firmas Big Four ofrecen asesoría estratégica y jurídica, pero rara vez construyen u operan los sistemas técnicos que hacen que el cumplimiento CRA sea sostenible. Los encargos de CRA Evidence los lideran ingenieros de infraestructura y seguridad en la nube que trabajan junto a tu equipo de ingeniería para redactar el expediente técnico, poner en marcha un proceso de gestión de vulnerabilidades e integrar la generación de evidencias en tus pipelines actuales. Los entregables son operativos, corriendo dentro de tu stack, no una presentación de diapositivas.

CTO, VP de Ingeniería, responsables de seguridad de producto y responsables de cumplimiento de fabricantes, importadores o distribuidores de la UE de productos con elementos digitales. La llamada es más útil cuando ya sabes que tienes obligaciones CRA, pero nadie de tu equipo tiene capacidad para asumir el trabajo transversal. Si aún estás viendo si el CRA se aplica a tu caso, empieza por el Test de Aplicabilidad CRA gratuito.

La Ley de Ciberresiliencia se aplica a cualquier fabricante, importador o distribuidor que comercialice productos con elementos digitales en el mercado de la UE, en cualquier sector y con cualquier tamaño de empresa. Nuestros encargos son más útiles cuando las obligaciones CRA son reales pero todavía ningún equipo interno asume el trabajo transversal, ya sea una startup de 15 personas que saca su primer producto conectado o un fabricante mayor con decenas de líneas de producto. Si no tienes claro si tu situación encaja, reserva la llamada de hoja de ruta y te lo diremos con franqueza.

Sí. La plataforma y los servicios son independientes. Puedes usar la plataforma CRA Evidence en autoservicio con una prueba gratuita de 14 días y precios por rol, sin contratarnos nunca para consultoría. Los servicios son para empresas en las que nadie asume internamente el trabajo transversal CRA, o donde la primera vulnerabilidad notificable o la primera carta de una autoridad son una preocupación concreta. Y los servicios tampoco exigen nuestra plataforma: el encargo funciona con las herramientas que encajen en tu stack. Consulta precios para los planes de autoservicio.

La Ley de Ciberresiliencia se aplica a cualquier empresa que comercialice productos con elementos digitales en el mercado de la UE, con independencia de dónde tenga su sede. Los encargos de servicios se prestan actualmente en inglés a empresas de la Unión Europea. Fabricantes, importadores y distribuidores de fuera de la UE con exposición al mercado europeo pueden reservar una llamada de hoja de ruta para valorar el encaje.

El 11 de septiembre de 2026 es la fecha a partir de la cual son aplicables las obligaciones de notificación de vulnerabilidades e incidentes del artículo 14 del Reglamento (UE) 2024/2847. Los fabricantes tienen que poder notificar a ENISA y al CSIRT nacional correspondiente las vulnerabilidades explotadas activamente y los incidentes graves en 24 h, con una notificación de seguimiento a las 72 h y un informe final a los 14 días. El CRA completo es aplicable el 11 de diciembre de 2027. Consulta nuestra guía de cumplimiento CRA para el calendario completo.
Siguiente paso

Si tu situación encaja en uno de los tres encargos, o no tienes claro dónde encaja, cuéntanoslo y te responderemos en menos de 48 horas.

Recibirás una propuesta detallada por escrito en tu bandeja de entrada, sin presión para continuar.

Escríbenos

¿Prefieres reservar un hueco directamente? Reserva una llamada de hoja de ruta de 30 minutos.