La Unión Europea ha reforzado considerablemente su postura en materia de ciberseguridad con la adopción del Reglamento (UE) 2024/2847, también conocido como CRA (Ley de Resiliencia Cibernética). Al ser el primer reglamento horizontal en materia de ciberseguridad para los PDE (productos con elementos digitales), la CRA establece requisitos de seguridad jurídicamente vinculantes tanto para el hardware como para el software comercializados en el mercado de la UE.
En 2024, el reglamento estableció oficialmente una serie de obligaciones en materia de ciberseguridad a lo largo de todo el ciclo de vida del producto, desde el desarrollo seguro y la diligencia debida en relación con los componentes de terceros hasta la gestión de vulnerabilidades y la notificación de incidentes.
A partir de septiembre de 2026, los fabricantes estarán obligados a notificar las vulnerabilidades que estén siendo explotadas activamente y los incidentes de seguridad graves. Para diciembre de 2027, será obligatorio el cumplimiento íntegro de la normativa, lo que incluye la documentación, los controles de seguridad a lo largo del ciclo de vida yBill of Materials (SBOM) relativosBill of Materials (SBOM) Software Bill of Materials (SBOM) .
Para los directores de sistemas de información (CIO), los directores de seguridad de la información (CISO), los responsables de seguridad de productos y los equipos de cumplimiento normativo, la CRA conlleva consecuencias operativas, financieras y normativas. Las organizaciones deben estar preparadas para demostrar que aplican prácticas de «seguridad desde el diseño», implementar una supervisión continua de vulnerabilidades, mantener la documentación de la lista de materiales de seguridad (SBOM) lista para auditorías y garantizar la transparencia de la cadena de suministro en todos los componentes, tanto propios como de código abierto.
Este artículo ofrece una guía práctica para el cumplimiento de la CRA, que abarca las obligaciones relacionadas con la cadena de suministro de software, los requisitos de la SBOM, las responsabilidades a lo largo del ciclo de vida y las medidas estratégicas que las organizaciones deben adoptar ahora para prepararse para la aplicación de la normativa.
Resumen de los requisitos de la Ley de Resiliencia Cibernética
¿Qué es la Ley de Resiliencia Cibernética y por qué se aprobó?
El CRA establece el primer marco horizontal de ciberseguridad a escala de la UE para productos con componentes digitales.
El reglamento tiene por objeto:
- Reducir las vulnerabilidades sistémicas en los productos conectados
- Mejorar la transparencia en las cadenas de suministro de software
- Garantizar la gestión de vulnerabilidades a lo largo del ciclo de vida
- Trasladar la responsabilidad a los fabricantes
¿Quién debe cumplir con esta normativa?
- Software
- Hardware que integran software
- Importadores y distribuidores
- Desarrolladores que integran componentes de terceros o de código abierto
- Proveedores de productos digitales esenciales o importantes
Supply Chain Software en virtud de la CRA
Verificación exhaustiva de los componentes
Los fabricantes deben actuar con la debida diligencia en lo que respecta a los componentes de terceros, lo que incluye evaluar las vulnerabilidades conocidas y supervisar las actualizaciones de seguridad.
Responsabilidad integral en materia de vulnerabilidades
Los fabricantes siguen siendo responsables de las vulnerabilidades en todos los componentes integrados, independientemente de su origen.
Secure» y Secure»
Los productos deben suministrarse con configuraciones predeterminadas seguras y estar diseñados teniendo en cuenta la ciberseguridad desde el principio.
Supervisión y notificación de vulnerabilidades
A partir de septiembre de 2026, será obligatorio notificar las vulnerabilidades que se estén explotando activamente y los incidentes graves.
Documentación técnica y conservación
La documentación de seguridad, incluidasSoftware de componentesSoftware (SBOM), debe conservarse durante 10 años a partir de la comercialización del producto.
Requisitos de la lista de materiales de seguridad (SBOM) en virtud de la CRA
La CRA exige a los fabricantes que documenten los componentes de software utilizados en los productos con elementos digitales, normalmente mediante listas de materiales de software (SBOM) que se mantienen como parte de la documentación técnica del producto. Aunque la normativa no establece campos específicos para las SBOM, las SBOM estándar del sector suelen incluir identificadores de componentes, información sobre la versión, datos del proveedor o el origen, relaciones de dependencia y datos de integridad, como hash criptográficos.
La lista de materiales de seguridad (SBOM) debe:
- Legible por máquina
- Se mantiene como parte de la documentación técnica
- Se facilitará a las autoridades de la UE previa solicitud motivada
Cómo OPSWAT aSupply Chain Software de CRA
1. Transparencia de Software
- Nombre del componente, versión e identificación del proveedor
- Representación de la dependencia directa y transitiva
- Identificadores únicos y validación criptográfica
- Gestión centralizada de la SBOM
2. Transparencia y detección de riesgos
- Vulnerability detection en bases de datos públicas
- Análisis de malware en paquetes de software
- Identificación de los riesgos implícitos antes del lanzamiento
- Seguimiento continuo de nuevas vulnerabilidades (CVE)
3. Documentación y preparación para la auditoría
- Generación de SBOM legible por máquina (CycloneDX, SPDX)
- Informes exportables
- Secure y uso compartido controlado
Ajustar Software a las obligaciones de la CRA
| Tipo de componente | Ejemplo | Visibilidad obligatoria | Responsabilidad |
|---|---|---|---|
| Aplicación principal | Plataforma SaaS para empresas | Lista completa de materiales (SBOM) a nivel de producto | Fabricante |
| Core | OpenSSL | Seguimiento de alto nivel y de vulnerabilidades | Fabricante |
| Middleware/Entorno de ejecución | Servidor web o entorno de ejecución de contenedores | Validación de dependencias | Fabricante + Proveedor |
| Bibliotecas de terceros | SDK, API | Inclusión transitiva en la SBOM | Fabricante |
Una guía práctica para el cumplimiento de la CRA
1. Realizar una evaluación de la preparación
Evaluar:
- Prácticas actuales de inventario de software
- Generación de la SBOM actual
- Madurez en la supervisión de vulnerabilidades
- Procesos de conservación de documentos
2. Establecer un sistema de gobernanza interna
Establecer funciones claras para:
- Desarrolladores
- Equipos de DevOps
- Equipos de seguridad
- Asuntos jurídicos y de cumplimiento normativo
- Contratación pública
3. Automatizar la generación de la SBOM
Las herramientas deben:
- Generar SBOM para cada versión y actualización
- Integración con los procesos de CI/CD
- Formatos de salida CycloneDX y SPDX
- Validar los campos de datos obligatorios
4. Integrar la SBOM en todo el ciclo de vida del desarrollo de software (SDLC)
La madurez de la SBOM evoluciona a lo largo de varias etapas:
- SBOM de diseño (componentes previstos)
- Compilar la SBOM (artefactos compilados)
- SBOM analizada (inspección posterior a la compilación)
- SBOM implementada (entorno de producción)
- SBOM en tiempo de ejecución (supervisión activa)
5. Mantener el cumplimiento normativo y la supervisión de forma continua
- Supervisar continuamente las bases de datos de vulnerabilidades
- Actualizar las listas de materiales de software (SBOM) cuando cambien los componentes
- Establecer procedimientos para la notificación de vulnerabilidades
- Preparar la documentación para las solicitudes de las autoridades
Formatos de SBOM admitidos en virtud de la CRA
CycloneDX
Centrado en la seguridad y optimizado para la gestión de vulnerabilidades.
SPDX
Centrado en las licencias, ampliamente utilizado para la documentación de cumplimiento normativo.
Cómo evaluar soluciones de cumplimiento preparadas para la CRA
A la hora de seleccionar proveedores o herramientas, ten en cuenta lo siguiente:
- Generación de la lista de materiales (SBOM) en formatos aceptados
- Integración con DevOps y registros de contenedores
- Supervisión continua de vulnerabilidades
- Funciones de análisis de malware
- Informes preparados para auditorías
- Almacenamiento y intercambio Secure
Pregunta a los proveedores:
- ¿Con qué frecuencia se actualizan las SBOM?
- ¿Cómo gestionas las dependencias transitivas?
- ¿Cómo se integra la información sobre vulnerabilidades?
- ¿Cómo gestionáis los procesos de presentación de informes reglamentarios?
Buenas prácticas para una implementación fluida de la CRA
- Integrar la generación de la SBOM en una fase temprana («shift left»)
- Automatizar la asignación de dependencias
- Exigir a los proveedores que faciliten datos de la lista de materiales de seguridad (SBOM)
- Formar a los equipos sobre las responsabilidades de la CRA
Errores comunes que hay que evitar
| Error | Riesgo | Mitigación |
|---|---|---|
| Tratar el SBOM como un elemento estático | Exposición a una vulnerabilidad obsoleta | Automatizar las actualizaciones continuas |
| Ignorar las dependencias transitivas | Riesgos ocultos en la cadena de suministro | Utilizar el mapeo recursivo de dependencias |
| Procesos manuales de SBOM | Incoherencias y fallos en la auditoría | Implementar herramientas automatizadas |
Consideraciones específicas de cada sector
- Integrar la generación de la SBOM en una fase temprana («shift left»)
- Automatizar la asignación de dependencias
- Exigir a los proveedores que faciliten datos de la lista de materiales de seguridad (SBOM)
- Formar a los equipos sobre las responsabilidades de la CRA
Productos esenciales e importantes
Los sistemas operativos, los hipervisores, los cortafuegos y los componentes básicos de la infraestructura son objeto de un mayor escrutinio.
Servicios financieros
Las organizaciones deben armonizar el cumplimiento de la CRA con los marcos de ciberseguridad más amplios de la UE (por ejemplo, DORA).
Industrial Internet de las cosas
El software integrado debe garantizar la conservación de la documentación a largo plazo y la supervisión de vulnerabilidades.
OPSWAT
OPSWAT ofrece a los equipos:
- Inventarios precisos de componentes de software
- Generación de listas de materiales de software (SBOM) para código fuente y contenedores
- Correlación de vulnerabilidades
- Visibilidad de las licencias
Lista de materiales de Software (SBOM) para Software y artefactos Software
Identificar, priorizar y mitigar los riesgos del código abierto sin ralentizar el desarrollo.
Lista de materiales de software (SBOM) para Container
Genera SBOM en cada capa de contenedores y detecta vulnerabilidades antes de la implementación.
MetaDefender Software Supply Chain™
No se limite a la documentación y aborde las amenazas avanzadas a la cadena de suministro.
MetaDefender Software Chain™ integra la inspección de «confianza cero» en el ciclo de vida del desarrollo de software (SDLC) mediante la combinación de análisis múltiples con más de 30 motores antivirus, la detección de claves secretas codificadas, el análisis en profundidad de la capa de contenedores, la identificación de vulnerabilidades e integraciones nativas con repositorios y procesos de CI/CD, con el fin de prevenir el malware, las credenciales expuestas y los riesgos relacionados con las dependencias, al tiempo que facilita el cumplimiento de marcos normativos como la Ley de Ciberresiliencia de la UE.

Preguntas frecuentes
¿Cuándo se aplica la CRA?
Las obligaciones de presentación de informes entrarán en vigor en septiembre de 2026. La aplicación plena comenzará en diciembre de 2027.
¿Es obligatorio que las SBOM sean públicas?
No. Deben facilitarse a las autoridades previa solicitud motivada.
¿Se tienen en cuenta los componentes de código abierto?
Sí. Todos los componentes integrados son responsabilidad del fabricante.
¿Cuáles son las sanciones por incumplimiento?
Hasta 15 millones de euros o el 2,5 % de la facturación anual global.
¿Es necesaria la automatización?
Aunque no es un requisito explícito, la automatización es esencial para cumplir los requisitos de supervisión del ciclo de vida.
¿Y ahora qué? Cómo prepararse para las medidas coercitivas de la CRA
La CRA establece que la seguridad de la cadena de suministro de software es una condición indispensable para operar en el mercado de la UE, exigiendo la responsabilidad a lo largo del ciclo de vida, la supervisión continua de vulnerabilidades y una documentación estructurada de la lista de materiales de seguridad (SBOM). Las organizaciones que empiecen a armonizar sus procesos de desarrollo y seguridad desde ahora podrán reducir su exposición a los riesgos normativos y reforzar al mismo tiempo su resiliencia general.
OPSWAT la aplicación práctica de los requisitos de la CRA al integrar la automatización de las listas de componentes de software (SBOM), la información sobre vulnerabilidades, el análisis múltiple y la inspección de confianza cero directamente en los flujos de trabajo de desarrollo, lo que ayuda a los fabricantes a reforzar sus cadenas de suministro de software sin dejar de estar preparados para las auditorías.
Descubra cómo OPSWAT ayudar a su organización a poner en práctica los requisitos de la CRA y a reforzar la seguridad de su cadena de suministro de software.
