Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Cumplimiento con la Ley de Resiliencia Cibernética de la UE

La Ley de Ciberresiliencia de la UE establece requisitos vinculantes de ciberseguridad para productos con elementos digitales. Descubre cómo ImmuniWeb apoya sus obligaciones de secure-by-design y gestión de vulnerabilidades.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento con la Ley de Resiliencia Cibernética de la UE
Rellene los campos resaltados en rojo a continuación.

Hable con un Especialista sobre
el cumplimiento de la EU Cyber Resilience Act

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento con la Ley de Resiliencia Cibernética de la UE

¿Qué es la Ley de Ciberresiliencia de la UE?

La CRA es la primera regulación horizontal de la UE sobre ciberseguridad de productos. Se aplica a los "productos con elementos digitales" —software y hardware, así como sus soluciones de procesamiento de datos remoto— comercializados en el mercado de la UE, independientemente de la ubicación del fabricante.

Los fabricantes deben cumplir los requisitos esenciales de ciberseguridad del Anexo I, realizar una evaluación de la conformidad, colocar el marcado CE, proporcionar un Software Bill of Materials (SBOM) legible por máquina, gestionar la divulgación coordinada de vulnerabilidades y suministrar actualizaciones de seguridad durante todo el período de soporte.

Descubra cómo ImmuniWeb respalda el enfoque secure-by-design de la CRA y la gestión de vulnerabilidades, probando sus productos con elementos digitales en busca de vulnerabilidades explotables. Solicite una demo o ejecute una prueba gratuita de la Community Edition.

¿Quién debe cumplir con el CRA de la UE?

La CRA se aplica a:

  • Fabricantes de productos con elementos digitales (software y hardware) puestos en el mercado de la UE.
  • Importadores y distribuidores que colocan dichos productos en el mercado de la UE.
  • Fabricantes fuera de la UE cuyos productos llegan al mercado de la UE (alcance extraterritorial).

Los productos de software y los componentes web y móviles en el ámbito deben desarrollarse de manera segura y someterse a pruebas de vulnerabilidades.

Requisitos clave de la CRA para la seguridad de aplicaciones

Los requisitos esenciales del Anexo I impulsan el trabajo en seguridad de aplicaciones:

  • Sin vulnerabilidades explotables conocidas: los productos deben comercializarse sin vulnerabilidades explotables conocidas.
  • Diseño seguro: diseñar, desarrollar y producir productos para garantizar un nivel adecuado de ciberseguridad.
  • Gestión de vulnerabilidades: identificar y documentar las vulnerabilidades, subsanarlas sin demora y realizar pruebas y revisiones periódicas de la seguridad del producto.
  • Actualizaciones de seguridad e informes: proporcionar actualizaciones de seguridad durante el período de soporte; informar sobre vulnerabilidades explotadas activamente e incidentes graves (a partir del 11 de septiembre de 2026).

Requisitos de seguridad de la CRA en detalle

Sin Vulnerabilidades Explotables Conocidas y Secure by Design

Los productos con elementos digitales deben comercializarse sin vulnerabilidades explotables conocidas y diseñados para ser seguros. Las pruebas de penetración y el análisis de vulnerabilidades del software y sus componentes web y móviles identifican las vulnerabilidades que deben eliminarse antes del lanzamiento.

Gestión de Vulnerabilidades y Pruebas Periódicas

El anexo I exige a los fabricantes que identifiquen y documenten las vulnerabilidades y que realicen pruebas y revisiones periódicas de la seguridad del producto. El escaneo continuo y las pruebas de penetración periódicas —con seguimiento de las medidas correctivas— operativizan este requisito a lo largo de todo el período de soporte.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades que la CRA espera que elimine de los productos se alinean estrechamente con el OWASP Top 10 para componentes web y móviles:

  • Control de acceso roto — usuarios accediendo a datos o acciones a los que no deberían.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Configuración de seguridad incorrecta: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
  • Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
  • Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo abordar el cumplimiento de la CRA con ImmuniWeb

  1. Inventario de productos y componentes. Mapee los productos, aplicaciones y APIs orientados a Internet con ImmuniWeb Discovery.
  2. Prueba vulnerabilidades explotables con On-Demand y Neuron antes del lanzamiento.
  3. Pruebe los componentes móviles con MobileSuite y Neuron Mobile.
  4. Gestionar vulnerabilidades mediante escaneos regulares y remediación con seguimiento.
  5. Desarrollo seguro con Continuous en CI/CD a lo largo del periodo de soporte.
  6. Re-pruebe tras las actualizaciones y de forma periódica.

Cómo ImmuniWeb le ayuda a cumplir con el CRA de la UE

ImmuniWeb cumple los requisitos de seguridad por diseño y gestión de vulnerabilidades de la CRA con pruebas que generan evidencia lista para la conformidad.

Requisito Lo que requiere Productos ImmuniWeb
Ninguna vulnerabilidad explotable conocida Eliminar las vulnerabilidades explotables antes del lanzamiento. On-Demand, Neuron
Gestión de vulnerabilidades Identificar, documentar y testear periódicamente la seguridad del producto. Neuron, On-Demand, Discovery
Desarrollo seguro / periodo de soporte Asegurar el SDLC; probar a lo largo del período de soporte. Continuous, MobileSuite

ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración web y móviles; Neuron y Neuron Mobile proporcionan análisis automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea la superficie de ataque de sus productos y componentes, generando conjuntamente evidencia de conformidad con la CRA.

CRA de la UE frente a marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
EU CRA «Seguridad por diseño» + gestión de vulnerabilidades para productos Pruebas de penetración web/móviles + escaneo + ASM
UE NIS 2 Medidas organizativas de gestión de riesgos Las mismas pruebas cubren ambos
Reglamento de la UE sobre inteligencia artificial Ciberseguridad de la IA de alto riesgo Seguridad de aplicaciones y componentes asociados a la IA
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Productos con elementos digitales y sus componentes inventariados
  • Productos probados y libres de vulnerabilidades conocidas explotables
  • Prácticas de seguridad desde el diseño documentadas
  • Proceso de gestión de vulnerabilidades con pruebas periódicas
  • Actualizaciones de seguridad proporcionadas a lo largo del período de soporte
  • Flujo de trabajo de notificación listo para las obligaciones del 11 de septiembre de 2026
  • Evidencia de conformidad y SBOM mantenido

Por qué es importante el cumplimiento del CRA de la UE

A partir del 11 de diciembre de 2027, los productos que no cumplan con la CRA no podrán comercializarse legalmente en el mercado de la UE, y el incumplimiento podrá acarrear multas de hasta 15 millones de EUR o el 2,5 % de la facturación anual global. A partir del 11 de septiembre de 2026, los fabricantes ya deberán notificar las vulnerabilidades explotadas activamente y los incidentes graves en plazos muy ajustados.

Dado que las vulnerabilidades explotables en el software y sus componentes web y móviles son precisamente el objetivo de la CRA, las pruebas comprobables constituyen una de las formas más directas de cumplir los requisitos esenciales y proteger el acceso al mercado de la UE.

Preguntas frecuentes

  • P
    ¿Qué es la EU Cyber Resilience Act?
    A
    Reglamento (UE) 2024/2847, la ley horizontal de ciberseguridad de la UE para productos con elementos digitales, en vigor desde el 10 de diciembre de 2024.
  • P
    ¿Cuándo se aplica la CRA?
    A
    Las obligaciones de notificación se aplicarán a partir del 11 de septiembre de 2026, y las obligaciones principales (seguridad desde el diseño, evaluación de la conformidad y marcado CE) a partir del 11 de diciembre de 2027.
  • P
    ¿Quién debe cumplir con el CRA?
    A
    Fabricantes, importadores y distribuidores que ponen productos con elementos digitales en el mercado de la UE, incluidos los fabricantes no establecidos en la UE.
  • P
    ¿Qué exige el CRA en materia de seguridad?
    A
    Productos libres de vulnerabilidades explotables conocidas, ingeniería secure-by-design, gestión de vulnerabilidades con pruebas regulares y actualizaciones de seguridad durante el período de soporte.
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con el CRA?
    A
    Realizando pruebas al software y a sus componentes web y móviles para identificar vulnerabilidades explotables, y apoyando la gestión continua de vulnerabilidades durante todo el período de soporte.
  • P
    ¿Cuáles son las sanciones bajo la CRA?
    A
    Hasta 15 millones de EUR o el 2,5 % de la facturación anual global, y la pérdida del acceso al mercado de la UE para los productos no conformes.
Rellene los campos resaltados en rojo a continuación.

Hable con un Especialista sobre
el cumplimiento de la EU Cyber Resilience Act

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto