Cumplimiento con la Ley de Resiliencia Cibernética de la UE
La Ley de Ciberresiliencia de la UE establece requisitos vinculantes de ciberseguridad para productos con elementos digitales. Descubre cómo ImmuniWeb apoya sus obligaciones de secure-by-design y gestión de vulnerabilidades.
Cumplimiento con la Ley de Resiliencia Cibernética de la UE
What Is the EU Cyber Resilience Act?
La CRA es la primera regulación horizontal de la UE sobre ciberseguridad de productos. Se aplica a los "productos con elementos digitales" —software y hardware, así como sus soluciones de procesamiento de datos remoto— comercializados en el mercado de la UE, independientemente de la ubicación del fabricante.
Manufacturers must meet the essential cybersecurity requirements in Annex I, run a conformity assessment, affix the CE marking, provide a machine-readable Software Bill of Materials (SBOM), operate coordinated vulnerability disclosure, and supply security updates throughout the support period.
See how ImmuniWeb supports CRA secure-by-design and vulnerability handling- testing your products with digital elements for exploitable vulnerabilities. Request a demoor run a free Community Edition test.
Who Must Comply with EU CRA?
La CRA se aplica a:
- Manufacturers of products with digital elements (software and hardware) placed on the EU market.
- Importadores y distribuidores que colocan dichos productos en el mercado de la UE.
- Fabricantes fuera de la UE cuyos productos llegan al mercado de la UE (alcance extraterritorial).
Software products and web/mobile components in scope must be developed securely and tested for vulnerabilities.
Requisitos clave de la CRA para la seguridad de aplicaciones
The Annex I essential requirements drive application-security work:
- No known exploitable vulnerabilities: products must be placed on the market without known exploitable vulnerabilities.
- Diseño seguro: diseñar, desarrollar y producir productos para garantizar un nivel adecuado de ciberseguridad.
- Gestión de vulnerabilidades: identificar y documentar las vulnerabilidades, subsanarlas sin demora y realizar pruebas y revisiones periódicas de la seguridad del producto.
- Actualizaciones de seguridad e informes: proporcionar actualizaciones de seguridad durante el período de soporte; informar sobre vulnerabilidades explotadas activamente e incidentes graves (a partir del 11 de septiembre de 2026).
Requisitos de seguridad de la CRA en detalle
No Known Exploitable Vulnerabilities & Secure by Design
Products with digital elements must be placed on the market free of known exploitable vulnerabilities and engineered to be secure by design. Penetration testing and vulnerability scanning of the software and its web and mobile components identify the exploitable issues that must be removed before release.
Gestión de Vulnerabilidades y Pruebas Periódicas
El anexo I exige a los fabricantes que identifiquen y documenten las vulnerabilidades y que realicen pruebas y revisiones periódicas de la seguridad del producto. El escaneo continuo y las pruebas de penetración periódicas —con seguimiento de las medidas correctivas— operativizan este requisito a lo largo de todo el período de soporte.
Riesgos comunes en aplicaciones web y móviles a abordar
Las vulnerabilidades que la CRA espera que elimine de los productos se alinean estrechamente con el OWASP Top 10 para componentes web y móviles:
- Broken Access Control — users reaching data or actions they should not.
- Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
- Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
- Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
- Security Misconfiguration — default, incomplete or unsafe configuration.
- Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
- Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
- Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
- Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.
For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.
Cómo abordar el cumplimiento de la CRA con ImmuniWeb
- Inventario de productos y componentes. Mapee los productos, aplicaciones y APIs orientados a Internet con ImmuniWeb Discovery.
- Test for exploitable vulnerabilities with On-Demand and Neuron before release.
- Test mobile components with MobileSuite and Neuron Mobile.
- Gestionar vulnerabilidades mediante escaneos regulares y remediación con seguimiento.
- Desarrollo seguro con Continuous en CI/CD a lo largo del periodo de soporte.
- Re-pruebe tras las actualizaciones y de forma periódica.
Cómo ImmuniWeb le ayuda a cumplir con el CRA de la UE
ImmuniWeb cumple los requisitos de seguridad por diseño y gestión de vulnerabilidades de la CRA con pruebas que generan evidencia lista para la conformidad.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| Ninguna vulnerabilidad explotable conocida | Eliminar las vulnerabilidades explotables antes del lanzamiento. | On-Demand, Neuron |
| Gestión de vulnerabilidades | Identify, document and regularly test product security. | Neuron, On-Demand, Discovery |
| Desarrollo seguro / periodo de soporte | Secure the SDLC; test across the support period. | Continuous, MobileSuite |
ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración web y móviles; Neuron y Neuron Mobile proporcionan análisis automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea la superficie de ataque de sus productos y componentes, generando conjuntamente evidencia de conformidad con la CRA.
EU CRA vs International Frameworks
Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:
| Framework | Perspectiva de la seguridad de aplicaciones | Cómo mapea ImmuniWeb |
|---|---|---|
| EU CRA | «Seguridad por diseño» + gestión de vulnerabilidades para productos | Web/mobile pentest + scanning + ASM |
| EU NIS 2 | Medidas organizativas de gestión de riesgos | Las mismas pruebas cubren ambos |
| Reglamento de la UE sobre inteligencia artificial | Ciberseguridad de la IA de alto riesgo | Seguridad de aplicaciones y componentes asociados a la IA |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas como evidencia de controles |
Pruebas de penetración frente a escaneo de seguridad
Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.
Lista de verificación de cumplimiento (Application Security)
- Productos con elementos digitales y sus componentes inventariados
- Products tested and free of known exploitable vulnerabilities
- Secure-by-design practices documented
- Vulnerability handling process with regular testing in place
- Actualizaciones de seguridad proporcionadas a lo largo del período de soporte
- Flujo de trabajo de notificación listo para las obligaciones del 11 de septiembre de 2026
- Evidencia de conformidad y SBOM mantenido
Why EU CRA Compliance Matters
After 11 December 2027, products that fail CRA conformity cannot legally be placed on the EU market, and non-compliance can attract fines of up to EUR 15 million or 2.5% of global annual turnover. From 11 September 2026, manufacturers must already report actively exploited vulnerabilities and severe incidents on tight deadlines.
Dado que las vulnerabilidades explotables en el software y sus componentes web y móviles son precisamente el objetivo de la CRA, las pruebas comprobables constituyen una de las formas más directas de cumplir los requisitos esenciales y proteger el acceso al mercado de la UE.