Cumplimiento con la Ley de Resiliencia Cibernética de la UE
La Ley de Ciberresiliencia de la UE establece requisitos vinculantes de ciberseguridad para productos con elementos digitales. Descubre cómo ImmuniWeb apoya sus obligaciones de secure-by-design y gestión de vulnerabilidades.
Cumplimiento con la Ley de Resiliencia Cibernética de la UE
¿Qué es la Ley de Ciberresiliencia de la UE?
La CRA es la primera regulación horizontal de la UE sobre ciberseguridad de productos. Se aplica a los "productos con elementos digitales" —software y hardware, así como sus soluciones de procesamiento de datos remoto— comercializados en el mercado de la UE, independientemente de la ubicación del fabricante.
Los fabricantes deben cumplir los requisitos esenciales de ciberseguridad del Anexo I, realizar una evaluación de la conformidad, colocar el marcado CE, proporcionar un Software Bill of Materials (SBOM) legible por máquina, gestionar la divulgación coordinada de vulnerabilidades y suministrar actualizaciones de seguridad durante todo el período de soporte.
Descubra cómo ImmuniWeb respalda el enfoque secure-by-design de la CRA y la gestión de vulnerabilidades, probando sus productos con elementos digitales en busca de vulnerabilidades explotables. Solicite una demo o ejecute una prueba gratuita de la Community Edition.
¿Quién debe cumplir con el CRA de la UE?
La CRA se aplica a:
- Fabricantes de productos con elementos digitales (software y hardware) puestos en el mercado de la UE.
- Importadores y distribuidores que colocan dichos productos en el mercado de la UE.
- Fabricantes fuera de la UE cuyos productos llegan al mercado de la UE (alcance extraterritorial).
Los productos de software y los componentes web y móviles en el ámbito deben desarrollarse de manera segura y someterse a pruebas de vulnerabilidades.
Requisitos clave de la CRA para la seguridad de aplicaciones
Los requisitos esenciales del Anexo I impulsan el trabajo en seguridad de aplicaciones:
- Sin vulnerabilidades explotables conocidas: los productos deben comercializarse sin vulnerabilidades explotables conocidas.
- Diseño seguro: diseñar, desarrollar y producir productos para garantizar un nivel adecuado de ciberseguridad.
- Gestión de vulnerabilidades: identificar y documentar las vulnerabilidades, subsanarlas sin demora y realizar pruebas y revisiones periódicas de la seguridad del producto.
- Actualizaciones de seguridad e informes: proporcionar actualizaciones de seguridad durante el período de soporte; informar sobre vulnerabilidades explotadas activamente e incidentes graves (a partir del 11 de septiembre de 2026).
Requisitos de seguridad de la CRA en detalle
Sin Vulnerabilidades Explotables Conocidas y Secure by Design
Los productos con elementos digitales deben comercializarse sin vulnerabilidades explotables conocidas y diseñados para ser seguros. Las pruebas de penetración y el análisis de vulnerabilidades del software y sus componentes web y móviles identifican las vulnerabilidades que deben eliminarse antes del lanzamiento.
Gestión de Vulnerabilidades y Pruebas Periódicas
El anexo I exige a los fabricantes que identifiquen y documenten las vulnerabilidades y que realicen pruebas y revisiones periódicas de la seguridad del producto. El escaneo continuo y las pruebas de penetración periódicas —con seguimiento de las medidas correctivas— operativizan este requisito a lo largo de todo el período de soporte.
Riesgos comunes en aplicaciones web y móviles a abordar
Las vulnerabilidades que la CRA espera que elimine de los productos se alinean estrechamente con el OWASP Top 10 para componentes web y móviles:
- Control de acceso roto — usuarios accediendo a datos o acciones a los que no deberían.
- Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
- Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
- Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
- Configuración de seguridad incorrecta: configuración predeterminada, incompleta o insegura.
- Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
- Fallos de identificación y autenticación: gestión débil de inicios de sesión, sesiones o credenciales.
- Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
- Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.
For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.
Cómo abordar el cumplimiento de la CRA con ImmuniWeb
- Inventario de productos y componentes. Mapee los productos, aplicaciones y APIs orientados a Internet con ImmuniWeb Discovery.
- Prueba vulnerabilidades explotables con On-Demand y Neuron antes del lanzamiento.
- Pruebe los componentes móviles con MobileSuite y Neuron Mobile.
- Gestionar vulnerabilidades mediante escaneos regulares y remediación con seguimiento.
- Desarrollo seguro con Continuous en CI/CD a lo largo del periodo de soporte.
- Re-pruebe tras las actualizaciones y de forma periódica.
Cómo ImmuniWeb le ayuda a cumplir con el CRA de la UE
ImmuniWeb cumple los requisitos de seguridad por diseño y gestión de vulnerabilidades de la CRA con pruebas que generan evidencia lista para la conformidad.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| Ninguna vulnerabilidad explotable conocida | Eliminar las vulnerabilidades explotables antes del lanzamiento. | On-Demand, Neuron |
| Gestión de vulnerabilidades | Identificar, documentar y testear periódicamente la seguridad del producto. | Neuron, On-Demand, Discovery |
| Desarrollo seguro / periodo de soporte | Asegurar el SDLC; probar a lo largo del período de soporte. | Continuous, MobileSuite |
ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración web y móviles; Neuron y Neuron Mobile proporcionan análisis automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea la superficie de ataque de sus productos y componentes, generando conjuntamente evidencia de conformidad con la CRA.
CRA de la UE frente a marcos internacionales
Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:
| Framework | Perspectiva de la seguridad de aplicaciones | Cómo mapea ImmuniWeb |
|---|---|---|
| EU CRA | «Seguridad por diseño» + gestión de vulnerabilidades para productos | Pruebas de penetración web/móviles + escaneo + ASM |
| UE NIS 2 | Medidas organizativas de gestión de riesgos | Las mismas pruebas cubren ambos |
| Reglamento de la UE sobre inteligencia artificial | Ciberseguridad de la IA de alto riesgo | Seguridad de aplicaciones y componentes asociados a la IA |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas como evidencia de controles |
Pruebas de penetración frente a escaneo de seguridad
Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.
Lista de verificación de cumplimiento (Application Security)
- Productos con elementos digitales y sus componentes inventariados
- Productos probados y libres de vulnerabilidades conocidas explotables
- Prácticas de seguridad desde el diseño documentadas
- Proceso de gestión de vulnerabilidades con pruebas periódicas
- Actualizaciones de seguridad proporcionadas a lo largo del período de soporte
- Flujo de trabajo de notificación listo para las obligaciones del 11 de septiembre de 2026
- Evidencia de conformidad y SBOM mantenido
Por qué es importante el cumplimiento del CRA de la UE
A partir del 11 de diciembre de 2027, los productos que no cumplan con la CRA no podrán comercializarse legalmente en el mercado de la UE, y el incumplimiento podrá acarrear multas de hasta 15 millones de EUR o el 2,5 % de la facturación anual global. A partir del 11 de septiembre de 2026, los fabricantes ya deberán notificar las vulnerabilidades explotadas activamente y los incidentes graves en plazos muy ajustados.
Dado que las vulnerabilidades explotables en el software y sus componentes web y móviles son precisamente el objetivo de la CRA, las pruebas comprobables constituyen una de las formas más directas de cumplir los requisitos esenciales y proteger el acceso al mercado de la UE.