← Volver al blog

Faltan 7 meses para el CRA — ¿Sabes dónde están tus CVE?

· Verimu
Cumplimiento CRACyber Resilience ActMonitoreo de CVESBOMRegulación UE

El 11 de septiembre de 2026 no es la fecha de plena entrada en vigor del Cyber Resilience Act europeo. Esa es el 11 de diciembre de 2027. Pero el 11 de septiembre de 2026 es cuando las obligaciones de notificación de vulnerabilidades del CRA se vuelven legalmente vinculantes — y esa fecha límite está ahora a aproximadamente siete meses.

A partir de esa fecha, todo fabricante de productos con elementos digitales vendidos en la UE deberá notificar a ENISA las vulnerabilidades activamente explotadas dentro de las 24 horas siguientes a tener conocimiento de ellas. Una notificación completa sigue dentro de las 72 horas. Un informe final se debe entregar dentro de los 14 días posteriores a la disponibilidad de una medida correctiva.

Esto se aplica a productos que ya están en el mercado. Se aplica al software que lanzaste en 2020. Se aplica independientemente de si has comenzado tu camino hacia el cumplimiento del CRA.

La dependencia oculta que la mayoría de los equipos pasa por alto

La mayoría de las organizaciones planifican en torno a la fecha de cumplimiento total del 11 de diciembre de 2027. Es cuando entran en vigor los requisitos de SBOM, las evaluaciones de conformidad y las obligaciones de marcado CE. Así que el razonamiento es: tenemos tiempo.

Pero aquí está el problema. Para notificar una vulnerabilidad activamente explotada en 24 horas, necesitas saber:

  1. Qué componentes de software hay en tu producto
  2. Cuáles de esos componentes están afectados por un CVE determinado
  3. Si ese CVE está siendo activamente explotado

No puedes hacer nada de esto sin un SBOM y un proceso de monitoreo de vulnerabilidades. En la práctica, la preparación del SBOM es un prerrequisito para septiembre de 2026, aunque los SBOMs no se exijan formalmente hasta diciembre de 2027.

Como señaló el equipo de seguridad de Keysight en su blog: "No puedes informar de lo que no conoces."

Cómo es el calendario de notificación

Cuando un fabricante tiene conocimiento de una vulnerabilidad activamente explotada en su producto, el CRA requiere:

Plazo Requisito
24 horas Alerta temprana al CSIRT a través de la Plataforma Única de Notificación de ENISA
72 horas Notificación completa incluyendo evaluación de gravedad y productos afectados
14 días Informe final una vez disponible una medida correctiva o mitigante

La Plataforma Única de Notificación de ENISA estará operativa en septiembre de 2026. Una vez activa, no habrá período de gracia.

Las cuentas de las sanciones

El incumplimiento del CRA puede resultar en multas de hasta 15 millones de euros o el 2,5% de la facturación anual global, lo que sea mayor. Para ponerlo en contexto, una empresa europea de software mediana con 100 millones de euros de facturación anual se enfrenta a una posible multa de 2,5 millones de euros — por una sola notificación no realizada.

Incluso para empresas muy por debajo de ese umbral de facturación, el daño reputacional de una notificación CRA omitida puede ser peor que la multa en sí.

El panorama actual: qué hay disponible

Si estás empezando a evaluar herramientas, el mercado se divide básicamente así:

Plataformas SCA empresariales — herramientas como Snyk, Sonatype y FOSSA ofrecen análisis de composición de software con generación de SBOM como característica. Estas plataformas son potentes y maduras, pero fueron diseñadas para equipos de seguridad estadounidenses y a menudo cuestan €2.000–5.000+/mes. Los flujos de trabajo específicos del CRA (notificación 24h→72h→14d, integración con EUVD, informes para ENISA) generalmente no están integrados.

Gestores del ciclo de vida de SBOMs — herramientas como Cybeats SBOM Studio y sbomify se centran en la gestión, archivo y compartición de SBOMs. Son fuertes en el lado documental pero pueden requerir herramientas separadas para la detección y alertas de vulnerabilidades.

Generadores de código abierto — Syft, cdxgen y npm-sbom pueden generar SBOMs en pipelines CI/CD. Son gratuitos y flexibles, pero tendrás que construir tú mismo el flujo de monitoreo de CVE, alertas y notificación.

Plataformas centradas en el CRA — una categoría más nueva de herramientas construidas específicamente en torno a los plazos y requisitos del CRA. ScanDog y Verimu entran en esta categoría: diseñados específicamente para el cumplimiento europeo, con generación de SBOM, monitoreo de vulnerabilidades y notificación regulatoria como funcionalidades principales en lugar de complementos.

La pregunta no es si necesitas una herramienta. Es qué compromisos estás dispuesto a aceptar: construir vs. comprar, coste vs. cobertura, nativo para CRA vs. adaptado.

Qué significa "listo para el CRA" para septiembre

Para el 11 de septiembre de 2026, como mínimo, deberías tener:

  1. Un SBOM completo para cada producto en el mercado — cubriendo todas las dependencias directas y transitivas, en formato CycloneDX o SPDX
  2. Monitoreo automatizado de vulnerabilidades — cruzando tus SBOMs con NVD, EUVD e idealmente CISA KEV para señales de vulnerabilidades activamente explotadas
  3. Un flujo de trabajo de alertas — que notifique a las personas adecuadas en horas, no días
  4. Un proceso de notificación — mapeado al calendario 24h/72h/14d del CRA, con plantillas listas para la Plataforma Única de Notificación de ENISA
  5. Documentación — que demuestre que este proceso existe, ha sido probado y está operativo antes de la fecha límite

Si falta alguno de estos elementos, estás expuesto.

Cómo encaja Verimu

Verimu fue construido específicamente para este problema. Somos un equipo de ingenieros de software médico e industrial que pasamos por la planificación del cumplimiento CRA nosotros mismos y nos dimos cuenta de que la brecha de herramientas era enorme — especialmente para pequeños y medianos equipos de software europeos que no tienen un presupuesto de 50.000 €/año para herramientas de seguridad.

Esto es lo que Verimu hace hoy:

  • Generación de SBOM — CycloneDX 1.7, conforme con NTIA, generado automáticamente en cada commit a través de GitHub App
  • Monitoreo de CVE — cruzando NVD, EUVD y CISA KEV
  • Alertas en tiempo real — notificaciones por email a tu equipo cuando una vulnerabilidad afecta a tus dependencias
  • Plantillas de informes CRA — mapeadas al calendario de notificación 24h/72h/14d
  • Infraestructura alojada en la UE — tus datos se quedan en Europa

Desde 49 €/mes — no miles.

Empezamos con GitHub y npm/Node.js, con soporte para C#, Java, Go y Rust en la hoja de ruta.

Si quieres ver cómo es un SBOM conforme antes de comprometerte, puedes generar uno directamente en tu navegador — sin registro.

Siete meses es menos tiempo del que parece. Especialmente cuando el primer mes se va en evaluación, el segundo en compras, el tercero en integración, y quieres al menos un trimestre de margen antes de la fecha límite.

Empieza gratis → o reserva una demo para ver cómo Verimu puede prepararte para el CRA antes de septiembre.