Evaluación y Soporte al Cumplimiento CRA

Impulsa la confianza digital con el nuevo Cyber Resilience Act. Seguridad desde el diseño, protección durante toda la vida útil.

El Cyber Resilience Act (CRA) es el Reglamento de la Unión Europea (Reglamento (UE) 2024/2847) que entró en vigor el 10 de diciembre de 2024, cuyo objetivo es reforzar la ciberseguridad de los productos con elementos digitales comercializados en la Unión Europea. Esta normativa busca asegurar que los productos con elementos digitales comercializados (ya sea software o hardware) en el mercado europeo mantengan altos estándares de ciberseguridad desde su desarrollo y a lo largo de toda su vida útil, reduciendo la presencia de vulnerabilidades.

Se entiende por producto con elementos digitales a aquellos que:

 

Se conecte directa o indirectamente a una red o a otro dispositivo.

Se conecte directa o indirectamente a una red o a otro dispositivo.

Procese datos digitales.

Procese datos digitales.

Incorpore software o firmware.

Incorpore software o firmware.

El reglamento CRA entrará en vigor de forma parcial a partir del 11 de septiembre de 2026 mediante la notificación obligatoria de vulnerabilidad explotadas activamente e incidentes de seguridad graves, y será de obligado cumplimiento en su totalidad el 11 de diciembre de 2027.

¿A quién afecta CRA?

  • Fabricantes de productos digitales: tanto empresas establecidas en la Unión Europea como fuera de ella, siempre que los productos se introduzcan o se comercialicen en el mercado europeo.
  • Desarrolladores de software: responsables de diseñar y mantener las aplicaciones para que cumplan con los requisitos de ciberseguridad establecidos en la normativa.
  • Importadores y distribuidores: intermediarios en la cadena de suministro de los productos y, por tanto, deben asegurarse de que los productos distribuidos o comercializados cumplen con la normativa.
  • Otros operadores: revendedores o cualquier otra entidad involucrada en la comercialización de los productos dentro del entorno de la UE.

 

Objetivo del Servicio

El objetivo de este servicio es el de llevar a cabo un proceso de implementación del Reglamento de Ciberresiliencia (UE) 2024/2847 (Cyber Resilience Act) del 23 de octubre de 2024 estructurado por fases con objetivos claros para alcanzar el cumplimiento de los requisitos horizontales de ciberseguridad para los productos con elementos digitales afectados por el reglamento.

Fases del Proyecto

Las fases del proyecto son las siguientes:

Fase I: Establecimiento del alcance y análisis Gap

Etapa I: Alcance, Clasificación y Gap

  • Se analizan todos los productos a los que les sea de aplicabilidad CRA.
  • Se determina la categoría a la que pertenecen en base a la clasificación definida por CRA.
  • Se realiza un análisis de brechas (gap) respecto a los artículos del reglamento y el cumplimiento de los requisitos esenciales de ciberseguridad (Anexo I) y se preparar un plan de acción para alcanzar el cumplimiento del reglamento antes del 11 de diciembre de 2027.

Etapa II: Notificación de vulnerabilidades e incidentes graves

  • Se realiza un análisis de las Políticas, Procedimientos y Procesos actuales de gestión y notificación de vulnerabilidades e incidentes de seguridad.
  • Se realiza la definición o modificación de las Políticas o Procedimientos afectados por el proceso de notificación de vulnerabilidades e incidentes graves alineados a CRA con el objetivo de alcanzar el cumplimiento del artículo 14 de entrada en vigor el 11 de septiembre de 2026.

Fase II: Soporte a la implementación

Etapa I: Evaluación de riesgos

  • Objetivos: En base al enfoque basado en riesgos, modular las acciones de cumplimiento en función del tipo de producto, la criticidad del producto, el uso previsto de este y el impacto potencial dentro del entorno digital.
  • Actividades:
    • Definición clara de activos en alcance
    • Modelado de amenazas
    • Identificación de riesgos y mecanismos de tratamiento
  • Resultados:
    • Matriz de Riesgos y Mapeado de Controles CRA
    • Informe de tratamiento de los Riesgos
    • Procedimiento de actualización periódica del AARR

Etapa II: Evaluación técnica de requisitos CRA

  • Objetivos: Revisión de hardware, firmware, comunicaciones y aplicaciones asociadas con el objetivo de detectar vulnerabilidades, debilidades y comportamientos anómalos.
  • Metodología:
    • Reconocimiento: Identificación de interfaces, documentación y entorno.
    • Análisis: Revisión de software, hardware y pruebas básicas de seguridad. Revisión de configuraciones (hardening).
    • Pruebas de conectividad: Comprobación de apps, APIs y comunicaciones locales.
  • Resultados: Informe y recomendaciones.

Etapa III: Implementar e Integrar CRA en el ciclo de vida de
los productos afectados

  • Objetivos:
    • Estandarizar el proceso de cumplimiento con CRA.
    • Integrar el proceso de cumplimiento con CRA en las áreas afectadas de la organización.
  • Actividades:
    • Soporte a la implementación del plan de alineamiento con CRA definido en la Fase I y en base a los riesgos identificados anteriormente.
    • Definición o Actualización de Políticas, Procedimientos y/o Metodologías afectadas por CRA para su alineamiento al reglamento.
  • Resultados:
    • Informes de recomendaciones en el cumplimiento de los artículos y Anexo I y II del reglamento.
    • Políticas, procedimientos y metodologías alineadas con CRA

Etapa IV: Evaluación de cumplimiento CRA

  • Objetivos: Validación del Cumplimiento con artículos del reglamento, Anexo I – parte I y parte II y Anexo II como paso previo a la evaluación de la conformidad mediante control interno o a través de un tercero (organismo notificado).
  • Actividades: Auditoría interna que evalúa el cumplimiento de las medidas indicadas en el reglamento CRA.
  • Resultados: Informe con el estado de cumplimiento.

Qué opinan nuestros clientes


At Grupo AR, we highly value the brand protection service provided by Internet Security Auditors for its comprehensive and proactive approach. Their highly qualified team enables us to identify and mitigate risks that could affect the AR Construcciones brand and its different companies. Many thanks for your support!
Nestor Ivan Melo Ballen
Director of Cybersecurity
Grupo AR
As CEO of Beruby, we worked with Internet Security Auditors when we urgently needed to complete a PCI DSS Attestation of Compliance. The entire process was extremely fast, efficient, and professional. Their team provided us with excellent support, demonstrating strong technical expertise and a high level of commitment. Without a doubt, we recommend their services to any company in need of cybersecurity solutions.
Miguel Acosta
Global CEO
Beruby
At Grupo Arbulu, we have worked closely with Internet Security Auditors on the implementation of advanced cybersecurity measures. Thanks to their expertise, we have significantly strengthened our ability to detect and mitigate cyber risks. Their thorough audits and tailored solutions have reinforced our security infrastructure, ensuring the protection of our data and the continuity of our operations.
Marcos Montes de Oca
CIO
Grupo Arbulu
As CISO at Intaremit S.A., the importance we place on logical security is extremely high. Not only because the PCI‑CPP standard requires us to perform four internal and external vulnerability scans and an annual internal and external penetration test, but also because of the security and peace of mind our company aims to provide to each and every one of our customers.We have been working and collaborating with IsecAuditors for more than 10 years thanks to their experience, commitment, and close support, and I therefore recommend them without hesitation.
Sergio Sainz de la Maza
CISO
Intaremit S.A.
As CFO of Fleurop – Interflora Spain, we have been working with Internet Security Auditors for years in the areas of consulting and GDPR compliance. As Interflora is a company fully oriented toward online commerce, the professional services provided by ISEC Auditors give us the support, security, and peace of mind that all our activities remain aligned with GDPR requirements.
Francisco Tébar Prada
CFO Southern Europe (Spain, Italy, Portugal and Romania)
Fleurop - Interflora España
As CFO of Saint Louis University – Madrid Campus, I have had the opportunity to work with Internet Security Auditors, S.L. They have been an indispensable partner in implementing the requirements established by GDPR: preparing the record of processing activities, developing privacy policies, drafting the necessary data‑protection agreements with our service providers, and complementing all of this with thorough training for our staff—an essential element to ensure full compliance with the law. I would like to highlight their availability to address questions and their ability to translate the legal framework into concrete and understandable actions. Their periodic internal audits are efficient and allow us to stay up to date, correcting any deviations in a timely manner.I highly recommend Internet Security Auditors, S.L. to anyone seeking a successful implementation and ongoing oversight of personal data protection within their organization. 
Victoria Villarreal Palazón
Vice-Rector & Associate Vice President Chief Financial Officer
Saint Louis University, Spain
Working with Internet Security Auditors has been a positive experience in every respect. Their team combines strong technical expertise with a great willingness to collaborate, which has strengthened our security posture and regulatory compliance.
Andres Mejia
Head of GRC
PAYVÁLIDA
On behalf of Outsourcing SAS BIC, we would like to express our sincere appreciation for the commitment, professionalism, and dedication demonstrated throughout the implementation of the PCI DSS compliance project in our call center. Thanks to your expertise and guidance at every stage of the process, we were able to establish a secure environment that meets the industry’s most demanding payment‑security requirements, significantly strengthening our security controls and data‑protection practices. We especially value your team’s willingness to provide clear solutions, effective training, and smooth communication, all of which were key to achieving our objectives on time and with full confidence.
Yulian Colmenares
Information Security Officer
OUTSOURCNG SAS BIC
Working with Internet Security Auditors has been a highly satisfactory experience. Their support throughout our migration to the ISO/IEC 27001:2022 standard, the execution of internal audits, and the PCI DSS certification process has been essential in strengthening our information security management system. We especially value the professionalism and interpersonal skills of their team, which have made this collaboration a relationship of trust and great value for Neurona.
Ricardo Andrés Cárdenas Galvis
Information Security and Continuity Officer
Neurona
The strategic support provided by Internet Security Auditors as our CISOaaS has been essential in strengthening our internal team. Their expertise perfectly complements the work of our CISO and has enabled us to accelerate the maturity of our cybersecurity program.
CISO
RACC
En Grupo AR, valoramos altamente el servicio de protección de marca de Internet Security Auditors por tener un enfoque integral y proactivo. Su equipo de trabajo, altamente calificado, nos permite identificar y mitigar aquellos riesgos que pueden afectar la marca de AR Construcciones y sus diferentes empresas. ¡Mil gracias por su apoyo!
Nestor Ivan Melo Ballen
Director de Ciberseguridad
Grupo AR
Como CEO de Beruby hemos trabajado con Internet Security Auditors cuando tuvimos que realizar de forma urgente un Attestation of Compliance ¿Servicio PCI DSS?. Todo el proceso fue extremadamente rápido, eficiente y profesional. Su equipo nos brindó un soporte excelente, demostrando gran conocimiento técnico y compromiso. Sin duda, recomendamos sus servicios a cualquier empresa que necesite soluciones en ciberseguridad.
Miguel Acosta
Global CEO
Beruby
En Grupo Arbulu, hemos colaborado estrechamente con Internet Security Auditors en la implementación de medidas de ciberseguridad avanzadas. Gracias a su experiencia, hemos mejorado significativamente nuestra capacidad para detectar y mitigar riesgos cibernéticos. Las auditorías exhaustivas y las soluciones personalizadas han fortalecido nuestra infraestructura de seguridad, asegurando la protección de nuestros datos y la continuidad de nuestras operaciones.
Marcos Montes de Oca
CIO
Grupo Arbulu
Como CISO en Intaremit S.A. la importancia que le damos a la seguridad lógica es muy alta. Ya no solo por el mero hecho de que la normativa PCI-CPP nos exija 4 escaneos de vulnerabilidad internos y externos y un pen-test interno y externo anual; si no también por la propia seguridad y tranquilidad que nuestra compañía quiere brinda a todos y cada uno de sus clientes.Llevamos más de 10 años trabajando y colaborando con IsecAuditors por su experiencia, compromiso y cercanía; por lo que lo recomiendo sin dudarlo.
Sergio Sainz de la Maza
CISO
Intaremit S.A.
Como CFO de Fleurop - Interflora España trabajamos con Internet Security Auditors desde hace años en el ámbito de consultoría y cumplimiento de RGPD. Siendo Interflora una compañía 100% orientada al comercio online, los servicios profesionales de ISEC Auditors, nos dan soporte, seguridad y tranquilidad de que toda nuestra actividad está alineada con el cumplimiento de RGPD.
Francisco Tébar Prada
CFO Southern Europe (Spain, Italy, Portugal and Romania)
Fleurop - Interflora España
Trabajar con Internet Security Auditors ha sido una experiencia positiva en todos los sentidos. Su equipo combina una sólida experiencia técnica con una gran disposición al trabajo colaborativo, lo que ha fortalecido nuestra postura de seguridad y el cumplimiento normativo.
Andres Mejia
Head of GRC
PAYVÁLIDA
Como CFO de Saint Louis University – Madrid Campus, he tenido la oportunidad de trabajar con Internet Security Auditors, S.L. Han sido nuestro socio indispensable para la implementación de los requisitos marcados por la normativa de RGPD: la elaboración del registro de actividades de tratamiento de datos, las políticas de privacidad, los contratos necesarios para la protección de datos con nuestros proveedores de servicios y, todo ello, complementado con una formación exhaustiva de nuestro personal, elemento clave para asegurar el cumplimiento integral de esta ley. M gustaría destacar su disponibilidad para resolver dudas y su capacidad para elaborar un marco legal con acciones concretas y comprensibles. Sus auditorías internas periódicas son eficientes y nos permiten mantenernos actualizados, pudiendo corregir cualquier desviación a tiempo.Recomiendo a Internet Security Auditors, S.L. a cualquiera que quiera llevar a buen puerto la adecuada implantación y posterior seguimiento de la protección de datos personales en sus respectivas organizaciones. 
Victoria Villarreal Palazón
Vice-Rector & Associate Vice President Chief Financial Officer
Saint Louis University, Spain
En nombre de Outsourcing SAS BIC, queremos expresar nuestro más sincero agradecimiento por el compromiso, profesionalismo y dedicación demostrados durante la implementación del proyecto de cumplimiento con el estándar PCI DSS en nuestro call center.  Gracias a su experiencia y acompañamiento en cada etapa del proceso, logramos establecer un entorno seguro y conforme con los requisitos más exigentes de la industria de pagos, fortaleciendo significativamente nuestros controles de seguridad y protección de datos. Valoramos especialmente la disposición de su equipo para brindar soluciones claras, capacitación efectiva y una comunicación fluida, lo cual fue clave para alcanzar los objetivos en tiempo y forma.
Yulian Colmenares
Oficial de Seguridad de la Información
OUTSOURCNG SAS BIC
Trabajar con Internet Security Auditors ha sido una experiencia altamente satisfactoria. Su acompañamiento en la migración a la norma ISO/IEC 27001:2022, la realización de auditorías internas y el proceso de certificación en PCI DSS ha sido fundamental para fortalecer nuestro sistema de gestión de seguridad de la información. Destacamos especialmente el profesionalismo y el don de gente de sus colaboradores, lo que ha hecho de esta colaboración una relación de confianza y alto valor para Neurona.
Ricardo Andrés Cárdenas Galvis
Oficial de Seguridad de la Información y Continuidad
Neurona
El apoyo estratégico de Internet Security Auditors como CISOaaS ha sido fundamental para reforzar nuestro equipo interno. Su experiencia complementa perfectamente el trabajo de nuestro CISO y nos ha permitido avanzar más rápido en la madurez de nuestra ciberseguridad.
CISO
RACC

No dudes en ponerte en contacto con nosotros si necesitas más información

Mandanos tus dudas y nos pondremos en contacto contigo lo antes posible.
Por favor, introduzca un número de teléfono válido.
CAPTCHA