EU CRA: traçabilitat de codi i gestió de vulnerabilitats com a llei

EU Cyber Resilience Act: requisits de ciberseguretat per a productes programari i com complir-los — V-PROOF Journal
Normativa · Productes digitals

EU Cyber Resilience Act: la seguretat del programari ja és una obligació legal amb marcatge CE

El Reglament (UE) 2024/2847 converteix la ciberseguretat en un requisit de comercialització per a qualsevol producte amb elements digitals a la UE. La traçabilitat del codi, la gestió de vulnerabilitats i l'SBOM verificable deixen de ser bones pràctiques per esdevenir obligacions jurídiques.

Publicat: Juliol de 2026
Cobertura normativa: EU CRA · Arts. 13, 14, 16 · Annex I
Categoria: Regulació
EU CRA · UE 2024/2847 Proveïdor europeu Programari · IoT · DevSecOps

Punts clau

  • El EU CRA (Reglament (UE) 2024/2847) publicat el 23 d'octubre de 2024 estableix requisits obligatoris de ciberseguretat per a tots els productes amb elements digitals comercialitzats a la UE.
  • Les obligacions de notificació de vulnerabilitats activament explotades (Art. 14) són d'aplicació des de l'11 de setembre de 2026 — la primera data crítica per als fabricants de programari.
  • La plena aplicació del reglament, incloent-hi el marcatge CE de ciberseguretat, entra en vigor l'11 de desembre de 2027.
  • L'Art. 13 exigeix que els fabricants documentin i acreditin el seu Secure Development Lifecycle (SDL) — des del disseny fins al final de la vida útil del producte.
  • L'Art. 16 introdueix el Software Bill of Materials (SBOM) com a obligació: una llista verificable de tots els components de programari del producte.
  • V-PROOF Git Integration genera la cadena de custòdia criptogràfica del codi commit a commit — la base tècnica per complir els Arts. 13, 14 i 16 simultàniament.

EU CRA: quan "secure by design" deixa de ser un eslògan i esdevé llei

Durant dècades, la indústria del programari ha operat sota un principi implícit: la ciberseguretat és una característica opcional que s'afegeix si el mercat la exigeix. L'EU Cyber Resilience Act posa fi a aquest model. A partir de desembre de 2027, cap producte amb elements digitals no podrà comercialitzar-se a la UE sense acreditar que compleix els requisits de seguretat de l'Annex I del reglament.

Publicat el 23 d'octubre de 2024 al Diari Oficial de la UE, el Reglament (UE) 2024/2847 afecta qualsevol producte de maquinari o programari que inclogui "elements digitals" — una definició deliberadament àmplia que cobreix des de dispositius IoT industrials fins a aplicacions mòbils, des de sistemes de control d'accés fins a programari de gestió empresarial. Només queden exclosos explícitament els productes ja coberts per normativa sectorial específica (dispositius mèdics, vehicles, aviació) i el programari com a servei pur sense descàrrega de components al dispositiu de l'usuari.

El canvi de paradigma de l'EU CRA

L'EU CRA desplaça la responsabilitat de la ciberseguretat de l'usuari final al fabricant. Fins ara, quan un programari tenia vulnerabilitats, l'usuari "acceptava el risc" en instal·lar el producte. Amb el CRA, el fabricant és responsable de la seguretat del producte durant tot el seu cicle de vida, incloent-hi la gestió de vulnerabilitats post-llançament durant almenys cinc anys o durant el període d'ús previst si és superior.

Les sancions per incompliment són significatives: fins a 15 milions d'euros o el 2,5% de la facturació global anual per incompliment dels requisits essencials de ciberseguretat de l'Annex I, i fins a 10 milions o el 2% per incompliment d'altres obligacions com la notificació de vulnerabilitats. Els organismes nacionals de vigilància del mercat són responsables de la supervisió a cada Estat membre.

Tres categories, tres nivells d'exigència

L'EU CRA classifica els productes en tres categories segons el seu nivell de risc de ciberseguretat. La categoria determina el procediment d'avaluació de conformitat requerit per obtenir el marcatge CE:

Categoria general
Productes estàndard
Autodeclaració de conformitat pel fabricant. Exemples: programari d'ofimàtica, aplicacions de productivitat, jocs, encaminadors domèstics bàsics. La majoria del programari comercial cau aquí.
Classe I — Risc elevat
Productes crítics de programari
Avaluació per organisme de certificació o auditoria de tercers. Exemples: gestors de contrasenyes, antivirus, tallafocs, VPN, sistemes SCADA, gestors de xarxa, programari d'identitat i autenticació.
Classe II — Risc crític
Infraestructures crítiques
Certificació obligatòria per organisme notificat. Exemples: sistemes operatius industrials, hipervisors, PKI, xips de seguretat, targetes intel·ligents, HSM. L'exigència més alta del reglament.

Les dates que els equips de producte han de tenir en el seu full de ruta

23 d'octubre de 2024
Publicació al DOUE i entrada en vigor
El Reglament (UE) 2024/2847 es publica al Diari Oficial de la UE. Entra en vigor vint dies després de la seva publicació.
Desembre 2024 – 2026
Període de preparació — Normes tècniques harmonitzades
L'ENISA i els organismes de normalització europeus (CEN/CENELEC) treballen en les normes tècniques harmonitzades que especificaran com implementar els requisits de l'Annex I. Les empreses amb visió avancen el seu SDL i la traçabilitat de codi.
11 de setembre de 2026 — PRÒXIMA DATA CRÍTICA
Obligacions de notificació de vulnerabilitats en vigor
L'Art. 14 és d'aplicació: els fabricants han de notificar a l'ENISA les vulnerabilitats activament explotades en els seus productes en 24 hores des que en tenen coneixement, i els incidents greus en 72 hores. Sense un registre tècnic del moment de descobriment, el compliment del termini és indemostrable.
AVUI — 2027
Finestra d'implementació de l'SDL i traçabilitat de codi
Les empreses amb visió estan implementant ara el seu Secure Development Lifecycle i la traçabilitat de codi verificable. Les que esperin al 2027 no tindran un historial demostrable d'SDL anterior a la data d'aplicació.
11 de desembre de 2027
Plena aplicació — Marcatge CE de ciberseguretat obligatori
Tots els productes amb elements digitals nous o actualitzats significativament que es comercialitzin a la UE han de portar el marcatge CE que acrediti el compliment de l'EU CRA. Els productes sense marcatge CE no poden ser legalment comercialitzats.

Per què començar ara i no el 2027

L'EU CRA exigeix que els fabricants demostrin un Secure Development Lifecycle — un procés de desenvolupament segur — no només que el producte final compleix requisits puntuals. Un procés té historial. Les auditories de conformitat miraran enrere: un fabricant que comenci a segellar criptogràficament el seu procés de desenvolupament el 2024–2026 tindrà dos o tres anys d'historial verificable quan arribi l'avaluació. Un que comenci el desembre de 2027 tindrà zero historial demostrable.

Els articles que exigeixen evidència tècnica — i què genera V-PROOF per a cadascun

Art. 13 — Obligacions del fabricant
Cicle de Desenvolupament Segur documentat i verificable
Els fabricants han d'assegurar-se que la ciberseguretat s'integra en el cicle de desenvolupament des del disseny fins al final de la vida útil: anàlisi de riscos, proves de seguretat, gestió d'actualitzacions i pegats, i documentació tècnica mantinguda actualitzada. Tot això ha de poder acreditar-se davant l'organisme de vigilància del mercat.
Evidència V-PROOF Git Integration segella criptogràficament cada commit, revisió de codi i desplegament del cicle de vida del programari. L'historial de desenvolupament és immutable i verificable: qui va fer cada canvi, quan, què es va canviar i quins controls de seguretat es van aplicar. La cadena de custòdia del codi és l'SDL documentat.
Art. 14 — Notificació de vulnerabilitats
Registre immutable del moment de descobriment i resolució de vulnerabilitats
Els fabricants han de notificar a l'ENISA les vulnerabilitats activament explotades en 24 hores des que en tenen coneixement. Per complir aquest termini de manera defensable, necessiten un registre tècnic inalterable que acrediti exactament quan van descobrir la vulnerabilitat — no una declaració posterior sobre quan "creuen" que la van descobrir.
Evidència V-PROOF Cada vulnerability disclosure interna rep un segell criptogràfic amb Timestamp blockchain en el moment de registre. El fabricant té evidència inalterable de quan va identificar la vulnerabilitat, quan la va comunicar a l'equip de seguretat i quan va aplicar el pegat — defensable davant de qualsevol inspecció de l'organisme de vigilància.
Art. 16 — Software Bill of Materials
SBOM verificable: traçabilitat de tots els components del producte
L'SBOM (Software Bill of Materials) és una llista exhaustiva de tots els components de programari del producte, incloent-hi dependències de codi obert, biblioteques de tercers i les seves versions. L'EU CRA exigeix que aquesta llista sigui precisa, actualitzada i pugui ser verificada pels organismes de supervisió del mercat.
Evidència V-PROOF Git Integration registra cada dependència introduïda al repositori amb el seu commit, versió i autor. La traçabilitat de la cadena de subministrament de programari és completa i verificable criptogràficament: qualsevol auditor pot verificar quin component de tercers hi ha al producte, en quina versió i des de quina data.
Annex I — Requisits essencials
Evidència que els requisits de seguretat del producte estan implementats
L'Annex I llista els requisits essencials de ciberseguretat que tot producte ha de complir: sense vulnerabilitats conegudes explotables, configuracions segures per defecte, protecció de dades, gestió d'incidents, actualitzacions de seguretat disponibles. Els fabricants han de poder demostrar la conformitat amb cadascun.
Evidència V-PROOF V-SEAL Core genera registres criptogràfics de la implementació de cada control de l'Annex I: quina mesura de seguretat es va implementar, qui la va aprovar, quan i en quina versió del producte. La documentació tècnica per al marcatge CE té una base d'evidència verificable per tercers.

Cobertura V-PROOF per obligació EU CRA

Obligació EU CRA Requisit Cobertura Mòdul V-PROOF
Art. 13 — Secure Development Lifecycle
Art. 13(1)SDL documentat Historial verificable del procés de desenvolupament segur des del disseny fins al desplegament ✓ Completa Git Integration
Art. 13(3)Gestió de pegats Traçabilitat de l'aplicació de pegats de seguretat: quan, quina versió, qui ho va autoritzar ✓ Completa Git Integration
Art. 13(6)Documentació tècnica Documentació tècnica actualitzada i verificable per a l'avaluació de conformitat ✓ Completa V-SEAL Core Git Integration
Art. 14 — Notificació de vulnerabilitats i incidents
Art. 14(1)24h — Alerta ENISA Registre amb Timestamp del moment exacte de descobriment de la vulnerabilitat explotada ✓ Completa V-Seal Core
Art. 14(2)72h — Notificació Registre de les accions preses des del descobriment fins a la notificació formal ✓ Completa V-Seal Core
Art. 14(7)Notificació a ENISA La notificació formal a ENISA és responsabilitat del fabricant — Responsabilitat del fabricant Procés regulador
Art. 16 — Software Bill of Materials (SBOM)
Art. 16SBOM verificable Llista completa i verificable de components de programari, incloent-hi dependències de tercers i codi obert ✓ Completa Git Integration
Annex I — Requisits essencials de ciberseguretat
Annex I — Part IRequisits del producte Evidència d'implementació de cada control de seguretat requerit en el disseny del producte ✓ Completa V-Seal Core
Annex I — Part IIGestió de vulnerabilitats Procés verificable d'identificació, anàlisi i resolució de vulnerabilitats durant el cicle de vida ✓ Completa Git Integration V-Seal Core
Convergència EU CRA + EU AI Act — Per a programari amb components d'IA
EU CRA Art. 13+ EU AI Act Art. 12 Traçabilitat del cicle de vida de models d'IA integrats en productes programari: versions, entrenament, desplegament ✓ Completa AI Orchestrator Git Integration

EU CRA + EU AI Act: la doble obligació per a programari amb IA integrada

Qualsevol producte programari que integri components d'IA està subjecte simultàniament a l'EU CRA i a l'EU AI Act. I la intersecció crea obligacions addicionals que cap dels dos marcs cobreix de forma aïllada.

Un sistema de detecció d'anomalies basat en ML integrat en un programari de ciberseguretat, un assistent de codi amb IA, un sistema de recomanació de seguretat en una plataforma SaaS — tots són sistemes d'IA sota l'EU AI Act i productes amb elements digitals sota l'EU CRA. El fabricant ha de complir els requisits de traçabilitat del cicle de vida del programari (EU CRA Art. 13) i els requisits de registre d'esdeveniments i supervisió humana del sistema d'IA (EU AI Act Arts. 12 i 14) amb el mateix producte.

V-PROOF cobreix la intersecció amb una sola integració

El mòdul AI Orchestrator de V-PROOF registra criptogràficament el cicle de vida complet dels models d'IA integrats en el producte: datasets d'entrenament, versions del model, mètriques d'avaluació i cada decisió en producció. El mòdul Git Integration registra el codi que els implementa. Junts, cobreixen les obligacions de traçabilitat de l'EU CRA (Art. 13) i de l'EU AI Act (Arts. 12, 16) sense duplicar la integració.

Cadena de subministrament · Rellevància EU CRA

L'EU CRA i la seguretat de la cadena de subministrament del programari

L'EU CRA introdueix un concepte que canvia la manera en què els equips de desenvolupament han de pensar en les seves dependències: la responsabilitat de la cadena de subministrament de programari. Els fabricants són responsables de les vulnerabilitats dels components de tercers que integren en els seus productes — incloent-hi llibreries open source.

Aquesta responsabilitat s'estén als proveïdors d'eines de desenvolupament que el fabricant utilitza en el seu procés de SDL. Un fabricant que utilitza una plataforma de CI/CD o de gestió de codi amb seu als EUA per gestionar el seu procés de desenvolupament segur introdueix en la seva cadena de subministrament un component subjecte al CLOUD Act. Si les autoritats americanes requereixen accés a l'historial de desenvolupament del producte — inclosos els registres de vulnerabilitats descobertes i els seus terminis de resolució — aquest proveïdor no pot garantir la confidencialitat.

V-PROOF Git Integration genera la traçabilitat del codi amb seu legal a Espanya. Els registres del SDL són sobirans: la cadena de custòdia criptogràfica del procés de desenvolupament roman sota jurisdicció de la UE.

La sobirania completa també depèn de la plataforma de repositoris (GitHub, GitLab, Bitbucket) que el fabricant utilitzi. Per a un SDL completament sobirà, recomanem combinar V-PROOF amb plataformes de repositoris de seu legal europea.
Anàlisi estratègica

V-PROOF davant l'EU CRA

Fortaleses, casos d'ús regulatori i límits de l'abast

F
Fortaleses · El que V-PROOF aporta a l'EU CRA
  • Cadena de custòdia criptogràfica del codi commit a commit — el SDL documentat i verificable que l'Art. 13 exigeix, construït durant el desenvolupament normal Art. 13 — SDL verificable
  • Timestamp blockchain del moment exacte de descobriment de cada vulnerabilitat — essencial per acreditar el compliment del termini de 24h de l'Art. 14 Art. 14 — Notificació vuln.
  • Traçabilitat de dependències i components de tercers commit a commit — la base tècnica per generar i verificar l'SBOM de l'Art. 16 Art. 16 — SBOM
  • Historial verificable d'implementació de controls de l'Annex I — l'evidència per a la documentació tècnica d'avaluació de conformitat i marcatge CE Annex I — Requisits essencials
  • Cobertura dual EU CRA + EU AI Act per a programari amb components d'IA integrats — una sola integració per a dos marcs normatius Convergència normativa 2026–2027
  • Proveïdor amb seu legal a Espanya: el procés de SDL registrat a V-PROOF no està subjecte al CLOUD Act americà Sobirania cadena de subministrament
On actua · Casos d'ús regulatori
  • ISVs (Independent Software Vendors) que comercialitzen programari a la UE i necessiten documentar el seu SDL abans de desembre de 2027 Art. 13 — Fabricants de programari
  • Fabricants de dispositius IoT industrials i de consum amb programari integrat — especialment Classe I i II amb major exigència d'avaluació Classe I–II — Productes crítics
  • Equips DevSecOps que necessiten segellar criptogràficament el seu pipeline CI/CD com a evidència del procés de desenvolupament segur Art. 13 — Pipeline CI/CD
  • CISOs preparant la documentació tècnica per a avaluacions de conformitat de Classe I i II amb la major antelació possible Arts. 24–32 — Avaluació conformitat
  • Fabricants de programari amb IA integrada que tenen doble obligació EU CRA + EU AI Act i cerquen una sola infraestructura de traçabilitat Convergència EU CRA + EU AI Act
Fora d'abast · Responsabilitat del fabricant
  • El disseny de l'arquitectura de seguretat del producte: V-PROOF certifica que el procés d'implementació es va executar correctament, no dissenya l'arquitectura de seguretat. Disseny de producte
  • Proves de penetració i security testing (Annex I): V-PROOF segella els resultats de les proves, no les executa. Les proves les realitza l'equip de seguretat o un tercer especialitzat. Annex I — Security testing
  • La notificació formal de vulnerabilitats a ENISA (Art. 14): V-PROOF genera el registre immutable del descobriment; la notificació formal al regulador és responsabilitat del fabricant. Art. 14 — Notificació ENISA
  • El marcatge CE (Art. 47): requereix avaluació de conformitat per organisme notificat en Classe I i II. V-PROOF genera l'evidència tècnica que facilita aquesta avaluació, no l'atorga. Art. 47 — Marcatge CE
Diagnòstic EU CRA

Té el seu equip de desenvolupament l'SDL documentat que els avaluadors de conformitat CRA exigiran?

V-PROOF ofereix un diagnòstic estratègic de 48 hores que mapa les obligacions EU CRA aplicables als seus productes, identifica les llacunes de traçabilitat de codi existents i defineix la integració de Git Integration necessària.

Sol·licitar Diagnòstic Estratègic EU CRA

Fonts i referències normatives

  1. Reglament (UE) 2024/2847 del Parlament Europeu i del Consell, de 23 d'octubre de 2024 — EUR-Lex CELEX:32024R2847
  2. ENISA — EU CRA Orientació per a la Implementació, 2025 — enisa.europa.eu
  3. Comissió Europea — Preguntes freqüents sobre l'EU CRA — digital-strategy.ec.europa.eu
  4. CEN/CENELEC — Mandat de normalització per a l'EU CRA (normes tècniques harmonitzades) — cencenelec.eu
  5. BSI (Bundesamt für Sicherheit in der Informationstechnik) — EU CRA Guia d'Orientació per a Fabricants, 2025 — bsi.bund.de
  6. Reglament (UE) 2024/1689 (EU AI Act) — referència de convergència amb EU CRA per a programari amb IA — EUR-Lex
Anterior
Anterior

La Vanguardia destaca la "caja negra" de la IA: V-Proof Protocol en el Especial Empresas

Següent
Següent

Com ajuda V-PROOF en el compliment DORA i el sector financer