EU CRA: traçabilitat de codi i gestió de vulnerabilitats com a llei
EU Cyber Resilience Act: la seguretat del programari ja és una obligació legal amb marcatge CE
El Reglament (UE) 2024/2847 converteix la ciberseguretat en un requisit de comercialització per a qualsevol producte amb elements digitals a la UE. La traçabilitat del codi, la gestió de vulnerabilitats i l'SBOM verificable deixen de ser bones pràctiques per esdevenir obligacions jurídiques.
Punts clau
- El EU CRA (Reglament (UE) 2024/2847) publicat el 23 d'octubre de 2024 estableix requisits obligatoris de ciberseguretat per a tots els productes amb elements digitals comercialitzats a la UE.
- Les obligacions de notificació de vulnerabilitats activament explotades (Art. 14) són d'aplicació des de l'11 de setembre de 2026 — la primera data crítica per als fabricants de programari.
- La plena aplicació del reglament, incloent-hi el marcatge CE de ciberseguretat, entra en vigor l'11 de desembre de 2027.
- L'Art. 13 exigeix que els fabricants documentin i acreditin el seu Secure Development Lifecycle (SDL) — des del disseny fins al final de la vida útil del producte.
- L'Art. 16 introdueix el Software Bill of Materials (SBOM) com a obligació: una llista verificable de tots els components de programari del producte.
- V-PROOF Git Integration genera la cadena de custòdia criptogràfica del codi commit a commit — la base tècnica per complir els Arts. 13, 14 i 16 simultàniament.
EU CRA: quan "secure by design" deixa de ser un eslògan i esdevé llei
Durant dècades, la indústria del programari ha operat sota un principi implícit: la ciberseguretat és una característica opcional que s'afegeix si el mercat la exigeix. L'EU Cyber Resilience Act posa fi a aquest model. A partir de desembre de 2027, cap producte amb elements digitals no podrà comercialitzar-se a la UE sense acreditar que compleix els requisits de seguretat de l'Annex I del reglament.
Publicat el 23 d'octubre de 2024 al Diari Oficial de la UE, el Reglament (UE) 2024/2847 afecta qualsevol producte de maquinari o programari que inclogui "elements digitals" — una definició deliberadament àmplia que cobreix des de dispositius IoT industrials fins a aplicacions mòbils, des de sistemes de control d'accés fins a programari de gestió empresarial. Només queden exclosos explícitament els productes ja coberts per normativa sectorial específica (dispositius mèdics, vehicles, aviació) i el programari com a servei pur sense descàrrega de components al dispositiu de l'usuari.
El canvi de paradigma de l'EU CRA
L'EU CRA desplaça la responsabilitat de la ciberseguretat de l'usuari final al fabricant. Fins ara, quan un programari tenia vulnerabilitats, l'usuari "acceptava el risc" en instal·lar el producte. Amb el CRA, el fabricant és responsable de la seguretat del producte durant tot el seu cicle de vida, incloent-hi la gestió de vulnerabilitats post-llançament durant almenys cinc anys o durant el període d'ús previst si és superior.
Les sancions per incompliment són significatives: fins a 15 milions d'euros o el 2,5% de la facturació global anual per incompliment dels requisits essencials de ciberseguretat de l'Annex I, i fins a 10 milions o el 2% per incompliment d'altres obligacions com la notificació de vulnerabilitats. Els organismes nacionals de vigilància del mercat són responsables de la supervisió a cada Estat membre.
Tres categories, tres nivells d'exigència
L'EU CRA classifica els productes en tres categories segons el seu nivell de risc de ciberseguretat. La categoria determina el procediment d'avaluació de conformitat requerit per obtenir el marcatge CE:
Les dates que els equips de producte han de tenir en el seu full de ruta
Per què començar ara i no el 2027
L'EU CRA exigeix que els fabricants demostrin un Secure Development Lifecycle — un procés de desenvolupament segur — no només que el producte final compleix requisits puntuals. Un procés té historial. Les auditories de conformitat miraran enrere: un fabricant que comenci a segellar criptogràficament el seu procés de desenvolupament el 2024–2026 tindrà dos o tres anys d'historial verificable quan arribi l'avaluació. Un que comenci el desembre de 2027 tindrà zero historial demostrable.
Els articles que exigeixen evidència tècnica — i què genera V-PROOF per a cadascun
Cobertura V-PROOF per obligació EU CRA
| Obligació EU CRA | Requisit | Cobertura | Mòdul V-PROOF |
|---|---|---|---|
| Art. 13 — Secure Development Lifecycle | |||
| Art. 13(1)SDL documentat | Historial verificable del procés de desenvolupament segur des del disseny fins al desplegament | ✓ Completa | Git Integration |
| Art. 13(3)Gestió de pegats | Traçabilitat de l'aplicació de pegats de seguretat: quan, quina versió, qui ho va autoritzar | ✓ Completa | Git Integration |
| Art. 13(6)Documentació tècnica | Documentació tècnica actualitzada i verificable per a l'avaluació de conformitat | ✓ Completa | V-SEAL Core Git Integration |
| Art. 14 — Notificació de vulnerabilitats i incidents | |||
| Art. 14(1)24h — Alerta ENISA | Registre amb Timestamp del moment exacte de descobriment de la vulnerabilitat explotada | ✓ Completa | V-Seal Core |
| Art. 14(2)72h — Notificació | Registre de les accions preses des del descobriment fins a la notificació formal | ✓ Completa | V-Seal Core |
| Art. 14(7)Notificació a ENISA | La notificació formal a ENISA és responsabilitat del fabricant | — Responsabilitat del fabricant | Procés regulador |
| Art. 16 — Software Bill of Materials (SBOM) | |||
| Art. 16SBOM verificable | Llista completa i verificable de components de programari, incloent-hi dependències de tercers i codi obert | ✓ Completa | Git Integration |
| Annex I — Requisits essencials de ciberseguretat | |||
| Annex I — Part IRequisits del producte | Evidència d'implementació de cada control de seguretat requerit en el disseny del producte | ✓ Completa | V-Seal Core |
| Annex I — Part IIGestió de vulnerabilitats | Procés verificable d'identificació, anàlisi i resolució de vulnerabilitats durant el cicle de vida | ✓ Completa | Git Integration V-Seal Core |
| Convergència EU CRA + EU AI Act — Per a programari amb components d'IA | |||
| EU CRA Art. 13+ EU AI Act Art. 12 | Traçabilitat del cicle de vida de models d'IA integrats en productes programari: versions, entrenament, desplegament | ✓ Completa | AI Orchestrator Git Integration |
EU CRA + EU AI Act: la doble obligació per a programari amb IA integrada
Qualsevol producte programari que integri components d'IA està subjecte simultàniament a l'EU CRA i a l'EU AI Act. I la intersecció crea obligacions addicionals que cap dels dos marcs cobreix de forma aïllada.
Un sistema de detecció d'anomalies basat en ML integrat en un programari de ciberseguretat, un assistent de codi amb IA, un sistema de recomanació de seguretat en una plataforma SaaS — tots són sistemes d'IA sota l'EU AI Act i productes amb elements digitals sota l'EU CRA. El fabricant ha de complir els requisits de traçabilitat del cicle de vida del programari (EU CRA Art. 13) i els requisits de registre d'esdeveniments i supervisió humana del sistema d'IA (EU AI Act Arts. 12 i 14) amb el mateix producte.
V-PROOF cobreix la intersecció amb una sola integració
El mòdul AI Orchestrator de V-PROOF registra criptogràficament el cicle de vida complet dels models d'IA integrats en el producte: datasets d'entrenament, versions del model, mètriques d'avaluació i cada decisió en producció. El mòdul Git Integration registra el codi que els implementa. Junts, cobreixen les obligacions de traçabilitat de l'EU CRA (Art. 13) i de l'EU AI Act (Arts. 12, 16) sense duplicar la integració.
L'EU CRA i la seguretat de la cadena de subministrament del programari
L'EU CRA introdueix un concepte que canvia la manera en què els equips de desenvolupament han de pensar en les seves dependències: la responsabilitat de la cadena de subministrament de programari. Els fabricants són responsables de les vulnerabilitats dels components de tercers que integren en els seus productes — incloent-hi llibreries open source.
Aquesta responsabilitat s'estén als proveïdors d'eines de desenvolupament que el fabricant utilitza en el seu procés de SDL. Un fabricant que utilitza una plataforma de CI/CD o de gestió de codi amb seu als EUA per gestionar el seu procés de desenvolupament segur introdueix en la seva cadena de subministrament un component subjecte al CLOUD Act. Si les autoritats americanes requereixen accés a l'historial de desenvolupament del producte — inclosos els registres de vulnerabilitats descobertes i els seus terminis de resolució — aquest proveïdor no pot garantir la confidencialitat.
V-PROOF Git Integration genera la traçabilitat del codi amb seu legal a Espanya. Els registres del SDL són sobirans: la cadena de custòdia criptogràfica del procés de desenvolupament roman sota jurisdicció de la UE.
V-PROOF davant l'EU CRA
Fortaleses, casos d'ús regulatori i límits de l'abast
- Cadena de custòdia criptogràfica del codi commit a commit — el SDL documentat i verificable que l'Art. 13 exigeix, construït durant el desenvolupament normal Art. 13 — SDL verificable
- Timestamp blockchain del moment exacte de descobriment de cada vulnerabilitat — essencial per acreditar el compliment del termini de 24h de l'Art. 14 Art. 14 — Notificació vuln.
- Traçabilitat de dependències i components de tercers commit a commit — la base tècnica per generar i verificar l'SBOM de l'Art. 16 Art. 16 — SBOM
- Historial verificable d'implementació de controls de l'Annex I — l'evidència per a la documentació tècnica d'avaluació de conformitat i marcatge CE Annex I — Requisits essencials
- Cobertura dual EU CRA + EU AI Act per a programari amb components d'IA integrats — una sola integració per a dos marcs normatius Convergència normativa 2026–2027
- Proveïdor amb seu legal a Espanya: el procés de SDL registrat a V-PROOF no està subjecte al CLOUD Act americà Sobirania cadena de subministrament
- ISVs (Independent Software Vendors) que comercialitzen programari a la UE i necessiten documentar el seu SDL abans de desembre de 2027 Art. 13 — Fabricants de programari
- Fabricants de dispositius IoT industrials i de consum amb programari integrat — especialment Classe I i II amb major exigència d'avaluació Classe I–II — Productes crítics
- Equips DevSecOps que necessiten segellar criptogràficament el seu pipeline CI/CD com a evidència del procés de desenvolupament segur Art. 13 — Pipeline CI/CD
- CISOs preparant la documentació tècnica per a avaluacions de conformitat de Classe I i II amb la major antelació possible Arts. 24–32 — Avaluació conformitat
- Fabricants de programari amb IA integrada que tenen doble obligació EU CRA + EU AI Act i cerquen una sola infraestructura de traçabilitat Convergència EU CRA + EU AI Act
- El disseny de l'arquitectura de seguretat del producte: V-PROOF certifica que el procés d'implementació es va executar correctament, no dissenya l'arquitectura de seguretat. Disseny de producte
- Proves de penetració i security testing (Annex I): V-PROOF segella els resultats de les proves, no les executa. Les proves les realitza l'equip de seguretat o un tercer especialitzat. Annex I — Security testing
- La notificació formal de vulnerabilitats a ENISA (Art. 14): V-PROOF genera el registre immutable del descobriment; la notificació formal al regulador és responsabilitat del fabricant. Art. 14 — Notificació ENISA
- El marcatge CE (Art. 47): requereix avaluació de conformitat per organisme notificat en Classe I i II. V-PROOF genera l'evidència tècnica que facilita aquesta avaluació, no l'atorga. Art. 47 — Marcatge CE
Té el seu equip de desenvolupament l'SDL documentat que els avaluadors de conformitat CRA exigiran?
V-PROOF ofereix un diagnòstic estratègic de 48 hores que mapa les obligacions EU CRA aplicables als seus productes, identifica les llacunes de traçabilitat de codi existents i defineix la integració de Git Integration necessària.
Sol·licitar Diagnòstic Estratègic EU CRAFonts i referències normatives
- Reglament (UE) 2024/2847 del Parlament Europeu i del Consell, de 23 d'octubre de 2024 — EUR-Lex CELEX:32024R2847
- ENISA — EU CRA Orientació per a la Implementació, 2025 — enisa.europa.eu
- Comissió Europea — Preguntes freqüents sobre l'EU CRA — digital-strategy.ec.europa.eu
- CEN/CENELEC — Mandat de normalització per a l'EU CRA (normes tècniques harmonitzades) — cencenelec.eu
- BSI (Bundesamt für Sicherheit in der Informationstechnik) — EU CRA Guia d'Orientació per a Fabricants, 2025 — bsi.bund.de
- Reglament (UE) 2024/1689 (EU AI Act) — referència de convergència amb EU CRA per a programari amb IA — EUR-Lex
