Herramientas · Lista de verificación del fabricante
Matriz de conformidad
Cada obligación de los fabricantes de productos con elementos digitales, presentada a lo largo del ciclo de vida del producto con su referencia al artículo. Trabájela y siga su progreso; toda la lista de comprobación puede consultarse de forma gratuita. El progreso se guarda en este navegador.
Por defecto · route
Los productos por defecto pueden autoevaluarse con arreglo al Module A. No se requiere ningún organismo notificado, pero la documentación técnica completa y la DoC deben estar igualmente disponibles.
1 · Fundamentos
Cimientos a nivel de empresa
0 / 4Requisitos organizativos que deben estar implantados antes de iniciar cualquier trabajo específico del producto.
Ciclo de vida de desarrollo seguro documentadoMantener un SDL documentado que defina las fases, las funciones y las responsabilidades. La certificación externa (IEC 62443-4-1, ISO/IEC 27001) es opcional, pero genera una presunción de conformidad.
Art. 13(1) · Anexo I
Evidencia de conformidad con el SDLCuando no se disponga de una certificación externa, conserve pruebas documentadas de la conformidad interna con el SDL.
Anexo I · Parte I
El SDL abarca la seguridad desde el diseño y por defectoNUEVOEl SDL debe abordar explícitamente cómo el producto minimiza su superficie de ataque sin configuración por parte del usuario final.
Anexo I · I(2)(3)
Representante autorizado en la UE (fabricantes de fuera de la UE)NUEVOLos fabricantes establecidos fuera de la UE deben designar, mediante mandato escrito, un representante establecido en la UE, que figure en la documentación técnica y en la DoC.
Art. 19
2 · Antes del desarrollo
Antes de que comience el desarrollo
0 / 9La clasificación, la evaluación de riesgos y los requisitos técnicos previos delimitan el ámbito de todo lo que sigue.
Determinar la clasificación del productoNUEVOHERRAMIENTA DISPONIBLEDetermine si el producto es por defecto, importante de Clase I/II o crítico (Anexos III y IV). La clasificación determina la ruta de evaluación de la conformidad.
Anexo III/IV
Identifique la ruta de evaluación de la conformidadNUEVOPor defecto: autoevaluación con el Module A. Importante de Clase I: Module A con una norma armonizada; en su defecto, B+C o H. Importante de Clase II y Crítico: siempre a través de un organismo notificado. Son habituales plazos de 4–10 meses.
Art. 32 · Anexo VIII
Evaluación de los riesgos de ciberseguridad específica del productoRealice una evaluación de riesgos antes del desarrollo. Conserve todas las versiones; la versión inicial previa al desarrollo forma parte de la documentación técnica.
Anexo I · I(1)
Modelado de amenazasNUEVOIdentifique la superficie de ataque, los agentes de amenaza, los vectores de ataque y los requisitos de seguridad resultantes. Documente la metodología utilizada.
Anexo I · I(1)
Política de componentes de terceros y de código abiertoNUEVOHERRAMIENTA DISPONIBLEDefina cómo se seleccionan, evalúan y aprueban los componentes de terceros y de código abierto, incluidas las obligaciones de EOL mínimo y de respuesta ante vulnerabilidades.
Anexo I · Parte II
Comprobación de EOL para herramientas y dependenciasHERRAMIENTA DISPONIBLECompruebe la fecha de fin de vida (End-of-Life) de todas las herramientas, núcleos, bases de datos y bibliotecas clave. Evite componentes cuyo EOL caiga dentro del período de soporte del producto.
Anexo I · Parte II
Viabilidad del cifrado del almacenamientoConfirme que el hardware de destino admite el cifrado de los datos en reposo; un requisito obligatorio que puede obligar a un cambio de hardware.
Anexo I · I(4)(e)
Diseño con superficie de ataque mínimaNUEVOPrevea eliminar o desactivar por defecto toda interfaz, servicio, puerto y protocolo que no sea necesario para la función prevista.
Anexo I · I(2)(b)
Política de credenciales por defectoNUEVOEntregue el producto sin contraseñas predeterminadas, u obligue al usuario a establecer una credencial única en el primer uso.
Anexo I · I(2)(c)
3 · Desarrollo
Durante el desarrollo
0 / 5Codificación segura, pruebas y mecanismo de actualización, documentados a lo largo de todo el desarrollo.
Plan de pruebas centrado en la ciberseguridadCasos de prueba orientados a la autenticación, el control de acceso, la validación de entradas, el cifrado y la gestión de errores. Documentados y conservados en el expediente técnico.
Anexo I · I(1)
Evidencia de cumplimiento del SDLDemuestre, mediante pruebas documentadas, que se siguió el SDL en cada fase.
Anexo I · Parte I
Pruebas de penetración / evaluación de vulnerabilidadesNUEVORealice pruebas de seguridad sobre el producto, o sobre una compilación representativa, antes de su lanzamiento.
Anexo I · I(1)
Mecanismo seguro de actualización del softwareNUEVOUn mecanismo de actualización autenticado y con integridad verificada, comprobable por el dispositivo antes de la instalación y automático cuando sea factible.
Anexo I · I(2)(f)
Minimización de datosNUEVORecopile, trate y almacene únicamente los datos estrictamente necesarios para la función prevista.
Anexo I · I(4)(f)
4 · Antes del lanzamiento
Antes del lanzamiento del producto
0 / 12SBOM, auditoría de red, EOL, evaluación de la conformidad, marcado CE y documentación técnica.
SBOM preparado y analizado en busca de vulnerabilidadesHERRAMIENTA DISPONIBLEPrepare un SBOM que abarque al menos todas las dependencias de nivel superior y verifique que ningún componente presente una vulnerabilidad conocida y ya corregida. Incluir una CVE ya resuelta constituye una infracción directa.
Anexo I · II(1)
SBOM en formato legible por máquinaNUEVOHERRAMIENTA DISPONIBLEAlmacene el SBOM en formato SPDX o CycloneDX (JSON/XML). El PDF puede ser rechazado por no ser legible por máquina.
Anexo I · Parte II
Lista de conexiones entrantesEnumerar y justificar individualmente cada conexión entrante y puerto abierto; eliminar o deshabilitar por defecto todo lo que no sea necesario.
Anexo I · I(2)(b)
Lista de conexiones salientesAudite y justifique todas las conexiones salientes, incluidas las del sistema operativo, las bibliotecas de terceros y la telemetría.
Anexo I · Parte I
Declarar el fin de vida (End-of-Life) del productoHERRAMIENTA DISPONIBLECalcule y declare el EOL; no puede superar el EOL de las dependencias clave. Período de soporte mínimo de 5 años, salvo que la vida útil de uso previsto sea más corta.
Art. 13(8)
Complete la evaluación de la conformidadNUEVOLleve a cabo el procedimiento aplicable (Módulo A, o B+C / H / organismo notificado) y documéntelo antes de colocar el marcado CE.
Art. 32
Prepare la declaración UE de conformidadNUEVOHERRAMIENTA DISPONIBLERedacte y firme la DoC conforme al Anexo V, haciendo referencia al reglamento, al producto y al procedimiento de evaluación. Consérvela disponible durante 10 años.
Art. 28 · Anexo V
Colocar el marcado CENUEVOColoque un marcado CE visible, legible e indeleble. Sin marcado CE no hay acceso al mercado de la UE a partir del 11 de diciembre de 2027.
Art. 30
Recopile el expediente técnicoNUEVOReúna el paquete del anexo VII: descripción, evaluación de riesgos, evidencias del SDL, resultados de las pruebas, SBOM, auditorías de conexiones, DoC y declaración de EOL.
Art. 31 · Anexo VII
Plan de conservación de 10 añosNUEVOArchive toda la documentación técnica, incluida cada versión del SBOM, durante al menos 10 años a partir de la primera introducción en el mercado.
Art. 31(3)
Documentación para el usuarioNUEVOComunique el uso previsto, las propiedades de ciberseguridad, cómo configurar la seguridad, el EOL declarado y cómo notificar vulnerabilidades.
Anexo II · Art. 13(18)
Contacto de divulgación de vulnerabilidades publicadoNUEVOPublique un único punto de contacto, supervisado activamente, para la notificación de vulnerabilidades.
Art. 13(5)
5 · Tras la comercialización
Tras la comercialización del producto
0 / 10Supervisión continua, el calendario de notificación del Artículo 14 y las obligaciones de actualización a lo largo del período de soporte.
Actualice la evaluación de riesgos ante cambios significativosVuelva a evaluar cuando se detecte un cambio importante en el producto, una nueva amenaza significativa o una vulnerabilidad explotada; documente el desencadenante y el resultado.
Anexo I · I(1)
Supervisión automatizada de vulnerabilidades del SBOMHERRAMIENTA DISPONIBLEDespliegue herramientas que supervisen los componentes del SBOM frente a fuentes en directo (NVD, EUVD, OSV) con la frecuencia suficiente para cumplir el plazo de notificación de 24 horas. La supervisión manual resulta insuficiente.
Art. 14
Informe inicial de vulnerabilidad en 24 horasNUEVOCuando se tenga conocimiento de una vulnerabilidad explotada activamente, presente un informe inicial en un plazo de 24 horas a través de la plataforma única de notificación de ENISA. Aplicable a partir del 11 sep 2026.
Art. 14(2)
Informe técnico en 72 horasNUEVOPresente un informe técnico detallado a ENISA y al CSIRT nacional en un plazo de 72 horas, indicando la gravedad y las medidas de mitigación adoptadas.
Art. 14(3)
Informe final en un plazo de 14 días desde la correcciónNUEVOPresente un informe final a más tardar 14 días después de que se ponga a disposición una actualización de seguridad o una solución alternativa.
Art. 14(4)
Notificación de incidentes gravesNUEVONotifique los incidentes graves que afecten a la seguridad del producto en el mismo plazo de 24/72 horas.
Art. 14(2)
Actualización automática para vulnerabilidades de tercerosMantener un sistema de actualización automática capaz de corregir vulnerabilidades de componentes de terceros. Una corrección en un plazo de 24 horas exime de la notificación, no de la corrección.
Art. 14(2)(a)
Actualizaciones de seguridad gratuitasNUEVOProporcione todas las actualizaciones de seguridad de forma gratuita durante el período de soporte.
Art. 13(9)
Aviso previo del fin de vida útil (End-of-Life)NUEVONotifique a los usuarios con al menos 12 meses de antelación antes de la actualización de seguridad final, cuando sea posible.
Art. 13(8)
Medidas correctoras para productos no conformesNUEVOSubsane, retire o recupere los productos no conformes y notifique a la vigilancia del mercado. La inacción constituye en sí misma una infracción.
Art. 13(14)
Fin de la lista de comprobación · todos 40 elementos mostrados anteriormente
Exportar (opcional)
Exporte su matriz con el progreso actual
Todo lo anterior puede leerse e imprimirse de forma gratuita. Para descargar la lista de comprobación y su estado en tiempo real como hoja de cálculo o PDF, deje un correo electrónico y le añadiremos al boletín del CRA.