Autoevaluación CRA – Applus+ Laboratories

1) Alcance y comprensión básica0 pts

1. ¿Fabricas productos con elementos digitales con/sin procesamiento de datos remoto?

2. ¿Eres consciente de que el CRA establece requisitos horizontales de ciberseguridad para dichos productos en la UE?

3. ¿Has confirmado que tu producto está dentro del alcance (o identificado exclusiones aplicables)?

4. ¿Has determinado si tu producto se encuentra en alguna de las categorías: por defecto, “importante” o “crítico” según el CRA?

2) Gestión del riesgo y ciclo de vida0 pts

5. ¿Realizas una evaluación formal de riesgos de ciberseguridad desde el diseño hasta el mantenimiento y la actualizas regularmente?

6. ¿Has mapeado los Requisitos Esenciales de Ciberseguridad (ESR) del CRA con las medidas de seguridad de tu producto y tu evaluación de riesgos?

7. ¿Tienes implementado un ciclo de vida de desarrollo seguro?

8. ¿Cumple tu producto todos los Requisitos Esenciales de Ciberseguridad (ESR)?

3) Gestión de vulnerabilidades y actualizaciones0 pts

9. ¿Tienes una política/proceso documentado de gestión de vulnerabilidades durante todo el ciclo de vida?

10. ¿Puedes proporcionar actualizaciones de seguridad (sin coste) durante el periodo de soporte?

11. ¿Soportas la entrega automática o aprobada por el usuario de actualizaciones de seguridad (cuando sea posible)?

12. ¿Notificas a los usuarios cuando el producto se acerca al fin de soporte?

4) Periodo de soporte y mantenimiento0 pts

13. ¿Has definido un periodo de soporte alineado con la vida útil esperada del uso del producto?

14. ¿El periodo de soporte es al menos de 5 años (a menos que la vida útil esperada sea menor)?

15. Si la vida útil esperada es superior a 5 años, ¿has planificado soporte extendido?

5) Documentación, conformidad y marcado CE0 pts

16. ¿Mantienes documentación técnica que muestre cómo se cumplen los ESR?

17. ¿El producto llevará el marcado CE indicando conformidad cuando sea aplicable?

18. ¿Se ha completado la evaluación de conformidad requerida (interna o de un tercero)?

19. ¿Proporcionas a los usuarios instrucciones e información sobre uso seguro, proceso de actualización, periodo de soporte y retirada segura?

6) Cadena de suministro y componentes de terceros0 pts

20. ¿Realizas diligencia debida sobre componentes de terceros (conformidad, historial de vulnerabilidades, actualizaciones)?

21. ¿Mantienes una SBOM con dependencias de alto nivel de los componentes software integrados?

22. Para componentes FOSS, ¿tienes un proceso para rastrear y remediar vulnerabilidades?

7) Notificación de incidentes y transparencia0 pts

23. ¿Has establecido un punto de contacto único para informes de vulnerabilidades/incidentes?

24. ¿Estás preparado para notificar al CSIRT/coordinador designado/ENISA en caso de vulnerabilidades explotadas activamente o incidentes graves?

25. ¿Informas claramente a los usuarios sobre el periodo de soporte, política de actualizaciones y canal de notificación?

26. ¿Tienes un proceso para cumplir con las obligaciones y plazos de notificación establecidos en el Artículo 14?

Resultados0/26 contestadas

Puntuación total: 0/52

Estado: —

¡Estos servicios de Applus+ son los recomendados!