CRACI y la carrera por cumplir con la Ley de Ciberresiliencia de la UE

El problema que intenta resolver: la seguridad de la cadena de suministro de software

Hoy en día, la mayoría de los productos digitales se construyen utilizando bibliotecas de código abierto, dependencias de terceros y complejos procesos de compilación y despliegue.

Este modelo crea lo que se conoce como cadena de suministro de software, donde pueden introducirse vulnerabilidades a través de dependencias externas, herramientas de construcción o integraciones.

Gestionar estos riesgos es complicado porque los equipos de desarrollo deben:

• Rastrear vulnerabilidades en múltiples dependencias
• Documentar procesos de seguridad
• Corregir fallos rápidamente
• Mantener actualizaciones de seguridad durante todo el ciclo de vida del producto

La plataforma de CRACI aborda este problema conectando detección de vulnerabilidades, seguimiento y corrección directamente dentro de los pipelines de desarrollo, lo que permite resolver los problemas de seguridad como parte del trabajo diario del equipo.

Por qué la Ley de Ciberresiliencia está impulsando la demanda

La Cyber Resilience Act (CRA) es una regulación europea que establece requisitos obligatorios de ciberseguridad para productos con componentes digitales vendidos en la Unión Europea.

El objetivo de la ley es mejorar la seguridad de los productos digitales desde su diseño hasta su mantenimiento. Entre sus metas principales están:

• Garantizar que los productos digitales se diseñen teniendo en cuenta la ciberseguridad
• Reducir vulnerabilidades en toda la cadena tecnológica
• Obligar a los fabricantes a proporcionar actualizaciones y mantenimiento de seguridad durante todo el ciclo de vida del producto

La regulación tiene un alcance amplio: afecta a aplicaciones de software, sistemas operativos, sistemas embebidos y dispositivos conectados a redes.

Para muchas empresas, cumplir con estas normas significa crear nuevos procesos internos de gestión de vulnerabilidades, documentación técnica y reporte de incidentes.

Fechas clave de la regulación: 2026 y 2027

La Ley de Ciberresiliencia entró oficialmente en vigor en diciembre de 2024, aunque existe un periodo de transición para las empresas.

Dos hitos serán especialmente relevantes:

• 11 de septiembre de 2026: los fabricantes deberán informar vulnerabilidades explotadas activamente e incidentes graves a las autoridades europeas de ciberseguridad.
• 11 de diciembre de 2027: todos los productos con elementos digitales deberán cumplir plenamente la normativa antes de poder venderse en el mercado de la UE.

Dado que muchos productos tecnológicos tienen ciclos de desarrollo largos, numerosas compañías ya están adaptando sus procesos de ingeniería para cumplir estos requisitos.

Cómo ayuda CRACI a las empresas a prepararse

La propuesta de CRACI parte de una idea sencilla: el cumplimiento debe integrarse en el trabajo cotidiano de los desarrolladores.

Al incorporar herramientas de seguridad dentro de los pipelines CI/CD, la plataforma permite a las empresas:

• Detectar automáticamente vulnerabilidades en dependencias de software
• Registrar y documentar las correcciones
• Asignar tareas de seguridad a los desarrolladores
• Mantener un historial verificable de seguridad del producto

Estas funciones facilitan el tipo de monitorización continua y gestión de seguridad a lo largo del ciclo de vida que exige la Cyber Resilience Act.

Por qué startups como CRACI están ganando relevancia

La CRA representa uno de los primeros marcos regulatorios importantes centrados específicamente en la seguridad de la cadena de suministro de software a gran escala.

Debido a que la normativa afecta a prácticamente cualquier producto conectado que se venda en Europa, empresas de múltiples sectores —desde fabricantes de dispositivos hasta proveedores de software— necesitarán nuevas herramientas para demostrar cumplimiento.

En ese contexto, plataformas que automaticen la gestión de vulnerabilidades, la documentación y la corrección dentro de los pipelines de desarrollo podrían convertirse en una pieza clave del nuevo ecosistema de ciberseguridad.

CRACI es una de las primeras startups que intenta posicionarse en ese mercado emergente mientras las empresas europeas se preparan para los plazos regulatorios de 2026 y 2027.