CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
OBL-ART13-06Binding

Garantizar la ausencia de vulnerabilidades explotables conocidas en el momento de la puesta en el mercado

Se aplica a
Manufacturer
Citas de fuentes
Art. 13(6)Annex I Part I §3
Last reviewed

Lenguaje claro

No se debe comercializar a sabiendas un producto con errores de seguridad que puedan explotarse. Antes de cada versión —incluidas las actualizaciones de software— debe verificarse el código propio y todos los componentes de terceros en bases de datos de vulnerabilidades conocidas (como el NVD y el EUVD). Lo que se encuentre debe corregirse antes de la comercialización.

Texto jurídico

El artículo 13(6) del Reglamento (UE) 2024/2847 y el Anexo I Parte I §3 exigen que, al poner en el mercado un producto con elementos digitales, los fabricantes garanticen que el producto no contiene ninguna vulnerabilidad explotable conocida.

Esta obligación se aplica:

  • en la primera puesta en el mercado
  • en cada actualización de software posterior puesta a disposición de los usuarios

Requisitos clave

  1. Análisis de vulnerabilidades previo a la publicación: ejecutar análisis SCA y SAST antes de cada versión
  2. Verificación CVE/EUVD: verificar todos los componentes (de primera y de tercera parte) en la Base de Datos Nacional de Vulnerabilidades (NVD), la Base de Datos Europea de Vulnerabilidades (EUVD) y los canales de avisos pertinentes
  3. Sin distribución con vulnerabilidades críticas de CVSS: no distribuir con vulnerabilidades explotables conocidas de gravedad crítica o alta, salvo que exista una decisión documentada y limitada en el tiempo de aceptación del riesgo
  4. Verificación en el proceso de actualización: el mismo criterio de ausencia de vulnerabilidades conocidas se aplica a cada actualización de seguridad y a cada versión funcional distribuida a los usuarios
  5. Documentación en el momento de la publicación: conservar la evaluación del estado de vulnerabilidades de cada versión distribuida como evidencia

Aclaración del ámbito

«Explotable conocida» hace referencia a vulnerabilidades para las que se ha publicado un CVE o aviso equivalente y para las que existe una ruta de explotación práctica en el contexto del producto tal como se implementa. Los riesgos teóricos o altamente condicionales que no pueden materializarse en el uso normal se evalúan conforme al principio de proporcionalidad del riesgo.

Documentación que puede necesitar

  • Informes de análisis SCA y SAST para cada versión
  • Registros de consultas a la base de datos CVE/EUVD en cada fecha de publicación
  • Registros de aceptación de riesgos (para el riesgo residual aceptado)
  • Registro de vulnerabilidades que muestre todos los problemas resueltos antes de la publicación
  • Resultados de pruebas de penetración para las versiones principales
Garantizar la ausencia de vulnerabilidades explotables conocidas en el momento de la puesta en el mercado — Hub de Cumplimiento CRA