complair.
Idioma
English Deutsch Français Español
Empieza gratis
Plazo: 11 sept 2026
Para fabricantes de software, empresas de IoT y agencias en la UE — CRA solo o junto al AI Act

Cumplimiento del Reglamento de Ciberresiliencia, sin pánico .

Las obligaciones de notificación rigen desde el 11 de septiembre de 2026. Aplicación plena el 11 de diciembre de 2027. Empieza con el diagnóstico CRA gratuito — clase, top-5 obligaciones y cuenta atrás en 60 segundos. Actualiza cuando estés listo para seguir el Anexo I, importar SBOMs, vigilar CVEs y redactar avisos para ENISA.

Iniciar diagnóstico CRA gratuito Ver precios

Sin tarjeta · regístrate, clasifica tu producto, recibe el veredicto

  • Lista de control del Anexo I adaptada a la clase de producto
  • Ingesta de SBOM desde CI (CycloneDX 1.5 / SPDX 2.3 / package-lock / Gemfile.lock)
  • Vigilancia de vulnerabilidades vía OSV + NVD + CISA KEV
  • Avisos multi-ventana 24h / 72h / 14d / 1 mes a ENISA
TIEMPO HASTA QUE SE APLIQUEN LAS OBLIGACIONES DE NOTIFICACIÓN DEL CRA
120
días
11 Sep 2026
576 days hasta la aplicación plena del CRA (11 dic 2027)
GRATIS · 60 SEGUNDOS · SIN TARJETA

Empieza con el diagnóstico CRA gratuito

Cinco preguntas, un veredicto, cinco obligaciones que abordar primero. Descubre si el CRA aplica, en qué clase encaja tu producto y cuánto tiempo tienes — antes de comprometerte con un plan.

Iniciar diagnóstico gratuito
  1. 1

    Nombre del producto + tu rol (fabricante / importador / distribuidor)

  2. 2

    Mejor estimación de clase CRA (te explicamos el Anexo III/IV en claro)

  3. 3

    Estado en el mercado UE + fecha de comercialización

  4. 4

    Recibe el veredicto + top-5 obligaciones + cuenta atrás

  5. 5

    Actualiza a Growth (CRA Lite) o Scale (Full CRA) cuando estés listo

A quién golpea el CRA con más fuerza

Si distribuyes software con componentes digitales en la UE, el CRA te aplica. Nos centramos en los perfiles que más sufren:

Pequeños fabricantes de software de la UE

SaaS, herramientas de desarrollador, herramientas internas vendidas a empresa. Anexo I + SBOM + política de divulgación de vulnerabilidades. Acelerador del ciclo de venta.

Empresas de productos embebidos / IoT

Hardware con firmware. Clase importante I/II del Anexo III. Evaluación por terceros obligatoria.

Agencias que mantienen productos de clientes

Si distribuyes, eres fabricante. Marcado CE + declaración UE de conformidad por producto.

Lo que se entrega desde el primer día

Clasificación de producto

El cuestionario del Anexo III/IV te guía hacia Estándar / Clase importante I / Clase importante II / Esencial. La ruta de evaluación correcta cada vez.

Lista del Anexo I

Los 22 requisitos esenciales de ciberseguridad del Anexo I, con prioridad calibrada según la clase de producto y enlaces a EUR-Lex por artículo.

Ingesta de SBOM

Arrastra y suelta CycloneDX, SPDX, package-lock.json, Gemfile.lock. O envíalos desde tu CI con un token API por producto. Claves de idempotencia + tope de 50 MB + recuento de errores de análisis.

Vigilancia de vulnerabilidades

Sincronización delta diaria desde OSV + NVD + CISA KEV. Las vulnerabilidades marcadas como KEV (« explotadas en activo ») aparecen arriba en cada panel.

Avisos multi-ventana

Cascada del artículo 14 en la vista de Incidente: 24h aviso temprano, 72h notificación, 14 días informe final de vulnerabilidad, 1 mes informe final de incidente grave — anclados a las marcas correctas.

Borrador ENISA SRP

Genera el payload SRP en JSON o PDF. Marca como enviado con la marca temporal real de envío. Pista de auditoría para el regulador.

Notificación al cliente

Correo del deber de informar a usuarios (art. 14(8)) redactado por IA. Reserva con dos modelos (Anthropic → OpenAI → Gemini → plantilla manual) — nunca vacío.

Documentos de conformidad

Declaración UE de conformidad (art. 28), registro de marcado CE (art. 29), instrucciones de uso del Anexo II, documentación técnica (art. 31). Un clic cada uno.

Pestaña CRA del Trust Center público

Política de divulgación de vulnerabilidades (art. 13) + tabla de SLA de respuesta + agregado de los últimos 90 días. URL lista para enviar al equipo de compras.

Del veredicto gratis al seguimiento CRA completo

Empieza con el diagnóstico gratuito en Starter. Apila CRA Lite sobre Growth o elige Scale para CRA completo — SBOM, monitorización de vulnerabilidades y reporting listo para ENISA incluidos.

Complemento · 14 días gratis

CRA Lite

€29 /mes

Clasificación Anexo I + checklist CRA básico. Ideal para productos que confirman alcance y documentan lo esencial.

  • Clasificación Anexo I (default / important clase I & II / essential)
  • Checklist CRA + registro de auditoría
  • Almacén manual de evidencias
  • Hasta 5 puestos
Empezar con Starter + CRA Lite
Complemento · Más popular · 14 días gratis

CRA Full

€79 /mes

Todo el CRA: ingesta SBOM, vigilancia de vulnerabilidades OSV/NVD/KEV, informes ENISA y pestaña pública del Trust Center.

  • Todo lo de CRA Lite
  • Ingesta de SBOM (manual + API CI, CycloneDX 1.5 + SPDX 2.3)
  • Vigilancia de vulnerabilidades (OSV + NVD + CISA KEV)
  • Avisos de incidente multi-ventana + borrador ENISA
  • Pestaña CRA del Trust Center público
  • Política de divulgación (art. 13)
Empezar con Starter + CRA Full

Starter (gratis para siempre) incluye el diagnóstico CRA — veredicto + top-5 obligaciones + cuenta atrás para un producto. Regístrate gratis →

¿Ya tiene un plan AI Act de Complair? Añada CRA desde su espacio. Growth incluye CRA Lite. Scale y Business incluyen CRA completo.

Preguntas frecuentes

Vendemos SaaS — ¿nos aplica el CRA?

Si tu SaaS incluye componentes descargables (CLI, SDK, extensión de navegador, conector on-prem), sí. El SaaS puro en la nube sin código entregado generalmente queda fuera del CRA — aunque hay casos límite. El cuestionario de clasificación CRA te guía.

Nuestro producto se introdujo en el mercado antes del 11 de diciembre de 2027 — ¿estamos exentos?

En su mayoría sí. Los productos introducidos antes solo están sujetos a la totalidad de las obligaciones del CRA tras una modificación sustancial. Las obligaciones de notificación del artículo 14 se aplican desde el 11 de septiembre de 2026 igualmente. Complair sigue esta regla transitoria por producto.

Aún no tenemos herramienta SBOM — ¿podemos usar Complair?

Sí. Arrastra y suelta un package-lock.json o un Gemfile.lock y sintetizamos el SBOM. O usa nuestro snippet de GitHub Action / GitLab CI para enviar un SBOM CycloneDX en cada etiqueta de release.

¿Qué pasa con los productos esenciales del Anexo IV?

Los productos esenciales requieren un esquema europeo de certificación de ciberseguridad. Complair lleva el seguimiento de las obligaciones y produce la documentación técnica; la certificación la realiza un organismo autorizado.

¿La notificación CRA vía ComplAir es una pipeline automatizada hacia ENISA?

Generamos el payload SRP en JSON y PDF. Tú lo envías fuera de la plataforma a través del portal ENISA y luego marcas «Confirmar envío» con la marca temporal real. El envío programático por webhook está en la hoja de ruta cuando ENISA publique una API pública estable.

El 11 de septiembre de 2026 está más cerca de lo que parece

Inventaría tus productos, ejecuta el clasificador y entrega hoy un borrador del flujo de notificación al cliente.

Empezar gratis Ver precios