{"id":7029,"date":"2026-03-16T17:47:37","date_gmt":"2026-03-16T17:47:37","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5339\/"},"modified":"2026-07-04T10:50:23","modified_gmt":"2026-07-04T10:50:23","slug":"comprobacion-practica-de-sbom-como-su-empresa-implementa-la-lista-de-componentes-de-software-hasta-septiembre-de-2026","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/03\/16\/comprobacion-practica-de-sbom-como-su-empresa-implementa-la-lista-de-componentes-de-software-hasta-septiembre-de-2026\/","title":{"rendered":"Comprobaci\u00f3n pr\u00e1ctica de SBOM: c\u00f3mo su empresa implementa la lista de componentes de software hasta septiembre de 2026"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">12 min de lectura<\/p>\n<p><strong>500.000 listas de componentes de software gestiona \u00fanicamente Deutsche Bahn. Lo que suena a burocracia se convertir\u00e1 a partir de septiembre de 2026 en una obligaci\u00f3n para todos los fabricantes de productos digitales en la UE. Quien no se prepare, arriesga multas de hasta 15 millones de euros &#8211; y la exclusi\u00f3n del mercado europeo.<\/strong><\/p>\n<h2>En resumen<\/h2>\n<ul>\n<li>\ud83d\udd12 El Cyber Resilience Act de la UE hace obligatoria la lista de componentes de software (SBOM) a partir de diciembre de 2027. Las primeras obligaciones de notificaci\u00f3n entran en vigor en septiembre de 2026 (Reglamento UE 2024\/2847).<\/li>\n<li>\ud83d\udcca El 75 por ciento de todas las empresas fue v\u00edctima de un ataque a la cadena de suministro en 2024. La predicci\u00f3n de Gartner del 45 por ciento fue demasiado conservadora (BlackBerry, 2024).<\/li>\n<li>\ud83d\udee1\ufe0f El BSI exige expresamente en la TR-03183-2 los formatos CycloneDX a partir de la versi\u00f3n 1.6 o SPDX a partir de la versi\u00f3n 3.0.1 como formato SBOM (BSI, 2024).<\/li>\n<li>\ud83c\udfed Deutsche Bahn gestiona 500.000 listas con herramientas de c\u00f3digo abierto y l\u00f3gica propia (FOSDEM 2026).<\/li>\n<li>\u2699\ufe0f Tres v\u00edas de implementaci\u00f3n: totalmente autom\u00e1tica en la CI\/CD-Pipeline, h\u00edbrida con revisi\u00f3n, o manual para software heredado.<\/li>\n<\/ul>\n<h2>Septiembre de 2026: comienza la cuenta atr\u00e1s<\/h2>\n<p>Su equipo de seguridad enfrenta un problema concreto: a partir del 11 de septiembre de 2026, todos los fabricantes de productos con elementos digitales deber\u00e1n notificar a la ENISA cualquier vulnerabilidad activamente explotada en un plazo de 24 horas. Sin una lista de componentes de software actualizada, esto es simplemente imposible. Porque quien no sabe qu\u00e9 componentes contiene su propio software, tampoco puede evaluar si una nueva vulnerabilidad afecta a su producto.<\/p>\n<p>Actualmente, el tiempo medio de detecci\u00f3n de infiltraciones en la cadena de suministro es de 287 d\u00edas. Casi diez meses durante los cuales los atacantes operan sin ser detectados en sistemas comprometidos. Una SBOM reduce dr\u00e1sticamente este periodo, ya que permite una consulta inmediata: \u00bfUtilizamos la biblioteca afectada? \u00bfEn qu\u00e9 versi\u00f3n? \u00bfEn qu\u00e9 producto?<\/p>\n<div style=\"background:#f0f9fa;padding:24px 28px;margin:32px 0;border-radius:8px;\">\n<div style=\"display:flex;flex-wrap:wrap;gap:24px;justify-content:center;text-align:center;\">\n<div style=\"flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:700;color:#69d8ed;\">75 %<\/div>\n<div style=\"font-size:0.85em;color:#555;\">de las empresas afectadas por ataques a la cadena de suministro<\/div>\n<\/div>\n<div style=\"flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:700;color:#69d8ed;\">287<\/div>\n<div style=\"font-size:0.85em;color:#555;\">d\u00edas de tiempo medio de detecci\u00f3n<\/div>\n<\/div>\n<div style=\"flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:700;color:#69d8ed;\">4,91 millones de $<\/div>\n<div style=\"font-size:0.85em;color:#555;\">coste medio por violaci\u00f3n de la cadena de suministro<\/div>\n<\/div>\n<\/div>\n<p style=\"font-size:0.75em;color:#888;margin-top:16px;margin-bottom:0;text-align:center;\">Fuentes: BlackBerry Global Threat Intelligence Report 2024; IBM\/Ponemon Cost of a Data Breach 2025; Verizon DBIR 2025<\/p>\n<\/div>\n<h2>Qu\u00e9 es una SBOM &#8211; y qu\u00e9 no<\/h2>\n<p>Una Software Bill of Materials (SBOM) documenta todos los componentes, bibliotecas y dependencias de un producto de software. Equiparable a la lista de ingredientes de un envase de alimentos, pero para c\u00f3digo. El CRA la define como \u00abregistro formal que contiene detalles y relaciones de cadena de suministro de los componentes incluidos en los elementos de software\u00bb.<\/p>\n<p>Importante: una SBOM no es una auditor\u00eda de seguridad. Hace transparente lo que se ha integrado &#8211; no si es seguro. Pero sin esta transparencia, no es posible una evaluaci\u00f3n sistem\u00e1tica de vulnerabilidades. Solo la combinaci\u00f3n de SBOM y VEX (Vulnerability Exploitability eXchange) ofrece una imagen completa: la SBOM enumera los componentes, y el VEX eval\u00faa si una vulnerabilidad conocida es realmente explotable en el contexto espec\u00edfico de uso.<\/p>\n<h2>Plazos regulatorios en resumen<\/h2>\n<p>El Cyber Resilience Act de la UE establece obligaciones en dos fases:<\/p>\n<p><strong>A partir del 11 de septiembre de 2026:<\/strong> Obligaci\u00f3n de notificar a la ENISA cualquier vulnerabilidad activamente explotada en un plazo de 24 horas. Esto tambi\u00e9n se aplica a productos ya presentes en el mercado. Sin SBOM y seguimiento automatizado de vulnerabilidades, este plazo es pr\u00e1cticamente imposible de cumplir.<\/p>\n<p><strong>A partir del 11 de diciembre de 2027:<\/strong> Obligaci\u00f3n total de SBOM para todos los productos con elementos digitales comercializados en la UE. La lista debe estar en un formato legible por m\u00e1quina y cubrir al menos las dependencias de nivel superior. En caso de incumplimiento, se prev\u00e9n multas de hasta 15 millones de euros o el 2,5 por ciento del volumen de negocio anual mundial.<\/p>\n<p>Paralelamente, el BSI, como futura autoridad de supervisi\u00f3n del mercado, ha publicado la Directiva T\u00e9cnica TR-03183-2. Esta va m\u00e1s all\u00e1 de los requisitos m\u00ednimos de la UE y exige, entre otros aspectos, sumas de comprobaci\u00f3n criptogr\u00e1ficas, identificadores de licencias y mecanismos de firma.<\/p>\n<blockquote style=\"border-left:4px solid #69d8ed;margin:32px 0;padding:16px 24px;background:#f8f8f8;font-style:italic;\">\n<p style=\"font-size:1.05em;margin:0;\">\u201e\u00a1El CRA es un cambio de paradigma para la seguridad de los productos digitales!\u201c<\/p>\n<p style=\"font-size:0.85em;color:#b8c5ce;margin:8px 0 0;\">&#8211; Claudia Plattner, Presidenta de la Oficina Federal de Seguridad en la Tecnolog\u00eda de la Informaci\u00f3n (BSI)<\/p>\n<\/blockquote>\n<h2>Tres v\u00edas hacia la SBOM: comprobaci\u00f3n pr\u00e1ctica<\/h2>\n<p>Para directores de TI y CISOs surge una pregunta muy concreta: \u00bfc\u00f3mo lo implementamos? La respuesta depende del entorno de software propio, del grado de madurez de las CI\/CD-Pipelines y del presupuesto disponible. En la pr\u00e1ctica, se han establecido tres opciones.<\/p>\n<h2>Opci\u00f3n 1: Totalmente automatizada en la CI\/CD-Pipeline<\/h2>\n<p><strong>Para qui\u00e9n:<\/strong> Empresas con procesos de desarrollo modernos, despliegues basados en contenedores y una cultura DevSecOps ya existente.<\/p>\n<p><strong>C\u00f3mo funciona:<\/strong> Herramientas como Syft, Trivy o cdxgen se integran directamente en la pipeline de compilaci\u00f3n. En cada compilaci\u00f3n, se genera autom\u00e1ticamente una SBOM en formato CycloneDX o SPDX, se versiona y se almacena centralmente. La SBOM se actualiza autom\u00e1ticamente con cada versi\u00f3n.<\/p>\n<p><strong>Ventajas:<\/strong> M\u00ednimo esfuerzo continuo, m\u00e1xima actualidad, escalable con el n\u00famero de productos. Seg\u00fan la ENISA, este es el enfoque recomendado para empresas con m\u00e1s de diez productos de software.<\/p>\n<p><strong>Desventajas:<\/strong> Trabajo inicial de integraci\u00f3n (2-4 semanas por pipeline), requiere competencias DevOps, los sistemas heredados sin CI\/CD quedan excluidos.<\/p>\n<h2>Opci\u00f3n 2: H\u00edbrida con revisi\u00f3n manual<\/h2>\n<p><strong>Para qui\u00e9n:<\/strong> Medianas empresas con un entorno de software mixto. Algunos productos funcionan en pipelines modernos, otros son sistemas consolidados sin automatizaci\u00f3n.<\/p>\n<p><strong>C\u00f3mo funciona:<\/strong> Los productos modernos se capturan autom\u00e1ticamente (como en la Opci\u00f3n 1). Para el software heredado, las SBOM se generan mediante herramientas de an\u00e1lisis binario como FOSSA o Mend, que escanean binarios terminados. Un analista de seguridad revisa y complementa los resultados manualmente.<\/p>\n<p><strong>Ventajas:<\/strong> Cubre todo el entorno de productos, realista de implementar con equipos existentes, cumple plenamente con la BSI TR-03183-2.<\/p>\n<p><strong>Desventajas:<\/strong> Costes humanos continuos m\u00e1s altos, los pasos manuales son propensos a errores, los ciclos de revisi\u00f3n ralentizan los lanzamientos.<\/p>\n<h2>Opci\u00f3n 3: Manual con enfoque basado en plantillas<\/h2>\n<p><strong>Para qui\u00e9n:<\/strong> Peque\u00f1os fabricantes de software con pocos productos, que no disponen de un departamento DevOps propio.<\/p>\n<p><strong>C\u00f3mo funciona:<\/strong> Las SBOM se crean manualmente, basadas en plantillas de la ENISA y directrices del BSI. Los desarrolladores documentan las bibliotecas y versiones utilizadas en una tabla estructurada, que luego se convierte a CycloneDX o SPDX.<\/p>\n<p><strong>Ventajas:<\/strong> No requiere inversi\u00f3n en herramientas, inicio r\u00e1pido posible, cumple los requisitos m\u00ednimos del CRA.<\/p>\n<p><strong>Desventajas:<\/strong> No escalable, alta tasa de errores en \u00e1rboles de dependencias complejos, se vuelve inmanejable con m\u00e1s de tres productos. La ENISA advierte expresamente que las SBOM creadas manualmente a menudo no alcanzan la calidad m\u00ednima requerida.<\/p>\n<h2>C\u00f3mo lo hace Deutsche Bahn<\/h2>\n<p>Que las SBOM tambi\u00e9n funcionan a gran escala lo demuestra Deutsche Bahn. En la FOSDEM 2026, la empresa present\u00f3 su enfoque: 500.000 SBOM, gestionadas mediante una combinaci\u00f3n de herramientas de c\u00f3digo abierto y l\u00f3gica desarrollada internamente, integradas en la arquitectura empresarial existente.<\/p>\n<p>Tres conclusiones del proyecto de DB son relevantes tambi\u00e9n para empresas m\u00e1s peque\u00f1as:<\/p>\n<p><strong>Las SBOM no son un fin en s\u00ed mismas.<\/strong> DB trata las SBOM como un m\u00e9todo de apoyo para diversos casos de uso &#8211; desde la gesti\u00f3n de vulnerabilidades y cumplimiento de licencias hasta el control de proveedores. Quien vea las SBOM solo como un requisito regulatorio pierde su utilidad operativa.<\/p>\n<p><strong>El software de c\u00f3digo abierto es suficiente &#8211; con l\u00f3gica propia.<\/strong> DB utiliza herramientas FOSS como Syft y Trivy, complementadas con su propia l\u00f3gica para integrarlas en SAP y sistemas internos. No fueron necesarias plataformas comerciales costosas, pero el trabajo de integraci\u00f3n fue considerable.<\/p>\n<p><strong>Las personas marcan la diferencia.<\/strong> Las herramientas t\u00e9cnicas solas no bastan. DB enfatiza que se necesita personal dedicado para integrar las SBOM en las pipelines y supervisar continuamente la calidad de las listas generadas.<\/p>\n<h2>La otra cara: por qu\u00e9 las SBOM no son una soluci\u00f3n m\u00e1gica<\/h2>\n<p>Pese al entusiasmo por los avances regulatorios: las SBOM no resuelven todos los problemas de seguridad en la cadena de suministro de software. Tres limitaciones que los directores de TI deben conocer.<\/p>\n<p><strong>Fragmentaci\u00f3n de los est\u00e1ndares.<\/strong> CycloneDX y SPDX son los dos formatos dominantes, pero no son completamente compatibles. Muchas empresas generan ambos formatos simult\u00e1neamente &#8211; CycloneDX para el equipo de seguridad, SPDX para el departamento legal. Esto duplica el esfuerzo sin aportar beneficios de seguridad.<\/p>\n<p><strong>Problema de calidad.<\/strong> No toda SBOM generada autom\u00e1ticamente alcanza la calidad m\u00ednima. La ENISA advierte en su informe SBOM Landscape (diciembre de 2025) que los proveedores de software a menudo no incluyen datos relevantes porque simplemente no est\u00e1n disponibles. Una SBOM que registra el 60 por ciento de las dependencias transmite una falsa sensaci\u00f3n de seguridad.<\/p>\n<p><strong>Los atacantes se adaptan.<\/strong> Los ataques a la cadena de suministro se duplicaron en 2025, con un promedio de 26 incidentes por mes a partir de abril de 2025. Los atacantes apuntan cada vez m\u00e1s a las propias pipelines de compilaci\u00f3n &#8211; es decir, precisamente a la infraestructura que genera las SBOM. Un proceso de compilaci\u00f3n comprometido puede producir incluso una SBOM que parezca correcta, pero que est\u00e9 manipulada.<\/p>\n<h2>\u00bfCycloneDX o SPDX? La decisi\u00f3n sobre el formato<\/h2>\n<p>El BSI acepta ambos formatos, pero recomienda CycloneDX a partir de la versi\u00f3n 1.6 o SPDX a partir de la versi\u00f3n 3.0.1. Para la pr\u00e1ctica, se aplica lo siguiente:<\/p>\n<p><strong>CycloneDX<\/strong> es la mejor opci\u00f3n para los equipos de seguridad. El formato ofrece soporte nativo para VEX, hashing y \u00e1rboles de dependencias. La versi\u00f3n 1.7 (octubre de 2025) a\u00f1ade adem\u00e1s metadatos de patentes y una mayor transparencia criptogr\u00e1fica. CycloneDX soporta, adem\u00e1s de SBOM de software, tambi\u00e9n listas de componentes de hardware (HBOM), de inteligencia artificial\/aprendizaje autom\u00e1tico (AI\/ML) y listas criptogr\u00e1ficas (CBOM).<\/p>\n<p><strong>SPDX<\/strong> es m\u00e1s fuerte en el \u00e1mbito del cumplimiento de licencias y la debida diligencia de propiedad intelectual. Como est\u00e1ndar certificado ISO\/IEC 5962:2021, SPDX goza de una mayor aceptaci\u00f3n regulatoria, especialmente en empresas con actividad internacional.<\/p>\n<p>Recomendaci\u00f3n pragm\u00e1tica: comience con CycloneDX para la operaci\u00f3n de seguridad diaria. Si su departamento legal exige SPDX, utilice herramientas de conversi\u00f3n como cyclonedx-cli o spdx-tools. Ambos formatos se pueden convertir entre s\u00ed, aunque es posible que se pierdan algunos detalles.<\/p>\n<h2>Lista de comprobaci\u00f3n: preparaci\u00f3n SBOM en 90 d\u00edas<\/h2>\n<p>Para directores de TI que quieran empezar ahora, aqu\u00ed tiene un plan de acci\u00f3n concreto:<\/p>\n<p><strong>Semana 1-2: Inventario inicial<\/strong><\/p>\n<ul>\n<li>Inventariar todos los productos con elementos digitales (incluyendo firmware, software embebido, dispositivos IoT)<\/li>\n<li>Documentar las pipelines CI\/CD y procesos de compilaci\u00f3n existentes<\/li>\n<li>Nombrar responsables (propietario de SBOM por l\u00ednea de producto)<\/li>\n<\/ul>\n<p><strong>Semana 3-4: Proyecto piloto<\/strong><\/p>\n<ul>\n<li>Seleccionar un producto (idealmente con una CI\/CD-Pipeline moderna)<\/li>\n<li>Integrar un generador de SBOM (Syft para contenedores, cdxgen para aplicaciones)<\/li>\n<li>Generar la primera SBOM y validarla seg\u00fan la BSI TR-03183-2<\/li>\n<\/ul>\n<p><strong>Semana 5-8: Despliegue<\/strong><\/p>\n<ul>\n<li>Extender el piloto exitoso a otros productos<\/li>\n<li>Configurar el seguimiento de vulnerabilidades (OSV, NVD o feed comercial)<\/li>\n<li>Definir y probar el proceso para la obligaci\u00f3n de notificaci\u00f3n en 24 horas<\/li>\n<\/ul>\n<p><strong>Semana 9-12: Consolidaci\u00f3n<\/strong><\/p>\n<ul>\n<li>Definir m\u00e9tricas de calidad de SBOM (grado de cobertura, actualidad)<\/li>\n<li>Exigir SBOM a proveedores e integrarlas en la lista propia<\/li>\n<li>Crear un historial de auditor\u00eda y documentaci\u00f3n para la supervisi\u00f3n del mercado<\/li>\n<\/ul>\n<h2>El siguiente paso<\/h2>\n<p>La obligaci\u00f3n de SBOM llega. La pregunta no es si, sino qu\u00e9 tan bien preparada est\u00e1 su empresa cuando entre en vigor la primera obligaci\u00f3n de notificaci\u00f3n en septiembre de 2026. El primer paso m\u00e1s pragm\u00e1tico: instale Syft o Trivy en un proyecto de prueba y genere su primera SBOM. Esto tarda 30 minutos y le mostrar\u00e1 inmediatamente cu\u00e1ntas dependencias hay en su software de las que no ten\u00eda conocimiento.<\/p>\n<h2>Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 bloqueada. Un toque desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfDeben tambi\u00e9n las empresas que solo utilizan software (no lo fabrican) crear SBOM?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No. El CRA se dirige a fabricantes, es decir, a empresas que ponen productos con elementos digitales en el mercado de la UE. Los usuarios puros no deben crear sus propias SBOM, pero s\u00ed deben exigirlas a sus proveedores. La directiva NIS2 exige adem\u00e1s que las infraestructuras cr\u00edticas documenten su cadena de suministro de software en el marco de la gesti\u00f3n de riesgos.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 formato SBOM debo elegir &#8211; CycloneDX o SPDX?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Para la mayor\u00eda de los equipos de seguridad, CycloneDX a partir de la versi\u00f3n 1.6 es el punto de entrada m\u00e1s pragm\u00e1tico, ya que ofrece soporte nativo para vulnerabilidades y VEX. SPDX es m\u00e1s fuerte en cumplimiento de licencias. El BSI acepta ambos formatos en la TR-03183-2. Muchas empresas generan ambos formatos simult\u00e1neamente y convierten seg\u00fan sea necesario.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCu\u00e1nto cuesta la implementaci\u00f3n de SBOM para una empresa de tama\u00f1o medio?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Los costes puramente de herramientas pueden ser cero, ya que herramientas de c\u00f3digo abierto como Syft y Trivy est\u00e1n listas para producci\u00f3n. El esfuerzo principal reside en la integraci\u00f3n: cuente con 2-4 semanas de trabajo de integraci\u00f3n por CI\/CD-Pipeline y medio FTE para el seguimiento continuo y aseguramiento de calidad. Las plataformas comerciales como FOSSA o Mend comienzan en aproximadamente 15.000 euros por a\u00f1o.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfEs aplicable la obligaci\u00f3n de SBOM tambi\u00e9n a proyectos de c\u00f3digo abierto?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">S\u00ed y no. El software de c\u00f3digo abierto desarrollado como proyecto de afici\u00f3n sin intenci\u00f3n comercial queda exento del CRA. Tan pronto como una empresa integre componentes de c\u00f3digo abierto en un producto comercial, asume la obligaci\u00f3n de SBOM para el producto completo &#8211; incluyendo todas las dependencias de c\u00f3digo abierto.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfDebe la SBOM estar accesible p\u00fablicamente?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No. El CRA aclara expresamente que los fabricantes no est\u00e1n obligados a publicar su SBOM. Debe formar parte de la documentaci\u00f3n t\u00e9cnica y estar disponible para presentar a las autoridades de supervisi\u00f3n del mercado a petici\u00f3n. Algunas empresas publican voluntariamente sus SBOM como se\u00f1al de confianza hacia sus clientes.<\/p>\n<\/details>\n<h2>Art\u00edculos relacionados<\/h2>\n<ul>\n<li>Seguridad en la cadena de suministro 2026: c\u00f3mo las empresas protegen su cadena de suministro de software (SecurityToday)<\/li>\n<li>NIS2 en Alemania: lo que las empresas deben saber e implementar ahora (SecurityToday)<\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/03\/15\/post_id-5311\/\" target=\"_blank\" rel=\"noopener\">DORA y NIS2 simult\u00e1neamente: doble carga de cumplimiento para los servicios financieros<\/a> (SecurityToday)<\/li>\n<\/ul>\n<h2>Del red MBF-Media<\/h2>\n<ul>\n<li><a href=\"https:\/\/mybusinessfuture.com\/es\/regtech-2026-dora-ai-act-mica-pflichtinvestition\/\" target=\"_blank\" rel=\"noopener\">DORA, AI Act, MiCA simult\u00e1neamente: por qu\u00e9 RegTech se convierte en inversi\u00f3n obligatoria en 2026<\/a> (MyBusinessFuture)<\/li>\n<li><a href=\"https:\/\/www.cloudmagazin.com\/es\/2026\/02\/28\/cloud-trends-2026-was-it-entscheider-jetzt-auf-dem-radar-haben-muessen\/\" target=\"_blank\" rel=\"noopener\">Tendencias Cloud 2026: lo que los responsables de TI deben tener ahora en el radar<\/a> (cloudmagazin)<\/li>\n<li><a href=\"https:\/\/www.digital-chiefs.de\/es\/digital-due-diligence-warum-ma-deals-an-der-it-scheitern\/\" target=\"_blank\" rel=\"noopener\">Debida diligencia digital: por qu\u00e9 las operaciones de M&#038;A fracasan por la IT<\/a> (Digital Chiefs)<\/li>\n<\/ul>\n<p style=\"text-align:right;\"><em>Fuente de imagen: Pexels \/ cottonbro studio<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"500.000 listas de componentes de software gestiona \u00fanicamente Deutsche Bahn. Lo que suena a burocracia se convertir\u00e1 a partir de septiembre de 2026 en una obligaci\u00f3n para todos los fabricantes de productos digitales en la UE. Quien no se prepare, arriesga multas de hasta 15 millones de euros &#8211; y la [&hellip;]","protected":false},"author":50,"featured_media":5336,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"sbom","_yoast_wpseo_title":"Comprobaci\u00f3n pr\u00e1ctica de SBOM: c\u00f3mo su empresa implementa la lista de componente","_yoast_wpseo_metadesc":"SBOM implementaci\u00f3n pr\u00e1ctica: Asegura tu cumplimiento normativo y mejora la seguridad de software. Descubre c\u00f3mo preparar a tu empresa antes de septiembre 2026.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5339"],"footnotes":""},"categories":[223],"tags":[],"class_list":["post-7029","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-case-studies"],"evm_reading_time_minutes":14,"wpml_language":"es","wpml_translation_of":5339,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/7029","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=7029"}],"version-history":[{"count":4,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/7029\/revisions"}],"predecessor-version":[{"id":19305,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/7029\/revisions\/19305"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/5336"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=7029"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=7029"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=7029"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}