Clasificación de productos CRA: ¿tu producto es por defecto, importante o crítico?
El CRA clasifica cada producto con elementos digitales en uno de cuatro niveles. Tu nivel decide si puedes autocertificarte o necesitas un Organismo Notificado. Consulta las listas del Anexo III y IV para descubrirlo.
En este artículo
- Resumen ejecutivo
- ¿Cuáles son las cuatro categorías de productos del CRA?
- Árbol de decisión: encontrando tu categoría
- Rutas de evaluación de conformidad por categoría
- ¿Cómo clasificar un producto que encaja en varias categorías?
- Orientación específica por industria
- Lista de verificación de clasificación de productos
- Preguntas frecuentes
- Próximos pasos
Tu ruta de evaluación de conformidad CRA depende de la clasificación de tu producto. Los productos "Importantes" y "Críticos" requieren evaluación de terceros obligatoria. Los productos "Por Defecto" pueden autocertificarse.
Resumen ejecutivo
- El CRA define cuatro categorías: Por Defecto, Importante Clase I, Importante Clase II, Crítico
- Por Defecto: Autoevaluación (Módulo A) permitida
- Importante Clase I: evaluación de terceros a menos que se sigan completamente estándares armonizados
- Importante Clase II y Crítico: evaluación de terceros obligatoria
- La Clasificación se basa en la función del producto y el riesgo, no en el sector del mercado
- En caso de duda, inclínate hacia una Clasificación superior (más seguro para la aplicación)
Consejo: Aproximadamente el 90% de los productos caen en la categoría Por Defecto. Revisa primero el Anexo III y IV: si tu producto no está listado, eres Por Defecto.
¿Cuáles son las cuatro categorías de productos del CRA?
El CRA clasifica los productos con elementos digitales en cuatro niveles según el riesgo de ciberseguridad:
Productos Por Defecto
La gran mayoría de productos caen aquí. Si tu producto no está específicamente listado en el Anexo III o IV, es "Por Defecto".
Evaluación de conformidad: Autoevaluación (Módulo A) es suficiente.
Ejemplos:
- Sensores IoT simples
- Electrónica de consumo básica
- Software empresarial estándar
- Aplicaciones de propósito general
- Dispositivos embebidos sin conexión de red
Importante Clase I (Anexo III, Parte I)
Productos con riesgo elevado debido a su función o base de usuarios.
Evaluación de conformidad: Autoevaluación permitida SI aplicas completamente los estándares armonizados relevantes. De lo contrario, evaluación de terceros requerida.
Lista completa del Anexo III, Parte I:
- Sistemas de gestión de identidad y software/hardware de gestión de acceso privilegiado, incluyendo lectores de control de acceso y autenticación, incluyendo lectores biométricos
- Navegadores independientes e integrados
- Gestores de contraseñas
- Software que busca, elimina o pone en cuarentena software malicioso
- Productos con elementos digitales con funcionalidad VPN
- Sistemas de gestión de redes
- Sistemas de gestión de información y eventos de seguridad (SIEM)
- Gestores de arranque
- Software de infraestructura de clave pública y emisión de certificados digitales
- Interfaces de red físicas y virtuales
- Sistemas operativos
- Routers, módems destinados a la conexión a internet, y conmutadores
- Microprocesadores con funcionalidades relacionadas con la seguridad
- Microcontroladores con funcionalidades relacionadas con la seguridad
- Circuitos integrados específicos de aplicación (ASIC) y matrices de puertas programables en campo (FPGA) con funcionalidades relacionadas con la seguridad
- Asistentes virtuales de propósito general para hogar inteligente
- Productos de hogar inteligente con funcionalidades de seguridad, incluyendo cerraduras inteligentes de puertas, cámaras de seguridad, sistemas de vigilancia de bebés y sistemas de alarma
- Juguetes conectados a internet cubiertos por la Directiva 2009/48/CE que tengan funciones sociales interactivas (p. ej. hablar o grabar) o funciones de seguimiento de ubicación
- Productos personales vestibles que deben llevarse o colocarse en el cuerpo humano y que tienen una finalidad de monitorización de la salud (como el seguimiento) y a los que no se aplica el Reglamento (UE) 2017/745 o el (UE) n.º 2017/746, o productos personales vestibles destinados al uso por y para niños
Importante Clase II (Anexo III, Parte II)
Productos de mayor riesgo que requieren evaluación de terceros obligatoria.
Evaluación de conformidad: evaluación de terceros (Organismo Notificado) requerida. Sin opción de autoevaluación.
Lista completa del Anexo III, Parte II:
- Hipervisores y sistemas de tiempo de ejecución de contenedores que admiten la ejecución virtualizada de sistemas operativos y entornos similares
- Cortafuegos, sistemas de detección y prevención de intrusiones
- Microprocesadores resistentes a manipulaciones
- Microcontroladores resistentes a manipulaciones
Productos Críticos (Anexo IV)
La categoría de mayor riesgo. Módulos de seguridad de hardware y similares.
Evaluación de conformidad: evaluación de terceros MÁS certificación de Ciberseguridad de la Unión Europea (EUCC) a nivel "sustancial" o superior.
Lista completa del Anexo IV:
- Dispositivos de hardware con cajas de seguridad
- Pasarelas de medidores inteligentes dentro de los sistemas de medición inteligente según se definen en el artículo 2, punto 23, de la Directiva (UE) 2019/944 y otros dispositivos para fines de seguridad avanzados, incluido el criptoprocesamiento seguro
- Tarjetas inteligentes o dispositivos similares, incluidos los elementos seguros
Árbol de decisión: encontrando tu categoría
Usa este proceso para clasificar tu producto:
INICIO: ¿Tu producto tiene elementos digitales?
│
├─ NO → No está en el alcance del CRA. Para aquí.
│
└─ SÍ → ¿Está listado en Anexo IV (Productos críticos)?
│
├─ SÍ → CRÍTICO
│ Terceros + certificación EUCC requerida
│
└─ NO → ¿Está listado en Anexo III, Parte II (Importante Clase II)?
│
├─ SÍ → IMPORTANTE CLASE II
│ evaluación de terceros requerida
│
└─ NO → ¿Está listado en Anexo III, Parte I (Importante Clase I)?
│
├─ SÍ → IMPORTANTE CLASE I
│ Terceros O autoevaluación con estándares
│
└─ NO → POR DEFECTO
Autoevaluación (Módulo A) permitida
Rutas de evaluación de conformidad por categoría
| Módulo | Disponible para | Organismo Notificado |
|---|---|---|
| A: Control de producción interno | Por defecto; Clase I con estándares armonizados aplicados | No requerido |
| B+C: Examen de tipo UE + Control de producción | Clase I sin estándares; Clase II; Crítico | Requerido |
| H: Aseguramiento de calidad total | Cualquier categoría, alternativa a B+C | Requerido |
| EUCC: Certificación de ciberseguridad de la UE | Solo Crítico (Anexo IV), adicional a B+C o H | Requerido |
El Módulo A es el ciclo completo de autoevaluación: expediente técnico, Declaración de Conformidad UE, marcado CE. No se necesita auditor externo.
El Módulo B+C divide el trabajo: un Organismo Notificado examina un espécimen tipo y emite un certificado (Módulo B); el fabricante garantiza entonces que toda la producción se ajusta a ese tipo (Módulo C).
El Módulo H sustituye el enfoque producto por producto por una auditoría del sistema de gestión de calidad del fabricante. Más adecuado cuando se tiene un amplio portfolio de productos.
La EUCC complementa el Módulo B+C o H para los productos Críticos. Emitida bajo la Ley de Ciberseguridad de la UE al nivel de garantía "sustancial" o superior por un organismo de evaluación de conformidad acreditado.
¿Cómo clasificar un producto que encaja en varias categorías?
La Clasificación de productos no siempre es obvia. Aquí hay orientación para preguntas comunes:
Productos multifunción
Regla: Si CUALQUIER función activa una categoría superior, todo el producto se clasifica en ese nivel.
Ejemplo: Un hub de hogar inteligente que incluye:
- Control de automatización básico (Por Defecto)
- Funcionalidad VPN (Importante Clase I)
- Integración de cámara de seguridad (Importante Clase I)
Clasificación: Importante Clase I (categoría más alta activada)
Componentes embebidos
Regla: Considera si los componentes relevantes para la seguridad activan la Clasificación.
Ejemplo: Un dispositivo de consumo que contiene:
- Microcontrolador de propósito general → Por Defecto
- Microcontrolador "con funcionalidades relacionadas con la seguridad" → Importante Clase I
Pregunta clave: ¿El microcontrolador realiza funciones de seguridad (cifrado, autenticación, arranque seguro)?
Consideraciones de "destinado a"
Algunos elementos del Anexo III especifican uso previsto o contexto de producto. Por ejemplo, los juguetes conectados hacen referencia a los cubiertos por la Directiva 2009/48/CE, y los productos vestibles de monitorización de la salud hacen referencia a los Reglamentos (UE) 2017/745 y 2017/746 para determinar qué queda excluido.
Si tu producto podría usarse en estos contextos pero no está específicamente destinado a ellos, la clasificación puede no aplicar. Documenta tu uso previsto claramente.
Sistemas operativos
Los sistemas operativos están listados únicamente en el Anexo III Parte I (Importante Clase I). No existe una categoría de sistemas operativos en Clase II:
| Tipo de SO | Clasificación |
|---|---|
| SO embebido (RTOS, firmware) | Por defecto (generalmente) |
| SO de propósito general | Importante Clase I |
Ejemplo: Una distribución Linux personalizada para dispositivos embebidos sería típicamente Por Defecto. Ubuntu Server es Importante Clase I.
Orientación específica por industria
Fabricantes de dispositivos IoT
La mayoría de dispositivos IoT son Por Defecto a menos que:
- Incluyan funcionalidad VPN → Clase I
- Sean dispositivos de seguridad de hogar inteligente → Clase I
- Sean IoT industrial → Clase I o II
- Incluyan características de seguridad resistentes a manipulación → Clase II
Empresas de software
La mayoría del software es Por Defecto a menos que esté específicamente listado:
- Navegadores, gestores de contraseñas, anti-malware → Clase I
- Herramientas de seguridad de red (cortafuegos, IDS) → Clase II
- Sistemas operativos → Clase I
Sistemas embebidos
La Clasificación depende en gran medida de:
- Funciones de seguridad de microcontroladores/procesadores
- Si el producto es de uso industrial/profesional
- Entorno de despliegue objetivo (¿infraestructura crítica?)
Dispositivos médicos
Los dispositivos médicos están excluidos del alcance del CRA (cubiertos por MDR/IVDR). Sin embargo, el software complementario o las funciones no médicas pueden estar dentro del alcance.
Importante: La clasificación se basa en la función del producto, no en el sector del mercado, el tamaño de la empresa o la complejidad del producto. Revisa siempre las listas del Anexo III y IV.
Lista de verificación de clasificación de productos
LISTA DE VERIFICACIÓN DE CLASIFICACIÓN DE PRODUCTOS
Producto: _______________________________________
Fecha: _________________________________________
VERIFICACIÓN INICIAL DE ALCANCE:
[ ] El producto tiene elementos digitales (software y/o conexión de datos)
[ ] El producto se comercializará en el mercado de la UE
[ ] El producto no está excluido (médico, automoción, aviación, militar)
Verificación ANEXO IV (CRÍTICO):
[ ] No es un dispositivo de hardware con caja de seguridad
[ ] No es una pasarela de medidor inteligente (según Directiva (UE) 2019/944 Art. 2(23)) u otro dispositivo para fines de seguridad avanzados
[ ] No es una tarjeta inteligente o dispositivo similar, incluidos los elementos seguros
Si alguno de los anteriores es SÍ → CRÍTICO (parar aquí)
Verificación ANEXO III PARTE II (IMPORTANTE CLASE II):
[ ] No es un hipervisor o sistema de tiempo de ejecución de contenedores
[ ] No es un cortafuegos, sistema de detección o prevención de intrusiones
[ ] No es un microprocesador resistente a manipulaciones
[ ] No es un microcontrolador resistente a manipulaciones
Si alguno de los anteriores es SÍ → IMPORTANTE CLASE II (parar aquí)
Verificación ANEXO III PARTE I (IMPORTANTE CLASE I):
[ ] Revisar lista completa de 19 categorías
[ ] Considerar implicaciones multifunción
[ ] Verificar funcionalidades relacionadas con seguridad en componentes
Si aplica alguna categoría → IMPORTANTE CLASE I (parar aquí)
POR DEFECTO:
[ ] Producto no listado en ningún Anexo
[ ] Clasificación: POR DEFECTO
RUTA DE EVALUACIÓN DE CONFORMIDAD:
[ ] Módulo A (autoevaluación) - Por Defecto, Clase I con estándares
[ ] Módulo B+C (terceros) - Clase I sin estándares, Clase II
[ ] Módulo H (aseguramiento de calidad) - Alternativa a B+C
[ ] Certificación EUCC - Solo productos críticos
Documentación:
[ ] Justificación de Clasificación documentada
[ ] Análisis multifunción completado
[ ] Uso previsto claramente definido
[ ] Organismo Notificado identificado (si se requiere)
Clasificado por: _________________________________
Fecha: _________________________________________
Preguntas frecuentes
¿Un router doméstico para conexión a internet entra en Importante Clase I o Por Defecto?
Importante Clase I. Los routers "destinados a la conexión a internet" figuran en el Anexo III Parte I punto 12. La autoevaluación es posible si se aplican completamente normas armonizadas pertinentes. Sin norma armonizada aplicable, se requiere un Organismo Notificado. Ver rutas de evaluación de conformidad CRA.
¿El CRA se aplica a productos SaaS sin hardware físico?
Depende. Un SaaS que proporcione procesamiento remoto de datos integral a un producto con elementos digitales está en el ámbito del CRA conforme al artículo 3(1). Una aplicación web autónoma sin hardware asociado también puede estar incluida según su función. La clasificación sigue las mismas listas del Anexo III y IV que para los productos físicos.
Si mi producto combina funciones Por Defecto y Clase I, ¿qué categoría se aplica?
La categoría más alta rige todo el producto. Si una sola función cae bajo el Anexo III o IV, el producto completo se evalúa en ese nivel. Un conmutador de red con función VPN integrada es Importante Clase I para todo el dispositivo, no solo para el componente VPN.
¿Afecta la certificación ISO 27001 a la clasificación del producto bajo el CRA?
No. La clasificación se determina exclusivamente por la función del producto conforme a los Anexos III y IV. Las certificaciones organizativas no tienen efecto. ISO 27001 aborda la seguridad de la información a nivel organizativo; el CRA exige una evaluación de conformidad específica por producto independientemente de lo que posea el fabricante. Ver CRA e ISO 27001.
¿Cuándo debe determinarse la clasificación del producto bajo el CRA?
Antes de comercializarlo en el mercado de la UE. La clasificación determina la ruta de evaluación de conformidad, que debe completarse antes de poder colocar el marcado CE y emitir la Declaración de Conformidad UE. Consulta el cronograma de implementación del CRA para las fechas clave.
¿Dónde encontrar un Organismo Notificado para la evaluación de conformidad CRA?
La base de datos NANDO (nando.ec.europa.eu) es el registro oficial de la UE de Organismos Notificados. Las designaciones específicas para el CRA se están publicando bajo el Reglamento (UE) 2024/2847; consulta directamente para el estado actualizado. Para productos Importante Clase I, solo se requiere Organismo Notificado si no se aplica ninguna norma armonizada pertinente. INCIBE y CCN-CERT publican orientaciones complementarias para fabricantes españoles.
Próximos pasos
¿Gestionar la conformidad CRA en varios productos? CRA Evidence centraliza clasificación, rutas de conformidad y documentación.
Una vez que conozcas tu clasificación, el siguiente paso es tu ruta de evaluación de conformidad. Consulta el cronograma de implementación del CRA para las fechas clave. Todas las categorías, independientemente del nivel, requieren un SBOM. Consulta la guía de requisitos de SBOM.
Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.
Artículos Relacionados
ECSMAF v3.0 explicado: cómo ENISA mapea el mercado europeo de ciberseguridad
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.