Evaluación de Conformidad CRA: Guía de Decisión Modulo A vs B+C vs H

Tu ruta de Evaluación de conformidad CRA determina el coste, el cronograma y las dependencias externas. Elige mal y perderas meses y miles de euros. Elige bien y tendras un camino claro hacia el marcado CE.

Esta Guía te ayuda a seleccionar el modulo de Evaluación de conformidad correcto y entender lo Qué implica cada uno.

Vision General de la Evaluación de Conformidad

La Evaluación de conformidad es Cómo demuestras Qué tu producto cumple los requisitos del CRA. La Declaración de Conformidad UE Qué firmas declara Qué tu producto es conforme, pero debes tener evidencia para respaldar esa afirmacion.

El CRA ofrece tres modulos de Evaluación de conformidad:

OPCIONES DE MODULO POR CATEGORIA DE PRODUCTO

┌─────────────────────────────────────────────────────────────┐
│                  PRODUCTOS POR DEFECTO                       │
│                  (~90% de productos)                         │
├─────────────────────────────────────────────────────────────┤
│   Modulo A (Autoevaluacion)    ✓ Permitido                  │
│   Modulo B+C (Terceros)        ✓ Permitido (opcional)       │
│   Modulo H (QA Completo)       ✓ Permitido (opcional)       │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│            PRODUCTOS IMPORTANTE CLASE I                      │
│              (Anexo III, Parte I)                            │
├─────────────────────────────────────────────────────────────┤
│   Modulo A (Autoevaluacion)    ✓ SI estandares armonizados  │
│   Modulo B+C (Terceros)        ✓ Permitido                  │
│   Modulo H (QA Completo)       ✓ Permitido                  │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│            PRODUCTOS IMPORTANTE CLASE II                     │
│              (Anexo III, Parte II)                           │
├─────────────────────────────────────────────────────────────┤
│   Modulo A (Autoevaluacion)    ✗ NO Permitido               │
│   Modulo B+C (Terceros)        ✓ REQUERIDO                  │
│   Modulo H (QA Completo)       ✓ Permitido                  │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│                  PRODUCTOS CRITICOS                          │
│                    (Anexo IV)                                │
├─────────────────────────────────────────────────────────────┤
│   Modulo A (Autoevaluacion)    ✗ NO Permitido               │
│   Modulo B+C (Terceros)        ✓ REQUERIDO + EUCC           │
│   Modulo H (QA Completo)       ✓ Permitido + EUCC           │
└─────────────────────────────────────────────────────────────┘

Modulo A: Control de Produccion Interno

Autoevaluacion. Tu evaluas tu propio producto contra los requisitos del CRA.

Cuando el Modulo A Esta Disponible

• Productos por defecto: Siempre disponible
• Importante Clase I: Solo si aplicas completamente estandares armonizados relevantes

Qué Significa "Estandares Armonizados"

Para la autoevaluacion de Importante Clase I, debes aplicar estandares armonizados Qué:

• Cubran los requisitos esenciales del Anexo I
• Esten publicados en el Diario Oficial de la UE
• Se apliquen completamente (no parcialmente)

Si no existe estandar armonizado para tu tipo de producto, los productos Importante Clase I deben usar Modulo B+C o H.

VERIFICAR CON FUENTE PRIMARIA: Los estandares armonizados para el CRA aun se estan desarrollando. Monitoriza las publicaciones del DOUE.

Proceso del Modulo A

Evaluación DE CONFORMIDAD MODULO A

1. FASE DE DISENO
   ├── Aplicar principios de seguridad por diseno
   ├── Realizar Evaluación de riesgos (requisitos Anexo I)
   ├── Documentar arquitectura de seguridad
   └── Aplicar estandares armonizados (si Clase I)

2. Documentación
   ├── Crear expediente tecnico (Anexo VII)
   │   ├── Descripcion del producto
   │   ├── Resultados de Evaluación de riesgos
   │   ├── Documentación de diseno
   │   ├── Estandares aplicados
   │   ├── Resultados de pruebas
   │   └── SBOM
   └── Preparar Declaración de Conformidad UE

3. CONTROLES DE PRODUCCION
   ├── Asegurar Qué la produccion mantiene la conformidad
   ├── Documentar controles de calidad
   └── Verificar cada unidad (donde aplique)

4. FINALIZACION
   ├── Firmar Declaración de Conformidad UE
   ├── Aplicar marcado CE
   └── Conservar Documentación (10 años)

Requisitos de Documentación del Modulo A

Tu expediente tecnico bajo el Modulo A debe incluir:

Descripcion General:

• Identificacion del producto y proposito previsto
• Versiones cubiertas
• Instrucciones de usuario proporcionadas

Evaluación de Riesgos:

• Riesgos de ciberseguridad identificados
• Amenazas y escenarios de ataque considerados
• Decisiones de tratamiento de riesgos

Documentación de Diseno:

• Arquitectura del sistema
• Medidas de seguridad implementadas
• Cómo se cumple cada requisito del Anexo I

Estandares y Pruebas:

• Estandares aplicados (con numeros de version)
• Planes de prueba y resultados
• Verificación de Qué los estandares se aplican completamente (para Clase I)

SBOM:

• Componentes incluidos
• Vulnerabilidades conocidas en el momento de la Evaluación

Produccion:

• Cómo la produccion mantiene la conformidad
• Medidas de control de calidad

Costes del Modulo A

Rango total tipico: 15.000-50.000€ (costes internos)

Cronograma del Modulo A

Cronograma total tipico: 2-4 meses

Modulo B+C: Examen de Tipo UE

Evaluación de terceros. Un Organismo Notificado examina el diseno de tu producto.

Cuando el Modulo B+C Es Requerido

• Importante Clase II: Obligatorio
• Productos criticos: Obligatorio (mas EUCC)
• Importante Clase I: Si no se usan estandares armonizados

Modulo B: Examen de Tipo UE

Un Organismo Notificado examina una muestra representativa (tipo) de tu producto y emite un certificado.

PROCESO MODULO B

1. SOLICITUD
   ├── Seleccionar Organismo Notificado
   ├── Enviar solicitud con:
   │   ├── Muestra(s) del producto
   │   ├── Documentación tecnica
   │   └── Formulario de solicitud
   └── Pagar tasas iniciales

2. EXAMEN
   ├── ON revisa Documentación
   ├── ON prueba muestra del producto
   ├── ON verifica cumplimiento del Anexo I
   └── ON puede solicitar informacion/pruebas adicionales

3. Decisión
   ├── Conforme → Certificado de Examen de Tipo UE
   ├── No conforme → Informe de deficiencias
   └── Si deficiencias: remediar y reenviar

4. CERTIFICADO
   ├── Valido para el tipo de producto evaluado
   ├── Lista condiciones y limitaciones
   └── Sujeto a revision (tipicamente 5 años)

Modulo C: Conformidad con el Tipo

Despues del Modulo B, aseguras Qué la produccion se ajusta al tipo certificado.

PROCESO MODULO C

1. CONTROLES DE PRODUCCION
   ├── Asegurar Qué cada unidad se ajusta al tipo certificado
   ├── Documentar procesos de produccion
   └── Mantener controles de calidad

2. Declaración
   ├── Referenciar Certificado de Examen de Tipo UE
   ├── Firmar Declaración de Conformidad UE
   └── Aplicar marcado CE

3. CONTINUO
   ├── Mantener conformidad con el tipo certificado
   ├── Informar cambios Qué afecten al tipo al ON
   └── Recertificar si hay cambios sustanciales

Seleccion de Organismo Notificado

Consideraciones al elegir un Organismo Notificado:

Encontrar ONs: Consulta la base de datos NANDO (registro oficial de Organismos Notificados de la UE) una vez se publiquen las designaciones CRA.

Costes del Modulo B+C

Rango total tipico: 30.000-100.000€+

Cronograma del Modulo B+C

Cronograma total tipico: 4-10 meses

Modulo H: Aseguramiento de Calidad Total

Enfoque de sistema de gestion de calidad. El ON aprueba tu SGC para diseno, produccion y pruebas.

Cuando el Modulo H Tiene Sentido

El Modulo H es ventajoso cuando:

• Tienes multiples productos Qué requieren Evaluación de terceros
• Ya tienes un SGC maduro (ISO 9001, ISO 27001)
• Quieres una relacion continua con el ON en lugar de examen por producto
• Lanzas actualizaciones frecuentes del producto

Proceso del Modulo H

PROCESO MODULO H

1. ESTABLECIMIENTO DEL SGC
   ├── Disenar sistema de calidad Qué cubra:
   │   ├── Proceso de diseno
   │   ├── Controles de produccion
   │   ├── Procedimientos de prueba
   │   └── Gestion de Documentación
   └── Alinear con requisitos del CRA

2. Evaluación DEL ON
   ├── Enviar Documentación del SGC
   ├── ON audita tu SGC
   ├── ON verifica alineacion con CRA
   └── ON emite certificado de aprobacion del SGC

3. DISENO DE PRODUCTO (por producto)
   ├── Seguir SGC aprobado para diseno
   ├── Realizar examen de diseno
   ├── Documentar cumplimiento
   └── ON puede auditar proceso de diseno

4. PRODUCCION
   ├── Seguir SGC aprobado para produccion
   ├── Documentar conformidad
   └── ON realiza auditorias de vigilancia

5. Declaración (por producto)
   ├── Firmar Declaración de Conformidad UE
   ├── Referenciar certificado del SGC
   └── Aplicar marcado CE

6. CONTINUO
   ├── Mantener SGC
   ├── Auditorias de vigilancia del ON (tipicamente anuales)
   └── Recertificar SGC (tipicamente cada 3-5 años)

Requisitos del SGC para Modulo H

Tu sistema de gestion de calidad debe cubrir:

Calidad de Diseno:

• Controles del proceso de diseno
• Metodologia de Evaluación de riesgos
• Procedimientos de revision de diseno
• Gestion de Configuración
• Verificación y validacion del diseno

Calidad de Produccion:

• Controles del proceso de produccion
• Pruebas de control de calidad
• Manejo de no conformidades
• Trazabilidad
• Calibracion de equipos

Calidad de Documentación:

• Requisitos del expediente tecnico
• Control de documentos
• Retencion de registros
• Gestion de cambios

Integración de Ciberseguridad:

• Ciclo de vida de desarrollo seguro
• Gestion de vulnerabilidades
• Procesos de actualizacion
• Respuesta a incidentes

Costes del Modulo H

Configuración inicial: 40.000-100.000€ Continuo anual: 10.000-30.000€

Decisión Modulo H vs B+C

Regla general: El Modulo H se vuelve rentable con 4+ productos o cuando necesitarias re-examen frecuentemente.

Marco de Decisión

Paso 1: Determinar Clasificación del Producto

Usa la Guía de Clasificación de productos para determinar: Por Defecto, Importante Clase I, Importante Clase II o Critico.

Paso 2: Identificar Opciones Disponibles

SI Por Defecto:
    Opciones: A, B+C, H
    Recomendacion: Modulo A (a menos Qué quieras validacion de terceros)

SI Importante Clase I:
    SI existen estandares armonizados Y los aplicas completamente:
        Opciones: A, B+C, H
        Recomendacion: Modulo A (con estandares)
    SINO:
        Opciones: B+C, H
        Recomendacion: B+C (a menos Qué multiples productos)

SI Importante Clase II:
    Opciones: B+C, H
    Recomendacion: B+C (a menos Qué multiples productos o SGC maduro)

SI Critico:
    Opciones: B+C + EUCC, H + EUCC
    Recomendacion: Depende de las capacidades de la organización

Paso 3: Considerar Factores Empresariales

Declaración de Conformidad UE

Independientemente del modulo elegido, debes emitir una Declaración de Conformidad UE.

Contenido Requerido de la DoC

Declaración DE CONFORMIDAD UE
(Ley de Ciberresiliencia - Reglamento (UE) 2024/2847)

1. Identificacion del producto:
   [Nombre del producto, tipo, lote, número(s) de serie]

2. Nombre y direccion del fabricante:
   [Datos de tu empresa]

3. Esta Declaración de conformidad se emite bajo la exclusiva
   responsabilidad del fabricante.

4. Objeto de la Declaración:
   [Descripcion del producto, suficiente para trazabilidad]

5. El objeto de la Declaración descrito anteriormente es conforme
   con la legislacion de armonizacion de la Union pertinente:
   - Reglamento (UE) 2024/2847 (Ley de Ciberresiliencia)
   - [Otra legislacion aplicable]

6. Referencias a las normas armonizadas pertinentes utilizadas, o
   referencias a las especificaciones con respecto a las cuales se
   declara la conformidad:
   [Lista de estandares aplicados, con numeros de version]

7. Cuando proceda, el organismo notificado:
   [Nombre del ON, número, referencia del certificado]
   realizo: [Examen Modulo B/H]
   y emitio: [número de certificado]

8. Informacion adicional:
   [Periodo de soporte, contacto para informes de vulnerabilidades, etc.]

Firmado en nombre de:
[Nombre, función]
[Lugar y fecha de emision]
[Firma]

Marcado CE

Despues de la Evaluación de conformidad, aplica el marcado CE.

Requisitos del Marcado CE

• Visible, legible, indeleble
• Altura minima de 5mm
• Proporciones correctas (Cómo se especifica en la legislacion)
• En el producto o embalaje (si el marcado en el producto no es factible)
• Acompanado del número del Organismo Notificado si se uso Modulo B o H

Colocacion del Marcado CE

EJEMPLOS DE MARCADO CE

Producto fisico:
├── En el producto mismo (preferido)
├── En placa de caracteristicas/etiqueta
├── En embalaje (si el producto es demasiado pequeno)
└── En Documentación (si el marcado fisico es imposible)

Software:
├── En pantalla acerca de/informacion
├── En Documentación
└── En embalaje (si hay medios fisicos)

Con Organismo Notificado (Modulo B o H):
Marcado CE + número ON
ej., CE 1234 (donde 1234 es el número de identificacion del ON)

Errores Comunes

Autoevaluarse Cuando No Esta Permitido

Problema: Elegir Modulo A para producto Importante Clase II.

Consecuencia: Evaluación de conformidad invalida. El producto no puede comercializarse legalmente.

Prevencion: Siempre verifica la Clasificación del producto antes de elegir la ruta de Evaluación.

Aplicacion Parcial de Estandares

Problema: Reclamar Modulo A para Importante Clase I mientras solo se aplican parcialmente los estandares armonizados.

Consecuencia: El Modulo A no esta disponible sin aplicacion completa del estandar.

Prevencion: Si no puedes aplicar completamente los estandares, usa Modulo B+C o H.

Documentación Inadecuada

Problema: El expediente tecnico carece del contenido requerido para el modulo elegido.

Consecuencia: No se puede demostrar conformidad. DoC no valida.

Prevencion: Usa listas de Verificación. Revisa los requisitos de Documentación para tu modulo especifico.

Sorpresa del Organismo Notificado

Problema: Descubrir tarde Qué el producto requiere Evaluación por ON.

Consecuencia: Retraso en la entrada al mercado (los tiempos de espera del ON pueden ser meses).

Prevencion: Clasifica productos temprano. Involucra a los ONs de forma proactiva.

DoC Antes de la Evaluación

Problema: Firmar DoC antes de completar la Evaluación de conformidad.

Consecuencia: Declaración falsa. Responsabilidad legal.

Prevencion: La DoC es el paso final, despues de Qué todas las actividades de Evaluación esten completas.

Lista de Verificación de Evaluación de Conformidad

LISTA DE Verificación DE Evaluación DE CONFORMIDAD

PRE-Evaluación:
[ ] Clasificación del producto determinada
[ ] Modulos disponibles identificados
[ ] Modulo seleccionado basado en requisitos y factores empresariales
[ ] Cronograma establecido
[ ] Presupuesto asignado

MODULO A (Autoevaluacion):
[ ] Evaluación de riesgos completada
[ ] Requisitos del Anexo I abordados
[ ] Estandares armonizados aplicados (si Clase I)
[ ] Expediente tecnico preparado
[ ] Pruebas completadas
[ ] Controles de produccion documentados
[ ] DoC preparada

MODULO B (Examen de Tipo UE):
[ ] Organismo Notificado seleccionado
[ ] Solicitud enviada
[ ] Documentación tecnica proporcionada
[ ] Muestra(s) del producto proporcionadas
[ ] Examen completado
[ ] Certificado recibido
[ ] Deficiencias abordadas (si las hay)

MODULO C (Conformidad con el Tipo):
[ ] Controles de produccion establecidos
[ ] Conformidad con el tipo verificada
[ ] Documentación mantenida
[ ] DoC referencia el certificado

MODULO H (QA Completo):
[ ] SGC desarrollado/actualizado
[ ] Auditoria ON programada
[ ] Certificado SGC recibido
[ ] Revision de diseno por producto completada
[ ] Calendario de auditorias de vigilancia establecido

FINALIZACION (Todos los Modulos):
[ ] Declaración de Conformidad UE firmada
[ ] Marcado CE aplicado
[ ] Expediente tecnico archivado (retencion 10 años)
[ ] Listo para comercializacion

Cómo Ayuda CRA Evidence

CRA Evidence soporta todas las rutas de Evaluación de conformidad:

• Guía de seleccion de modulo: Basada en tu Clasificación de producto
• Plantillas de Documentación: Estructura del expediente tecnico por modulo
• Seguimiento de lista de Verificación: Requisitos especificos por modulo
• Generacion de DoC: Plantillas de Declaración conformes
• Coordinación con Organismo Notificado: Seguimiento de estado del examen y certificados

Planifica tu Evaluación de conformidad en app.craevidence.com.

Guías Relacionadas

Clasificación: Primero, determina la categoría de tu producto con nuestra guía de clasificación.

Expediente Técnico: Construye tu paquete de evidencias con nuestra guía del expediente técnico Anexo VII.

Costes: Estima tus costes totales de cumplimiento con nuestra guía de estimación de costes CRA.

Declaración: Prepara tu Declaración de Conformidad UE.

Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con asesores legales cualificados.