CRA para fabricantes alemanes: BSI, CERT-Bund y marcado CE

Ficha país para fabricantes alemanes bajo el CRA: BSI como autoridad de vigilancia del mercado y notificante, CERT-Bund, acreditación DAkkS.

CRA Evidence Team Publicado 11 de junio de 2026
Ficha país para fabricantes alemanes que muestra la cadena institucional nacional: CERT-Bund para notificaciones de vulnerabilidades e incidentes, BSI previsto como autoridad combinada de vigilancia del mercado y notificante, DAkkS para la acreditación
En este artículo

Los fabricantes alemanes tienen las mismas obligaciones bajo el CRA que cualquier otro fabricante de la UE. Lo que es específico de Alemania es la cadena institucional, y Alemania la ha construido en torno a un único organismo. Está previsto que el BSI actúe como autoridad de vigilancia del mercado y como autoridad notificante en el ámbito del CRA. Un solo organismo, dos funciones, mientras que Francia y España las distribuyen entre agencias separadas. Esta es la ficha país para Alemania. Para el conjunto completo de obligaciones del fabricante, consulta la guía del clúster de fabricante.

Resumen

  • El CRA es un Reglamento de la UE con efecto directo. No existen exenciones específicamente alemanas para los fabricantes de productos.
  • El BSI (Bundesamt für Sicherheit in der Informationstechnik) está previsto para convertirse tanto en la autoridad de vigilancia del mercado del CRA como en la autoridad notificante. La base jurídica es la ley de aplicación del CRA (Gesetz zur Durchführung der Cyberresilienz-Verordnung), que modifica la Ley del BSI. Se trata de un proyecto de ley del Gobierno (BT-Drs. 21/6134), que aún se encuentra en proceso legislativo y no ha sido adoptado.
  • CERT-Bund, el CERT nacional dentro del BSI, es el contacto operativo alemán para las notificaciones de vulnerabilidades e incidentes del CRA cuando tu establecimiento principal se encuentra en Alemania.
  • DAkkS (Deutsche Akkreditierungsstelle) acredita a los candidatos a organismos de evaluación de la conformidad. El BSI los notifica después a la Comisión Europea. El proyecto de Ley del BSI permite al BSI notificar a un organismo sin certificado de acreditación en casos de interés público definidos.
  • A 11 de junio de 2026, fecha en que empieza a aplicarse el marco de organismos notificados del CRA, la base de datos NANDO de la Comisión Europea muestra cero organismos notificados designados bajo el CRA.
  • El alemán es obligatorio para la información del producto dirigida al usuario que se comercialice en el mercado alemán. La declaración UE de conformidad debe redactarse en el idioma que Alemania exija.
  • Alemania centraliza la vigilancia del mercado del CRA en el BSI. La única excepción son los sistemas de IA de alto riesgo, para los que la autoridad de vigilancia del mercado designada en virtud de la Ley de IA es la responsable.
2
Funciones, un solo organismo
El BSI vigila y notifica
0
Organismos notificados CRA
en NANDO hasta ahora
Sep 2026
Notificaciones en marcha
a través de la plataforma ENISA
€15M
Sanción máxima
o el 2,5 % del volumen de negocios global

El BSI asume tanto la vigilancia del mercado como la notificación

Esto es lo que diferencia a Alemania. El proyecto de ley de aplicación del CRA designa al BSI como Marktüberwachungsbehörde (autoridad de vigilancia del mercado) y como notifizierende Behörde (autoridad notificante) en el mismo texto legal. La autoridad notificante decide qué organismos de evaluación de la conformidad pasan a ser organismos notificados. La autoridad de vigilancia del mercado controla los productos ya presentes en el mercado. En Alemania, ambas funciones recaen sobre el BSI.

Algunos Estados miembros hacen lo mismo. Otros reparten las dos funciones entre agencias separadas.

Estado miembroAutoridad notificanteVigilancia del mercadoCSIRT de notificación
Alemania BSI BSI CERT-Bund
Italia ACN ACN CSIRT Italia
Países Bajos RDI RDI NCSC-NL
Francia ANSSI ANFR CERT-FR
España CCN SETID INCIBE-CERT

Autoridades nacionales designadas o previstas. Varias están pendientes de instrumentos nacionales definitivos.

La base jurídica es el Gesetz zur Durchführung der Cyberresilienz-Verordnung, la ley de aplicación del CRA, que modifica la Ley del BSI (BSI-Gesetz). Se trata de un proyecto de ley del Gobierno (Gesetzentwurf der Bundesregierung), publicado como impreso parlamentario del Bundestag BT-Drs. 21/6134.

Todavía un proyecto, aún no es ley

La ley de aplicación que otorga estas funciones al BSI es un proyecto de ley del Gobierno, que sigue en proceso legislativo. Planifica en torno al BSI, pero verifica el texto promulgado antes de cualquier presentación formal.

Como autoridad de vigilancia del mercado designada, el BSI tendría las competencias ejecutivas del CRA. Puede exigir medidas correctoras, restringir un producto, retirarlo del mercado u ordenar su recuperación, e imponer multas de hasta 15 millones de euros o el 2,5 % del volumen de negocios anual mundial para las infracciones más graves. La guía de sanciones y ejecución detalla la estructura completa de niveles.

Si el proyecto se aprueba tal como está redactado, una sola agencia redactará las directrices de interpretación alemanas, decidirá quién te certifica y te controlará después. Esa concentración merece planificación. El BSI es tu referente en casi todos los pasos y publica sus orientaciones sobre el CRA, folletos para fabricantes y una línea de ayuda para pymes en su página oficial sobre el Reglamento de Ciberresiliencia.

CERT-Bund: la vía de notificación alemana

Las notificaciones del CRA se dirigen al CSIRT designado como coordinador del Estado miembro donde el fabricante tiene su establecimiento principal, el lugar donde se toman principalmente las decisiones de ciberseguridad, no solo una oficina de ventas. Para un fabricante con sede en Alemania, el contacto operativo es CERT-Bund, el CERT nacional dentro del BSI. La designación formal de coordinador se publica a través de ENISA, así que confírmala antes de tu primera presentación en lugar de darla por supuesta. Si tu establecimiento principal se encuentra en otro Estado miembro y solo vendes en Alemania, tus notificaciones se dirigen al CSIRT de ese Estado miembro, no a CERT-Bund, aunque las normas de idioma alemán que se describen a continuación siguen siendo aplicables a todo lo que coloques en el mercado alemán.

El CRA divide la notificación en dos flujos, cada uno con plazos distintos. Una vulnerabilidad explotada activamente requiere una alerta temprana en 24 horas, una notificación de vulnerabilidad en 72 horas y un informe final a más tardar 14 días después de que esté disponible una medida correctora o de mitigación. Un incidente grave requiere una alerta temprana en 24 horas, una notificación de incidente en 72 horas y un informe final en el plazo de un mes desde la notificación del incidente. El plazo de 14 días y el de un mes no son intercambiables. La guía de gestión de vulnerabilidades y notificación desarrolla ambos en detalle.

La presentación se realiza a través de la plataforma única de notificación de ENISA, que entrará en funcionamiento el 11 de septiembre de 2026, con CERT-Bund como coordinador receptor y ENISA accesible al mismo tiempo. La guía de incorporación a la plataforma ENISA cubre el registro. Para los contactos actuales de notificación, consulta la página de CERT-Bund.

Organismos notificados: DAkkS acredita, el BSI notifica

Solo necesitas un organismo notificado para determinados productos, principalmente los productos importantes y críticos, y solo cuando las normas armonizadas o un esquema de certificación no te cubran ya. La guía de evaluación de la conformidad relaciona tu clase de producto con su vía correspondiente.

La cadena alemana tiene dos pasos:

  • DAkkS (Deutsche Akkreditierungsstelle) es el organismo nacional de acreditación. Evalúa la competencia técnica de un candidato a organismo de evaluación de la conformidad en virtud del Reglamento (CE) n.º 765/2008.
  • El BSI notifica después a la Comisión Europea el organismo acreditado, tras lo cual aparece en NANDO como organismo notificado del CRA.

Hay un atajo alemán que merece conocerse. El proyecto de Ley del BSI, según lo previsto en BT-Drs. 21/6134, permite al BSI notificar a un organismo sin certificado de acreditación en casos de interés público definidos. El proyecto vincula esto al propio objetivo del Reglamento: que los Estados miembros procuren tener suficientes organismos notificados operativos antes del 11 de diciembre de 2026 para evitar cuellos de botella. La excepción existe porque la vía de acreditación ordinaria puede no producir suficientes organismos a tiempo. Interpreta esto como una señal: Alemania espera que la capacidad de organismos notificados sea limitada.

El problema de capacidad es real y afecta a toda la UE en este momento. El marco de organismos notificados del CRA se aplica desde el 11 de junio de 2026. A esa fecha, NANDO no muestra ningún organismo notificado designado bajo el CRA en toda la Unión. No des por designado a ningún organismo alemán bajo el CRA hasta que aparezca en NANDO. Un fabricante alemán puede recurrir a cualquier organismo notificado de la UE cuando aparezcan las designaciones, no solo a uno alemán. Elegir un organismo alemán es una preferencia de contratación, no un requisito del CRA.

BSI TR-03183: por qué la encontrarás en la contratación pública alemana

El BSI publica la directriz técnica BSI TR-03183, con partes que cubren los requisitos para fabricantes y productos, el SBOM y los informes de vulnerabilidades. Es una orientación técnica provisional, no una norma armonizada, y por sí sola no otorga la presunción de conformidad que concedería una norma armonizada.

Sigue siendo relevante en Alemania por una razón práctica. Está previsto que el BSI sea tu autoridad de vigilancia del mercado y ya constituye un referente habitual en la contratación pública e industrial alemana, por lo que es probable que los compradores alemanes citen la TR-03183 por ser la directriz técnica orientada al CRA del BSI. Trátala como el referente al que recurrirán tus interlocutores alemanes y como un objetivo interno razonable mientras se siguen redactando las normas armonizadas. La guía BSI TR-03183 cubre en detalle los campos de datos requeridos y los niveles de calidad.

Requisitos de idioma alemán en la práctica

El CRA vincula el idioma al público, no a una regla general. La información dirigida al usuario debe estar en un idioma que los usuarios y la autoridad de vigilancia del mercado comprendan fácilmente. Para los productos colocados en el mercado alemán, eso es el alemán.

Debe estar en alemán:

  • La información e instrucciones al usuario que se entregan con el producto.
  • Los datos de contacto del fabricante donde quiera que aparezcan, en el producto, en el embalaje o en el documento adjunto.
  • La fecha de fin de soporte comunicada en el punto de venta.

Puede ser multilingüe:

  • El marcado CE y la etiqueta del producto.
  • El texto del embalaje y la documentación en línea, siempre que se pueda acceder a una versión en alemán.

El inglés se acepta normalmente para:

  • La documentación técnica interna. A petición motivada, el BSI puede exigirla en un idioma que comprenda fácilmente, así que planifica esa posibilidad aunque no traduzcas de forma proactiva. La documentación técnica vinculada a un procedimiento de organismo notificado debe estar en un idioma oficial del Estado miembro donde ese organismo tenga su sede, o en un idioma aceptable para él.

La declaración UE de conformidad debe estar disponible en los idiomas que exija el Estado miembro donde se coloque o comercialice el producto. Para el mercado alemán, prepara una versión en alemán en lugar de tratar la traducción como una contingencia solo para inspecciones.

La única excepción: los sistemas de IA de alto riesgo

Alemania centraliza la vigilancia del mercado del CRA en el BSI. El proyecto de ley de aplicación toma esa decisión deliberadamente y su motivación rechaza expresamente repartir la vigilancia del CRA entre una serie de autoridades sectoriales. Para la mayoría de los fabricantes, el BSI es el supervisor.

Hay una excepción real, y proviene del propio CRA, no del derecho alemán. Si tu producto es un sistema de IA de alto riesgo en virtud de la Ley de IA, la autoridad de vigilancia del mercado designada bajo la Ley de IA, y no el BSI, es la responsable de la vigilancia del mercado del CRA para ese producto. En Alemania, esa autoridad se designa en virtud de la ley de aplicación de la Ley de IA (KI-MIG). Ambas autoridades cooperan, pero la parte de la Ley de IA lidera.

¿Quién te supervisa? ¿Tu producto es un sistema de IA de alto riesgo según la Ley de IA?

Este es el único caso en que una autoridad diferente asume la vigilancia del mercado del CRA. En Alemania, esa autoridad se designa en virtud de la ley de aplicación de la Ley de IA (KI-MIG).

Sí: la autoridad de vigilancia del mercado de la Ley de IA gestiona la vigilancia del CRA, en coordinación con el BSI No: el BSI es tu autoridad de vigilancia del mercado para el CRA

Otros regímenes se solapan con el CRA sin cambiar quién ejerce la vigilancia. Un producto puede estar sujeto al Reglamento de Maquinaria al mismo tiempo que al CRA, y el BSI sigue siendo el responsable de la vigilancia del CRA mientras coopera con la autoridad sectorial correspondiente. En el ámbito financiero, el BSI coopera con los supervisores en virtud del Reglamento (UE) 2022/2554 (DORA) en lugar de cederles la vigilancia del CRA. Los cambios en la legislación sobre energía y telecomunicaciones incluidos en el mismo proyecto de ley son correcciones de NIS2, no una reasignación del CRA. Si fabricas maquinaria o automatización industrial, espera obligaciones paralelas, no un supervisor diferente del CRA.

Vender en otros mercados desde Alemania

Un fabricante alemán que vende en Francia, España, Italia u otro Estado miembro de la UE mantiene la misma regla de ruta única. Tus notificaciones siguen dirigiéndose a CERT-Bund, porque la ruta sigue al establecimiento principal, no al destino de cada envío. No presentas informes ante el CSIRT francés, español o italiano.

La obligación de idioma sí se extiende por mercado. Un producto enviado al mercado francés necesita contenido dirigido al usuario en francés, un producto enviado al mercado español necesita contenido en español, y así sucesivamente. La documentación alemana no cubre esos mercados. La autoridad de vigilancia del mercado de cada Estado miembro receptor también puede solicitar tu documentación técnica en un idioma que comprenda fácilmente, así que prepara de antemano las secciones más solicitadas en un idioma de trabajo ampliamente utilizado.

Financiación y ayudas a verificar

No existe ninguna ayuda alemana específica para el CRA. El panorama es el de la financiación general para la digitalización y la seguridad, y parte de ella ha caducado.

  • go-digital ha terminado. El programa solo estuvo vigente hasta el 31 de diciembre de 2024, así que ignora las guías más antiguas que aún lo mencionen.
  • Mittelstand-Digital ofrece asesoramiento gratuito y la red de Mittelstand-Digital Zentren, no financiación directa a las pymes.
  • El KfW ERP-Förderkredit Digitalisierung und Innovation (programas 511/512) es una línea de financiación para inversión en digitalización y seguridad informática, no una subvención específica para el CRA.
  • Las convocatorias de investigación del Gobierno federal pueden apoyar la I+D genuina en ciberseguridad, pero comprueba cada convocatoria caso a caso y no las trates como ayudas habituales para el cumplimiento del CRA.

Las ventanas de los programas y los criterios de elegibilidad cambian con frecuencia. Confirma el estado actual de cualquier línea antes de incluirla en tu presupuesto.

Preguntas frecuentes

¿Es el BSI ya mi autoridad de vigilancia del mercado para el CRA?

Todavía no. El BSI está previsto para convertirse tanto en la autoridad de vigilancia del mercado como en la autoridad notificante del CRA en virtud de la ley de aplicación alemana, el Gesetz zur Durchführung der Cyberresilienz-Verordnung. Esa ley modifica la Ley del BSI y es un proyecto de ley del Gobierno (BT-Drs. 21/6134), que sigue en proceso legislativo y aún no ha sido adoptado. Planifica en torno al BSI, pero verifica la ley promulgada antes de cualquier presentación formal. Los topes de sanción que el BSI puede aplicar están fijados por el Reglamento en hasta 15 millones de euros o el 2,5 % del volumen de negocios anual mundial para las infracciones más graves.

¿Dónde notifico una vulnerabilidad o incidente en Alemania?

A CERT-Bund, el CERT nacional dentro del BSI, cuando tu establecimiento principal se encuentra en Alemania. La presentación se realiza a través de la plataforma única de notificación de ENISA a partir del 11 de septiembre de 2026, con CERT-Bund como coordinador receptor y ENISA accesible al mismo tiempo. Los dos flujos tienen plazos distintos: una vulnerabilidad explotada activamente requiere notificaciones a las 24 h, a las 72 h y un informe final como máximo 14 días después de que esté disponible la medida correctora o mitigadora, mientras que un incidente grave requiere notificaciones a las 24 h, a las 72 h y un informe final en el plazo de un mes desde la notificación del incidente. Consulta la guía de gestión de vulnerabilidades y notificación.

¿Hay organismos notificados alemanes que pueda usar hoy?

A 11 de junio de 2026, cuando el marco de organismos notificados del CRA empieza a aplicarse, NANDO no muestra ningún organismo notificado designado bajo el CRA en toda la UE. No cuentes con que ningún organismo alemán esté designado hasta que aparezca en NANDO. En Alemania, DAkkS acredita a un organismo candidato y el BSI lo notifica después. El proyecto de Ley del BSI permite al BSI notificar a un organismo sin certificado de acreditación en casos de interés público definidos, precisamente para evitar el cuello de botella a escala de la UE que el propio Reglamento advierte. Un fabricante alemán puede recurrir a cualquier organismo notificado de la UE, no solo a uno alemán. Consulta la guía de evaluación de la conformidad.

¿Deben estar mi documentación técnica y mi declaración de conformidad en alemán?

La información al usuario, las instrucciones y los datos de contacto que se entreguen con el producto deben estar en un idioma que los usuarios y la autoridad de vigilancia del mercado comprendan fácilmente, que es el alemán para el mercado alemán. La declaración UE de conformidad debe estar en el idioma que exija Alemania, así que prepara una versión en alemán. La documentación técnica interna puede mantenerse normalmente en inglés, pero el BSI puede solicitarla en un idioma que comprenda fácilmente a petición motivada, y la documentación vinculada a un procedimiento de organismo notificado debe estar en un idioma oficial del Estado miembro donde tenga su sede ese organismo o en uno aceptable para él.

¿La BSI TR-03183 sustituye a las normas armonizadas?

No. La BSI TR-03183 es una orientación técnica provisional del BSI, no una norma armonizada, y por sí sola no otorga la presunción de conformidad que concedería una norma armonizada. Aun así, merece seguirse, porque está previsto que el BSI sea tu autoridad de vigilancia del mercado y la TR-03183 es su directriz técnica orientada al CRA, por lo que los compradores alemanes probablemente la citen. Trátala como un referente práctico mientras se siguen redactando las normas armonizadas. Consulta la guía BSI TR-03183.

¿Podría una autoridad diferente gestionar la vigilancia del CRA en lugar del BSI?

En la mayoría de los casos, no. Alemania centraliza la vigilancia del mercado del CRA en el BSI, y el proyecto de ley de aplicación rechaza deliberadamente repartirla entre autoridades sectoriales. La única excepción real proviene del propio CRA: si tu producto es un sistema de IA de alto riesgo en virtud de la Ley de IA, la autoridad de vigilancia del mercado designada bajo esa ley es la responsable de la vigilancia del CRA, en coordinación con el BSI. En otros sectores regulados, como el financiero bajo DORA, el BSI coopera con el supervisor sectorial en lugar de cederle la vigilancia. Consulta la guía sobre el Reglamento de Maquinaria para ver un ejemplo de un régimen que se aplica en paralelo con el CRA.

¿Qué debe estar en marcha antes del 11 de diciembre de 2027?

El CRA se aplica en su totalidad desde el 11 de diciembre de 2027, pero dos fechas anteriores importan más para la planificación. El marco de organismos notificados ya se aplica desde el 11 de junio de 2026, y las obligaciones de notificación se aplican desde el 11 de septiembre de 2026, cuando la plataforma ENISA entra en funcionamiento. La notificación de vulnerabilidades es infraestructura, no una tarea de última hora, así que construye ahora el flujo de notificación a CERT-Bund y tu rastro de evidencias. La guía del clúster de fabricante describe el conjunto completo de obligaciones desde el que trabajar hacia atrás.

Para fabricantes alemanes que se preparan para el 11 de diciembre de 2027

  1. Confirma tus obligaciones como fabricante con la guía del clúster de fabricante.
  2. Verifica que tu establecimiento principal está en Alemania y documenta la justificación. Lo que importa es dónde se toman las decisiones de ciberseguridad, no el domicilio social registrado.
  3. Diseña tu flujo de notificación del CRA con CERT-Bund como CSIRT receptor y prueba una presentación en la plataforma única de notificación de ENISA en cuanto entre en funcionamiento el 11 de septiembre de 2026.
  4. Si tu vía requiere un organismo notificado, sigue NANDO para las designaciones del CRA y estudia al menos una alternativa transfronteriza como medida de resiliencia.
  5. Prepara la información al usuario en alemán, una declaración de conformidad en alemán y documentación técnica que puedas entregar al BSI a petición motivada.
  6. Comprueba si tu producto es un sistema de IA de alto riesgo. Si es así, la autoridad de vigilancia del mercado de la Ley de IA, y no el BSI, gestiona la vigilancia del CRA.

Este artículo tiene fines informativos únicamente y no constituye asesoramiento jurídico. Consulta con un abogado especializado para obtener orientación específica sobre el cumplimiento del CRA.

CRA Alemania Gestión de vulnerabilidades
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
Ver la guía completa de cumplimiento del CRA