Obligaciones del importador CRA: qué verificar antes de colocar productos en el mercado de la UE
Una guía práctica de los requisitos de verificación del Artículo 19 para importadores de la UE. Incluye listas de verificación, flujos de trabajo y orientación para cuando los proveedores no cumplen.
En este artículo
- Resumen ejecutivo
- Lo que el CRA requiere de los importadores
- La lista de verificación de 6 puntos
- Cómo verificar el cumplimiento del fabricante de fuera de la UE
- Qué hacer cuando la verificación falla
- Cuando los importadores se convierten en fabricantes
- Documentación y retención
- Errores comunes
- Lista de verificación de preimportación
- Próximos pasos
- Guías relacionadas
Estás importando productos conectados a la UE. Bajo la Ley de Ciberresiliencia, enfrentas obligaciones de verificación personal antes de colocar cualquier cosa en el mercado. Si la documentación de tu proveedor está incompleta, no puedes vender legalmente el producto.
Esta guía cubre exactamente qué debes verificar y qué hacer cuando los proveedores no cumplen.
Resumen ejecutivo
- Los importadores deben verificar la finalización de la evaluación de conformidad del fabricante antes de la comercialización (Artículo 19)
- Verificaciones requeridas: marcado CE, Declaración de Conformidad UE, disponibilidad de documentación técnica, información de contacto
- Si la verificación falla, no puedes colocar el producto en el mercado, informa al fabricante y a las autoridades
- Los importadores que cambian la marca de productos o hacen modificaciones sustanciales se convierten en fabricantes (aplican obligaciones completas)
- Retención de documentación: mínimo 10 años
Importante: Los importadores deben verificar que el fabricante ha realizado una evaluación de conformidad ANTES de colocar el producto en el mercado de la UE. Eres corresponsable de los productos no conformes.
Consejo: Solicita la Declaración de Conformidad UE y verifícala contra una lista de verificación. Es tu obligación mínima de diligencia debida.
Lo que el CRA requiere de los importadores
La Ley de Ciberresiliencia (Reglamento 2024/2847) establece a los importadores como guardianes del mercado de la UE. Tu rol es verificar que los fabricantes de fuera de la UE han hecho su tarea de cumplimiento antes de que sus productos lleguen a los consumidores europeos.
Esto no es un ejercicio de sello de goma. El Artículo 19 crea responsabilidad personal para importadores que colocan productos no conformes en el mercado.
Importador vs distribuidor: diferencias clave
| Aspecto | Importador | Distribuidor |
|---|---|---|
| Posición en la cadena | Primera entrada al mercado UE | Después del importador |
| Profundidad de Verificación | Revisión completa de documentación | Marcado CE + verificaciones visuales |
| Documentación | Debe mantener copias | Debe verificar presencia |
| Penalizaciones | Hasta 10M EUR / 2% facturación | Hasta 10M EUR / 2% facturación |
Si eres la primera entidad que coloca un producto fabricado fuera de la UE en el mercado de la UE, eres un importador, independientemente de lo que digan tus contratos.
La lista de verificación de 6 puntos
Antes de colocar cualquier producto con elementos digitales en el mercado de la UE, verifica los seis puntos:
1. Evaluación de conformidad completada
El fabricante debe haber realizado la evaluación de conformidad apropiada:
- Módulo A (autoevaluación): Para productos de categoría "por defecto"
- Módulo B+C (examen de tipo UE): Para productos "Importante Clase II"
- Módulo H (aseguramiento de calidad total): Alternativa para productos Importantes/Críticos
Solicita evidencia: la Declaración de Conformidad UE (DoC) que referencia el módulo de evaluación usado.
2. Existe la declaración de conformidad UE
La DoC debe incluir:
- Nombre y dirección del fabricante
- Identificación del producto (modelo, tipo, rango de número de serie)
- Declaración de conformidad con los requisitos esenciales del CRA
- Referencia a estándares armonizados aplicados (si los hay)
- Detalles del organismo notificado (si evaluación de terceros)
- Firma, fecha y cargo del firmante
Señal de alerta: Una DoC que solo referencia "requisitos de ciberseguridad" genéricos sin específicos del CRA/Anexo I.
3. Marcado CE correctamente aplicado
Verifica:
- El marcado CE es visible, legible e indeleble
- Altura mínima de 5mm (o proporcional para productos pequeños)
- Ubicado en el producto o embalaje (si el tamaño del producto lo prohíbe)
- Sin otras marcas que puedan confundir el significado del CE
Señal de alerta: Marcado CE solo en caja de envío externa, no en embalaje minorista.
4. Documentación técnica disponible
No necesitas tener el expediente técnico completo, pero debes confirmar:
- La documentación técnica existe
- El fabricante la proporcionará a las autoridades bajo solicitud
- La documentación cubre los requisitos del Anexo VII del CRA
Solicita un resumen del expediente técnico o índice como evidencia.
5. Información de contacto del fabricante presente
Los productos deben mostrar:
- Nombre del fabricante
- Nombre comercial registrado o marca
- Dirección postal de contacto
- URL o email de punto único de contacto (para informes de vulnerabilidades)
Esta información debe estar en el producto mismo, o si es imposible, en el embalaje y/o documentación acompañante.
6. Instrucciones en idioma(s) del mercado objetivo
Las instrucciones de usuario y la información de seguridad deben estar disponibles en el/los idioma(s) oficial(es) del/los estado(s) miembro(s) donde venderás el producto.
Para distribución en toda la UE: como mínimo, proporciona inglés. Confirma idiomas adicionales para mercados específicos.
Cómo verificar el cumplimiento del fabricante de fuera de la UE
Muchos importadores reciben garantías confiadas de proveedores extranjeros. Las garantías no son evidencia.
La solicitud de documentación
Envía a los fabricantes esta solicitud antes de comprometerte a importar:
ASUNTO: Solicitud de documentación de Cumplimiento CRA
Estamos evaluando [Nombre/Modelo del Producto] para importación a la
Unión Europea.
Bajo el Reglamento UE 2024/2847 (Ley de Ciberresiliencia), los
importadores deben verificar el cumplimiento del fabricante antes de
la comercialización.
Por favor proporcione:
1. Declaración de Conformidad UE (firmada, fechada)
2. Índice o resumen del expediente técnico
3. Confirmación del módulo de evaluación de conformidad usado
4. Confirmación de ubicación del marcado CE (foto si es posible)
5. Declaración del período de soporte (mínimo 5 años requerido)
6. Política de gestión de vulnerabilidades / punto de contacto de seguridad
Sin esta Documentación, no podemos proceder con la importación.
Plazo solicitado: [X días laborables]
Evaluación de respuestas
| Respuesta | Acción |
|---|---|
| documentación completa proporcionada | Proceder con revisión de verificación |
| documentación parcial, promesas de completar | Retrasar importación hasta completar |
| "Tenemos marcado CE para otras regulaciones" | No satisface CRA, solicitar DoC específica del CRA |
| "Nuestros productos no necesitan cumplimiento CRA" | Solicitar análisis de alcance por escrito |
| Sin respuesta / rechazo | No importar |
Señales de alerta en respuestas del fabricante
Observa estas señales de advertencia:
- DoC genérica: Lenguaje de plantilla no específico al producto
- Fechas desactualizadas: DoC anterior a la aplicación del CRA (sugiere no cumplimiento del CRA)
- Falta organismo notificado: Para productos Importante Clase II, la evaluación de terceros es obligatoria
- Sin contacto de seguridad: Requerido para todos los productos con elementos digitales
- Cumplimiento "pendiente": El producto no puede colocarse en el mercado mientras el cumplimiento está pendiente
Qué hacer cuando la verificación falla
Si cualquier punto de verificación falla, tienes obligaciones legales:
Paso 1: detener
No coloques el producto en el mercado de la UE. La importación para almacenamiento/reexportación puede ser posible, pero la comercialización está prohibida.
Paso 2: documentar
Registra el hallazgo específico de incumplimiento:
- qué punto de verificación falló
- qué evidencia faltaba o era inadecuada
- Fecha de determinación
- comunicación con el fabricante
Paso 3: notificar al fabricante
Informa al fabricante por escrito:
- Brechas de cumplimiento específicas identificadas
- documentación requerida para resolver
- Plazo para respuesta
- Consecuencia: no se puede importar hasta que se resuelva
Paso 4: evaluar riesgo
Si el producto representa un riesgo de ciberseguridad (no solo brechas de documentación):
- Notificar a la autoridad de vigilancia del mercado en el estado miembro relevante
- Proporcionar toda la documentación disponible
- Cooperar con cualquier investigación
Paso 5: resolver o rechazar
Solo procede con la importación cuando:
- Todos los seis puntos de verificación están satisfechos
- documentación recibida y revisada
- Cualquier preocupación de riesgo abordada
Cuando los importadores se convierten en fabricantes
Bajo el Artículo 22, te conviertes en fabricante (con obligaciones completas) cuando:
Disparador 1: nombre o marca propia
Colocar un producto en el mercado bajo tu marca te convierte en el fabricante, independientemente de quién lo construyó realmente.
Ejemplos:
- Router de marca blanca vendido bajo el nombre de tu empresa
- Dispositivo OEM con tu logo
- Producto donde tu empresa aparece como "fabricante" en el embalaje
Disparador 2: modificación sustancial
Hacer cambios que afectan el propósito previsto o el cumplimiento del CRA.
| Modificación | ¿Sustancial? | Por qué |
|---|---|---|
| Instalación de firmware personalizado | Sí | Cambia postura de seguridad |
| Añadir funciones de gestión remota | Sí | Nueva superficie de ataque |
| Cambios de hardware que afectan seguridad | Sí | Altera perfil de riesgo |
| Solo localización de idioma | No | Cosmético, sin impacto de seguridad |
| Aplicación de parche de seguridad | No | Explícitamente exento |
| Cambios de embalaje | No | Sin modificación del producto |
Obligaciones del fabricante (si se activan)
Si te conviertes en fabricante, debes:
- Realizar evaluación de riesgos de ciberseguridad
- Preparar documentación técnica completa (Anexo VII)
- Realizar evaluación de conformidad (módulo apropiado)
- Emitir tu propia Declaración de Conformidad UE
- Aplicar marcado CE bajo tu responsabilidad
- Establecer proceso de gestión de vulnerabilidades
- Proporcionar actualizaciones de seguridad durante el período de soporte (mínimo 5 años)
- Notificar vulnerabilidades explotadas a ENISA dentro de 24 horas
Documentación y retención
Qué conservar
- Declaración de Conformidad UE (copia)
- Resumen del expediente técnico o confirmación de acceso
- Tus registros de verificación (lista de verificación, correspondencia)
- Evidencia de comunicación con el fabricante
- documentación de importación (aduanas, envío)
Cuánto tiempo
10 años desde la fecha en que la última unidad fue colocada en el mercado.
Si importas un lote en 2027 y vendes la unidad final en 2029, la retención termina en 2039.
Formato
El almacenamiento digital es aceptable. Asegura:
- Los archivos son accesibles y legibles
- Procedimientos de respaldo implementados
- Pueden producirse en tiempo razonable bajo solicitud de autoridad
Errores comunes
"El marcado CE significa que están conformes"
El marcado CE indica que el fabricante reclama cumplimiento. Tu trabajo es verificar la documentación subyacente. Un marcado CE sin documentación de respaldo es una señal de alerta.
"Nuestro proveedor ha sido confiable durante años"
La confiabilidad pasada con otras regulaciones no garantiza cumplimiento del CRA. El CRA es nuevo, y muchos fabricantes establecidos aún están implementando requisitos.
"Garantías verbales de nuestro contacto de ventas"
El cumplimiento regulatorio requiere documentación. La garantía de un representante de ventas no tiene peso legal. Obtenlo por escrito, o no importes.
"Verificaremos después de que llegue el envío"
La verificación debe ocurrir antes de la comercialización. Puedes importar bienes a un almacén, pero no puedes venderlos hasta que la verificación esté completa. La verificación tardía crea riesgo de inventario y flujo de caja.
"Solo somos el distribuidor"
Si eres la primera entidad que coloca bienes fabricados fuera de la UE en el mercado de la UE, eres un importador. No un distribuidor. Las obligaciones del distribuidor son más ligeras, pero solo aplican después de que un importador ya ha hecho su verificación.
Lista de verificación de preimportación
Usa esta lista de verificación antes de cada decisión de importación:
LISTA DE VERIFICACIÓN DEL IMPORTADOR CRA
Producto: _______________________________________
Fabricante: _____________________________________
Fecha: __________________________________________
Documentación RECIBIDA:
[ ] Declaración de Conformidad UE
[ ] Resumen/Índice del expediente técnico
[ ] Evidencia de evaluación de conformidad (módulo usado: _____)
[ ] Contacto de seguridad / Política de vulnerabilidades
[ ] Declaración del período de soporte
VERIFICACIÓN FÍSICA:
[ ] Marcado CE presente y correctamente formateado
[ ] Nombre y dirección del fabricante en producto/embalaje
[ ] Instrucciones de usuario en idioma(s) del mercado objetivo
[ ] Punto único de contacto para vulnerabilidades
EVALUACIÓN DE ROL:
[ ] El producto se venderá bajo la marca del fabricante (no la nuestra)
[ ] No hay modificaciones de firmware o hardware planificadas
[ ] Sin cambios al propósito previsto o características de seguridad
Decisión:
[ ] PROCEDER - Todos los puntos de verificación satisfechos
[ ] RETENER - Esperando documentación (especificar: ___________)
[ ] RECHAZAR - verificación fallida (documentar razones)
Verificado por: ___________________________________
Fecha: __________________________________________
Próximos pasos
La verificación es el primer paso. Una vez que los productos están en el mercado, los importadores deben:
- Monitorizar las comunicaciones del fabricante sobre vulnerabilidades
- Cooperar con cualquier retiro o acción correctiva
- Notificar a las autoridades si el fabricante cesa operaciones
- Mantener documentación durante el período de retención de 10 años
CRA Evidence ayuda a los importadores a gestionar el flujo de trabajo completo de verificación:
- Libreta de direcciones del fabricante: Rastrea el estado de cumplimiento del proveedor
- Listas de verificación: Flujo de trabajo estructurado del Artículo 19
- Almacenamiento de documentos: Evidencia de cumplimiento centralizada
- Alertas de vencimiento: Seguimiento de certificaciones y periodos de soporte
Comienza tu flujo de trabajo de verificación de importador en craevidence.com.
Guías relacionadas
- Clasificación de Productos CRA: ¿Es tu producto Default, Importante o Crítico?
- Lista de verificación del Distribuidor CRA: 5 Pasos de verificación para Cada Producto
- Cuando los Importadores se Convierten en Fabricantes bajo el CRA: Escalación de Roles
Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.
Artículos Relacionados
ECSMAF v3.0 explicado: cómo ENISA mapea el mercado europeo de ciberseguridad
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.