Cuando los Importadores se Convierten en Fabricantes Bajo el CRA: Escalacion de Rol Explicada
Una Guía práctica sobre la escalacion de rol del Articulo 22 del CRA. Conoce cuando el cambio de marca o la modificacion de productos desencadena obligaciones completas de fabricante.
In this article
- Resumen Ejecutivo
- Los Dos Desencadenantes de Escalacion de Rol
- ¿Qué Cuenta Cómo "Modificacion Sustancial"?
- Arbol de Decisión: ¿Sigo Siendo Importador?
- Qué Significa el Estado de Fabricante
- Escenarios Practicos
- Estrategias para Permanecer Cómo Importador
- Preparandose para el Estado de Fabricante
- Errores Comunes
- Lista de Verificación de Evaluación de Rol
- Cómo Ayuda CRA Evidence
- Guias Relacionadas
Importas un router de Asia. Pones el logo de tu empresa en la caja. Felicidades: ahora eres un fabricante bajo el CRA, con obligaciones completas de Evaluación de conformidad.
Este articulo cubre exactamente cuando los importadores cruzan la linea hacia territorio de fabricante, y Qué significa eso para tu carga de cumplimiento.
Resumen Ejecutivo
- Los importadores se convierten en fabricantes cuando: (1) colocan productos bajo su propio nombre/marca, o (2) realizan modificaciones sustanciales
- "Modificacion sustancial" = cambios Qué afectan la ciberseguridad o el proposito del producto
- La escalacion de rol desencadena obligaciones completas de los Articulos 13 y 14 (Evaluación de riesgos, expediente tecnico, Evaluación de conformidad, gestion de vulnerabilidades)
- Exencion: Parches de seguridad Qué no cambian la función del producto
- Planifica para esto: Mantener el estado de importador o prepararte para el cumplimiento de fabricante
Importante: Si modificas sustancialmente un producto (rebranding, cambiar firmware, integrar en un sistema mayor), puedes ser reclasificado como fabricante bajo el CRA con todas las obligaciones correspondientes.
Consejo: Documenta tu rol exacto en la cadena de suministro. La ambiguedad sobre si eres importador o fabricante crea riesgo de cumplimiento.
Los Dos Desencadenantes de Escalacion de Rol
El Articulo 22 del CRA establece cuando un importador (o distribuidor) es tratado Cómo fabricante:
Desencadenante 1: Nombre o Marca Propios
Colocar un producto en el mercado bajo tu propia marca te convierte en el fabricante, independientemente de Quién realmente lo diseno y construyo.
Desencadenas esto cuando:
- El nombre de tu empresa aparece Cómo "fabricante" en el embalaje
- Tu marca/logo esta en el producto
- Los materiales de marketing te presentan Cómo la fuente del producto
- Los clientes creerian razonablemente Qué tu hiciste el producto
Ejemplos:
| Situacion | ¿Fabricante? | Por Qué |
|---|---|---|
| Importar router, vender bajo marca "AcmeTech" | Si | Marca propia |
| Importar camara, anadir "Distribuido por AcmeTech" | No | Rol de distribuidor claro |
| Importar dispositivo, reemplazar toda la marca del fabricante por la tuya | Si | Nombre/marca propios |
| Importar dispositivo, anadir tu pegatina junto a la marca original | Posiblemente | Depende de la prominencia |
Desencadenante 2: Modificacion Sustancial
Realizar cambios Qué afectan el proposito previsto del producto o su cumplimiento con los requisitos del CRA.
La prueba: ¿Seguiria siendo valida la Evaluación de conformidad original despues de tus cambios?
Si tus modificaciones significan Qué el trabajo de cumplimiento del fabricante original ya no aplica, has realizado una modificacion sustancial.
¿Qué Cuenta Cómo "Modificacion Sustancial"?
El CRA no proporciona una lista exhaustiva. El principio es: cambios Qué afectan la postura de seguridad o el uso previsto.
Definitivamente Sustancial
| Modificacion | Por Qué Es Sustancial |
|---|---|
| Instalacion de firmware personalizado | Cambia la arquitectura de seguridad |
| Agregar funciones de gestion remota | Nueva superficie de ataque |
| Cambios de hardware Qué afectan seguridad | Altera el perfil de riesgo |
| Integrar modulos de seguridad de terceros | Cambia limites de confianza |
| Cambiar mecanismos de autenticacion | función de seguridad central |
| Agregar conectividad de red a producto offline | Cambio fundamental de proposito |
| Reemplazar implementaciones criptograficas | Cambio critico de seguridad |
Definitivamente NO Sustancial
| Modificacion | Por Qué No Es Sustancial |
|---|---|
| Aplicar parches de seguridad (sin cambio de función) | Explicitamente exento por el CRA |
| Localizacion de idioma de Documentación | Solo cosmetico |
| Cambios de embalaje (sin cambio de producto) | No es modificacion del producto |
| Agregar accesorios compatibles | Producto original sin cambios |
| Cambios cosmeticos (color, acabado) | Sin impacto de seguridad |
| Almacenamiento/deposito | Ninguna modificacion |
Zonas Grises (Evaluar Cuidadosamente)
| Modificacion | Consideraciones |
|---|---|
| Cambios de Configuración | ¿Afecta valores predeterminados de seguridad? |
| Software adicional preinstalado | ¿Cambia la superficie de ataque? |
| Accesorios de hardware Qué se integran | ¿Afectan funciones de seguridad? |
| Adaptaciones regionales | ¿Cambian comportamiento relevante para seguridad? |
| Empaquetado de multiples productos | ¿Estan claros los limites de seguridad? |
Arbol de Decisión: ¿Sigo Siendo Importador?
INICIO: Colocando producto en mercado UE
│
├─ ¿Bajo la marca del fabricante original?
│ │
│ ├─ SI → ¿Realizando alguna modificacion?
│ │ │
│ │ ├─ NO → Eres IMPORTADOR
│ │ │ (Aplican obligaciones estandar de importador)
│ │ │
│ │ └─ SI → ¿La modificacion afecta:
│ │ • ¿Proposito o uso previsto?
│ │ • ¿Cumplimiento de ciberseguridad?
│ │ • ¿Arquitectura de seguridad?
│ │ │
│ │ ├─ SI a cualquiera → Eres FABRICANTE
│ │ │ (Obligaciones completas)
│ │ │
│ │ └─ NO a todas → Eres IMPORTADOR
│ │ (Documenta tu analisis)
│ │
│ └─ NO (tu marca) → Eres FABRICANTE
│ (Obligaciones completas de fabricante)
Qué Significa el Estado de Fabricante
Si desencadenas la escalacion de rol, heredas el conjunto completo de obligaciones del CRA para fabricantes:
Antes de la Comercializacion
Evaluación de Riesgos (Articulo 13):
- Realizar Evaluación de riesgos de ciberseguridad para tu producto modificado
- Documentar amenazas, vulnerabilidades y mitigaciones
- Vincular riesgos a controles de seguridad
Desarrollo Seguro:
- Aunque no desarrollaste el original, debes asegurar Qué el producto (tal Cómo fue modificado) cumple principios de diseno seguro
- Documentar tu proceso de modificacion y sus consideraciones de seguridad
Documentación Tecnica (Anexo VII):
- Preparar expediente tecnico completo incluyendo:
- Descripcion del producto
- Resultados de Evaluación de riesgos
- Arquitectura de seguridad (tal Cómo fue modificada)
- SBOM (incluyendo tus modificaciones)
- Evidencia de Evaluación de conformidad
Evaluación de Conformidad:
- Determinar Clasificación del producto
- Completar ruta de Evaluación apropiada (Modulo A, B+C, o H)
- Si el fabricante original uso Evaluación de terceros, tus modificaciones probablemente la invalidan
Declaración de Conformidad UE:
- Emitir tu propia DoC
- Tu eres el fabricante responsable
- La DoC del fabricante original ya no aplica
Marcado CE:
- Fijar marcado CE bajo tu responsabilidad
- Tu estas declarando conformidad, no el fabricante original
Durante el Periodo de Soporte
Gestion de Vulnerabilidades:
- Establecer proceso de manejo de vulnerabilidades
- Monitorear vulnerabilidades (incluyendo en componentes no modificados)
- Proporcionar actualizaciones de seguridad por mínimo 5 años
Reporte de Incidentes:
- Reportar vulnerabilidades activamente explotadas a ENISA (24h)
- Reportar incidentes severos (24h)
- Tu eres responsable, incluso por vulnerabilidades en componentes originales
Comunicacion con Clientes:
- Proporcionar notificaciones de actualizacion de seguridad
- Mantener canales de soporte
- Manejar fin de vida responsablemente
Obligaciones Continuas
Vigilancia Post-Mercado:
- Monitorear tu producto en el campo
- Rastrear reportes de vulnerabilidades
- Implementar lecciones aprendidas
Retencion de Documentación:
- Conservar expediente tecnico 10 años despues de la ultima unidad comercializada
- Mantener pista de auditoria de modificaciones
Escenarios Practicos
Escenario 1: Electronica Marca Blanca
Situacion: Importas tablets genericas de Asia y las vendes bajo la marca "AcmeTab".
Analisis:
- Marca propia: Si → Desencadenante de fabricante
- Modificaciones: Incluso si ninguna, la marca desencadena estado de fabricante
Resultado: Eres un fabricante. Aplican obligaciones completas.
Lo Qué necesitas:
- Evaluación de riesgos para la tablet
- Expediente tecnico (trabajar con proveedor para obtener Documentación subyacente)
- Tu propia Evaluación de conformidad
- Tu propia DoC y marcado CE
- Proceso de gestion de vulnerabilidades
- Compromiso de soporte de 5+ años
Escenario 2: Equipo de Red Pre-Configurado
Situacion: Importas routers empresariales y los pre-configuras con reglas de firewall personalizadas y Configuración VPN antes de vender a clientes.
Analisis:
- Marca propia: Asumir no (vendido bajo marca original)
- Modificaciones: Cambios de Configuración
- ¿Los cambios afectan seguridad? Reglas de firewall personalizadas = Configuración relevante para seguridad
Resultado: Probablemente modificacion sustancial. Probablemente eres fabricante.
Mejor enfoque: Trabajar con el fabricante original para ofrecer "perfiles de Configuración" Qué ellos validen, manteniendo tu estado de importador.
Escenario 3: Parches de Seguridad Aplicados
Situacion: Importas dispositivos IoT. Antes de vender, aplicas los ultimos parches de seguridad del fabricante.
Analisis:
- Marca propia: No
- Modificaciones: Solo parches de seguridad
- El CRA explicitamente exime parches de seguridad Qué no cambian la función prevista
Resultado: Sigues siendo importador. Este es el escenario exento.
Documenta: Mantener registros mostrando Qué los parches fueron proporcionados por el fabricante y no cambiaron funcionalidad.
Escenario 4: Personalizacion de Firmware para Clientes
Situacion: Importas controladores industriales. Para clientes empresariales, instalas firmware personalizado con funciones adicionales.
Analisis:
- Marca propia: Puede o no ser
- Modificaciones: Firmware personalizado = modificacion sustancial definitiva
Resultado: Eres fabricante para esas unidades personalizadas.
Opciones:
- Mantener dos vias: estandar (importador) y personalizado (fabricante)
- Trabajar con fabricante para tener firmware personalizado oficialmente soportado
- Aceptar estado de fabricante y construir infraestructura de cumplimiento
Escenario 5: Empaquetado de Hardware
Situacion: Importas camaras de seguridad y las empaquetas con NVR (grabador de video en red) de terceros Cómo un "sistema completo."
Analisis:
- Marca propia: Si vendido Cómo "Sistema AcmeSecurity," si
- Modificaciones: El empaquetado crea un nuevo "producto" si se comercializa Cómo integrado
- Limites de seguridad: NVR + camaras = perfil de seguridad diferente Qué solo camaras
Resultado: Probablemente fabricante para el sistema empaquetado.
Alternativa: Vender Cómo productos separados, claramente distintos, con marca original.
Estrategias para Permanecer Cómo Importador
Si quieres evitar obligaciones de fabricante:
1. Mantener Marca Original
Mantener nombre y marca del fabricante visibles. Tu empresa puede identificarse Cómo importador/distribuidor.
2. Sin Modificaciones del Producto
No tocar firmware, hardware, o Configuración relevante para seguridad. Lo Qué importas es lo Qué vendes.
3. Documentar Todo
Mantener registros mostrando:
- Producto sin modificar
- Marca del fabricante original mantenida
- Verificaste cumplimiento del fabricante
4. Trabajar con Fabricantes
Si necesitas personalizacion:
- Hacer Qué el fabricante realice los cambios
- Asegurar Qué su DoC cubra la version personalizada
- Mantener tu estado de importador
Preparandose para el Estado de Fabricante
Si la escalacion de rol es inevitable o estrategicamente deseada:
Infraestructura de Cumplimiento
Construir las capacidades Qué los fabricantes necesitan:
| Capacidad | Qué Significa |
|---|---|
| Competencia de Evaluación de riesgos | Personas/proceso para evaluar riesgos de seguridad |
| Documentación tecnica | Capacidad de crear y mantener expedientes tecnicos |
| Evaluación de conformidad | Capacidad de Modulo A o relacion con Organismo Notificado |
| Gestion de vulnerabilidades | Recepcion, triaje, remediacion, comunicacion |
| Distribucion de actualizaciones | Mecanismo para entregar parches de seguridad |
| Soporte al cliente | Soporte enfocado en seguridad por 5+ años |
Relaciones con Proveedores
Incluso Cómo fabricante, dependes de proveedores originales:
- Acceso a Documentación tecnica: Necesitas detalles subyacentes
- Informacion de vulnerabilidades: Ellos pueden descubrir problemas primero
- Soporte de componentes: Su soporte afecta tu capacidad de mantener producto
- Obligaciones contractuales: Asegurar Qué te apoyaran por tu periodo de soporte
Consideraciones de Coste
El estado de fabricante aumenta costes:
| Categoria de Coste | Importador | Fabricante |
|---|---|---|
| Evaluación de conformidad | Solo verificar | Realizar (o pagar ON) |
| Documentación | Verificar existencia | Crear y mantener |
| Gestion de vulnerabilidades | Notificar upstream | Ejecutar proceso completo |
| Actualizaciones | Pasar | Desarrollar y distribuir |
| Periodo de soporte | Monitorear | Entregar |
| Exposicion a responsabilidad | Menor | Mayor |
Modela estos costes antes de decidir desencadenar estado de fabricante.
Errores Comunes
"Es solo una pegatina"
Incorrecto. Tu marca en el producto = estado de fabricante, independientemente de si hiciste algun otro cambio.
Una pegatina con tu logo te transforma de importador a fabricante.
"Estamos mejorando la seguridad, no cambiandola"
Arriesgado. Incluso "mejoras" pueden ser modificaciones sustanciales.
Si tu mejora cambia la arquitectura de seguridad, superficie de ataque, o mecanismos de autenticacion, es sustancial.
"El fabricante dijo Qué podiamos"
No importa. Las obligaciones del CRA siguen de lo Qué haces, no de Qué permiso tienes.
La bendicion del fabricante no transfiere su cumplimiento a ti. Si desencadenas escalacion, necesitas tu propio cumplimiento.
"Simplemente mantendremos ambos roles"
Complicado pero posible. Puedes ser importador para productos sin modificar y fabricante para modificados.
Esto requiere separacion clara: diferentes SKUs, diferente Documentación, diferentes vias de soporte.
"Nuestros clientes requieren modificaciones"
Entiende las implicaciones. Los requisitos del cliente no te eximen del CRA.
Si los clientes necesitan personalizacion, ya sea:
- Hacer Qué el fabricante original lo haga
- Aceptar estado de fabricante y cobrar acordemente
- Rechazar la personalizacion
Lista de Verificación de Evaluación de Rol
LISTA DE Verificación DE Evaluación DE ROL
Producto: _______________________________________
Proveedor/Fabricante: ___________________________
Fecha: _________________________________________
ANALISIS DE MARCA:
[ ] ¿Producto vendido bajo marca del fabricante original?
[ ] ¿Nombre/logo de nuestra empresa NO presentado Cómo fabricante?
[ ] ¿Cliente identificaria al fabricante original Cómo fuente?
Si cualquiera NO → PROBABLE ESTADO DE FABRICANTE
ANALISIS DE MODIFICACION:
[ ] ¿Sin cambios de firmware (mas alla de parches del fabricante)?
[ ] ¿Sin modificaciones de hardware?
[ ] ¿Sin cambios de Configuración relevantes para seguridad?
[ ] ¿Sin software adicional instalado?
[ ] ¿Sin cambios de conectividad?
[ ] ¿Sin cambios de autenticacion/autorizacion?
Si cualquiera NO → Evaluar si modificacion es "sustancial"
PRUEBA DE MODIFICACION SUSTANCIAL:
Para cada modificacion:
- ¿Afecta proposito previsto? [ ] Si [ ] No
- ¿Afecta cumplimiento de ciberseguridad? [ ] Si [ ] No
- ¿Seguiria siendo valida la Evaluación de conformidad original? [ ] Si [ ] No
Si cualquier "Si" a las primeras dos o "No" a la tercera → SUSTANCIAL
RESULTADO:
[ ] IMPORTADOR - Sin desencadenantes identificados
[ ] FABRICANTE - Desencadenante(s) identificado(s):
[ ] Nombre/marca propios
[ ] Modificacion sustancial: _________________
SI ESTADO DE FABRICANTE:
[ ] Proceso de Evaluación de riesgos establecido
[ ] Preparacion de expediente tecnico planificada
[ ] Ruta de Evaluación de conformidad seleccionada
[ ] Capacidad de gestion de vulnerabilidades
[ ] Compromiso de periodo de soporte (mínimo 5 años)
[ ] Acuerdos con proveedores establecidos
Evaluado por: ___________________________________
Fecha: _________________________________________
Cómo Ayuda CRA Evidence
CRA Evidence apoya tanto a importadores Cómo fabricantes:
Para Importadores:
- Flujos de trabajo de Verificación de fabricantes
- Seguimiento de cumplimiento de proveedores
- Almacenamiento de Documentación para obligaciones de importador
Para Fabricantes (incluyendo post-escalacion):
- Plantillas de Evaluación de riesgos
- Gestion de expediente tecnico
- Manejo de SBOM para productos modificados
- Flujo de trabajo de gestion de vulnerabilidades
- Seguimiento de periodo de soporte
Entiende tu rol con app.craevidence.com.
Guias Relacionadas
- Obligaciones del Importador CRA: Que Verificar Antes de Colocar Productos en el Mercado UE
- Productos White-Label y OEM bajo el CRA: Quien es el Fabricante?
- Cumplimiento CRA Multi-Rol: Cuando eres Fabricante, Importador y Distribuidor
Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.
Temas tratados en este artículo
Artículos Relacionados
¿Son las Cámaras Inteligentes Productos Importantes bajo...
Las cámaras de seguridad inteligentes están clasificadas como Productos...
11 minCybersecurity Act 2 de la UE: Prohibiciones en la Cadena...
La UE propuso sustituir el Cybersecurity Act por completo. Qué cambió, qué...
11 minClasificación de Productos CRA: ¿Tu Producto es Por...
Una Guía práctica para determinar la categoria CRA de tu producto. Incluye...
12 minDoes the CRA apply to your product?
Responde 6 preguntas sencillas para saber si tu producto entra en el ámbito de la Ley de Resiliencia Cibernética de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Comienza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.