Cuando los importadores se convierten en fabricantes bajo el CRA: escalación de rol explicada

Una guía práctica sobre la escalación de rol del Artículo 22 del CRA. Conoce cuando el cambio de marca o la modificación de productos desencadena obligaciones completas de fabricante.

Equipo CRA Evidence Publicado 8 de febrero de 2026 Actualizado 15 de abril de 2026
Cuando los importadores se convierten en fabricantes bajo el CRA: escalación de rol explicada
En este artículo

Importas un router de Asia. Pones el logo de tu empresa en la caja. Felicidades: ahora eres un fabricante bajo el CRA, con obligaciones completas de evaluación de conformidad.

Este artículo cubre exactamente cuando los importadores cruzan la línea hacia territorio de fabricante, y qué significa eso para tu carga de cumplimiento.

Resumen Ejecutivo

  • Los importadores se convierten en fabricantes cuando: (1) colocan productos bajo su propio nombre/marca, o (2) realizan modificaciones sustanciales
  • "Modificación sustancial" = cambios que afectan la ciberseguridad o el propósito del producto
  • La escalación de rol desencadena las obligaciones completas de fabricante: Artículo 13 (todas las obligaciones del fabricante, incluida la evaluación de riesgos conforme al Anexo I Parte I), Artículo 14 (notificación de vulnerabilidades), Artículo 31 y Anexo VII (documentación técnica), Artículo 32 (evaluación de la conformidad), y Artículo 28 (Declaración UE de Conformidad)
  • Exención: Parches de seguridad que no cambian la función del producto
  • Planifica para esto: Mantener el estado de importador o prepararte para el cumplimiento de fabricante

Importante: Si modificas sustancialmente un producto (rebranding, cambiar firmware, integrar en un sistema mayor), puedes ser reclasificado como fabricante bajo el CRA con todas las obligaciones correspondientes.

Consejo: Documenta tu rol exacto en la cadena de suministro. La ambigüedad sobre si eres importador o fabricante crea riesgo de cumplimiento.

Árbol de decisión de escalada de roles CRA: cuándo el importador se convierte en fabricante

Los dos desencadenantes de escalación de rol

El Artículo 22 del CRA establece cuando un importador (o distribuidor) es tratado como fabricante:

Desencadenante 1: nombre o marca propios

Colocar un producto en el mercado bajo tu propia marca te convierte en el fabricante, independientemente de quién realmente lo diseñó y construyó.

Desencadenas esto cuando:

  • El nombre de tu empresa aparece como "fabricante" en el embalaje
  • Tu marca/logo está en el producto
  • Los materiales de marketing te presentan como la fuente del producto
  • Los clientes creerían razonablemente que tú hiciste el producto

Ejemplos:

Situación ¿Fabricante? Por qué
Importar router, vender bajo marca "AcmeTech" Marca propia
Importar cámara, añadir "Distribuido por AcmeTech" No Rol de distribuidor claro
Importar dispositivo, reemplazar toda la marca del fabricante por la tuya Nombre/marca propios
Importar dispositivo, añadir tu pegatina junto a la marca original Posiblemente Depende de la prominencia

Desencadenante 2: modificación sustancial

Realizar cambios que afectan el propósito previsto del producto o su cumplimiento con los requisitos del CRA.

La prueba: ¿Seguiría siendo válida la evaluación de conformidad original después de tus cambios?

Si tus modificaciones significan que el trabajo de cumplimiento del fabricante original ya no aplica, has realizado una modificación sustancial.

¿Qué cuenta como "modificación sustancial"?

El CRA no proporciona una lista exhaustiva. El principio es: cambios que afectan la postura de seguridad o el uso previsto.

Definitivamente sustancial

Modificación Por qué es sustancial
Instalación de firmware personalizado Cambia la arquitectura de seguridad
Añadir funciones de gestión remota Nueva superficie de ataque
Cambios de hardware que afectan seguridad Altera el perfil de riesgo
Integrar módulos de seguridad de terceros Cambia límites de confianza
Cambiar mecanismos de autenticación Función de seguridad central
Añadir conectividad de red a producto offline Cambio fundamental de propósito
Reemplazar implementaciones criptográficas Cambio crítico de seguridad

Definitivamente NO sustancial

Modificación Por qué no es sustancial
Aplicar parches de seguridad (sin cambio de función) Explícitamente exento por el CRA
Localización de idioma de documentación Solo cosmético
Cambios de embalaje (sin cambio de producto) No es modificación del producto
Añadir accesorios compatibles Producto original sin cambios
Cambios cosméticos (color, acabado) Sin impacto de seguridad
Almacenamiento/depósito Ninguna modificación

Zonas grises (evaluar cuidadosamente)

Modificación Consideraciones
Cambios de configuración ¿Afecta valores predeterminados de seguridad?
Software adicional preinstalado ¿Cambia la superficie de ataque?
Accesorios de hardware que se integran ¿Afectan funciones de seguridad?
Adaptaciones regionales ¿Cambian comportamiento relevante para seguridad?
Empaquetado de múltiples productos ¿Están claros los límites de seguridad?

Árbol de decisión: ¿sigo siendo importador? 

INICIO: Colocando producto en mercado UE
│
├─ ¿Bajo la marca del fabricante original?
│   │
│   ├─ SÍ → ¿Realizando alguna modificación?
│   │         │
│   │         ├─ NO → Eres IMPORTADOR
│   │         │       (Aplican obligaciones estándar de importador)
│   │         │
│   │         └─ SÍ → ¿La modificación afecta:
│   │                   • ¿Propósito o uso previsto?
│   │                   • ¿Cumplimiento de ciberseguridad?
│   │                   • ¿Arquitectura de seguridad?
│   │                   │
│   │                   ├─ SÍ a cualquiera → Eres FABRICANTE
│   │                   │                    (Obligaciones completas)
│   │                   │
│   │                   └─ NO a todas → Eres IMPORTADOR
│   │                                   (Documenta tu análisis)
│   │
│   └─ NO (tu marca) → Eres FABRICANTE
│                       (Obligaciones completas de fabricante)

Qué significa el estado de fabricante

Si desencadenas la escalación de rol, heredas el conjunto completo de obligaciones del CRA para fabricantes:

Antes de la Comercialización

Evaluación de Riesgos (Artículo 13, Anexo I Parte I):

  • Realizar evaluación de riesgos de ciberseguridad para tu producto modificado
  • Documentar amenazas, vulnerabilidades y mitigaciones
  • Vincular riesgos a controles de seguridad

Desarrollo Seguro:

  • Aunque no desarrollaste el original, debes asegurar que el producto (tal como fue modificado) cumple principios de diseño seguro
  • Documentar tu proceso de modificación y sus consideraciones de seguridad

Documentación Técnica (Artículo 31, Anexo VII):

  • Preparar expediente técnico completo incluyendo:
    • Descripción del producto
    • Resultados de evaluación de riesgos
    • Arquitectura de seguridad (tal como fue modificada)
    • SBOM (incluyendo tus modificaciones)
    • Evidencia de evaluación de conformidad

Evaluación de Conformidad (Artículo 32):

  • Determinar Clasificación del producto
  • Completar ruta de evaluación apropiada (Módulo A, B+C, o H)
  • Si el fabricante original usó evaluación de terceros, tus modificaciones probablemente la invalidan

Declaración UE de Conformidad (Artículo 28, Anexo V):

  • Emitir tu propia DoC
  • Tú eres el fabricante responsable
  • La DoC del fabricante original ya no aplica

Marcado CE:

  • Fijar marcado CE bajo tu responsabilidad
  • Tú estás declarando conformidad, no el fabricante original

Durante el periodo de soporte

Gestión de Vulnerabilidades (Artículo 13, Anexo I Parte II):

  • Establecer proceso de gestión de vulnerabilidades
  • Monitorizar vulnerabilidades (incluyendo en componentes no modificados)
  • Proporcionar actualizaciones de seguridad por mínimo 5 años

Notificación de Incidentes (Artículo 14):

  • Notificar vulnerabilidades activamente explotadas a ENISA (24h)
  • Notificar incidentes severos (24h)
  • Tú eres responsable, incluso por vulnerabilidades en componentes originales

Comunicación con Clientes:

  • Proporcionar notificaciones de actualización de seguridad
  • Mantener canales de soporte
  • Gestionar el fin de vida responsablemente

Obligaciones Continuas

Vigilancia Post-Mercado:

  • Monitorizar tu producto en el campo
  • Rastrear notificaciones de vulnerabilidades
  • Implementar lecciones aprendidas

Retención de Documentación:

  • Conservar expediente técnico 10 años después de la última unidad comercializada
  • Mantener pista de auditoría de modificaciones

Escenarios prácticos

Escenario 1: electrónica marca blanca

Situación: Importas tablets genéricas de Asia y las vendes bajo la marca "AcmeTab".

Análisis:

  • Marca propia: Sí → Desencadenante de fabricante
  • Modificaciones: Incluso si ninguna, la marca desencadena estado de fabricante

Resultado: Eres un fabricante. Aplican obligaciones completas.

Lo que necesitas:

  • evaluación de riesgos para la tablet
  • Expediente técnico (trabajar con proveedor para obtener documentación subyacente)
  • Tu propia evaluación de conformidad
  • Tu propia DoC y marcado CE
  • Proceso de gestión de vulnerabilidades
  • Compromiso de soporte de 5+ años

Escenario 2: equipo de red preconfigurado

Situación: Importas routers empresariales y los pre-configuras con reglas de firewall personalizadas y configuración VPN antes de vender a clientes.

Análisis:

  • Marca propia: Asumir no (vendido bajo marca original)
  • Modificaciones: Cambios de configuración
  • ¿Los cambios afectan seguridad? Reglas de firewall personalizadas = configuración relevante para seguridad

Resultado: Probablemente modificación sustancial. Probablemente eres fabricante.

Mejor enfoque: Trabajar con el fabricante original para ofrecer "perfiles de configuración" que ellos validen, manteniendo tu estado de importador.

Escenario 3: parches de seguridad aplicados

Situación: Importas dispositivos IoT. Antes de vender, aplicas los últimos parches de seguridad del fabricante.

Análisis:

  • Marca propia: No
  • Modificaciones: Solo parches de seguridad
  • El CRA explícitamente exime parches de seguridad que no cambian la función prevista

Resultado: Sigues siendo importador. Este es el escenario exento.

Documenta: Mantener registros mostrando que los parches fueron proporcionados por el fabricante y no cambiaron funcionalidad.

Escenario 4: personalización de firmware para clientes

Situación: Importas controladores industriales. Para clientes empresariales, instalas firmware personalizado con funciones adicionales.

Análisis:

  • Marca propia: Puede o no ser
  • Modificaciones: Firmware personalizado = modificación sustancial definitiva

Resultado: Eres fabricante para esas unidades personalizadas.

Opciones:

  • Mantener dos vías: estándar (importador) y personalizado (fabricante)
  • Trabajar con fabricante para tener firmware personalizado oficialmente soportado
  • Aceptar estado de fabricante y construir infraestructura de cumplimiento

Escenario 5: empaquetado de hardware

Situación: Importas cámaras de seguridad y las empaquetas con NVR (grabador de vídeo en red) de terceros como un "sistema completo."

Análisis:

  • Marca propia: Si vendido como "Sistema AcmeSecurity," sí
  • Modificaciones: El empaquetado crea un nuevo "producto" si se comercializa como integrado
  • Límites de seguridad: NVR + cámaras = perfil de seguridad diferente que solo cámaras

Resultado: Probablemente fabricante para el sistema empaquetado.

Alternativa: Vender como productos separados, claramente distintos, con marca original.

Estrategias para permanecer como importador

Si quieres evitar obligaciones de fabricante:

1. Mantener marca original

Mantener nombre y marca del fabricante visibles. Tu empresa puede identificarse como importador/distribuidor.

2. Sin modificaciones del producto

No tocar firmware, hardware, o configuración relevante para seguridad. Lo que importas es lo que vendes.

3. Documentar Todo

Mantener registros mostrando:

  • Producto sin modificar
  • Marca del fabricante original mantenida
  • Verificaste cumplimiento del fabricante

4. Trabajar con Fabricantes

Si necesitas personalización:

  • Hacer que el fabricante realice los cambios
  • Asegurar que tu DoC cubra la versión personalizada
  • Mantener tu estado de importador

Preparándose para el estado de fabricante

Si la escalación de rol es inevitable o estratégicamente deseada:

Infraestructura de Cumplimiento

Construir las capacidades que los fabricantes necesitan:

Capacidad Qué significa
Competencia de evaluación de riesgos Personas/proceso para evaluar riesgos de seguridad
documentación técnica Capacidad de crear y mantener expedientes técnicos
evaluación de conformidad Capacidad de Módulo A o relación con Organismo Notificado
Gestión de vulnerabilidades Recepción, triaje, remediación, comunicación
Distribución de actualizaciones Mecanismo para entregar parches de seguridad
Soporte al cliente Soporte enfocado en seguridad por 5+ años

Relaciones con Proveedores

Incluso como fabricante, dependes de proveedores originales:

  • Acceso a documentación técnica: Necesitas detalles subyacentes
  • Información de vulnerabilidades: Ellos pueden descubrir problemas primero
  • Soporte de componentes: Su soporte afecta tu capacidad de mantener producto
  • Obligaciones contractuales: Asegurar que te apoyarán por tu período de soporte

Consideraciones de Coste

El estado de fabricante aumenta costes:

Categoría de Coste Importador Fabricante
evaluación de conformidad Solo verificar Realizar (o pagar ON)
documentación Verificar existencia Crear y mantener
Gestión de vulnerabilidades Notificar upstream Ejecutar proceso completo
Actualizaciones Pasar Desarrollar y distribuir
Periodo de soporte Monitorizar Entregar
Exposición a responsabilidad Menor Mayor

Modela estos costes antes de decidir desencadenar estado de fabricante.

Errores Comunes

"Es solo una pegatina"

Incorrecto. Tu marca en el producto = estado de fabricante, independientemente de si hiciste algún otro cambio.

Una pegatina con tu logo te transforma de importador a fabricante.

"Estamos mejorando la seguridad, no cambiándola"

Arriesgado. Incluso "mejoras" pueden ser modificaciones sustanciales.

Si tu mejora cambia la arquitectura de seguridad, superficie de ataque, o mecanismos de autenticación, es sustancial.

"El fabricante dijo que podíamos"

No importa. Las obligaciones del CRA siguen de lo que haces, no de que permiso tienes.

La bendición del fabricante no transfiere su cumplimiento a ti. Si desencadenas escalación, necesitas tu propio cumplimiento.

"Simplemente mantendremos ambos roles"

Complicado pero posible. Puedes ser importador para productos sin modificar y fabricante para modificados.

Esto requiere separación clara: diferentes SKUs, diferente Documentación, diferentes vías de soporte.

"Nuestros clientes requieren modificaciones"

Entiende las implicaciones. Los requisitos del cliente no te eximen del CRA.

Si los clientes necesitan personalización, ya sea:

  • Hacer que el fabricante original lo haga
  • Aceptar estado de fabricante y cobrar acordemente
  • Rechazar la personalización

Lista de verificación de evaluación de rol 

LISTA DE verificación DE evaluación DE ROL

Producto: _______________________________________
Proveedor/Fabricante: ___________________________
Fecha: _________________________________________

ANÁLISIS DE MARCA:
[ ] ¿Producto vendido bajo marca del fabricante original?
[ ] ¿Nombre/logo de nuestra empresa NO presentado como fabricante?
[ ] ¿Cliente identificaría al fabricante original como fuente?

Si cualquiera NO → PROBABLE ESTADO DE FABRICANTE

ANÁLISIS DE MODIFICACIÓN:
[ ] ¿Sin cambios de firmware (más allá de parches del fabricante)?
[ ] ¿Sin modificaciones de hardware?
[ ] ¿Sin cambios de configuración relevantes para seguridad?
[ ] ¿Sin software adicional instalado?
[ ] ¿Sin cambios de conectividad?
[ ] ¿Sin cambios de autenticación/autorización?

Si cualquiera NO → Evaluar si modificación es "sustancial"

PRUEBA DE MODIFICACIÓN SUSTANCIAL:
Para cada modificación:
- ¿Afecta propósito previsto? [ ] Sí [ ] No
- ¿Afecta cumplimiento de ciberseguridad? [ ] Sí [ ] No
- ¿Seguiría siendo válida la evaluación de conformidad original? [ ] Sí [ ] No

Si cualquier "Sí" a las primeras dos o "No" a la tercera → SUSTANCIAL

RESULTADO:
[ ] IMPORTADOR - Sin desencadenantes identificados
[ ] FABRICANTE - Desencadenante(s) identificado(s):
    [ ] Nombre/marca propios
    [ ] Modificación sustancial: _________________

SI ESTADO DE FABRICANTE:
[ ] Proceso de evaluación de riesgos establecido
[ ] Preparación de expediente técnico planificada
[ ] Ruta de evaluación de conformidad seleccionada
[ ] Capacidad de gestión de vulnerabilidades
[ ] Compromiso de período de soporte (mínimo 5 años)
[ ] Acuerdos con proveedores establecidos

Evaluado por: ___________________________________
Fecha: _________________________________________

Preguntas frecuentes

¿El cambio de marca por sí solo desencadena el estado de fabricante incluso sin modificaciones?

Sí. Colocar un producto en el mercado de la UE bajo tu propio nombre o marca te convierte en fabricante con arreglo al Artículo 22 del CRA, independientemente de que cambies cualquier otra cosa. Una pegatina con tu logo basta para desplazar el rol jurídico. Este es el Desencadenante 1 de la escalación de rol y se aplica aun cuando el hardware y el firmware sean idénticos a los que salieron de la fábrica original.

¿Son los parches de seguridad alguna vez modificaciones sustanciales?

No cuando preservan la función prevista del producto. El CRA exime explícitamente las actualizaciones de seguridad que corrigen vulnerabilidades sin alterar el propósito, el comportamiento o la arquitectura. Sin embargo, si un «parche» también añade funciones, cambia la autenticación o amplía la superficie de ataque, sale de la exención y cuenta como modificación sustancial. Documenta que los parches proceden del fabricante original y no cambiaron la funcionalidad, de modo que la exención sea defendible en una auditoría.

¿Podemos ostentar los roles de importador y fabricante al mismo tiempo?

Sí, pero solo con una separación clara a nivel de producto. Puedes seguir siendo el importador para SKUs sin modificar mientras actúas como fabricante para SKUs modificados o con marca propia. Esto exige identificadores de producto distintos, expedientes técnicos separados, Declaraciones UE de Conformidad separadas, responsabilidad separada del marcado CE y vías de soporte separadas. Mezclar ambos en un mismo SKU colapsa por defecto en estado de fabricante, porque el regulador tratará la clasificación más estricta como la que prevalece.

¿Qué ocurre con el marcado CE del fabricante original cuando desencadenamos la escalación de rol?

Deja de cubrir tu producto. Conforme al Artículo 22, una vez que se te considera fabricante, debes emitir tu propia Declaración UE de Conformidad (Artículo 28) y fijar el marcado CE bajo tu propia responsabilidad. La DoC y el marcado CE del fabricante original se aplicaban al producto tal como ellos lo comercializaron; tu modificación o cambio de marca crea un nuevo acto de introducción en el mercado del que tú eres responsable.

¿Se reinicia el periodo de soporte de 5 años cuando asumimos el rol de fabricante?

Sí. El periodo mínimo de soporte previsto en el Artículo 13(8) corre desde la fecha en que comercializas el producto modificado en el mercado de la UE, no desde que el fabricante original lo lanzó por primera vez. Si cambias la marca o modificas un producto existente en 2027 y lo comercializas en la UE, debes al menos cinco años de actualizaciones de seguridad desde 2027, aunque el diseño subyacente sea más antiguo. Tenlo en cuenta en la política de precios y en los contratos con proveedores: necesitas que el proveedor aguas arriba se comprometa a darte soporte durante al menos tu propio periodo de soporte.

¿Necesitamos un Organismo Notificado si el fabricante original utilizó uno?

Normalmente sí, si el producto está en la clase Importante o Crítica y lo has modificado sustancialmente. El certificado del Organismo Notificado estaba vinculado al producto tal como fue diseñado y evaluado originalmente. La modificación sustancial invalida esa evaluación, así que debes rehacer la evaluación de la conformidad por la vía del Módulo A (autoevaluación, solo para productos de clase por defecto) o bien recurrir tú mismo a un Organismo Notificado para el Módulo B+C o el Módulo H. El cambio de marca sin modificación de un producto de clase I/II también activa tu propia evaluación, porque pasas a ser el fabricante legal.

Cómo ayuda CRA Evidence

CRA Evidence apoya tanto a importadores como fabricantes:

Para Importadores:

  • Flujos de trabajo de verificación de fabricantes
  • Seguimiento de cumplimiento de proveedores
  • Almacenamiento de documentación para obligaciones de importador

Para Fabricantes (incluyendo post-escalación):

  • Plantillas de evaluación de riesgos
  • Gestión de expediente técnico
  • Gestión de SBOM para productos modificados
  • Flujo de trabajo de gestión de vulnerabilidades
  • Seguimiento de período de soporte

Entiende tu rol con craevidence.com.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.

CRA Fabricantes Importadores Aplicación
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días