CRA para fabricantes holandeses: NCSC, RDI y Rotterdam

Ficha país para fabricantes holandeses: notificación NCSC, vigilancia del mercado RDI prevista, acreditación RvA, regla lingüística Warenwet y Rotterdam.

Equipo CRA Evidence Publicado 5 de enero de 2026 Actualizado 11 de junio de 2026
Resumen país CRA para fabricantes holandeses con la cadena institucional nacional: NCSC como CSIRT nacional fusionado, RDI como autoridad de notificación y de vigilancia de mercado, acreditación RvA y el ángulo importador de Rotterdam
En este artículo

Los fabricantes holandeses tienen las mismas obligaciones CRA que el resto de fabricantes de la UE, más un elemento particular que pocos otros Estados miembros afrontan a la misma escala: una parte importante del tráfico de productos del país son mercancías no comunitarias que entran por Rotterdam, son rebautizadas por una entidad neerlandesa y distribuidas al resto de la UE. Eso coloca a una entidad holandesa en el rol de fabricante con más frecuencia de la que sugiere la sede registrada. Esta guía cubre cómo se encaminan las notificaciones a través del NCSC fusionado, dónde encaja RDI como autoridad de notificación y de vigilancia de mercado, qué papel desempeña RvA en la acreditación, qué requieren las obligaciones en lengua neerlandesa, cómo el puente de cambio de marca de Rotterdam mueve la línea del fabricante y qué programas de financiación de 2026 son realistas. Para el conjunto completo de obligaciones, consulta la guía clúster del fabricante y la guía clúster del importador.

Resumen

  • La Ley de Ciberresiliencia es un Reglamento de la UE con efecto directo. Las obligaciones sustantivas se aplican a partir del 11 de diciembre de 2027, y el contador de notificación de vulnerabilidades arranca el 11 de septiembre de 2026.
  • NCSC (Nationaal Cyber Security Centrum) es la vía holandesa para notificaciones de vulnerabilidades e incidentes bajo la Ley de Ciberresiliencia. CSIRT-DSP ya se había integrado en el NCSC, y el Digital Trust Center se incorporó al NCSC reforzado el 1 de enero de 2026. Las notificaciones se envían a través de la plataforma única de notificación de ENISA y de mijn.NCSC.nl desde el 11 de septiembre de 2026.
  • RDI (Rijksinspectie Digitale Infrastructuur, anteriormente Agentschap Telecom, dependiente del Ministerie van Economische Zaken en Klimaat) es la autoridad de notificación del CRA prevista y la autoridad nacional de vigilancia del mercado prevista bajo la ley de transposición todavía pendiente. RvA (Raad voor Accreditatie) acredita a los organismos candidatos a organismos notificados según ISO/IEC 17065:2012.
  • La Uitvoeringswet verordening cyberweerbaarheid (proyecto de ley 36875) es el instrumento de transposición holandés del CRA. Verifica el estado parlamentario actual y el texto final del Staatsblad antes de cualquier presentación formal.
  • Rotterdam es la principal puerta de entrada de importaciones no comunitarias de la UE. Una entidad holandesa que importa y cambia de marca opera bajo el régimen del fabricante a través del puente de cambio de marca del CRA, no bajo el régimen más ligero del importador.
  • El neerlandés (Nederlands) es obligatorio para la información del producto dirigida al usuario en el mercado holandés, conforme a la Warenwet.
  • Financiación nacional para 2026: WBSO (crédito fiscal de I+D, presupuesto de EUR 1.817 millones), MIT (innovación regional para PYMES), Innovation Box, CIF-NL (Cybersecurity Innovation Fund). El RRF neerlandés (Herstel- en Veerkrachtplan) está en su ventana de cierre del NextGenerationEU y no es viable para las obligaciones del 11 de diciembre de 2027.

Cuándo se te aplica esta guía

Eres el lector al que va dirigida esta guía si tu «establecimiento principal en la Unión» como fabricante está en los Países Bajos: el lugar donde se toman mayoritariamente las decisiones relativas a la ciberseguridad de tus productos con elementos digitales. Una entidad de ventas o holding registrada en los Países Bajos con ingeniería en el exterior no es el establecimiento principal. Si tu equipo de ingeniería, tu gestión del SDLC y las personas que aprueban las actualizaciones de seguridad están en los Países Bajos, esta guía es para ti.

Si tu establecimiento principal está en otro lugar de la UE y solo envías productos a los Países Bajos, tus notificaciones CRA van al CSIRT del Estado miembro de tu establecimiento principal, no al NCSC neerlandés. La obligación de lengua neerlandesa para la información dirigida al usuario sigue siendo aplicable a cualquier producto colocado en el mercado holandés.

Esta guía también se dirige a un segundo tipo de lector: una entidad holandesa que importa un producto no comunitario a través de Rotterdam y lo redistribuye bajo su propia marca o lo modifica sustancialmente antes de su primera comercialización. Esa entidad entra en el régimen del fabricante a través del puente de cambio de marca del CRA, no bajo el régimen más ligero del importador. Consulta la sección dedicada más abajo.

NCSC: la vía CSIRT holandesa

Las notificaciones CRA se encaminan a través del CSIRT designado como coordinador del Estado miembro donde el fabricante tenga su establecimiento principal en la Unión. Para un fabricante cuyo establecimiento principal esté en los Países Bajos, ese CSIRT es el NCSC.

Hay un cambio respecto a la generación anterior de orientaciones holandesas sobre ciberseguridad que conviene conocer. CSIRT-DSP ya se había integrado en el NCSC, y el 1 de enero de 2026 el Digital Trust Center se incorporó al NCSC reforzado. Ahora existe un único CSIRT nacional para fabricantes de productos, entidades esenciales, proveedores de servicios digitales y el segmento de PYMES al que antes atendía el DTC. Las orientaciones antiguas que mencionan un modelo de dos CSIRT (NCSC-NL más CSIRT-DSP) describen la estructura anterior a la fusión.

El canal técnico para el ciclo de notificación de 24 h / 72 h / 14 días es la plataforma única de notificación de ENISA, que entra en funcionamiento el 11 de septiembre de 2026, junto con el portal nacional holandés mijn.NCSC.nl. Un fabricante holandés envía a través de la plataforma de ENISA con el NCSC como coordinador receptor. La designación como CSIRT determina el enrutamiento. La plataforma es el canal de envío.

Organismos notificados: RDI notifica, RvA acredita

Los productos Importantes de Clase I necesitan un organismo notificado (Módulo B+C o Módulo H) únicamente cuando las normas armonizadas, las especificaciones comunes o un esquema de certificación no los cubren íntegramente. Los productos Importantes de Clase II utilizan un organismo notificado (Módulo B+C o Módulo H) o un esquema de certificación disponible y aplicable. Los productos Críticos (Anexo IV) siguen el Artículo 32(4): la vía de certificación del Artículo 8(1) cuando la Comisión la haya activado; de lo contrario, las mismas vías del Artículo 32(3).

La cadena institucional holandesa tiene un reparto claro:

  • RvA (Raad voor Accreditatie) es el único organismo nacional de acreditación, con rango estatutario bajo la Wet aanwijzing nationale accreditatie-instantie. RvA acredita a los organismos de evaluación de la conformidad conforme a ISO/IEC 17065:2012. La acreditación es el paso técnico.
  • RDI (Rijksinspectie Digitale Infrastructuur) es la autoridad de notificación prevista que registrará formalmente a los organismos notificados holandeses del CRA ante la Comisión Europea cuando la ley holandesa de transposición sea definitiva. RDI depende del Ministerie van Economische Zaken en Klimaat y asumió este papel del antiguo Agentschap Telecom. La notificación es el paso jurídico.

El marco del CRA para los organismos notificados se aplica a partir del 11 de junio de 2026, fecha desde la cual los organismos notificados pueden empezar a emitir certificados de evaluación de la conformidad del CRA. La Uitvoeringswet verordening cyberweerbaarheid es el instrumento holandés que previsiblemente colocará a RDI en el asiento de autoridad de notificación. Verifica el estado parlamentario actual y el texto final del Staatsblad antes de cualquier presentación formal. Un fabricante holandés puede usar cualquier organismo notificado de la UE, no solo los notificados en los Países Bajos. Las notificaciones definitivas aparecen en la base de datos NANDO de la Comisión Europea.

RDI: la autoridad de vigilancia del mercado del CRA

La Uitvoeringswet verordening cyberweerbaarheid previsiblemente designará al Ministro de Asuntos Económicos, en la práctica a RDI, como la autoridad holandesa de vigilancia del mercado del CRA. RDI obtendría competencias formales de supervisión y ejecución, incluida la facultad de imposición de multas administrativas dentro de los límites a escala UE del CRA (hasta EUR 15 millones o el 2,5 % de la facturación global, lo que sea mayor).

Los Países Bajos se situarían en el grupo de los que consolidan ambos roles en la misma institución, junto a la italiana ACN, si el texto final sigue el proyecto de ley. España (CCN + MTDFP) y Francia (ANSSI + ANFR) reparten los roles de notificación y de vigilancia de mercado entre instituciones distintas. Un fabricante holandés tendría entonces un único interlocutor nacional para la correspondencia formal del CRA: el NCSC para el flujo de notificaciones y RDI para todo lo demás.

Rotterdam y el ángulo importador

Rotterdam es el mayor puerto de la UE por volumen de mercancías, con aproximadamente 14,5 millones de TEU al año y el mayor peso bruto de importaciones no comunitarias de todos los puertos europeos. Para los productos con elementos digitales, una parte significativa de las primeras comercializaciones en la UE se produce aquí, frecuentemente a través de una entidad holandesa que compra productos terminados a un proveedor no comunitario y los distribuye a Bélgica, Alemania, Francia y al resto del comercio minorista europeo.

La Ley de Ciberresiliencia distingue por el rol que ejerces de hecho, no por el que figura en tus documentos aduaneros. Dos patrones de operación son habituales en los flujos con ruta Rotterdam y recaen en regímenes distintos:

  • Patrón 1: importas un producto no comunitario y lo comercializas en la UE sin modificaciones, bajo la marca original del fabricante. Este es el régimen del importador. Tienes que ejecutar las cuatro comprobaciones previas a la comercialización (evidencia de evaluación de la conformidad, declaración UE de conformidad, marcado CE, identidad y dirección del fabricante en el producto), permaneces en la cadena de contacto de respaldo cuando el fabricante no comunitario no es localizable y conservas las referencias a la documentación técnica durante al menos diez años. Consulta la guía clúster del importador.
  • Patrón 2: importas un producto no comunitario, lo rebautizas bajo tu propio nombre, cambias la finalidad prevista o lo modificas sustancialmente antes de su primera comercialización. Este es el régimen del fabricante a través del puente de cambio de marca del CRA. Tu entidad holandesa pasa a ser el fabricante. Las obligaciones del fabricante se aplican en su totalidad, incluidos el cumplimiento de los requisitos esenciales, la documentación técnica, la evaluación de la conformidad, la divulgación del fin del soporte y el ciclo de notificación de 24 h / 72 h / 14 días.

Un error frecuente es tratar el Patrón 2 como el Patrón 1 porque los documentos aduaneros señalan «importador de registro». Los roles del CRA no siguen los Incoterms. En el momento en que la marca original se sustituye por la tuya, o la finalidad prevista original cambia, tú eres el fabricante. Los SBOM y los marcados CE aportados por el proveedor no comunitario son insumos para tu propia documentación técnica, no sustitutos de ella. La misma lógica se aplica al comercio de marca blanca: un minorista holandés que distribuye productos bajo su propia marca asume el régimen del fabricante independientemente de dónde se haya fabricado el hardware.

El requisito de lengua neerlandesa en la práctica

La Ley de Ciberresiliencia exige que la información del producto dirigida al usuario esté en una lengua fácilmente comprensible por los usuarios y por la autoridad de vigilancia del mercado local. Para los productos comercializados en el mercado holandés, esa lengua es el neerlandés (Nederlands). La Warenwet (Ley de Productos de Consumo) y las normas sectoriales de información sobre productos imponen de manera independiente el uso del neerlandés en la denominación de productos de consumo, las condiciones de garantía, las instrucciones de uso, los avisos y la información sobre las propiedades del producto.

Debe estar en neerlandés:

  • Las instrucciones de uso y la información del producto que se entregan con el producto.
  • Los datos de contacto del fabricante, dondequiera que aparezcan.
  • La indicación de la fecha de fin de soporte que se muestra en el punto de venta.
  • Las condiciones de garantía y la información sobre derechos del consumidor que se entregan con el producto.

Puede ser multilingüe:

  • La etiqueta del producto y el marcado CE.
  • El texto del embalaje.
  • La documentación en línea, siempre que haya una versión en neerlandés accesible.

El inglés se acepta normalmente en:

  • La información B2B entre compradores profesionales cuando las partes tienen acordada una lengua de trabajo.
  • La documentación técnica interna. RDI puede solicitar igualmente una traducción al neerlandés mediante solicitud motivada, así que conviene tenerlo previsto.

Las marcas comerciales, la terminología científica o técnica habitual y las indicaciones de origen del producto quedan exentas. La declaración UE de conformidad puede redactarse en cualquier lengua oficial de la UE. El frisón (frisón) es cooficial en Friesland, pero la Ley de Ciberresiliencia no exige traducción al frisón.

Vender en otros países desde los Países Bajos

Los fabricantes holandeses que venden en Alemania, Bélgica, Francia o cualquier otro Estado miembro de la UE siguen la misma regla de enrutamiento único: las notificaciones CRA siguen yendo al NCSC, porque el enrutamiento sigue el establecimiento principal, no el destino de cada envío. La obligación lingüística sí se ramifica por mercado. Un producto enviado a Alemania necesita contenido de usuario en alemán, uno enviado a Francia necesita contenido en francés. El paquete en neerlandés no cubre esos mercados. La autoridad de vigilancia del mercado de cada Estado miembro receptor también puede solicitar la documentación técnica en una lengua fácilmente comprensible para esa autoridad. Prepara las secciones más solicitadas en una lengua de trabajo de uso extendido para absorber solicitudes motivadas transfronterizas.

Programas de financiación nacionales

El panorama de financiación holandesa para inversión CRA en 2026 incluye un gran programa de crédito fiscal, dos programas de innovación para PYMES y un fondo dedicado a la ciberseguridad.

  • WBSO (Wet Bevordering Speur- en Ontwikkelingswerk) es el crédito fiscal sobre costes salariales de I+D gestionado por RVO. El presupuesto de 2026 es de EUR 1.817 millones, con un beneficio del 36 % sobre los salarios de I+D cualificados hasta EUR 391.020 (50 % para empresas de nueva creación). El desarrollo de seguridad por diseño, las herramientas SBOM, las plataformas de gestión de vulnerabilidades y el diseño de procesos CVD son elegibles cuando se enmarcan como I+D genuina.
  • MIT (MKB-Innovatiestimulering Regio en Topsectoren) financia proyectos de innovación de PYMES a nivel regional, con líneas de estudios de viabilidad y colaboración en I+D en el rango de EUR 20.000 a EUR 350.000.
  • Innovation Box (Innovatiebox) es un tipo reducido del impuesto sobre sociedades (9 % efectivo) sobre los beneficios derivados de actividades de innovación cualificadas. Habitualmente se combina con el WBSO.
  • CIF-NL (Cybersecurity Innovation Fund) es la línea de subvención de RVO dedicada a la innovación en productos de ciberseguridad. La convocatoria 2025-2026 tenía un presupuesto de EUR 2,5 millones (de EUR 60.000 a EUR 100.000 por proyecto) centrado en cripto-agilidad y accesibilidad. Las solicitudes se cerraron el 10 de febrero de 2026. Sigue las novedades de RVO y del NCSC fusionado para convocatorias posteriores de CIF-NL.
  • El Herstel- en Veerkrachtplan holandés (RRF) está en su ventana de cierre del NextGenerationEU, con ejecución prevista para el 31 de agosto de 2026 y solicitudes de pago final hasta el 30 de septiembre de 2026. No es un instrumento de planificación viable para el plazo del 11 de diciembre de 2027.

Para el 11 de diciembre de 2027, el panorama holandés realista es WBSO más MIT más Innovation Box, con CIF-NL elegible para las partes genuinamente innovadoras.

Preguntas frecuentes

¿Qué CSIRT holandés recibe mis notificaciones de vulnerabilidades del CRA?

El NCSC (Nationaal Cyber Security Centrum), la vía CSIRT nacional única tras la integración anterior de CSIRT-DSP en el NCSC y la incorporación del Digital Trust Center al NCSC reforzado el 1 de enero de 2026. Las notificaciones se envían a través de la plataforma única de notificación de ENISA desde el 11 de septiembre de 2026, con el NCSC como coordinador receptor. El portal nacional holandés es `mijn.NCSC.nl`. Las orientaciones antiguas que mencionan un modelo de dos CSIRT describen la estructura anterior a la fusión.

¿Quién designa a los organismos notificados holandeses, RvA o RDI?

RvA (Raad voor Accreditatie) acredita a los organismos candidatos de evaluación de la conformidad conforme a ISO/IEC 17065:2012. RDI (Rijksinspectie Digitale Infrastructuur), bajo el Ministro de Asuntos Económicos, es la autoridad de notificación prevista que registrará formalmente a los organismos notificados holandeses del CRA ante la Comisión Europea cuando la ley holandesa de transposición sea definitiva. La Uitvoeringswet verordening cyberweerbaarheid previsiblemente colocará a RDI en ese puesto. Un fabricante holandés puede seguir usando cualquier organismo notificado de la UE para la evaluación de la conformidad del CRA.

Importo productos de Asia a través de Rotterdam y los redistribuyo bajo mi propia marca. ¿Soy el fabricante o el importador?

El fabricante. El puente de cambio de marca del CRA adjudica las obligaciones del fabricante a cualquiera que comercialice un producto bajo su propio nombre o marca registrada, independientemente de dónde se haya producido el hardware. Lo mismo se aplica si modificas sustancialmente el producto o cambias la finalidad prevista antes de la primera comercialización. Las obligaciones del fabricante recaen sobre tu entidad holandesa en su totalidad. Los SBOM y los marcados CE aportados por el proveedor no comunitario son insumos para tu propia documentación técnica, no sustitutos. Consulta la guía clúster del importador para el patrón en el que no cambias de marca.

¿Cuál es la autoridad holandesa de vigilancia del mercado del CRA?

RDI (Rijksinspectie Digitale Infrastructuur), bajo el Ministro de Asuntos Económicos, es la autoridad holandesa de vigilancia del mercado prevista. La Uitvoeringswet verordening cyberweerbaarheid previsiblemente colocará a RDI tanto en la función de autoridad de notificación como en la de vigilancia del mercado. Los Países Bajos se sitúan en el grupo consolidado en este diseño (el mismo patrón que la italiana ACN), a diferencia de España (CCN + MTDFP) o Francia (ANSSI + ANFR), donde los dos roles están separados. Verifica la designación definitiva en el texto del Staatsblad antes de cualquier presentación formal. Verifica el estado parlamentario actual y el texto final del Staatsblad antes de cualquier presentación formal.

¿Cuándo publicará los Países Bajos su ley nacional de transposición del CRA en el Staatsblad?

La Ley de Ciberresiliencia es un Reglamento de la UE con efecto directo, por lo que los Países Bajos no necesitan transponerla para que las obligaciones sustantivas se apliquen el 11 de diciembre de 2027. Lo que sí necesita el país es la Uitvoeringswet verordening cyberweerbaarheid (proyecto de ley 36875), que previsiblemente designará formalmente a la autoridad de vigilancia del mercado (RDI), a la autoridad de notificación (RDI) y al CSIRT nacional (NCSC), y fijará la escala de multas holandesa dentro de los límites del CRA a escala UE. La fecha marco del 11 de junio de 2026 ya ha pasado. Verifica el estado parlamentario actual y el texto final del Staatsblad, y trata como provisional cualquier atribución anterior de la industria hasta que ese texto esté disponible.

¿La Cyberbeveiligingswet sustituye o duplica mis obligaciones del CRA?

Ninguna de las dos cosas. La Cyberbeveiligingswet es la transposición holandesa de la Directiva NIS2, adoptada por la Tweede Kamer el 15 de abril de 2026 y con entrada en vigor prevista en el segundo trimestre de 2026 tras la adopción por la Eerste Kamer y la publicación en el Staatsblad. Cubre tu organización como entidad esencial o importante en un sector designado. La Ley de Ciberresiliencia cubre todos los productos con elementos digitales que colocas en el mercado de la UE. Comparten el enrutamiento del CSIRT (el NCSC recibe ambos) pero no se sustituyen mutuamente. Un fabricante holandés incluido en el ámbito de ambas normas las aplica en paralelo con presentaciones separadas.

¿Tengo que traducirlo todo al neerlandés para las ventas B2B?

Para productos comercializados en el mercado holandés con usuarios finales en los Países Bajos, sí. La Ley de Ciberresiliencia exige información de usuario en neerlandés, y la Warenwet más las normas sectoriales imponen de manera independiente el neerlandés en la denominación, las condiciones de garantía, las instrucciones, los avisos y la información sobre propiedades del producto. Las ventas B2B entre compradores profesionales tienen cierta flexibilidad en cuanto al idioma del contrato cuando las partes lo acuerdan, pero la obligación del CRA no distingue en este punto una vez que el producto está en el mercado holandés. Prevé entregar información de usuario en neerlandés, divulgación del periodo de soporte en neerlandés y datos de contacto del fabricante en neerlandés tanto en los canales de consumo como en los profesionales. Las marcas comerciales y los términos técnicos habituales quedan exentos.

¿Pueden WBSO o CIF-NL financiar mis herramientas de cumplimiento CRA?

WBSO sí, cuando el trabajo es I+D genuina (desarrollo de seguridad por diseño, herramientas SBOM, plataformas de gestión de vulnerabilidades, diseño innovador de procesos CVD). El trabajo puro de cumplimiento (auditorías, tasas de evaluación de la conformidad) no es elegible. El presupuesto WBSO de 2026 es de EUR 1.817 millones, con un beneficio del 36 % sobre los primeros EUR 391.020 de salarios de I+D cualificados (50 % para empresas de nueva creación). CIF-NL es la subvención dedicada a la innovación en ciberseguridad. La convocatoria 2025-2026 se cerró el 10 de febrero de 2026 con un presupuesto de EUR 2,5 millones centrado en cripto-agilidad y accesibilidad. Sigue las novedades de RVO y del NCSC fusionado para convocatorias posteriores de CIF-NL. El RRF holandés está en su ventana de cierre del NextGenerationEU con ejecución de proyectos hasta el 31 de agosto de 2026, por lo que no es viable para las obligaciones de 2027.

Para fabricantes holandeses que se preparan para el 11 de diciembre de 2027

  1. Confirma tus obligaciones como fabricante con la guía clúster del fabricante.
  2. Verifica que tu establecimiento principal está en los Países Bajos y documenta el razonamiento. Lo que importa es dónde se toman las decisiones de ciberseguridad, no la sede registrada.
  3. Si alguno de tus productos se importa a través de Rotterdam y se redistribuye bajo tu propia marca, trabaja con la guía clúster del importador y confirma si tu patrón de operación recae en el régimen del fabricante o del importador. El puente de cambio de marca mueve la línea.
  4. Mapea tu flujo de notificaciones CRA hacia el NCSC, con un envío de prueba a través de la plataforma única de notificación de ENISA y de `mijn.NCSC.nl` una vez que ambas entren en funcionamiento el 11 de septiembre de 2026.
  5. Si tu vía de evaluación de la conformidad necesita un organismo notificado, evalúa los organismos acreditados por RvA como opción nacional, más una alternativa transfronteriza. Sigue el Staatsblad para la función definitiva de RDI como autoridad de notificación.
  6. Traduce las instrucciones de usuario, la indicación del periodo de soporte y los datos de contacto del fabricante al neerlandés conforme a la Warenwet. Añade traducciones por mercado para cualquier otro Estado miembro de la UE al que envíes productos.
  7. Evalúa WBSO y CIF-NL para cualquier inversión genuina en I+D en herramientas de seguridad por diseño. No planifiques contra el RRF holandés para las obligaciones de 2027.
  8. Lee el cuestionario de diligencia debida de proveedores para el marco de diligencia debida de componentes, especialmente para los componentes no comunitarios con ruta Rotterdam.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento CRA, consulta con asesoría legal cualificada.

CRA Netherlands Gestión de vulnerabilidades
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Certificación Europea de Ciberseguridad (EUCC)

Cómo funciona el esquema de certificación EUCC y cuándo puede respaldar la conformidad con el CRA.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
Ver la guía completa de cumplimiento del CRA