Cumplimiento CRA Multi-Rol: Cuando Eres Fabricante, Importador y Distribuidor
Cómo gestionar obligaciones CRA cuando tu organización tiene multiples roles de operador economico. Orientacion práctica para empresas Qué fabrican algunos productos e importan otros.
In this article
- Resumen Ejecutivo
- Entendiendo los Roles de Operador Economico CRA
- Por Qué Multi-Rol Es Comun
- Determinacion de Rol Por Producto
- Mapeo de Obligaciones por Rol
- Gestionando Multiples Roles: Enfoque Unificado
- Flujos de Trabajo Practicos
- Desafios Comunes Multi-Rol
- Consideraciones de Coste
- Lista de Verificación de Cumplimiento Multi-Rol
- Cuando los Roles Cambian
- Cómo Ayuda CRA Evidence
- Guias Relacionadas
Tu empresa fabrica sensores inteligentes en Alemania. Tambien importas productos complementarios de un proveedor taiwanes y distribuyes el software de otro vendedor. Bajo el CRA, eres simultaneamente un fabricante, importador y distribuidor.
Esta Guía explica Cómo gestionar el cumplimiento cuando tienes multiples roles de operador economico.
Resumen Ejecutivo
- Muchas empresas tienen multiples roles CRA en su cartera de productos
- Cada rol tiene obligaciones distintas, debes cumplir todas
- El rol se determina por producto, no por organización
- Algunas obligaciones se superponen (bueno), algunas entran en conflicto (manejable)
- Una infraestructura de cumplimiento unificada puede servir multiples roles eficientemente
Información: La mayoria de las empresas que operan en la UE son multi-rol sin saberlo. Si fabricas algunos productos e importas otros, tienes obligaciones bajo AMBOS roles.
Consejo: Mapea cada producto a su rol CRA especifico (fabricante, importador, distribuidor) para evitar brechas de cumplimiento.
Entendiendo los Roles de Operador Economico CRA
El CRA define cuatro roles principales para colocar productos en el mercado de la UE:
Fabricante
La entidad Qué disena y produce el producto, o lo hace disenar/producir y lo comercializa bajo su nombre o marca.
Obligaciones clave:
- Evaluación de conformidad
- Documentación tecnica
- Marcado CE
- Manejo de vulnerabilidades
- Periodo de soporte de 5 años
Importador
Una entidad establecida en la UE Qué coloca un producto de un tercer pais en el mercado de la UE.
Obligaciones clave:
- Verificar cumplimiento del fabricante (DoC, marcado CE, Documentación)
- Asegurar identificacion y trazabilidad del producto
- Mantener Documentación por 10 años
- Reportar incumplimiento
Distribuidor
Una entidad en la cadena de suministro Qué pone un producto disponible en el mercado (no fabricante ni importador).
Obligaciones clave:
- Verificar presencia de marcado CE y Documentación requerida
- Asegurar Qué almacenamiento/transporte no afecta cumplimiento
- Reportar incumplimiento
- Cooperar con vigilancia del mercado
Administrador de Software de Codigo Abierto
Una entidad legal (no persona natural) Qué sistematicamente proporciona soporte para OSS destinado a uso comercial.
Obligaciones clave:
- Política de ciberseguridad
- Divulgación coordinada de vulnerabilidades
- Cooperacion con vigilancia del mercado
Por Qué Multi-Rol Es Comun
Escenario 1: Integración Vertical
Fabricas tu producto central pero obtienes componentes:
TU EMPRESA:
├── Fabricante de: Hub de Hogar Inteligente (disenado internamente)
├── Importador de: Unidades de fuente de alimentacion (de China)
└── Distribuidor de: Enchufes inteligentes compatibles (producto de socio UE)
Escenario 2: Diversificacion de Cartera
Expandes ofertas mediante abastecimiento:
TU EMPRESA (Automatizacion Industrial):
├── Fabricante de: Controladores PLC (diseno original)
├── Fabricante de: Sensores (marca blanca, tu marca)
├── Importador de: Paneles HMI (proveedor coreano)
└── Distribuidor de: Software industrial (vendedor aleman)
Escenario 3: Operaciones Regionales
Subsidiaria UE de empresa no-UE:
TU EMPRESA (subsidiaria UE):
├── Importador de: Todos los productos de la empresa matriz
├── Distribuidor de: Productos de socios para mercado UE
└── Fabricante de: Configuraciones especificas para UE
Determinacion de Rol Por Producto
Principio critico: El rol CRA se determina producto por producto, no a nivel de organización.
Para cada producto en tu cartera, pregunta:
- ¿Lo disenaste y/o pusiste tu marca en el? → Fabricante
- ¿Eres el primero en colocarlo en el mercado UE desde fuera de la UE? → Importador
- ¿Lo estas poniendo disponible pero no lo importaste ni fabricaste? → Distribuidor
Matriz de Decisión
| Origen del Producto | Tu Marca | Tu Rol |
|---|---|---|
| Disenado/hecho por ti | Tu marca | Fabricante |
| Hecho por otros | Tu marca (marca blanca) | Fabricante |
| Hecho fuera de UE | Marca original | Importador |
| Hecho en UE por otros | Marca original | Distribuidor |
| Modificado significativamente por ti | Cualquiera | Fabricante |
Mapeo de Obligaciones por Rol
Esto es lo Qué requiere cada rol:
Documentación de Cumplimiento
| Documento | Fabricante | Importador | Distribuidor |
|---|---|---|---|
| Expediente tecnico | Crear | Verificar Qué existe | No requerido |
| Declaración de Conformidad UE | Crear y firmar | Verificar | Verificar presente |
| SBOM | Crear | Puede solicitar | No requerido |
| Evaluación de riesgos | Realizar | Verificar realizada | No requerido |
| Instrucciones de usuario | Proporcionar | Verificar presentes | No requerido |
Comercializacion
| Requisito | Fabricante | Importador | Distribuidor |
|---|---|---|---|
| Marcado CE | Fijar | Verificar presente | Verificar presente |
| Identificacion del producto | Aplicar | Verificar/agregar propio contacto | Verificar |
| Info de trazabilidad | Mantener | Mantener | Mantener |
| Retencion de documentos | 10 años | 10 años | Periodo razonable |
Obligaciones Post-Mercado
| Obligacion | Fabricante | Importador | Distribuidor |
|---|---|---|---|
| Manejo de vulnerabilidades | Proceso completo | Reportar a fabricante | Reportar upstream |
| Actualizaciones de seguridad | Desarrollar y entregar | Asegurar entregables | No directamente |
| Reporte ENISA | Si (24h/72h) | Reportar a fabricante | No directamente |
| Notificación a clientes | Si | Puede asistir | No directamente |
| Accion de incumplimiento | Retirar/recall | Retirar/recall | Detener distribucion |
Gestionando Multiples Roles: Enfoque Unificado
Infraestructura Compartida
Algunas capacidades de cumplimiento sirven multiples roles:
INFRAESTRUCTURA DE CUMPLIMIENTO COMPARTIDA
┌─────────────────────────────────────────────────┐
│ SISTEMA DE CUMPLIMIENTO UNIFICADO │
├─────────────────────────────────────────────────┤
│ Gestion de Documentos │
│ - Expedientes tecnicos (rol fabricante) │
│ - Registros de Verificación (rol importador) │
│ - Registros de distribucion (rol distribuidor) │
├─────────────────────────────────────────────────┤
│ Sistema de Trazabilidad │
│ - Todos los roles requieren trazabilidad │
│ - Sistema unico, datos diferentes por rol │
├─────────────────────────────────────────────────┤
│ Gestion de Vulnerabilidades │
│ - Recepcion: Sirve todos los roles │
│ - Respuesta: Diferenciada por rol │
├─────────────────────────────────────────────────┤
│ Manejo de Incumplimiento │
│ - Deteccion: Todos los roles │
│ - Respuesta: Acciones especificas por rol │
└─────────────────────────────────────────────────┘
Procesos Especificos por Rol
Algunos procesos deben diferenciarse por rol:
Productos fabricados:
- Evaluación de conformidad completa
- Creacion y mantenimiento de SBOM
- Desarrollo y distribucion de actualizaciones
- Reporte ENISA (directo)
Productos importados:
- Flujo de trabajo de Verificación de proveedores
- Solicitud/Verificación de Documentación
- Paso para reportes de vulnerabilidades
- Coordinación de reporte ENISA con fabricante
Productos distribuidos:
- Verificación simplificada (CE, docs presentes)
- Monitoreo de condiciones de almacenamiento
- Reportar problemas upstream
Opciones de Estructura Organizativa
Opcion 1: Equipos Basados en Rol
Departamento de Cumplimiento
├── Equipo de Cumplimiento de Fabricacion
│ └── Maneja: Todas las obligaciones de fabricante
├── Equipo de Cumplimiento de Importacion
│ └── Maneja: Verificación de proveedores, docs de importacion
└── Equipo de Cumplimiento de Distribucion
└── Maneja: Relaciones con socios, registros de distribucion
Opcion 2: Equipos Basados en Producto
Departamento de Cumplimiento
├── Equipo de Linea de Producto A (sensores)
│ └── Maneja: Todos los roles para productos de sensores
├── Equipo de Linea de Producto B (controladores)
│ └── Maneja: Todos los roles para productos de controladores
└── Servicios Compartidos
└── Gestion de documentos, herramientas SBOM, capacitacion
Opcion 3: Hibrido (Recomendado para la Mayoria)
Departamento de Cumplimiento
├── Cumplimiento Central
│ └── Compartido: Gestion docs, recepcion vulnerabilidades, capacitacion
├── Cumplimiento de Fabricante
│ └── Evaluación de conformidad, expedientes tecnicos, actualizaciones
└── Cumplimiento de Proveedor/Socio
└── Verificación de importacion, relaciones con distribuidores
Flujos de Trabajo Practicos
Introduccion de Nuevo Producto
Al agregar un producto a tu cartera:
FLUJO DE TRABAJO DE CUMPLIMIENTO DE NUEVO PRODUCTO
1. DETERMINACION DE ROL
- ¿Donde esta disenado/fabricado?
- ¿De Quién es la marca?
- ¿Cómo llega al mercado UE?
→ Determinar: Fabricante / Importador / Distribuidor
2. INCORPORACION ESPECIFICA POR ROL
Si FABRICANTE:
[ ] Realizar Evaluación de riesgos
[ ] Crear Documentación tecnica
[ ] Completar Evaluación de conformidad
[ ] Preparar SBOM
[ ] Establecer mecanismo de actualizacion
[ ] Configurar manejo de vulnerabilidades
Si IMPORTADOR:
[ ] Solicitar Documentación del fabricante
[ ] Verificar DoC y marcado CE
[ ] Verificar disponibilidad de SBOM
[ ] Confirmar contacto de vulnerabilidades
[ ] Configurar monitoreo de proveedor
[ ] Agregar tu identificacion
Si DISTRIBUIDOR:
[ ] Verificar marcado CE presente
[ ] Verificar Documentación acompana producto
[ ] Establecer controles de almacenamiento/transporte
[ ] Configurar canal de reporte de problemas
3. INGRESAR EN SISTEMA DE CUMPLIMIENTO
[ ] Registrar producto con rol determinado
[ ] Subir Documentación relevante
[ ] Establecer programas de revision/monitoreo
[ ] Asignar equipo/persona responsable
Respuesta a Vulnerabilidades por Rol
Cuando se descubre una vulnerabilidad Qué afecta tus productos:
Para Productos Fabricados:
Vulnerabilidad → Tu Equipo de Seguridad → Evaluar → Desarrollar Parche
↓
Lanzar Actualizacion
↓
Notificar Clientes
↓
Reporte ENISA (si explotada)
Para Productos Importados:
Vulnerabilidad → Reenviar a Fabricante → Rastrear Respuesta
↓
Recibir Actualizacion
↓
Asegurar Clientes UE Reciben
↓
Apoyar Reporte ENISA (si necesario)
Para Productos Distribuidos:
Vulnerabilidad → Notificar Upstream (Fabricante/Importador)
↓
Pausar Distribucion (si serio)
↓
Reanudar Cuando Resuelto
Manejo de Incumplimiento
Cuando descubres Qué un producto no cumple:
| Rol | Tu Obligacion |
|---|---|
| Fabricante | Hacer cumplir O retirar/recall |
| Importador | Trabajar con fabricante O no comercializar |
| Distribuidor | Detener distribucion, notificar a fabricante/importador |
Todos los roles: Notificar a autoridades de vigilancia del mercado si el producto presenta riesgo grave.
Desafios Comunes Multi-Rol
Desafio 1: Cronogramas en Conflicto
Problema: Tus productos fabricados tienen una ventana CVD de 90 dias, pero tu proveedor (cuyos productos importas) insiste en 120 dias.
Solución: Políticas separadas por rol. Tu política CVD aplica a productos Qué fabricas. Para productos importados, trabajas dentro del cronograma del proveedor asegurando Qué cumpla mínimos del CRA.
Desafio 2: Inconsistencia de Documentación
Problema: Diferentes estandares de Documentación entre roles (tus expedientes tecnicos vs. Documentación del proveedor vs. docs de producto distribuido).
Solución:
- Mantener sistema unificado de gestion de documentos
- Crear plantillas y listas de Verificación especificas por rol
- No forzar Documentación del proveedor en tu plantilla de fabricante
Desafio 3: Confusion de Responsabilidad
Problema: Internamente no esta claro Quién maneja Qué cuando aplican multiples roles.
Solución:
- Registro claro de productos con asignaciones de rol
- Matriz RACI para actividades de cumplimiento
- Rutas de escalacion para casos limite
Desafio 4: Proveedor No Cooperativo
Problema: Eres importador, pero tu proveedor no proporciona Documentación.
Solución:
- Esto es un impedimento. Sin Documentación adecuada, no puedes importar legalmente.
- O consigues Documentación o encuentras proveedor diferente.
- Por eso importa la debida diligencia de proveedores.
Consideraciones de Coste
Eficiencia Mediante Unificacion
Las empresas multi-rol pueden lograr economias de escala:
| Capacidad | Coste Un Solo Rol | Coste Compartido Multi-Rol |
|---|---|---|
| Sistema de gestion de documentos | €X | €X (igual para 1-3 roles) |
| Recepcion de vulnerabilidades | €Y | €Y (igual para 1-3 roles) |
| Capacitacion de cumplimiento | €Z por rol | €Z × 1.5 (algo de superposicion) |
| Experiencia tecnica | Equipo completo por rol | Compartido + especialistas |
Costes Especificos por Rol
Algunos costes escalan con cantidad de roles:
- Fabricante: Evaluación de conformidad por producto (no compartible)
- Importador: Verificación de proveedor por proveedor (no compartible)
- Distribuidor: Gestion de socio por socio (no compartible)
Lista de Verificación de Cumplimiento Multi-Rol
LISTA DE Verificación DE CUMPLIMIENTO MULTI-ROL
FUNDAMENTOS:
[ ] Cartera de productos catalogada
[ ] Cada producto asignado un rol CRA
[ ] Determinacion de rol documentada
[ ] Sistema unico de cumplimiento seleccionado
[ ] Responsabilidades asignadas por rol
POR ROL:
PRODUCTOS FABRICADOS:
[ ] Expedientes tecnicos completos
[ ] Evaluaciones de conformidad realizadas
[ ] SBOMs creados y mantenidos
[ ] Mecanismo de actualizacion establecido
[ ] Política CVD publicada
[ ] Capacidad de reporte ENISA
PRODUCTOS IMPORTADOS:
[ ] Proveedores verificados (para cada uno)
[ ] Documentación obtenida y verificada
[ ] Copias de DoC archivadas
[ ] Trazabilidad establecida
[ ] Tu info de contacto agregada a productos
[ ] Monitoreo de proveedor implementado
PRODUCTOS DISTRIBUIDOS:
[ ] Marcado CE verificado (todos los productos)
[ ] Documentación requerida presente
[ ] Condiciones de almacenamiento apropiadas
[ ] Canal de reporte de problemas a fabricante/importador
[ ] Registros de distribucion mantenidos
CAPACIDADES UNIFICADAS:
[ ] Gestion de documentos para todos los roles
[ ] Sistema de trazabilidad operativo
[ ] Procedimiento de respuesta a incumplimiento
[ ] Capacitacion completada (especifica por rol)
[ ] Cooperacion con vigilancia del mercado lista
CASOS LIMITE:
[ ] Productos marca blanca identificados (→ fabricante)
[ ] Productos sustancialmente modificados identificados (→ fabricante)
[ ] Productos de subsidiaria de tercer pais identificados (→ importador)
Cuando los Roles Cambian
Tu rol puede cambiar con el tiempo:
Distribuidor → Importador
Desencadenante: Tu proveedor UE cierra; comienzas a importar directamente de su fabricante.
Accion:
- Verificación completa de importador para el producto
- Establecer relacion directa con proveedor
- Actualizar Documentación
Importador → Fabricante
Desencadenante: Comienzas a poner tu marca en el producto importado.
Accion:
- Completar obligaciones de fabricante (Evaluación de conformidad, expediente tecnico, SBOM, etc.)
- Tu proveedor es ahora solo eso, un proveedor, no el fabricante
- Tu eres dueno del cumplimiento
Cualquier Rol → Salida
Desencadenante: Dejas de vender un producto.
Accion:
- Retencion de Documentación continua (10 años para fabricante/importador)
- Obligaciones de soporte continuan para fabricante (mínimo 5 años desde ultima unidad)
- Comunicacion clara a clientes
Cómo Ayuda CRA Evidence
CRA Evidence apoya organizaciones multi-rol:
- Registro de productos basado en rol: Rastrea el rol CRA de cada producto
- Flujos de trabajo especificos por rol: Diferentes listas de Verificación y procesos por rol
- Documentación unificada: Sistema unico para todos los expedientes tecnicos, registros de Verificación
- Gestion de proveedores: Rastrea y verifica proveedores para productos importados
- Coordinación de vulnerabilidades: Enruta problemas a manejadores apropiados por rol
Gestiona tu cumplimiento multi-rol en app.craevidence.com.
Guias Relacionadas
- Obligaciones del Importador CRA: Que Verificar Antes de Colocar Productos en el Mercado UE
- Lista de Verificacion del Distribuidor CRA: 5 Pasos de Verificacion para Cada Producto
- Cuando los Importadores se Convierten en Fabricantes bajo el CRA: Escalacion de Roles
- Clasificacion de Productos CRA: Es su Producto Default, Importante o Critico?
Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con asesores legales cualificados.
Temas tratados en este artículo
Artículos Relacionados
¿Son las Cámaras Inteligentes Productos Importantes bajo...
Las cámaras de seguridad inteligentes están clasificadas como Productos...
11 minCybersecurity Act 2 de la UE: Prohibiciones en la Cadena...
La UE propuso sustituir el Cybersecurity Act por completo. Qué cambió, qué...
11 minClasificación de Productos CRA: ¿Tu Producto es Por...
Una Guía práctica para determinar la categoria CRA de tu producto. Incluye...
12 minDoes the CRA apply to your product?
Responde 6 preguntas sencillas para saber si tu producto entra en el ámbito de la Ley de Resiliencia Cibernética de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Comienza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.