Cumplimiento CRA multi-rol: cuando eres fabricante, importador y distribuidor

Cómo gestionar obligaciones CRA cuando tu organización tiene múltiples roles de operador económico. Orientación práctica para empresas que fabrican algunos productos e importan otros.

Equipo CRA Evidence Publicado 10 de febrero de 2026 Actualizado 15 de abril de 2026
Cumplimiento CRA multi-rol: cuando eres fabricante, importador y distribuidor
En este artículo

Tu empresa fabrica sensores inteligentes en Alemania. También importas productos complementarios de un proveedor taiwanés y distribuyes el software de otro vendedor. Bajo el CRA, eres simultáneamente un fabricante, importador y distribuidor.

Esta guía explica cómo gestionar el cumplimiento cuando tienes múltiples roles de operador económico.

Resumen ejecutivo

  • Muchas empresas tienen múltiples roles CRA en su cartera de productos
  • Cada rol tiene obligaciones distintas, debes cumplir todas
  • El rol se determina por producto, no por organización
  • Algunas obligaciones se superponen (bueno), algunas entran en conflicto (manejable)
  • Una infraestructura de cumplimiento unificada puede servir múltiples roles eficientemente

Información: La mayoría de las empresas que operan en la UE son multi-rol sin saberlo. Si fabricas algunos productos e importas otros, tienes obligaciones bajo AMBOS roles.

Consejo: Mapea cada producto a su rol CRA específico (fabricante, importador, distribuidor) para evitar brechas de cumplimiento.

Flujo de actores de la cadena de suministro CRA: Fabricante, Importador, Distribuidor, Usuario Final

Entendiendo los roles de operador económico CRA

El CRA define cuatro roles principales para colocar productos en el mercado de la UE:

Fabricante

La entidad que diseña y produce el producto, o lo hace diseñar/producir y lo comercializa bajo su nombre o marca.

Obligaciones clave:

  • Evaluación de conformidad
  • Documentación técnica
  • Marcado CE
  • Gestión de vulnerabilidades
  • Periodo de soporte de 5 años

Importador

Una entidad establecida en la UE que coloca un producto de un tercer país en el mercado de la UE.

Obligaciones clave:

  • Verificar cumplimiento del fabricante (DoC, marcado CE, Documentación)
  • Asegurar identificación y trazabilidad del producto
  • Mantener documentación por 10 años
  • Notificar incumplimiento

Distribuidor

Una entidad en la cadena de suministro que pone un producto disponible en el mercado (no fabricante ni importador).

Obligaciones clave:

  • Verificar presencia de marcado CE y documentación requerida
  • Asegurar que almacenamiento/transporte no afecta cumplimiento
  • Notificar incumplimiento
  • Cooperar con vigilancia del mercado

Administrador de software de código abierto

Una entidad legal (no persona natural) que sistemáticamente proporciona soporte para OSS destinado a uso comercial.

Obligaciones clave:

  • Política de ciberseguridad
  • Divulgación coordinada de vulnerabilidades
  • Cooperación con vigilancia del mercado

Por qué multi-rol es común

Escenario 1: integración vertical

Fabricas tu producto central pero obtienes componentes:

TU EMPRESA:
├── Fabricante de: Hub de Hogar Inteligente (diseñado internamente)
├── Importador de: Unidades de fuente de alimentación (de China)
└── Distribuidor de: Enchufes inteligentes compatibles (producto de socio UE)

Escenario 2: diversificación de cartera

Expandes ofertas mediante abastecimiento:

TU EMPRESA (Automatización Industrial):
├── Fabricante de: Controladores PLC (diseño original)
├── Fabricante de: Sensores (marca blanca, tu marca)
├── Importador de: Paneles HMI (proveedor coreano)
└── Distribuidor de: Software industrial (vendedor alemán)

Escenario 3: operaciones regionales

Subsidiaria UE de empresa no-UE:

TU EMPRESA (subsidiaria UE):
├── Importador de: Todos los productos de la empresa matriz
├── Distribuidor de: Productos de socios para mercado UE
└── Fabricante de: Configuraciones específicas para UE

Determinación de rol por producto

Principio crítico: El rol CRA se determina producto por producto, no a nivel de organización.

Para cada producto en tu cartera, pregunta:

  1. ¿Lo diseñaste y/o pusiste tu marca en él? → Fabricante
  2. ¿Eres el primero en colocarlo en el mercado UE desde fuera de la UE? → Importador
  3. ¿Lo estás poniendo disponible pero no lo importaste ni fabricaste? → Distribuidor

Matriz de decisión

Origen del Producto Tu Marca Tu Rol
Diseñado/hecho por ti Tu marca Fabricante
Hecho por otros Tu marca (marca blanca) Fabricante
Hecho fuera de UE Marca original Importador
Hecho en UE por otros Marca original Distribuidor
Modificado significativamente por ti Cualquiera Fabricante

Mapeo de obligaciones por rol

Esto es lo que requiere cada rol:

Documentación de cumplimiento

Documento Fabricante Importador Distribuidor
Expediente técnico Crear Verificar que existe No requerido
Declaración de Conformidad UE Crear y firmar Verificar Verificar presente
SBOM Crear Puede solicitar No requerido
Evaluación de riesgos Realizar Verificar realizada No requerido
Instrucciones de usuario Proporcionar Verificar presentes No requerido

Comercialización

Requisito Fabricante Importador Distribuidor
Marcado CE Fijar Verificar presente Verificar presente
Identificación del producto Aplicar Verificar/añadir propio contacto Verificar
Info de trazabilidad Mantener Mantener Mantener
Retención de documentos 10 años 10 años Periodo razonable

Obligaciones post-mercado

Obligación Fabricante Importador Distribuidor
Gestión de vulnerabilidades Proceso completo Notificar a fabricante Notificar upstream
Actualizaciones de seguridad Desarrollar y entregar Asegurar entregables No directamente
Notificación ENISA Sí (24h/72h) Notificar a fabricante No directamente
Notificación a clientes Puede asistir No directamente
Acción de incumplimiento Retirar/recall Retirar/recall Detener distribución

Gestionando múltiples roles: enfoque unificado

Infraestructura compartida

Algunas capacidades de cumplimiento sirven múltiples roles:

INFRAESTRUCTURA DE CUMPLIMIENTO COMPARTIDA

┌─────────────────────────────────────────────────┐
│         SISTEMA DE CUMPLIMIENTO UNIFICADO        │
├─────────────────────────────────────────────────┤
│  Gestión de Documentos                           │
│  - Expedientes técnicos (rol fabricante)         │
│  - Registros de verificación (rol importador)    │
│  - Registros de distribución (rol distribuidor)  │
├─────────────────────────────────────────────────┤
│  Sistema de Trazabilidad                         │
│  - Todos los roles requieren trazabilidad        │
│  - Sistema único, datos diferentes por rol       │
├─────────────────────────────────────────────────┤
│  Gestión de Vulnerabilidades                     │
│  - Recepción: Sirve todos los roles              │
│  - Respuesta: Diferenciada por rol               │
├─────────────────────────────────────────────────┤
│  Gestión de Incumplimiento                       │
│  - Detección: Todos los roles                    │
│  - Respuesta: Acciones específicas por rol       │
└─────────────────────────────────────────────────┘

Procesos específicos por rol

Algunos procesos deben diferenciarse por rol:

Productos fabricados:

  • Evaluación de conformidad completa
  • Creación y mantenimiento de SBOM
  • Desarrollo y distribución de actualizaciones
  • Notificación a ENISA (directa)

Productos importados:

  • Flujo de trabajo de verificación de proveedores
  • Solicitud/Verificación de Documentación
  • Paso para notificación de vulnerabilidades
  • Coordinación de notificación a ENISA con fabricante

Productos distribuidos:

  • Verificación simplificada (CE, docs presentes)
  • Monitorización de condiciones de almacenamiento
  • Notificar problemas upstream

Opciones de estructura organizativa

Opción 1: Equipos basados en rol

Departamento de Cumplimiento
├── Equipo de Cumplimiento de Fabricación
   └── Gestiona: Todas las obligaciones de fabricante
├── Equipo de Cumplimiento de Importación
   └── Gestiona: verificación de proveedores, docs de importación
└── Equipo de Cumplimiento de Distribución
    └── Gestiona: Relaciones con socios, registros de distribución

Opción 2: Equipos basados en producto

Departamento de Cumplimiento
├── Equipo de Línea de Producto A (sensores)
│   └── Gestiona: Todos los roles para productos de sensores
├── Equipo de Línea de Producto B (controladores)
│   └── Gestiona: Todos los roles para productos de controladores
└── Servicios Compartidos
    └── Gestión de documentos, herramientas SBOM, capacitación

Opción 3: Híbrido (recomendado para la mayoría)

Departamento de Cumplimiento
├── Cumplimiento Central
│   └── Compartido: Gestión docs, recepción vulnerabilidades, capacitación
├── Cumplimiento de Fabricante
│   └── Evaluación de conformidad, expedientes técnicos, actualizaciones
└── Cumplimiento de Proveedor/Socio
    └── Verificación de importación, relaciones con distribuidores

Flujos de trabajo prácticos

Introducción de nuevo producto

Al añadir un producto a tu cartera:

FLUJO DE TRABAJO DE CUMPLIMIENTO DE NUEVO PRODUCTO

1. DETERMINACIÓN DE ROL
   - ¿Dónde está diseñado/fabricado?
   - ¿De Quién es la marca?
   - ¿Cómo llega al mercado UE?
   → Determinar: Fabricante / Importador / Distribuidor

2. INCORPORACIÓN ESPECÍFICA POR ROL

   Si FABRICANTE:
   [ ] Realizar evaluación de riesgos
   [ ] Crear documentación técnica
   [ ] Completar evaluación de conformidad
   [ ] Preparar SBOM
   [ ] Establecer mecanismo de actualización
   [ ] Configurar gestión de vulnerabilidades

   Si IMPORTADOR:
   [ ] Solicitar documentación del fabricante
   [ ] Verificar DoC y marcado CE
   [ ] Verificar disponibilidad de SBOM
   [ ] Confirmar contacto de vulnerabilidades
   [ ] Configurar monitorización de proveedor
   [ ] Añadir tu identificación

   Si DISTRIBUIDOR:
   [ ] Verificar marcado CE presente
   [ ] Verificar documentación acompaña producto
   [ ] Establecer controles de almacenamiento/transporte
   [ ] Configurar canal de notificación de problemas

3. INGRESAR EN SISTEMA DE CUMPLIMIENTO
   [ ] Registrar producto con rol determinado
   [ ] Subir documentación relevante
   [ ] Establecer programas de revisión/monitorización
   [ ] Asignar equipo/persona responsable

Respuesta a vulnerabilidades por rol

Cuando se descubre una vulnerabilidad que afecta tus productos:

Para productos fabricados:

Vulnerabilidad → Tu Equipo de Seguridad → Evaluar → Desarrollar Parche
                                              ↓
                                        Lanzar Actualización
                                              ↓
                                        Notificar Clientes
                                              ↓
                                  Notificación ENISA (si explotada)

Para productos importados:

Vulnerabilidad → Reenviar a Fabricante → Rastrear Respuesta
                         ↓
                  Recibir Actualización
                         ↓
              Asegurar Clientes UE Reciben
                         ↓
         Apoyar Notificación ENISA (si necesario)

Para productos distribuidos:

Vulnerabilidad → Notificar Upstream (Fabricante/Importador)
                         ↓
            Pausar Distribución (si serio)
                         ↓
              Reanudar Cuando Resuelto

Gestión de incumplimiento

Cuando descubres que un producto no cumple:

Rol Tu Obligación
Fabricante Hacer cumplir O retirar/recall
Importador Trabajar con fabricante O no comercializar
Distribuidor Detener distribución, notificar a fabricante/importador

Todos los roles: Notificar a autoridades de vigilancia del mercado si el producto presenta riesgo grave.

Desafíos comunes multi-rol

Desafío 1: cronogramas en conflicto

Problema: Tus productos fabricados tienen una ventana CVD de 90 días, pero tu proveedor (cuyos productos importas) insiste en 120 días.

Solución: Políticas separadas por rol. Tu política CVD se aplica a productos que fabricas. Para productos importados, trabajas dentro del cronograma del proveedor asegurando que cumpla mínimos del CRA.

Desafío 2: inconsistencia de documentación

Problema: Diferentes estándares de documentación entre roles (tus expedientes técnicos vs. documentación del proveedor vs. docs de producto distribuido).

Solución:

  • Mantener sistema unificado de gestión de documentos
  • Crear plantillas y listas de verificación específicas por rol
  • No forzar documentación del proveedor en tu plantilla de fabricante

Desafío 3: confusión de responsabilidad

Problema: Internamente no está claro quién gestiona qué cuando aplican múltiples roles.

Solución:

  • Registro claro de productos con asignaciones de rol
  • Matriz RACI para actividades de cumplimiento
  • Rutas de escalación para casos limite

Desafío 4: proveedor no cooperativo

Problema: Eres importador, pero tu proveedor no proporciona Documentación.

Solución:

  • Esto es un impedimento. Sin documentación adecuada, no puedes importar legalmente.
  • O consigues documentación o encuentras proveedor diferente.
  • Por eso importa la debida diligencia de proveedores.

Consideraciones de coste

Eficiencia mediante unificación

Las empresas multi-rol pueden lograr economías de escala:

Capacidad Coste Un Solo Rol Coste Compartido Multi-Rol
Sistema de gestión de documentos €X €X (igual para 1-3 roles)
Recepción de vulnerabilidades €Y €Y (igual para 1-3 roles)
Capacitación de cumplimiento €Z por rol €Z × 1.5 (algo de superposición)
Experiencia técnica Equipo completo por rol Compartido + especialistas

Costes específicos por rol

Algunos costes escalan con cantidad de roles:

  • Fabricante: Evaluación de conformidad por producto (no compartible)
  • Importador: Verificación de proveedor por proveedor (no compartible)
  • Distribuidor: Gestión de socio por socio (no compartible)

Lista de verificación de cumplimiento multi-rol 

LISTA DE VERIFICACIÓN DE CUMPLIMIENTO MULTI-ROL

FUNDAMENTOS:
[ ] Cartera de productos catalogada
[ ] Cada producto asignado un rol CRA
[ ] Determinación de rol documentada
[ ] Sistema único de cumplimiento seleccionado
[ ] Responsabilidades asignadas por rol

POR ROL:

PRODUCTOS FABRICADOS:
[ ] Expedientes técnicos completos
[ ] Evaluaciones de conformidad realizadas
[ ] SBOMs creados y mantenidos
[ ] Mecanismo de actualización establecido
[ ] Política CVD publicada
[ ] Capacidad de notificación a ENISA

PRODUCTOS IMPORTADOS:
[ ] Proveedores verificados (para cada uno)
[ ] Documentación obtenida y verificada
[ ] Copias de DoC archivadas
[ ] Trazabilidad establecida
[ ] Tu info de contacto añadida a productos
[ ] Monitorización de proveedor implementada

PRODUCTOS DISTRIBUIDOS:
[ ] Marcado CE verificado (todos los productos)
[ ] Documentación requerida presente
[ ] Condiciones de almacenamiento apropiadas
[ ] Canal de notificación de problemas a fabricante/importador
[ ] Registros de distribución mantenidos

CAPACIDADES UNIFICADAS:
[ ] Gestión de documentos para todos los roles
[ ] Sistema de trazabilidad operativo
[ ] Procedimiento de respuesta a incumplimiento
[ ] Capacitación completada (específica por rol)
[ ] Cooperación con vigilancia del mercado lista

CASOS LIMITE:
[ ] Productos marca blanca identificados ( fabricante)
[ ] Productos sustancialmente modificados identificados ( fabricante)
[ ] Productos de subsidiaria de tercer país identificados ( importador)

Cuando los roles cambian

Tu rol puede cambiar con el tiempo:

Distribuidor → Importador

Desencadenante: Tu proveedor UE cierra; comienzas a importar directamente de su fabricante.

Acción:

  • Verificación completa de importador para el producto
  • Establecer relación directa con proveedor
  • Actualizar Documentación

Importador → Fabricante

Desencadenante: Comienzas a poner tu marca en el producto importado.

Acción:

  • Completar obligaciones de fabricante (Evaluación de conformidad, expediente técnico, SBOM, etc.)
  • Tu proveedor es ahora solo eso, un proveedor, no el fabricante
  • Tú eres dueño del cumplimiento

Cualquier rol → Salida

Desencadenante: Dejas de vender un producto.

Acción:

  • Retención de documentación continua (10 años para fabricante/importador)
  • Obligaciones de soporte continúan para fabricante (mínimo 5 años desde última unidad)
  • Comunicación clara a clientes

Cómo ayuda CRA Evidence

CRA Evidence apoya organizaciones multi-rol:

  • Registro de productos basado en rol: Rastrea el rol CRA de cada producto
  • Flujos de trabajo específicos por rol: Diferentes listas de verificación y procesos por rol
  • Documentación unificada: Sistema único para todos los expedientes técnicos, registros de verificación
  • Gestión de proveedores: Rastrea y verifica proveedores para productos importados
  • Coordinación de vulnerabilidades: Enruta problemas a gestores apropiados por rol

Gestiona tu cumplimiento multi-rol en craevidence.com.

Guías relacionadas

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados.

CRA Fabricantes Importadores Distribuidores
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días