CRA multi-rol: fabricante, importador, distribuidor
Guía CRA para empresas que fabrican, importan y distribuyen: asignación de roles, acumulación de obligaciones, notificación, sanciones y conflictos.
En este artículo
- Resumen
- Cómo fallan de forma diferente las empresas multi-rol
- La pila de obligaciones multi-rol
- Opciones de estructura organizativa
- Ejemplo de reparto de costes
- Escenarios de conflictos de plazos
- Matriz de notificación de vulnerabilidades
- Clasificación de solicitudes de autoridades según el rol
- Exposición a sanciones cuando eres multi-rol
- Topología multi-Estado miembro en empresas multi-rol
- Cuando la misma entidad jurídica es AR, importador y fabricante
- Cuando los roles cambian a mitad del ciclo de vida
- Continuidad de negocio cuando la organización multi-rol cierra
- Preguntas frecuentes
Tu empresa fabrica sensores inteligentes en Alemania, importa dispositivos complementarios de un proveedor taiwanés y distribuye el software de otro vendedor. Bajo el CRA eres a la vez fabricante, importador y distribuidor. Las guías de cluster por un solo rol cubren cada conjunto de obligaciones de forma aislada. Esta página es lo que los equipos de cumplimiento multi-rol necesitan en la práctica: la capa operativa donde los roles se apilan, entran en conflicto y se solapan. Para las obligaciones por rol en sí, sigue los enlaces al cluster de fabricantes, al cluster de importadores y al cluster de distribuidores.
Resumen
- El rol se determina por producto, no por organización. Una empresa multi-rol tiene un conjunto de obligaciones distinto por línea de producto. Mapea cada producto primero.
- Parte de la infraestructura de cumplimiento se consolida entre roles. Otra parte no. Un único repositorio documental, una única recepción de vulnerabilidades y una única herramienta SBOM funcionan entre roles. Un único reloj de notificación, una única política de retención y una única política CVD no.
- La exposición a sanciones se acumula. Un solo incidente puede activar la sanción de nivel fabricante para un producto y la sanción de nivel importador o distribuidor para otro. Las empresas multi-rol modelan la exposición a doble nivel.
- La topología multi-Estado miembro amplifica todo. Cuando fabricas en un Estado miembro, importas en un segundo y distribuyes en un tercero, tratas con tres autoridades de vigilancia del mercado distintas, tres idiomas nacionales para la información al usuario y tres rutas de notificación paralelas cuando aflora una vulnerabilidad.
Cómo fallan de forma diferente las empresas multi-rol
Las empresas mono-rol fallan en las obligaciones de su único rol. Las empresas multi-rol fallan en las costuras entre roles. Tres modos de fallo se repiten.
Cumplimiento de cerebro dividido. El equipo de cada rol opera con su propio manual sin un mapa compartido de producto a rol. Ventas coloca el producto de marca blanca bajo tu marca el lunes. El equipo de fabricante nunca recibe el aviso del cambio de marca. La evaluación de conformidad del producto reeetiquetado nunca se ejecuta. Tres meses después una autoridad de vigilancia del mercado pide la cadena de evidencias del fabricante sobre una unidad vendida con tu marca pero documentada como producto importado de terceros. La posición legal es indefendible.
Colisión de políticas. Se aplican las políticas de dos roles al mismo producto porque el rol no estaba anclado. Tu política CVD establece 90 días. La de tu proveedor, 120. Sin una asignación clara de rol por producto, tu equipo de ingeniería usa la política ligada al rol que cree que tienes, no el que el CRA asigna a ese producto.
Redundancia en auditorías de proveedores. Como importador, realizas una verificación previa a la comercialización del producto de un proveedor. Como fabricante con ese mismo proveedor como vendedor de componentes, ejecutas la diligencia debida de componentes sobre el mismo proveedor. Mismo proveedor, dos expedientes de evidencias, dos presupuestos, dos entrevistas. La auditoría puede consolidarse, pero solo si tu mapa de rol por producto es lo bastante explícito para que la doble finalidad sea defendible.
La pila de obligaciones multi-rol
Parte de la infraestructura de cumplimiento se consolida entre roles. Otra parte permanece separada por rol. La tabla siguiente es la capa operativa que las empresas multi-rol necesitan antes de invertir en herramientas, procesos o estructura organizativa.
| Infraestructura | Se consolida entre roles | Permanece separada por rol |
|---|---|---|
| Almacenamiento documental | Sí. Un único sistema de archivos con carpetas por producto funciona. | La estructura de carpetas debe indicar el rol o roles asociados a cada producto. |
| Recepción de vulnerabilidades | Sí. Una única bandeja de entrada y una única cola de tickets puede recibir informes de todas las líneas de producto. | Las reglas de enrutamiento difieren. Los productos de fabricante escalan al equipo de ingeniería. Los productos importados escalan al proveedor y a la verificación del lado importador. |
| Herramientas SBOM | Sí. El mismo generador funciona para firmware fabricado y para SBOMs de proveedores recibidas (cuando se facilitan). | La autoridad sobre el SBOM difiere: tuya para los productos fabricados, del proveedor para los importados. |
| Política de divulgación coordinada de vulnerabilidades | No. | Los productos fabricados siguen tu política CVD. Para los productos importados, aplica la política del fabricante y tu rol es verificar que existe y es accesible. |
| Reloj de notificación | No. | Los productos fabricados usan el manual de notificación del fabricante. El escalado de importador y distribuidor permanece en el carril de la vigilancia del mercado. |
| Punto de contacto único para informes de vulnerabilidades | No. | El contacto del fabricante está en tus productos fabricados. Los receptores de productos importados ven el contacto del fabricante original (que verificaste en la recepción) y canalizan a través de ese contacto. |
| Retención documental | No. | La retención se configura a partir del rol del producto y el expediente de evidencias. No apliques una sola regla de archivo a todas las carpetas. |
| Nivel de sanción | No. | La sanción de nivel fabricante se aplica cuando el producto en infracción es uno que fabricas. La de nivel importador o distribuidor se aplica en los demás casos. |
| Cadena de evidencias de evaluación de conformidad | No. | La tuya para los productos fabricados. La del fabricante original para los importados y distribuidos. El importador guarda un puntero. El distribuidor guarda una comprobación de presencia. |
La infraestructura que se consolida es la ganancia de eficiencia del multi-rol. La que permanece separada por rol es donde los equipos de cumplimiento tropiezan si asumen que una sola política puede servir a todos los productos.
Opciones de estructura organizativa
Tres patrones funcionan para una organización de cumplimiento multi-rol. Elige el que se ajuste a tu cartera.
Opción 1: equipos por rol. Equipos separados para la actividad de fabricante, importador y distribuidor. Ideal cuando cada rol tiene un volumen sustancial.
Departamento de Cumplimiento
├─ Equipo de Cumplimiento de Fabricación → todas las obligaciones de fabricante
├─ Equipo de Cumplimiento de Importación → verificación de proveedores, docs de importación
└─ Equipo de Cumplimiento de Distribución → relaciones con socios, registros de distribución
Opción 2: equipos por producto. Un equipo por línea de producto, que asume todos los roles para los productos de esa línea. Ideal cuando las líneas de producto son acotadas y los roles por línea están mezclados.
Departamento de Cumplimiento
├─ Equipo Línea de Producto A (sensores) → todos los roles para sensores
├─ Equipo Línea de Producto B (controladores) → todos los roles para controladores
└─ Servicios Compartidos → gestión documental, herramientas SBOM, formación
Opción 3: híbrido (recomendado para la mayoría). Servicios centrales compartidos más equipos especializados por rol. Un único repositorio documental y una única recepción de vulnerabilidades, pero equipos separados para fabricación y para proveedores o socios.
Departamento de Cumplimiento
├─ Cumplimiento Central → gestión docs, recepción de vulnerabilidades, formación
├─ Cumplimiento de Fabricante → evaluación de conformidad, expedientes técnicos, actualizaciones
└─ Cumplimiento de Proveedor/Socio → verificación de importación, relaciones con distribuidores
Ejemplo de reparto de costes
Un reparto presupuestario práctico para una empresa multi-rol con 5 productos fabricados, 10 importados y 15 distribuidos.
PRESUPUESTO ANUAL DE CUMPLIMIENTO MULTI-ROL
INFRAESTRUCTURA COMPARTIDA (40% del presupuesto):
Sistema de gestión de cumplimiento: $25.000
Gestión documental: $10.000
Programa de formación: $15.000
Recepción de vulnerabilidades: $10.000
SUBTOTAL $60.000
ROL FABRICANTE (35% del presupuesto):
Evaluación de conformidad (5 productos): $25.000
Herramientas SBOM: $8.000
Infraestructura de actualizaciones: $15.000
Mantenimiento de expediente técnico: $5.000
SUBTOTAL $53.000
ROL IMPORTADOR (20% del presupuesto):
Verificación de proveedores (10 productos): $20.000
Solicitudes de documentación: $5.000
Monitorización de proveedores: $5.000
SUBTOTAL $30.000
ROL DISTRIBUIDOR (5% del presupuesto):
Verificación de socios: $5.000
Mantenimiento de registros: $2.500
SUBTOTAL $7.500
TOTAL $150.500
El 40% del núcleo compartido es la ganancia de eficiencia del multi-rol. La porción del 35% del fabricante sube de golpe si algún producto importado cruza al estatus de fabricante porque empiezas a ponerle tu marca o a modificarlo sustancialmente.
Escenarios de conflictos de plazos
Las empresas multi-rol se topan con conflictos de plazos que las mono-rol nunca ven.
Ventanas CVD en conflicto. Tus productos fabricados manejan una ventana de divulgación coordinada de vulnerabilidades de 90 días. Tu proveedor (cuyos productos importas) insiste en 120 días. Resolución: políticas separadas por rol. Tu política CVD se aplica solo a los productos que fabricas. Para los productos importados, la política del fabricante es la que importa. Tu rol es verificar que existe, es accesible y cumple el mínimo del CRA.
Desajuste de estándares documentales. Tu plantilla de expediente técnico como fabricante sigue tu estándar de documentación interno. La documentación de tu proveedor está estructurada según su propio régimen nacional. Resolución: mantén plantillas separadas por rol. No fuerces la documentación del proveedor dentro de tu plantilla de fabricante, o perderás trazabilidad cuando una autoridad de vigilancia del mercado pida la fuente original.
Proveedor que no coopera. Eres importador, pero tu proveedor no facilita la documentación que necesitas para la verificación previa a la comercialización. Resolución: el acuerdo está roto. Sin documentación no puedes colocar legalmente el producto en el mercado UE. Retén el envío, formaliza la solicitud de documentación por escrito y, si el proveedor sigue negándose, cambia de proveedor.
Cascada del periodo de soporte. Como fabricante, te comprometes a un periodo de soporte de 7 años para tu propio producto. La misma línea de producto incluye un componente OEM rebautizado que también has importado (eres a la vez fabricante de una variante e importador de otra). El OEM solo se compromete a 5 años para la variante importada. Tus clientes pueden ver ambas variantes en tu catálogo. Resolución: comunica el periodo de soporte por variante con claridad en el punto de venta. No permitas que tu marketing declare un único envoltorio para las dos variantes.
Límite de acceso a la SRP de ENISA. La Plataforma de Notificación Única de ENISA es el canal de notificación del lado fabricante. Las empresas multi-rol configuran el acceso a la SRP para su rol de fabricante. Para los productos que solo importas o distribuyes, el fabricante original es quien notifica a través de la SRP. Tu rol es informar a ese fabricante y, cuando exista un riesgo cibernético significativo, informar directamente a la vigilancia del mercado, no notificar a ENISA en nombre del fabricante original.
Matriz de notificación de vulnerabilidades
Se notifica una vulnerabilidad. Afecta a tres cohortes de productos en tu cartera: productos que fabricas, productos que has importado y productos que distribuyes. Qué se activa dónde, en qué orden y quién firma.
| Cohorte | Notificación primaria | Notificación secundaria | Quién firma |
|---|---|---|---|
| Productos que fabricas | Plataforma de notificación única de ENISA (flujo de notificación del fabricante) | CSIRT coordinador para la vulnerabilidad, CSIRT y vigilancia del mercado para incidente grave, más usuarios afectados | Responsable de cumplimiento de fabricante |
| Productos que has importado | El fabricante original, sin demora injustificada | Vigilancia del mercado de cada Estado miembro de suministro si hay riesgo cibernético significativo | Responsable de cumplimiento de importador |
| Productos que distribuyes | El fabricante original, sin demora injustificada | Vigilancia del mercado de cada Estado miembro de suministro si hay riesgo cibernético significativo | Responsable de cumplimiento de distribuidor |
Para un evento de incidente único con múltiples cohortes, las notificaciones corren en paralelo, no en secuencia. La notificación del flujo fabricante tiene un reloj regulatorio. Las notificaciones de importador y distribuidor corren con el estándar de «sin demora injustificada». No dejes que el reloj del lado fabricante domine el escalado de importador y distribuidor, porque los deberes de importador y distribuidor existen de forma independiente.
Para la cadencia por cohorte, los umbrales de escalado y los flujos de notificación por rol, el flujo de notificación del fabricante, la cascada de cese de operaciones del importador y la conciencia de vulnerabilidades del distribuidor en el conjunto de clusters son las referencias canónicas.
Clasificación de solicitudes de autoridades según el rol
Una autoridad de vigilancia del mercado emite una solicitud motivada. Los distintos roles producen expedientes de evidencias distintos en respuesta.
| Rol del producto | Lo que la autoridad espera | Dónde viven las evidencias |
|---|---|---|
| Fabricado por ti | Cadena de evidencias completa: documentación técnica, ruta de evaluación de conformidad, declaración UE de conformidad, compromiso de periodo de soporte, registro de gestión de vulnerabilidades | Equipo de cumplimiento de fabricante, sistema de gestión documental |
| Importado por ti | Registro de verificación del importador (comprobación de marcado CE, datos del fabricante, puntero a la declaración de conformidad), puntero a la documentación técnica del fabricante, registro de retención de la declaración de conformidad | Equipo de cumplimiento de importador, sistema de gestión documental |
| Distribuido por ti | Conjunto documental usado para la comprobación de recepción (referencia a la declaración de conformidad, información al usuario, puntos de contacto de la cadena de suministro), prueba de la verificación basada en presencia | Equipo de cumplimiento de distribuidor, registros de recepción |
Construye el mapa de evidencias por rol por producto antes de que una autoridad de vigilancia del mercado lo pida. El día que llega una solicitud motivada, la pregunta no es «dónde está la evidencia». La pregunta es «qué expediente de evidencias corresponde al rol que este producto tiene en esta fecha». Un equipo multi-rol que no haya construido el mapa de antemano perderá una jornada de trabajo reconstruyendo la cadena de evidencias equivocada.
Exposición a sanciones cuando eres multi-rol
Un solo incidente de vulnerabilidad puede activar más de un nivel de sanción cuando el código vulnerable está en productos de varios roles.
| Rol del producto en infracción | Nivel de sanción | Techo |
|---|---|---|
| Fabricado por ti | Nivel fabricante | 15 millones EUR o el 2,5 % del volumen de negocio mundial anual |
| Importado por ti | Nivel importador | 10 millones EUR o el 2 % del volumen de negocio mundial anual |
| Distribuido por ti | Nivel distribuidor | 10 millones EUR o el 2 % del volumen de negocio mundial anual |
Los niveles se aplican por infracción, no por producto. Una empresa multi-rol que ejecuta el mismo componente vulnerable en líneas de productos fabricados e importados, y no notifica, queda expuesta al nivel fabricante para la cohorte fabricada y al nivel importador para la cohorte importada, en paralelo. El modelo de seguro y la gestión del riesgo a nivel de dirección deben contemplar ambos techos, no solo el mayor.
La mitigación es operativa, no contractual. El mapa de evidencias por rol más la difusión de notificaciones por rol te proporcionan un registro defendible de qué productos se notificaron cuándo y bajo qué protocolo de rol. Sin ese registro, una autoridad puede exigir a la empresa que pruebe qué rol aplicaba a cada producto antes de que se evalúe el nivel de sanción.
Topología multi-Estado miembro en empresas multi-rol
Cuando una organización multi-rol opera cruzando fronteras entre Estados miembros, el mapa de rol por producto adquiere un segundo eje: qué contactos de autoridades nacionales pre-preparar por rol y en qué idioma espera cada Estado miembro de suministro la información al usuario.
Tomemos un grupo europeo que fabrica sensores en Alemania, importa controladores de un proveedor taiwanés a través de su entidad francesa y distribuye el software de un vendedor belga a través de su brazo de ventas italiano.
| Cohorte de productos | Rol | Contactos de autoridades a pre-preparar | Idioma de información al usuario |
|---|---|---|---|
| Sensores fabricados | Fabricante | CSIRT coordinador y autoridad de vigilancia del mercado competente para el flujo de notificación del fabricante, más contactos de vigilancia del mercado en cada Estado miembro donde el producto se comercializa | Alemán para la información al usuario del mercado alemán, más el idioma por Estado miembro para envíos a otros mercados |
| Controladores importados | Importador | Autoridades de vigilancia del mercado de cada Estado miembro donde colocas el producto en el mercado | Francés, más el idioma por Estado miembro para el resuministro |
| Software distribuido | Distribuidor | Autoridades de vigilancia del mercado de cada Estado miembro donde comercializas el producto, más la ruta de vuelta a la cadena de autoridades principal del fabricante para el escalado ascendente | Italiano, más el idioma por Estado miembro que corresponda a donde comercializas el producto |
Una vulnerabilidad que afecta a las tres cohortes activa notificaciones paralelas a tres autoridades nacionales de vigilancia del mercado al mismo tiempo, cada una en el idioma nacional correspondiente. El CRA no tiene un panel unificado entre Estados miembros para una organización multi-rol. Construye ahora el directorio de contactos de vigilancia del mercado por cohorte. La primera vez que lo necesites no debería ser durante un incidente.
Cuando la misma entidad jurídica es AR, importador y fabricante
El régimen de representante autorizado es permisivo, no obligatorio. Un fabricante no europeo puede designar a una entidad establecida en la UE como su representante autorizado mediante un mandato escrito. Nada en el CRA impide que esa misma entidad de la UE sea también el importador de los productos de otro vendedor no europeo, o el fabricante de su propia línea de productos.
Esta es la superposición de roles más concentrada del CRA. Tres cosas deben permanecer separadas aunque se encuentren bajo el mismo techo corporativo:
Los mandatos son por vendedor. Cada relación de representante autorizado se documenta con un mandato escrito. Si actúas como AR para el vendedor no europeo A e importador del vendedor no europeo B, el registro de AR cubre solo al vendedor A. Los productos del vendedor B funcionan bajo el régimen de importador, sin superposición de mandato.
Los límites de responsabilidad difieren por rol. El AR guarda la documentación y coopera con la vigilancia del mercado en nombre del fabricante representado, pero no coloca productos en el mercado. El importador lleva la verificación previa a la comercialización de cuatro comprobaciones, coloca el producto en el mercado y retiene la declaración UE de conformidad durante 10 años o el periodo de soporte. El fabricante lleva el conjunto completo de obligaciones de diseño e ingeniería. Son tres superficies de responsabilidad distintas, todas bajo una misma persona jurídica. Los registros deben sustentar la separación de roles por producto.
El enrutamiento en caso de cese es por rol. Si el vendedor A, para quien eres AR, cesa operaciones, comprueba el mandato escrito y conserva el expediente de documentación y cooperación del AR. El aviso legal de cese en sí recae sobre el fabricante salvo que también aplique otro desencadenante específico de rol. Si el vendedor B (para quien eres importador) cesa operaciones, se activa el aviso del importador sobre la toma de conciencia del cese: informa a la vigilancia del mercado y a los usuarios sobre el cese del fabricante. Tu propia línea de fabricante, si llega a cesar, activa el aviso de autocese del fabricante con tu propio flujo de comunicación a clientes. Los tres desencadenantes no se consolidan en un único enrutamiento.
El piso práctico: un mapa por producto con la etiqueta de rol en cada producto hace que la separación AR/importador/fabricante sea defendible. Sin ese mapa, una auditoría sobre los productos del vendedor A se extenderá a tus registros de importador y fabricante y generará costes evitables de descubrimiento de evidencias.
Cuando los roles cambian a mitad del ciclo de vida
Las empresas multi-rol ven cambiar los roles de los productos a lo largo del ciclo de vida. Cinco eventos se repiten.
Distribuidor a importador. Tu proveedor de la UE cierra y empiezas a importar directamente del fabricante no europeo. Acciones: verificación completa de importador sobre el producto, relación directa con el proveedor, actualización de toda la documentación de importación.
Importador a fabricante. Empiezas a colocar el producto importado bajo tu propia marca. Acciones: completa el conjunto de obligaciones de fabricante (evaluación de conformidad, expediente técnico, SBOM, gestión de vulnerabilidades, compromiso de periodo de soporte). Tu proveedor es ahora un fabricante por contrato en términos comerciales, no el fabricante CRA. La titularidad del cumplimiento pasa a ti.
Distribuidor a modificador de paquete. Empiezas a preinstalar firmware personalizado en un producto que antes distribuías sin cambios. Acciones: las obligaciones de fabricante se aplican a través del puente de rebautizado para el producto modificado o, cuando la modificación afecta a la ciberseguridad del producto completo, al producto en su totalidad.
Fabricante a distribuidor. Dejas de dar marca a una línea de productos y la devuelves al OEM bajo la marca propia del OEM. Acciones: el fabricante original recupera el rol de fabricante desde ese momento. Tú te conviertes en distribuidor del producto con marca OEM. Tus obligaciones de retención y soporte como fabricante continúan para las unidades ya colocadas en el mercado bajo tu marca.
Cualquier rol a salida. Dejas de vender un producto. Acciones: la retención documental continúa (fabricante e importador llevan retención de 10 años o del periodo de soporte). Las obligaciones de soporte del fabricante continúan al menos 5 años desde la última unidad colocada en el mercado, o el periodo de soporte si fue comprometido por más tiempo. Si el fabricante también cesa operaciones, el deber de aviso se canaliza a través de los importadores y distribuidores de la cadena.
Continuidad de negocio cuando la organización multi-rol cierra
El CRA tiene un único aviso legal de autocese: el del fabricante. Cuando un fabricante cesa operaciones y ya no puede cumplir, debe informar a las autoridades de vigilancia del mercado pertinentes y a los usuarios de los productos ya colocados en el mercado, antes de que el cese tenga efecto. No existe un aviso equivalente de autocese para los roles de importador o distribuidor. Los deberes de cese del importador y del distribuidor en el CRA solo se activan cuando el fabricante de un producto que gestionan cesa operaciones, no cuando el importador o distribuidor mismo cesa.
Para una organización multi-rol que cierra, esto significa:
| Cohorte que ostenta la entidad que cierra | Lo que el CRA exige | Trabajo de continuidad operativa |
|---|---|---|
| Productos fabricados | Aviso legal de autocese a las autoridades de vigilancia del mercado y, por cualquier medio disponible, a los usuarios. Comunica cualquier acuerdo de soporte sucesor si existe. | Documenta el aviso, la fecha, los destinatarios y las implicaciones del periodo de soporte. Conserva el expediente técnico y la declaración de conformidad en el mínimo de retención (10 años o el periodo de soporte). |
| Productos importados | No existe aviso legal de autocese por el lado del importador. La declaración de conformidad y el puntero a la documentación técnica ya estaban en el expediente desde la recepción y permanecen en el archivo de registros. | Planifica la continuidad del registro. Identifica qué entidad hereda la retención de la declaración de conformidad del lado importador. Comunica los cambios de canal a las contrapartes comerciales. |
| Productos distribuidos | No existe aviso legal de autocese por el lado del distribuidor. | Deja de comercializar los productos. Comunica a las contrapartes comerciales que deben buscar otro proveedor. No se exige al distribuidor ningún aviso legal a los usuarios por el mero hecho de cesar la distribución. |
| Mandatos de AR ostentados para fabricantes no europeos | No existe aviso legal de autocese para el AR. La documentación del mandato sigue existiendo y el rol del AR es la custodia documental y la cooperación. | Coordínate con cada fabricante representado para transferir el mandato de AR a un sucesor o para terminarlo de forma ordenada. Conserva el expediente de documentación según corresponda. |
Trata el aviso de autocese del fabricante como el evento regulado. Trata las transiciones de importador, distribuidor y AR como planificación operativa de continuidad del registro, no como flujos adicionales de aviso legal. Las empresas multi-rol que confunden los cuatro casos (y asumen que el importador y el distribuidor tienen su propio deber de aviso de autocese) sobredimensionan el manual y pueden retrasar el único aviso legal que realmente importa.
Preguntas frecuentes
¿Qué hace el CRA cuando una empresa es a la vez fabricante e importador?
El CRA aplica las obligaciones de rol por producto, no por organización. Si fabricas un producto e importas otro, llevas las obligaciones de fabricante en el primero y las de importador en el segundo, en paralelo. Si el mismo producto es uno que colocas bajo tu propia marca o modificas sustancialmente tras importarlo, aplica el puente de rebautizado y te conviertes en el fabricante de ese producto concreto. El límite es producto a producto, no empresa a empresa.
¿Puedo subcontratar un rol CRA a otra empresa?
Puedes externalizar tareas. No puedes externalizar el rol legal. La empresa que coloca el producto en el mercado bajo su nombre, lo importa a la Unión o lo comercializa aguas abajo sigue siendo la titular del rol y sus obligaciones. Una firma de servicios de cumplimiento de terceros puede gestionar ensayos de evaluación de conformidad, auditorías de proveedores o mantenimiento documental bajo contrato, pero la responsabilidad regulatoria permanece contigo.
¿Cómo se apilan las obligaciones de notificación cuando tengo varios roles?
El flujo de notificación del lado fabricante (plataforma de notificación única de ENISA, CSIRT coordinador, usuarios afectados) es el canal regulatorio principal. Los deberes del importador y del distribuidor operan en paralelo como escalado: informar al fabricante de las vulnerabilidades sin demora injustificada, e informar a la vigilancia del mercado de cada Estado miembro de suministro si el producto presenta un riesgo cibernético significativo. Una empresa multi-rol ejecuta ambos flujos en paralelo y los firma bajo distintos responsables de rol, con trazas de evidencias separadas.
¿Cuándo debería una empresa multi-rol dividirse en filiales jurídicas separadas?
La decisión normalmente la desencadena el modelo de exposición a sanciones, no la complejidad operativa. Cuando el techo de nivel fabricante (15 millones EUR o el 2,5 % del volumen de negocio mundial) aplicado a tu línea de productos fabricados supera ampliamente los ingresos de importador y distribuidor, separar la actividad de fabricante en una filial distinta puede proteger esos ingresos de un incidente del lado fabricante. La separación también merece consideración cuando la duplicación de auditorías de proveedores o la carga de informes regulatorios se convierte en una partida presupuestaria medible y no en una nota a pie de cumplimiento. El CRA no exige ninguna estructura jurídica concreta. Adscribe las obligaciones de rol a la persona jurídica que coloca el producto en el mercado.
¿El alta en la plataforma de notificación única de ENISA cubre todos mis roles?
La plataforma de notificación única es el canal de notificación del fabricante. Una empresa multi-rol se da de alta en la SRP para su rol de fabricante y usa la plataforma para los productos que fabrica. Para los productos que solo importas o distribuyes, el fabricante original es la entidad que notifica a través de la SRP. Tu rol en esos productos es informar al fabricante de las vulnerabilidades y notificar directamente a las autoridades de vigilancia del mercado cuando haya un riesgo cibernético significativo en productos que colocaste en el mercado o comercializaste.
¿Puede una sola auditoría de proveedor servir tanto para mi diligencia debida de importador como para la de componentes como fabricante?
Sí, cuando la auditoría está diseñada para doble finalidad y el mapa de rol por producto es explícito. El alcance de la auditoría debe cubrir tanto los requisitos de verificación previa a la comercialización del importador para los productos terminados como los requisitos de diligencia debida de componentes del fabricante para los componentes integrados en tu propio producto. Documenta la doble finalidad en el plan de auditoría. Una sola visita al proveedor que produce dos expedientes de evidencias específicos por rol es aceptable. Un expediente único que mezcla los dos roles es más difícil de defender cuando una autoridad de vigilancia del mercado pregunta qué evidencias de qué rol se están presentando.
¿Puede un único punto de contacto servir a los roles de fabricante, importador y distribuidor?
Una sola bandeja de entrada puede recibir informes de vulnerabilidades de todos los roles, pero el enrutamiento debe dividirse por rol aguas abajo. El punto de contacto único del lado fabricante debe ser no automatizado y permitir que los usuarios elijan su medio de comunicación preferido. Para los productos importados y distribuidos, los receptores esperan el contacto del fabricante original. Una empresa multi-rol que publica una única bandeja de entrada debe asegurarse de que, detrás de esa bandeja, los informes se etiquetan con el rol del producto y se enrutan al responsable correcto dentro del mismo día laborable. Mezclar las colas sin enrutamiento interno deja los informes del lado fabricante en un flujo de tickets de estilo distribuidor, lo que rompe el estándar de «sin demora injustificada».
Este artículo es solo a efectos informativos y no constituye asesoramiento legal. Para una guía de cumplimiento específica, consulta con asesores legales cualificados.
Artículos Relacionados
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.