CRA para fabricantes españoles: INCIBE-CERT, CCN y ENAC

Ficha país para fabricantes españoles: notificación probablemente vía INCIBE-CERT, organismos notificados CCN/ENAC, obligaciones en castellano y financiación.

Equipo CRA Evidence Publicado 1 de enero de 2026 Actualizado 31 de mayo de 2026
Guía nacional CRA para fabricantes españoles: cadena institucional con INCIBE-CERT para notificaciones, organismo notificado para la evaluación de conformidad y autoridad de vigilancia del mercado para la supervisión
En este artículo

Los fabricantes españoles tienen las mismas obligaciones bajo la Ley de Ciberresiliencia que cualquier otro fabricante de la UE. Esta guía es un resumen nacional para España: cómo se enrutan las notificaciones de vulnerabilidades e incidentes a través de INCIBE-CERT, cómo funciona la designación de organismos notificados con el reparto entre CCN y ENAC, qué exigen en la práctica las obligaciones lingüísticas en castellano, y qué queda de los programas nacionales de financiación a medida que se cierra la ventana del Plan de Recuperación. Para el conjunto completo de obligaciones del fabricante, consulta la guía del clúster de fabricantes.

Resumen

  • La Ley de Ciberresiliencia es un Reglamento de la UE con efecto directo. No existen exenciones específicas para los fabricantes españoles.
  • INCIBE-CERT es el CSIRT español receptor de las notificaciones de vulnerabilidades e incidentes del CRA cuando tu establecimiento principal está en España.
  • CCN (Centro Criptológico Nacional) notifica a los organismos españoles de evaluación de la conformidad ante la Comisión Europea. ENAC los acredita como paso técnico previo a esa notificación.
  • El proyecto de Real Decreto designa a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales (SETID), dentro del Ministerio para la Transformación Digital y de la Función Pública (MTDFP), como autoridad española de vigilancia del mercado para el CRA. El marco nacional de autoridades competentes entra en vigor el 11 de junio de 2026. Verifica la designación definitiva en el BOE antes de cualquier trámite formal.
  • El castellano es obligatorio para la información al usuario de los productos comercializados en España. Las lenguas cooficiales de las comunidades autónomas (catalán, gallego y vasco) no son exigidas por la Ley de Ciberresiliencia.
  • CDTI tiene líneas de innovación abiertas en 2026 que pueden financiar I+D vinculado al CRA. Las convocatorias de Kit Digital cerraron en octubre de 2025. Los proyectos del Plan de Recuperación deben ejecutarse antes del 31 de agosto de 2026 y no son un vehículo de planificación para el plazo del 11 de diciembre de 2027.

Cuándo te aplica esta guía

Eres el lector destinatario si tu «establecimiento principal en la Unión» como fabricante está en España. Eso significa el lugar donde se toman predominantemente las decisiones relacionadas con la ciberseguridad de tus productos con elementos digitales. Una filial de ventas registrada en España con ingeniería fuera del país no es el establecimiento principal. Si tu equipo de ingeniería, la gobernanza de tu SDLC y las personas que aprueban las publicaciones de actualizaciones de seguridad están en España, esta guía es para ti.

Si tu establecimiento principal está en otro Estado miembro de la UE y únicamente comercializas en España, tus notificaciones CRA se enrutan a través del CSIRT de ese otro Estado miembro, no a INCIBE-CERT. La obligación lingüística de castellano para la información al usuario sigue aplicándose a cualquier producto comercializado en el mercado español.

INCIBE-CERT: la ruta del CSIRT español

Las notificaciones del CRA se enrutan al CSIRT designado como coordinador del Estado miembro donde el fabricante tiene su establecimiento principal en la Unión. Para un fabricante con establecimiento principal en España, ese CSIRT es INCIBE-CERT.

INCIBE-CERT publica avisos de vulnerabilidades en castellano y opera el flujo de respuesta a incidentes en productos de consumo. CCN-CERT cubre los sistemas del sector público y los clasificados, y no es la ruta del CRA para los fabricantes comerciales que colocan productos en el mercado abierto.

El canal técnico para la cadencia de notificación de 24 h / 72 h / 14 días es la plataforma única de notificación de ENISA, que entra en funcionamiento el 11 de septiembre de 2026. Un fabricante español notifica a través de esa plataforma con INCIBE-CERT como coordinador receptor. La designación del CSIRT define el enrutamiento. La plataforma es el canal de transmisión.

Organismos notificados: CCN designa, ENAC acredita

Los productos Importantes de Clase I necesitan un organismo notificado (Módulo B+C o Módulo H) únicamente cuando las normas armonizadas, las especificaciones comunes o un esquema de certificación no los cubren íntegramente. Los productos Importantes de Clase II utilizan un organismo notificado (Módulo B+C o Módulo H) o un esquema de certificación disponible y aplicable. Los productos Críticos (Anexo IV) siguen el Artículo 32(4): la vía de certificación del Artículo 8(1) cuando la Comisión la haya activado; de lo contrario, las mismas vías del Artículo 32(3).

El reparto institucional español es el siguiente:

  • CCN (Centro Criptológico Nacional) actúa como autoridad notificante que designa formalmente a los organismos españoles de evaluación de la conformidad ante la Comisión Europea bajo el CRA.
  • ENAC (Entidad Nacional de Acreditación) es el organismo nacional de acreditación y evalúa la competencia técnica del candidato como paso previo a esa notificación por parte de CCN.

El marco del CRA para los organismos notificados entra en vigor el 11 de junio de 2026, a partir de cuando los organismos designados pueden empezar a emitir certificados de evaluación de conformidad bajo el CRA. Hasta entonces, la cadena española se está poniendo en marcha.

Un fabricante español puede usar cualquier organismo notificado de la UE, no solo los designados en España. Optar por un organismo designado en España es una preferencia de contratación (evaluación en castellano, logística de auditoría en el país) y no un requisito de la Ley de Ciberresiliencia.

Vigilancia del mercado: SETID dentro del MTDFP

El proyecto de Real Decreto designa a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales (SETID), dentro del Ministerio para la Transformación Digital y de la Función Pública (MTDFP), como autoridad de vigilancia del mercado para los productos CRA en España. Trata esta designación como provisional hasta que se publique el texto definitivo en el BOE.

INCIBE presta apoyo técnico como laboratorio preferente, pero el proyecto no le atribuye potestades públicas de decisión en vigilancia del mercado CRA. La regla práctica para fabricantes no cambia: verifica la designación definitiva en el BOE antes de enviar cualquier trámite formal.

Obligaciones lingüísticas en castellano: la práctica

La Ley de Ciberresiliencia exige que la información al usuario sobre el producto esté en un idioma fácilmente comprensible para los usuarios y para la autoridad de vigilancia del mercado local. Para los productos comercializados en España, eso es el castellano.

Debe estar en castellano:

  • Las instrucciones de uso e información del producto que acompañan al producto.
  • Los datos de contacto del fabricante (nombre, dirección, correo electrónico u otro contacto digital) donde quiera que aparezcan, incluyendo en el propio producto, el embalaje o el documento adjunto.
  • La información sobre la fecha de fin de soporte mostrada en el punto de venta.

Puede ser multilingüe:

  • El etiquetado del producto y el marcado CE.
  • El texto del embalaje.
  • La documentación en línea, siempre que haya una versión en castellano accesible.

El inglés se acepta normalmente para:

  • La documentación técnica interna. Las autoridades de vigilancia del mercado pueden solicitar una traducción al castellano si formulan una petición motivada, así que contempla esa contingencia aunque no traduzcas de forma proactiva.

El catalán, el gallego y el vasco son cooficiales en sus respectivas comunidades autónomas. La Ley de Ciberresiliencia no obliga a traducir a las lenguas cooficiales. Determinados contratos de contratación pública regional o reguladores sectoriales pueden añadir sus propias cláusulas lingüísticas al margen del CRA.

Vender al exterior desde España

Los fabricantes españoles que venden a Portugal, Francia, Italia u otros Estados miembros de la UE mantienen la misma regla de enrutamiento único: tus notificaciones siguen yendo a INCIBE-CERT, porque el enrutamiento sigue al establecimiento principal, no al destino de cada envío. No notificas al CSIRT portugués, francés ni italiano.

La obligación lingüística sí se ramifica por mercado. Un producto enviado al mercado francés necesita información al usuario en francés. Un producto enviado al mercado portugués necesita información en portugués. El pack en castellano no cubre esos mercados.

Cada autoridad de vigilancia del mercado del Estado miembro receptor también puede solicitar tu documentación técnica en un idioma fácilmente comprensible por esa autoridad. Si tu cadena de suministro abarca buena parte de la UE, espera solicitudes en al menos un idioma de trabajo ampliamente utilizado, y considera traducir las secciones más solicitadas de la documentación técnica como medida de precaución práctica.

Programas nacionales de financiación

El panorama de financiación ha cambiado a medida que se cierra la ventana del Plan de Recuperación. Verifica bien qué está abierto antes de planificar ninguna partida contra estos programas.

  • CDTI (Centro para el Desarrollo Tecnológico Industrial) tiene líneas activas en 2026: NEOTEC (startups tecnológicas en etapa temprana), Línea Directa de Innovación (LIC) y Misiones Ciencia e Innovación (grandes consorcios de I+D colaborativo). El trabajo impulsado por el CRA encaja donde el enfoque es I+D e innovación genuinos, no implementación pura o cumplimiento normativo. CDTI prevé movilizar más de 1.800 millones de euros en sus líneas de 2026.
  • Activa Ciberseguridad es un programa de pequeños bonos (unos 2.140 euros por beneficiario) para pymes industriales, gestionado por SGIPYME con las comunidades autónomas y EOI. Útil para un diagnóstico inicial de ciberseguridad o un plan de ciberseguridad, no para la inversión completa en herramientas CRA.
  • Kit Digital está en fase de transición. Todas las convocatorias de Kit Digital cerraron en octubre de 2025. La Orden TDF/39/2026 (BOE, 28 de enero de 2026) permite redistribuir fondos remanentes, pero no hay ventana de solicitud abierta a 25 de mayo de 2026. Consulta kitdigital.red.es/convocatorias antes de contar con este programa.
  • Plan de Recuperación, Transformación y Resiliencia (PRTR) está en su ventana de cierre. Todos los proyectos del Plan de Recuperación deben ejecutarse antes del 31 de agosto de 2026, con las solicitudes de pago final de España a la Comisión con fecha límite del 30 de septiembre de 2026. El PRTR no es por tanto un vehículo de planificación viable para el plazo de cumplimiento del CRA del 11 de diciembre de 2027. La iniciativa RETECH de 162 millones de euros a través de INCIBE está en su fase final de desembolso.

Para la nueva inversión en cumplimiento fechada contra el plazo obligatorio del 11 de diciembre de 2027, el panorama realista de financiación pública en España son las líneas de innovación del CDTI más cualquier programa sectorial de las comunidades autónomas. Los programas financiados por el Plan de Recuperación no forman parte de ese panorama a partir de 2027.

Preguntas frecuentes

¿Qué CSIRT español recibe mis notificaciones de vulnerabilidades del CRA?

INCIBE-CERT, cuando el establecimiento principal del fabricante está en España. El CRA define establecimiento principal como el lugar donde se toman predominantemente las decisiones relacionadas con la ciberseguridad de los productos con elementos digitales. CCN-CERT no actúa como coordinador CRA para los fabricantes comerciales. Las notificaciones se envían a través de la plataforma única de notificación de ENISA a partir del 11 de septiembre de 2026, con INCIBE-CERT como coordinador receptor.

¿Quién designa los organismos notificados españoles, ENAC o CCN?

CCN (Centro Criptológico Nacional) es la autoridad notificante que designa formalmente a los organismos notificados españoles bajo el CRA ante la Comisión Europea. ENAC acredita a los organismos candidatos como paso técnico previo a esa notificación. Ambos intervienen con roles distintos. Un fabricante español puede seguir usando cualquier organismo notificado de la UE para la evaluación de conformidad bajo el CRA. La cadena española importa para la contratación, no como requisito del CRA.

¿Mi certificación ENS o LINCE cubre la evaluación de conformidad del CRA?

No. Ninguna sustituye a la evaluación de conformidad del CRA, aunque ambas pueden generar evidencia que la respalde. El ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) es un marco de seguridad organizativa para los sistemas de información del sector público y sus proveedores, no una certificación de producto. LINCE es la evaluación ligera de productos del CCN que permite la inclusión en el catálogo CPSTIC para la contratación pública española. LINCE se ha armonizado a nivel europeo a través de FITCEM EN 17640:2022, junto con las metodologías francesa CSPN y alemana BSZ, por lo que sus resultados pueden incorporarse a tu documentación técnica del CRA como evidencia de apoyo. Las rutas propias de evaluación de conformidad del CRA (Módulo A de autoevaluación, Módulo B+C de examen de tipo, Módulo H de aseguramiento de calidad completo) funcionan como una cadena separada. Si tienes certificación ENS o LINCE, trátala como aportación a tu expediente CRA, no como sustituto de la evaluación de conformidad en sí.

¿Qué autoridad española es la autoridad de vigilancia del mercado para el CRA?

El proyecto de Real Decreto designa a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales (SETID), dentro del Ministerio para la Transformación Digital y de la Función Pública (MTDFP), como autoridad española de vigilancia del mercado para el CRA. El marco de autoridades nacionales competentes entra en vigor el 11 de junio de 2026, y la designación oficial en el BOE puede estar aún finalizándose cuando leas esto. Verifica la designación definitiva antes de cualquier trámite formal. El flujo de notificación del CRA a través de INCIBE-CERT opera con independencia de cómo se dividan los roles de vigilancia del mercado.

¿Cuándo publicará España su ley nacional de aplicación del CRA en el BOE?

La Ley de Ciberresiliencia es un Reglamento de la UE con efecto directo, por lo que España no necesita transponerlo a derecho nacional para que las obligaciones sustantivas sean aplicables el 11 de diciembre de 2027. Lo que España sí debe publicar antes del 11 de junio de 2026 es un instrumento de aplicación (normalmente un Real Decreto u Orden Ministerial) que designe formalmente la autoridad de vigilancia del mercado del CRA, la autoridad notificante para los organismos de evaluación de la conformidad y el punto de contacto único nacional. Ese mismo instrumento o uno posterior fijará la escala de sanciones española dentro de los límites máximos de la UE, definirá el procedimiento de aplicación y aclarará la coordinación con la legislación española de ciberseguridad existente. A 25 de mayo de 2026 esta publicación en el BOE aún no ha aparecido. Sigue el BOE en torno al plazo del marco del 11 de junio de 2026 para encontrar el Real Decreto de designación, y trata como provisional cualquier atribución anterior de autoridades hecha por el sector hasta que ese texto esté publicado.

¿Tengo que traducirlo todo al catalán, al gallego o al euskera?

La Ley de Ciberresiliencia exige información al usuario en un idioma fácilmente comprensible en el Estado miembro de suministro. Para España es el castellano. Las lenguas cooficiales de las comunidades autónomas no son exigidas por el propio CRA. Determinados contratos de contratación pública regional o reguladores sectoriales pueden añadir sus propias cláusulas lingüísticas al margen del CRA.

¿Puede CDTI o Kit Digital pagar mis herramientas de cumplimiento del CRA?

CDTI: donde el trabajo es I+D e innovación genuinos (nuevos métodos de detección, herramientas de análisis de SBOM, pipelines de gestión de vulnerabilidades), sí. El plan de 2026 del CDTI moviliza más de 1.800 millones de euros entre NEOTEC, LIC, Misiones y otras líneas. El trabajo de cumplimiento puro (auditorías, tasas de evaluación de conformidad, construcción de procesos internos) es más difícil de encajar, ya que el CDTI financia innovación. Kit Digital: convocatorias cerradas en octubre de 2025, sin ventana abierta a 25 de mayo de 2026. La Orden TDF/39/2026 permite redistribución de remanentes pero no reabre convocatorias. El Plan de Recuperación está en su ventana de cierre con ejecución de proyectos antes del 31 de agosto de 2026, por lo que no puede financiar trabajo planificado contra el plazo del 11 de diciembre de 2027.

Envío desde España a otros Estados miembros de la UE. ¿Dónde notifico incidentes?

A través de INCIBE-CERT, con independencia de a qué Estados miembros envíes. El CRA vincula el enrutamiento de notificaciones al establecimiento principal, no al destino de cada envío. La obligación lingüística sí se ramifica por mercado: información del producto en francés para los envíos a Francia, en portugués para los envíos a Portugal, y así sucesivamente. Prepara al menos las secciones más solicitadas de la documentación técnica en un idioma de trabajo ampliamente utilizado para absorber las solicitudes motivadas transfronterizas.

Para fabricantes españoles que se preparan para el 11 de diciembre de 2027

  1. Confirma tus obligaciones como fabricante con la guía del clúster de fabricantes.
  2. Verifica que tu establecimiento principal está en España y documenta el razonamiento. Lo que importa es dónde se toman las decisiones de ciberseguridad, no el domicilio social registrado.
  3. Mapea tu flujo de notificación del CRA con INCIBE-CERT como CSIRT receptor, con un envío de prueba a la plataforma única de notificación de ENISA una vez que entre en funcionamiento el 11 de septiembre de 2026.
  4. Si tu ruta de evaluación de la conformidad necesita un organismo notificado, evalúa los organismos acreditados por ENAC y notificados por CCN como opción de proximidad, más al menos una alternativa transfronteriza por resiliencia.
  5. Traduce las instrucciones de usuario y la información del producto al castellano. Añade traducciones por mercado para cualquier otro Estado miembro de la UE al que envíes.
  6. Analiza las líneas del CDTI (NEOTEC, LIC, Misiones) para cualquier trabajo CRA con componente de I+D. No planifiques contra Kit Digital ni el Plan de Recuperación para la inversión en cumplimiento de 2027, ya que ambos están en ventanas de cierre.
  7. Vuelve a comprobar la designación definitiva en el BOE cuando se publique y actualiza tu mapa de contactos SETID, CCN, ENAC e INCIBE-CERT antes de cualquier trámite formal.
  8. Lee el cuestionario de diligencia debida sobre proveedores para conocer el marco de diligencia debida sobre componentes del lado del fabricante.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento del CRA, consulta con asesores legales cualificados.

CRA España Gestión de vulnerabilidades
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
View full CRA compliance guide