Declaración de conformidad CRA: plantilla y guía de redacción paso a paso
Cómo redactar una Declaración de Conformidad UE conforme para el CRA. Incluye plantilla lista para usar, lista de verificación de elementos requeridos y errores comunes a evitar.
En este artículo
- Resumen
- ¿Qué es la declaración de conformidad UE?
- ¿Qué exige el CRA en la DoC?
- Plantilla completa de DoC
- Orientación sección por sección
- ¿Cuándo debe aplicarse el marcado CE en relación con la declaración de conformidad?
- ¿Debe traducirse la DoC?
- ¿Necesita cada modelo o versión de producto su propia declaración de conformidad?
- Distribución de la DoC
- Declaración UE de conformidad simplificada
- Errores comunes
- Lista de verificación de preparación de la DoC
- Variaciones de plantilla de DoC
- Requisitos de retención
- Preguntas frecuentes
- Próximos pasos
Cada producto con elementos digitales necesita una Declaración de Conformidad UE antes de poder llevar legalmente el marcado CE. La DoC es tu declaración formal de que el producto cumple los requisitos del CRA. Eres legalmente responsable de su exactitud. Esta guía proporciona una plantilla completa y explica cada elemento requerido.
Resumen
- La Declaración de Conformidad UE (DoC) es obligatoria para todos los productos CRA y debe estar disponible antes de la comercialización
- Debe ser firmada por el fabricante o un representante autorizado establecido en la UE
- Los elementos requeridos están definidos en el Artículo 28 y el Anexo V del CRA
- Debe proporcionarse en el idioma o idiomas requeridos por cada Estado miembro donde se venda el producto (Artículo 28(2))
- Conservar durante al menos 10 años desde la comercialización, o durante el período de soporte, lo que sea más largo (Artículo 13(13))
- Una modificación sustancial exige una nueva DoC, emitida por quien realizó el cambio
- A continuación se proporciona una plantilla. Adáptala para tu producto.
Importante: Firmar una DoC sin completar la evaluación de conformidad infringe tanto el Artículo 13 (hasta 15 M€ o el 2,5 % de la facturación global anual) como el Artículo 28 (hasta 10 M€ o el 2 % de la facturación global anual).
Consejo: Incluye el período de soporte del producto (mínimo 5 años) y el punto de contacto para vulnerabilidades en tu DoC. No es exigido por el Anexo V, pero mejora la transparencia regulatoria.
¿Qué es la declaración de conformidad UE?
La Declaración de Conformidad UE es un documento legal formal en el que el fabricante declara que un producto cumple la legislación de la UE aplicable. Es obligatoria para todos los productos con elementos digitales antes de que puedan llevar el marcado CE. Para los productos CRA, debe establecer:
- El producto cumple los requisitos esenciales de ciberseguridad (Anexo I)
- La evaluación de conformidad ha sido completada
- El fabricante asume la responsabilidad legal
Sin una DoC firmada, tu producto no puede llevar el marcado CE y no puede comercializarse legalmente en el mercado de la UE.
¿Qué exige el CRA en la DoC?
Base legal
El Artículo 28 del CRA especifica los requisitos de la DoC, haciendo referencia a la estructura del Anexo V. La DoC debe:
- Redactarse antes de comercializar el producto (Artículo 13(12))
- Actualizarse cuando proceda cuando cambie el producto o su estado de conformidad (Artículo 28(2))
- Proporcionarse en el idioma o idiomas requeridos por cada Estado miembro donde se comercialice el producto (Artículo 28(2))
- Conservarse durante al menos 10 años desde la comercialización, o durante el período de soporte, lo que sea más largo (Artículo 13(13))
Nota: El Artículo 28(3) permite a los fabricantes sujetos a múltiples reglamentos de la UE redactar una única DoC combinada que cubra todos los actos aplicables. Consulta la variación de plantilla «Múltiples Reglamentos» más abajo.
Elementos requeridos
| # | Elemento | Qué incluir | Fuente |
|---|---|---|---|
| 1 | Fecha de emisión | Fecha en que firmas la declaración. Debe ser posterior a la finalización de la evaluación de conformidad. | Anexo V, punto 1 |
| 2 | Identificación del fabricante | Nombre legal completo, dirección postal, información de contacto | Anexo V, punto 2 |
| 3 | Declaración de responsabilidad exclusiva | Texto exacto: «La presente declaración UE de conformidad se emite bajo la exclusiva responsabilidad del proveedor» | Anexo V, punto 3 |
| 4 | Identificación del producto | Nombre, tipo, modelo, número de lote o de serie; fotografía opcional cuando proceda | Anexo V, punto 4 |
| 5 | Declaración de conformidad | Confirmar que el producto es conforme con el Reglamento (UE) 2024/2847 | Anexo V, punto 5 |
| 6 | Normas y certificaciones aplicadas | Normas armonizadas utilizadas; cualquier certificado europeo de ciberseguridad empleado | Anexo V, punto 6 |
| 7 | Datos del organismo notificado | Nombre, número y referencia del certificado. Solo si se utilizó un módulo de evaluación por terceros. | Anexo V, punto 7 |
| 8 | Firma | Nombre completo, cargo/función, lugar, fecha; firma manuscrita o electrónica cualificada | Anexo V, punto 8 |
Nota: El número de declaración no es exigido por el Anexo V, pero se recomienda encarecidamente para el control de versiones y el seguimiento interno.
Plantilla completa de DoC
Utiliza esta plantilla como punto de partida. Personaliza las secciones entre corchetes para tu producto.
Nota: La sección 3 de la plantilla contiene una frase textual legalmente exigida (Anexo V, punto 3). No la parafrasees:
«This declaration of conformity is issued under the sole responsibility of the provider.»
═══════════════════════════════════════════════════════════════
DECLARACIÓN UE DE CONFORMIDAD
(Cyber Resilience Act)
═══════════════════════════════════════════════════════════════
N.º de Declaración: [DoC-PRODUCTO-AAAA-NNN]
Fecha de Emisión: [DD de mes de AAAA]
───────────────────────────────────────────────────────────────
1. FABRICANTE
───────────────────────────────────────────────────────────────
Nombre: [Nombre legal de la empresa]
Dirección: [Dirección postal]
[Código postal, Ciudad]
[País]
Contacto: [Correo electrónico / Teléfono]
Sitio web: [URL]
───────────────────────────────────────────────────────────────
2. IDENTIFICACIÓN DEL PRODUCTO
───────────────────────────────────────────────────────────────
Nombre del producto: [Nombre del producto]
Modelo/Tipo: [Número de modelo / Designación de tipo]
Versión hardware: [Versión de hardware, si aplica]
Versión software: [Versión de software/firmware]
Lote/Serie: [Rango de números de lote o formato de número de serie]
Foto del producto: [Fotografía opcional para trazabilidad, cuando proceda]
Descripción del producto:
[Descripción breve del producto y su uso previsto,
suficiente para identificarlo de forma inequívoca]
───────────────────────────────────────────────────────────────
3. DECLARACIÓN
───────────────────────────────────────────────────────────────
La presente declaración UE de conformidad se emite bajo la
exclusiva responsabilidad del proveedor.
El objeto de la declaración descrito anteriormente es conforme
con la legislación de armonización de la Unión pertinente:
• Reglamento (UE) 2024/2847 del Parlamento Europeo
y del Consejo, de 23 de octubre de 2024, sobre
requisitos horizontales de ciberseguridad para
productos con elementos digitales (Ley de Ciberresiliencia)
[• Legislación adicional aplicable, p. ej.:
• Directiva 2014/53/UE (Directiva de Equipos de Radio)
• Reglamento (UE) 2023/1230 (Reglamento de Maquinaria)
• etc.]
───────────────────────────────────────────────────────────────
4. EVALUACIÓN DE CONFORMIDAD
───────────────────────────────────────────────────────────────
Procedimiento de evaluación de conformidad aplicado:
[Seleccione uno:]
☐ Módulo A (Control Interno de Producción)
Basado en el Anexo VIII del Reglamento (UE) 2024/2847
☐ Módulo B + C (Examen UE de Tipo + Conformidad con el Tipo)
Basado en el Anexo VIII del Reglamento (UE) 2024/2847
Organismo Notificado: [Nombre], N.º [XXXX]
Certificado de Examen UE de Tipo: [Número de certificado]
Fecha: [Fecha del certificado]
☐ Módulo H (Aseguramiento de Calidad Total)
Basado en el Anexo VIII del Reglamento (UE) 2024/2847
Organismo Notificado: [Nombre], N.º [XXXX]
Certificado del Sistema de Calidad: [Número de certificado]
Fecha: [Fecha del certificado]
☐ Sistema Europeo de certificación de Ciberseguridad (Artículo 27(9))
Certificado emitido en el marco de un sistema adoptado
conforme al Reglamento (UE) 2019/881 (Ley de Ciberseguridad)
Nombre del sistema: [Nombre]
Número de certificado: [Número]
Nivel de garantía: [Sustancial / Alto]
───────────────────────────────────────────────────────────────
5. NORMAS Y ESPECIFICACIONES APLICADAS
───────────────────────────────────────────────────────────────
Normas armonizadas aplicadas:
[Enumerar todas las normas armonizadas utilizadas con referencias completas]
• EN [XXXXX]:20XX - [Título de la norma]
• EN [XXXXX]:20XX - [Título de la norma]
Otras especificaciones técnicas aplicadas:
[Enumerar otras normas o especificaciones utilizadas]
• ISO/IEC [XXXXX]:20XX - [Título de la norma]
• [Otras especificaciones]
Certificaciones de ciberseguridad aplicadas (si aplica):
[Enumerar los certificados europeos de ciberseguridad según el Anexo V, punto 6]
• [Nombre del sistema - Referencia del certificado]
───────────────────────────────────────────────────────────────
6. INFORMACIÓN ADICIONAL (Específica del CRA)
───────────────────────────────────────────────────────────────
Período de Soporte:
Las actualizaciones de seguridad se proporcionarán hasta: [DD de mes de AAAA]
(Mínimo 5 años desde la fecha de comercialización)
Primera comercialización en el mercado de la UE: [DD de mes de AAAA]
Contacto de Ciberseguridad:
Para informes de vulnerabilidades y consultas de seguridad:
Correo electrónico: [security@empresa.com]
Web: [https://empresa.com/security]
security.txt: [https://empresa.com/.well-known/security.txt]
Documentación Técnica:
La documentación técnica está disponible previa solicitud a
las autoridades competentes en la dirección indicada arriba.
───────────────────────────────────────────────────────────────
7. FIRMA
───────────────────────────────────────────────────────────────
Firmado en nombre y representación de:
[Nombre legal de la empresa]
_________________________________
[Nombre completo]
[Cargo/Función]
Lugar: [Ciudad, País]
Fecha: [DD de mes de AAAA]
═══════════════════════════════════════════════════════════════
FIN DE LA DECLARACIÓN
═══════════════════════════════════════════════════════════════
Orientación sección por sección
1. Identificación del documento
Número de Declaración: No es exigido por el Anexo V, pero se recomienda encarecidamente como buena práctica para el control de versiones y el seguimiento interno. Formato recomendado:
DoC-[CódigoProducto]-[Año]-[Secuencia]- Ejemplo:
DoC-SSP3000-2027-001
Fecha de Emisión: La fecha en que firmas la declaración. Debe ser posterior a la finalización de la evaluación de conformidad.
2. Identificación del fabricante
¿Quién firma la DoC?
- El fabricante: la entidad que diseñó, produjo o comercializa el producto bajo su propio nombre
- O un representante autorizado establecido en la UE, que actúe bajo mandato escrito
Si el fabricante no tiene establecimiento en la UE, es obligatorio designar un representante autorizado. Añade:
Representante Autorizado: [Nombre, Dirección]
en nombre de: [Nombre del Fabricante, Dirección]
3. Identificación del producto
Sé suficientemente específico para la trazabilidad:
- Incluye números de modelo, no solo nombres de producto
- Especifica los números de versión de hardware y software por separado
- Indica el alcance del lote o número de serie
Ejemplo:
Nombre del producto: SmartSense Pro Industrial Sensor
Modelo/Tipo: SSP-3000
Versión hardware: Rev C (PCB v3.2)
Versión software: Firmware 2.4.1
Lote/Serie: Números de serie SSP3K-2027-XXXXXX
4. Evaluación de conformidad
El módulo que debes utilizar depende de la clasificación de tu producto. Usa esta tabla para orientarte:
| Módulo | Cuándo aplica | ¿Organismo Notificado? |
|---|---|---|
| Módulo A (Control Interno de Producción) | Productos Por Defecto; Clase I con normas armonizadas | No |
| Módulo B+C (Examen UE de Tipo) | Todos los productos; obligatorio para Clase II (salvo H); obligatorio para Clase I sin normas armonizadas | Sí |
| Módulo H (Aseguramiento de Calidad Total) | Todos los productos; alternativa a B+C para Clase I y II | Sí |
| EUCC / Sistema de certificación de ciberseguridad | Productos que poseen un certificado europeo de ciberseguridad de nivel de garantía ≥ Sustancial (Artículo 27(9)) | No se requiere evaluación adicional por terceros |
Nota: Para productos Críticos (Anexo IV), el examen UE de tipo debe ser realizado por un organismo notificado especializado. Consulta la Guía de Decisión de evaluación de Conformidad CRA para la lógica completa de selección.
Usa este diagrama de flujo para identificar tu camino:
flowchart TD
A["¿Cuál es la clase de tu producto?"] --> B["Por Defecto\n(no Anexo III/IV)"]
A --> C["Clase I\n(Anexo III)"]
A --> D["Clase II\n(Anexo III)"]
A --> E["Crítico\n(Anexo IV)"]
B --> F["Módulo A, B+C o H\na su elección"]
C --> G{"¿Normas armonizadas\ntotalmente aplicadas?"}
G -->|Sí| H["Módulo A disponible\no B+C / H"]
G -->|No| I["Módulo B+C o H\nOrganismo Notificado requerido"]
D --> J["Módulo B+C o H\nOrganismo Notificado requerido"]
E --> K["Examen UE de tipo\nOrganismo Notificado especializado"]
5. Normas aplicadas
Normas Armonizadas:
- Publicadas en el Diario Oficial de la UE
- Crean una presunción de conformidad para los requisitos que cubren
- Incluye la referencia completa: número, año, título
Formato:
EN 303 645:2020 - Ciberseguridad para el Internet de las Cosas para consumidores: Requisitos de referencia
Si no existen normas armonizadas: Indica: «No se aplicaron normas armonizadas. La conformidad se demostró mediante [describir el enfoque].»
Certificaciones de ciberseguridad (Anexo V, punto 6): Si se utilizó un certificado europeo de ciberseguridad durante la evaluación de conformidad, inclúyelo aquí con el nombre del sistema y la referencia del certificado.
6. Información adicional específica del CRA
Esta sección no es exigida por el Anexo V, pero incluirla mejora la transparencia regulatoria:
Período de Soporte: Indica cuándo finalizan las actualizaciones de seguridad. Debe ser como mínimo 5 años desde la comercialización (Artículo 13(8)).
Contacto de Ciberseguridad: Dónde deben enviarse los informes de vulnerabilidades, incluyendo una referencia a tu archivo security.txt.
Nota: La fecha de fin del período de soporte debe aparecer también en el punto de venta en virtud del Artículo 13(19). Incluirla en la DoC es una buena práctica, pero no sustituye la comunicación en el punto de venta.
7. Firma
Quién puede firmar:
- Una persona autorizada para comprometer legalmente al fabricante
- Habitualmente: CEO, Director, Responsable de Calidad o Responsable de Asuntos Regulatorios
Requisitos:
- Nombre completo y cargo/función
- Lugar y fecha (la fecha debe ser posterior a la finalización de la evaluación)
- Firma manuscrita o electrónica cualificada
¿Cuándo debe aplicarse el marcado CE en relación con la declaración de conformidad?
Para los productos físicos, coloca el marcado CE de forma visible, legible e indeleble en el producto antes de comercializarlo (Artículo 30(1)).
Para los productos solo de software (Artículo 30(3)), el marcado CE se coloca:
- Directamente en la Declaración de Conformidad UE, o
- En el sitio web del producto, en una sección de fácil y directo acceso para los usuarios
Nota: El marcado CE debe colocarse antes de comercializar el producto, no después. Para los productos de software, asegúrate de que la DoC o la sección del sitio web esté activa antes de que comience cualquier distribución.
¿Debe traducirse la DoC?
Sí. El Artículo 28(2) exige que la DoC se ponga a disposición en el idioma o idiomas requeridos por cada Estado miembro en el que se comercialice el producto.
En la práctica:
- Venta solo en Alemania → se requiere una DoC en alemán
- Venta en toda la UE → necesitarás múltiples versiones lingüísticas
- Conserva todas las versiones lingüísticas en el expediente técnico
La DoC UE simplificada (Anexo VI) y la URL que apunta a la DoC completa también deben estar en el idioma o idiomas requeridos. La URL en sí debe permanecer estable y accesible.
¿Necesita cada modelo o versión de producto su propia declaración de conformidad?
Una DoC por tipo de producto
Cada modelo o tipo de producto distinto necesita generalmente su propia DoC.
Puede cubrirse con una única DoC cuando:
- Los productos son variantes del mismo tipo
- La misma evaluación de conformidad se aplica a todas las variantes
- Se aplicaron las mismas normas
Ejemplo:
Nombre del producto: SmartSense Pro Industrial Sensor
Modelo/Tipo: SSP-3000 (todas las variantes)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
¿Cuándo exige una modificación una nueva DoC?
Advertencia: Una modificación sustancial (cualquier cambio que afecte al cumplimiento del producto de los requisitos esenciales del CRA conforme al Anexo I, Parte I, o que modifique el uso previsto del producto) desencadena una nueva DoC obligatoria (Artículo 28). Quien lleve a cabo la modificación sustancial se convierte en el fabricante del producto modificado y debe emitir la nueva DoC. Esto se aplica tanto al fabricante original que realiza actualizaciones importantes como a un tercero que modifica y revende el producto.
| Escenario | ¿Nueva DoC requerida? |
|---|---|
| Nueva versión de hardware que afecta a las características de seguridad | Sí, modificación sustancial |
| Actualización de firmware que introduce nuevas interfaces o nuevos vectores de amenaza | Sí, perfil de riesgo de ciberseguridad alterado |
| Actualización de firmware que cambia el uso previsto del producto | Sí, modificación sustancial |
| Parche de seguridad (misma arquitectura, sin nuevo riesgo, reduce CVEs) | Caso a caso |
| Cambio en las normas armonizadas aplicadas o en el certificado de evaluación de conformidad | Sí |
| Cambio cosmético, únicamente de documentación o de localización | No |
| Un tercero modifica sustancialmente el producto y lo comercializa | Sí, el tercero emite la nueva DoC como nuevo fabricante |
Para las publicaciones iterativas de software del propio fabricante: si la actualización no es una modificación sustancial, la DoC existente sigue siendo válida. Debes poder demostrarlo ante las autoridades de vigilancia del mercado. Realizar una evaluación del riesgo de ciberseguridad conforme al Artículo 13(2) es el mecanismo explícito que recomienda la guía para ello.
Distribución de la DoC
Con el producto (Artículo 13(20)): El Artículo 13(20) exige que proporciones:
- La DoC completa del Anexo V, o
- Una DoC UE simplificada que contenga la dirección de internet exacta donde puede encontrarse la DoC completa
No estás obligado a incluir ambas.
Bajo solicitud:
- Debe proporcionarse a las autoridades de vigilancia del mercado
- Debería proporcionarse a los clientes bajo solicitud
Declaración UE de conformidad simplificada
El Artículo 13(20) permite a los fabricantes incluir junto al producto una Declaración UE de Conformidad simplificada en lugar del documento completo del Anexo V. La forma simplificada está definida en el Anexo VI y consta de exactamente dos frases:
Por la presente, [nombre del fabricante] declara que el producto con elementos
digitales de tipo [designación] es conforme con el Reglamento (UE) 2024/2847.
El texto completo de la declaración UE de conformidad está disponible en la
siguiente dirección de internet: [URL]
Resulta especialmente útil para:
- Productos de software donde incluir un documento legal completo con cada distribución es impracticable
- Productos de hardware con espacio de embalaje limitado
- Cualquier producto cuya DoC completa esté publicada en línea
Requisitos:
- La DoC completa del Anexo V debe existir y ser públicamente accesible en la URL indicada
- La declaración simplificada debe incluir la URL (Artículo 13(20))
- La DoC completa sigue siendo obligatoria en el expediente técnico y para las solicitudes de las autoridades
Buenas prácticas para la URL:
- Utiliza una URL estable. No la cambies una vez que los productos hayan sido distribuidos
- Accesible sin registro ni inicio de sesión
- La página debe permitir descargar o imprimir la DoC
Errores comunes
| Error | Por qué importa | Solución |
|---|---|---|
| Elementos requeridos ausentes (p. ej., no se indica el módulo de evaluación de conformidad) | La DoC no es conforme | Usa la lista de verificación antes de firmar; comprueba cada punto del Anexo V |
| Entidad incorrecta firma (el importador o distribuidor firma en lugar del fabricante) | La DoC es legalmente inválida | Solo el fabricante (o el representante autorizado con mandato) puede firmar |
| Referencias a normas desactualizadas (se listan normas retiradas o sustituidas) | Se pierde la presunción de conformidad | Revisa regularmente las normas aplicadas; actualiza la DoC cuando cambien las normas |
| Sin control de versiones (existen múltiples versiones de la DoC sin una versión actual clara) | Riesgo de auditoría y aplicación | Asigna números de declaración; archiva las versiones sustituidas |
| Firma antes de completar la evaluación (la DoC está fechada antes de que finalizaran las actividades de conformidad) | Infringe el Artículo 28 | Completa todas las actividades de evaluación primero; la fecha de la DoC debe ser posterior a la evaluación |
| Idioma incorrecto (la DoC está solo en inglés cuando se vende en un Estado miembro no anglófono) | No conforme para ese mercado | Traduce la DoC al idioma de cada Estado miembro requerido (Artículo 28(2)) |
| Sin actualización tras modificación sustancial (la DoC original sigue en uso tras un cambio material) | La DoC cubre una versión para la que nunca fue evaluada | Emite una nueva DoC siempre que se produzca una modificación sustancial |
Lista de verificación de preparación de la DoC
Antes de redactar
| Elemento | Estado |
|---|---|
| Evaluación de conformidad completada | ☐ |
| Informes de pruebas disponibles | ☐ |
| Expediente técnico preparado | ☐ |
| Lista de normas finalizada | ☐ |
| Período de soporte determinado | ☐ |
| Requisitos de idioma confirmados para todos los Estados miembros de destino | ☐ |
Contenido del documento
| Elemento | Estado |
|---|---|
| Número de declaración único asignado | ☐ |
| Nombre y dirección del fabricante correctos | ☐ |
| Producto completamente identificado (modelo, versión, lote/serie) | ☐ |
| CRA referenciado correctamente: «Reglamento (UE) 2024/2847» | ☐ |
| Otra legislación aplicable listada (si la hay) | ☐ |
| Módulo de evaluación de conformidad indicado | ☐ |
| Datos del organismo notificado incluidos (si aplica) | ☐ |
| Todas las normas aplicadas listadas con referencias completas | ☐ |
| Fecha de fin del período de soporte incluida | ☐ |
| Información de contacto de seguridad incluida | ☐ |
Firma
| Elemento | Estado |
|---|---|
| El firmante está autorizado para comprometer al fabricante | ☐ |
| Nombre completo y cargo/función indicados | ☐ |
| Lugar y fecha indicados (fecha posterior a la finalización de la evaluación) | ☐ |
| Firma presente (manuscrita o electrónica cualificada) | ☐ |
Distribución
| Elemento | Estado |
|---|---|
| Copia acompaña al producto (física o enlace digital) | ☐ |
| Copia en el expediente técnico | ☐ |
| Disponible para solicitudes de las autoridades | ☐ |
| Versiones rastreadas y archivadas | ☐ |
| Versiones lingüísticas preparadas para todos los Estados miembros de destino | ☐ |
| Marcado CE aplicado antes de la distribución | ☐ |
Variaciones de plantilla de DoC
Para el módulo A (autoevaluación)
4. EVALUACIÓN DE CONFORMIDAD
Procedimiento de evaluación de conformidad aplicado:
☑ Módulo A (Control Interno de Producción)
Basado en el Anexo VIII del Reglamento (UE) 2024/2847
El fabricante ha verificado que el producto cumple
los requisitos esenciales mediante evaluación interna
documentada en el expediente técnico.
Para el módulo B+C (terceros)
4. EVALUACIÓN DE CONFORMIDAD
Procedimiento de evaluación de conformidad aplicado:
☑ Módulo B + C (Examen UE de Tipo + Conformidad con el Tipo)
Basado en el Anexo VIII del Reglamento (UE) 2024/2847
Examen UE de Tipo realizado por:
Organismo Notificado: TÜV Rheinland LGA Products GmbH
Número de Organismo Notificado: 0197
Número de Certificado: EU-TYPE-2027-12345
Fecha del Certificado: 15 de enero de 2027
El fabricante asegura la conformidad de la producción
con el tipo certificado (Módulo C) mediante controles
internos de producción.
Para múltiples reglamentos (artículo 28(3))
Cuando un producto está sujeto tanto al CRA como a otra legislación de la UE, se permite una única DoC combinada en virtud del Artículo 28(3):
3. DECLARACIÓN
El objeto de la declaración descrito arriba es conforme con
la legislación de armonización de la Unión pertinente:
• Reglamento (UE) 2024/2847 (Ley de Ciberresiliencia)
• Directiva 2014/53/UE (Directiva de Equipos de Radio)
Organismo Notificado: [Nombre], No. [XXXX]
Certificado: [Número]
• Directiva 2014/35/UE (Directiva de Baja Tensión)
Requisitos de retención
| Qué conservar | Período de retención | Dónde |
|---|---|---|
| DoC firmada (o copia autenticada) | 10 años desde la comercialización, o durante el período de soporte, lo que sea más largo (Artículo 13(13)) | Expediente técnico; accesible a las autoridades bajo solicitud |
| Historial de versiones y DoCs sustituidas | Junto a la DoC actual | Expediente técnico |
| Documentación de respaldo referenciada en la DoC | Junto a la DoC | Expediente técnico |
Preguntas frecuentes
¿Una sola declaración de conformidad puede cubrir productos vendidos en todos los Estados miembros de la UE?
El mismo documento puede cubrir toda la UE, pero debe traducirse al idioma o idiomas requeridos por cada Estado miembro en el que el producto se comercialice (artículo 28(2)). El contenido principal es idéntico; solo cambia la versión lingüística. Conserva todas las traducciones en el expediente técnico.
¿La declaración de conformidad CRA debe notarizarse o certificarse oficialmente?
No. La DoC es firmada por el fabricante o un representante autorizado. Una firma manuscrita o una firma electrónica cualificada (según el Reglamento (UE) 910/2014) es suficiente. No se requiere notarización, apostilla ni certificación de terceros del propio documento, a menos que un Estado miembro específico lo exija para fines de vigilancia del mercado.
¿Qué ocurre si la vigilancia del mercado encuentra que la DoC es incompleta o inexacta?
Las sanciones previstas en el artículo 64 pueden alcanzar 10 millones de euros o el 2 % del volumen de negocios anual global por una DoC no conforme o falsa (infracción del artículo 28). Las autoridades de vigilancia del mercado pueden exigir medidas correctoras y, en casos graves, restringir o retirar productos del mercado. La DoC debe estar disponible para inspección a petición: no tener DoC o tener una incompleta no pasará desapercibido una vez que comiencen las auditorías.
¿Puede un producto de software utilizar la DoC UE simplificada en lugar del documento completo del Anexo V?
Sí. El artículo 13(20) permite a los fabricantes incluir únicamente la Declaración de Conformidad UE simplificada (Anexo VI) con el producto, siempre que el documento completo del Anexo V sea de acceso público en una URL estable. La forma simplificada consta de dos frases: la declaración de conformidad del fabricante y la URL. El documento completo del Anexo V debe seguir existiendo y estar disponible para las autoridades a petición.
¿Cuánto tiempo debe conservarse la declaración de conformidad CRA?
Al menos 10 años después de la comercialización del producto, o durante la duración del período de asistencia, lo que sea más largo (artículo 13(13)). Para un producto con un período de asistencia de 15 años, la DoC y el expediente técnico deben conservarse durante 15 años.
¿Quién está autorizado a firmar la declaración de conformidad CRA?
El fabricante, o un representante autorizado establecido en la UE si el fabricante no tiene establecimiento en la UE. El firmante debe estar autorizado para comprometer legalmente al fabricante: normalmente un CEO, Director General o Director de Asuntos Regulatorios. Un importador o distribuidor no puede firmar a menos que se haya convertido en fabricante al realizar una modificación sustancial del producto.
Próximos pasos
- Clasifica el producto (Por defecto, Importante Clase I/II o Crítico) utilizando la Guía de clasificación de productos CRA.
- Confirma el módulo de evaluación de conformidad con la Guía de decisión sobre evaluación de conformidad CRA.
- Completa la evaluación de conformidad y reúne todos los informes de pruebas antes de redactar la DoC.
- Redacta la DoC a partir de la plantilla anterior. Asigna un número de declaración y verifica cada elemento del Anexo V.
- Traduce la DoC al idioma o idiomas requeridos por cada Estado miembro de comercialización (Artículo 28(2)).
- Firma y fecha una vez finalizada la evaluación. Aplica el marcado CE antes de la comercialización.
- Archiva la DoC firmada en el expediente técnico junto con los informes de pruebas y el SBOM. Consulta la Guía completa del expediente técnico CRA (Anexo VII).
- Publica la DoC completa en una URL estable si prevés distribuir con el producto el formulario simplificado del Anexo VI.
- Conserva la DoC durante 10 años desde la comercialización, o durante el período de soporte, lo que sea más largo (Artículo 13(13)).
Este artículo es únicamente para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados.
Artículos Relacionados
ECSMAF v3.0 explicado: cómo ENISA mapea el mercado europeo de ciberseguridad
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.