Checklist CRA del distribuidor: 5 pasos de verificación

Guía operativa CRA para distribuidores: lista de admisión, tarjeta de referencia, escenarios reales y los actos que convierten a un distribuidor en fabricante.

Equipo CRA Evidence Publicado 22 de enero de 2026 Actualizado 23 de mayo de 2026
Checklist CRA del distribuidor: 5 pasos de verificación
En este artículo

Esta página es el complemento de uso diario de la guía del clúster del distribuidor CRA. La guía del clúster desarrolla el marco normativo: quién cuenta como distribuidor, cuál es el conjunto de obligaciones y cómo funcionan las solicitudes de las autoridades. Este blog es lo que realmente usan el equipo de recepción, el almacén y los comerciales: una tarjeta de referencia rápida, una lista de admisión imprimible, los escenarios de cadena de suministro que los distribuidores encuentran en la práctica y los actos concretos que te pasan de distribuidor a fabricante sin que lo notes.

Resumen

  • La admisión se basa en la presencia. Verifica el marcado CE, la identificación del fabricante y del importador, la información de usuario en el idioma correcto, la fecha de fin del periodo de soporte y la accesibilidad de la declaración UE de conformidad antes de cada venta. La lista de comprobación previa al suministro completa está en la página del clúster.
  • El producto debe llegar en el mismo estado de conformidad en que salió del fabricante. Las actualizaciones de firmware, el reempaquetado, los cambios de configuración o el cambio de marca durante el almacenamiento o el transporte te convierten en fabricante a través del mecanismo de reatribución de marca.
  • Una comprobación fallida detiene el suministro. El depósito aduanero o la devolución al proveedor son opciones válidas. La venta a usuarios finales no lo es. Los pasos de escalada están en la sección cuando falla la verificación de la página del clúster.
  • Las infracciones del distribuidor se sitúan en el tramo intermedio de sanciones, hasta 10.000.000 EUR o el 2 % del volumen de negocio total anual mundial.

Comprobación rápida de recepción

Imprímela y mantenla en la mesa de recepción para decisiones de aceptación ágiles.

+-------------------------------------------------+
|      VERIFICACION RAPIDA CRA DISTRIBUIDOR       |
|                                                 |
|  ✓ ¿Marcado CE visible y correcto?              |
|  ✓ ¿Nombre/direccion del fabricante en producto?|
|  ✓ ¿Instrucciones en idioma correcto?           |
|  ✓ ¿Sin defectos obvios o manipulacion?         |
|  ✓ ¿Sin avisos de retirada para este producto?  |
|                                                 |
|  TODO SI  → OK para vender                      |
|  CUALQUIER NO → PARAR, documentar, notificar    |
|  NUNCA: modificar firmware, cambiar marca,      |
|         o ignorar problemas                     |
+-------------------------------------------------+

La lista de admisión completa

Úsala al recibir productos de proveedores. Imprímela, rellénala por envío y archívala con el registro de recepción.

LISTA DE VERIFICACION DE RECEPCION DEL DISTRIBUIDOR

Producto: _______________________________________
Proveedor: ______________________________________
Fecha de Recepcion: _____________________________
Lote: ___________________________________________
SKU: ____________________________________________
Cantidad: _______________________________________

VERIFICACION VISUAL:
[ ] Marcado CE presente en producto o embalaje
[ ] Marcado CE correctamente formateado (proporciones, tamano)
[ ] Nombre y direccion del fabricante visible
[ ] Nombre y direccion del importador visible (si origen no UE)
[ ] Embalaje del producto intacto (sin evidencia de manipulacion)

VERIFICACION DE DOCUMENTACION:
[ ] Instrucciones de usuario presentes
[ ] Instrucciones en idioma(s) requerido(s)
[ ] Informacion de seguridad incluida
[ ] Referencia o documento de DoC presente
[ ] URL de DoC activa y redirige a la declaracion UE de conformidad completa
[ ] Fecha de fin del periodo de soporte visible (mes y ano)

VERIFICACION DE ESTADO DE CONFORMIDAD:
[ ] Sin avisos de retirada activos para este producto
[ ] Sin comunicaciones del fabricante sobre incidencias
[ ] Sin advertencias de autoridades regulatorias sobre este producto
[ ] Proveedor no ha senalado ninguna preocupacion

REQUISITOS DE ALMACENAMIENTO:
[ ] Condiciones de almacenamiento apropiadas para el tipo de producto
[ ] Precintos de evidencia de manipulacion intactos
[ ] Sin modificaciones requeridas antes de la venta

DECISION:
[ ] ACEPTAR - Todas las verificaciones superadas
[ ] RETENER - Incidencias identificadas (especificar abajo)
[ ] RECHAZAR - No conforme (documentar y notificar al proveedor)

Incidencias Identificadas:
________________________________________________
________________________________________________

Verificado por: _________________________________
Fecha: _________________________________________

Mantener el producto sin cambios en el almacenamiento y el transporte

La comprobación de admisión es solo la mitad del trabajo. Los distribuidores deben mantener el producto en el mismo estado de conformidad desde la recepción hasta la entrega. Cualquier acto que modifique el producto después de que el fabricante lo haya introducido en el mercado puede convertir al distribuidor en fabricante.

Almacenamiento:

  • Los productos no se modifican durante el almacenamiento. Sin actualizaciones de firmware enviadas por el equipo informático del distribuidor. Sin ajustes de configuración «preventivos».
  • Las condiciones ambientales no comprometen las funciones de seguridad. Los precintos de evidencia de manipulación permanecen intactos.
  • La sustitución de baterías durante un almacenamiento prolongado es arriesgada. Reemplazar con la pieza idéntica puede mantenerse dentro de la excepción de piezas de repuesto, pero una química de batería distinta o un cambio de firmware sitúan el producto en territorio de modificación.

Transporte:

  • Los productos llegan a los clientes en el mismo estado de conformidad en que se recibieron. La etiqueta de envío es la del distribuidor, pero el producto que va dentro no lo es.
  • Se mantiene la integridad del embalaje. Un embalaje exterior dañado que expone el producto en tránsito se pone en cuarentena para nueva verificación, no se reempaqueta en silencio.
  • El transporte transfronterizo entre Estados miembros de la UE no altera el estado de conformidad. El producto ya está introducido en el mercado de la Unión y lo que se hace es ponerlo a disposición en un segundo Estado miembro.

Ejemplo práctico. Si almacenas dispositivos IoT en un almacén, no puedes actualizar su firmware «de buena voluntad» antes del envío. Una actualización de firmware por parte del distribuidor es una modificación sustancial y activa el mecanismo de fabricante a través de la reatribución de marca. Deja que los clientes actualicen sus propios dispositivos, o canaliza las actualizaciones a través del fabricante original.

Escenarios del distribuidor en la práctica

La guía del clúster desarrolla el marco. Estos son los casos de cadena de suministro con los que los distribuidores se encuentran en las operaciones reales, y las respuestas no siempre son evidentes al leer el marco.

Venta directa (drop-shipping) sin tocar el stock

Recibes pedidos y el fabricante no europeo u otra entidad de la UE envía directamente al cliente final. ¿Eres el distribuidor?

El criterio legal es «poner a disposición en el mercado de la Unión», no la posesión física. Si adquieres la titularidad de los bienes, facturas al cliente y la relación jurídica de suministro pasa por tu empresa, eres el distribuidor independientemente de quién gestione el paquete. La comprobación de admisión basada en la presencia te sigue correspondiendo. Necesitas un acuerdo documentado con el proveedor aguas arriba que garantice que el marcado CE, la declaración UE de conformidad, la información de usuario y la identificación del importador estarán en orden antes de que el envío salga de su almacén.

Si la relación es de pura intermediación (pones en contacto al comprador y al vendedor, nunca adquieres la titularidad, el contrato de suministro es directamente entre comprador y la entidad aguas arriba y tú no facturas los bienes), generalmente estás fuera del régimen del distribuidor. El límite es específico de los hechos concretos. Analiza la estructura contractual, no la titularidad del almacén.

Operador de marketplace y modelos de fulfillment tipo Amazon FBA

Dos test de delimitación distintos:

Operas el marketplace. Si tu plataforma solo pone en contacto a compradores con vendedores terceros y nunca adquiere la titularidad, en general no eres distribuidor bajo el Reglamento de Ciberresiliencia, en línea con el marco europeo sobre intermediarios en línea. Si tu plataforma adquiere la titularidad (compras stock a proveedores, lo publicas y cumples pedidos contra tu propio inventario), eres distribuidor.

Vendes en el marketplace de otra empresa. Si eres vendedor tercero usando Amazon FBA, Cdiscount fulfillment o un servicio equivalente, tú eres el distribuidor. El proveedor logístico es un servicio de transporte, no el distribuidor. Tu comprobación de admisión, tu deber de rechazo, tu flujo de vulnerabilidades.

Distribución exclusivamente B2B

El Reglamento de Ciberresiliencia se aplica a «productos con elementos digitales introducidos en el mercado de la Unión» sin distinguir entre B2B y B2C en su ámbito. Las obligaciones del distribuidor son las mismas: comprobación de admisión, deber de rechazo, flujo de vulnerabilidades, cooperación con la vigilancia del mercado.

Dos diferencias prácticas para el B2B:

  • Idioma de la información de usuario. El cliente final es una empresa aguas abajo que puede operar en inglés u otro idioma comercial. El umbral legal es el idioma que comprenden fácilmente los usuarios y las autoridades de vigilancia del mercado del Estado miembro de suministro. Para usuarios finales corporativos internos de una multinacional, el inglés puede negociarse comercialmente. Para usuarios finales comerciales que redistribuyen el producto a entornos de consumo, el requisito del idioma local vuelve a aplicarse.
  • Conocimiento de vulnerabilidades. Un distribuidor B2B suele enterarse de las vulnerabilidades a través de canales comerciales (tickets de soporte, boletines del proveedor) en lugar de a través de informes de consumidores. El plazo «sin demora injustificada» sigue comenzando cuando tienes conocimiento de ellas.

Productos CRA reacondicionados o de segunda mano

El Reglamento cubre los productos introducidos en el mercado de la Unión. Un producto reacondicionado que una nueva entidad vuelve a introducir en el mercado puede o no constituir una nueva introducción, dependiendo de lo que se haya modificado.

La delimitación depende de si el reacondicionamiento modifica sustancialmente el producto. La limpieza, el reempaquetado y la sustitución de componentes idénticos dentro de la excepción de piezas de repuesto mantienen el producto en territorio de distribución. Sustituir una batería con diferente composición química, volver a flashear el firmware o restaurar una imagen de software no original es una modificación sustancial que convierte al reacondicionador en fabricante del producto modificado.

Regla práctica: si vendes una unidad comprada a un fabricante conocido en su estado original, eres distribuidor. Si restauras unidades tras una sustitución de hardware o una renovación completa del firmware, obtén la interpretación jurídica antes de tratarlo como distribución.

Vendedores de bundles

Combinas 2 o 3 productos en una única referencia (SKU).

Bundle sin modificación. Cada producto del bundle conserva su propio fabricante, su propio marcado CE y su propia declaración UE de conformidad. Eres el distribuidor de cada producto. El embalaje exterior del bundle debe hacer identificables los productos que lo componen y sus documentos de conformidad. Tu lista de admisión se ejecuta por producto, no por bundle.

Bundle con firmware o configuración personalizados. Si instalas una imagen de firmware propia, cambias los ajustes de seguridad por defecto o preconfigureas los productos para que funcionen juntos de un modo que cambia su finalidad prevista, eso es una modificación sustancial. Pasas a ser el fabricante del bundle, con las obligaciones de fabricante aplicables a la parte afectada del producto o, cuando el cambio afecta a la ciberseguridad del producto en su conjunto, al producto entero.

Marca del bundle. Poner una pegatina «Distribuido por ACME» en el bundle no activa por sí mismo el mecanismo de reatribución de marca. Sustituir las marcas identificadoras de los fabricantes individuales por la tuya sí lo hace. El riesgo de eliminar la etiqueta de contacto del importador también aplica aquí.

Suministro transfronterizo cuando surge una vulnerabilidad

Has distribuido un producto en seis Estados miembros. Se notifica una vulnerabilidad que presenta un riesgo significativo de ciberseguridad. ¿A quién notificas?

Notifica a las autoridades de vigilancia del mercado de cada Estado miembro de suministro, en paralelo, sin demora injustificada. También informas al fabricante de la vulnerabilidad sin demora injustificada. El fabricante gestiona por separado el flujo de notificación a ENISA, que no es responsabilidad del distribuidor.

Preparación práctica: mantén un registro de distribución por producto y por Estado miembro de suministro. Prepara una agenda de contactos de las autoridades de vigilancia con acceso de un solo clic. Cuando se notifique una vulnerabilidad en un producto de tu catálogo, no deberías estar buscando la dirección de notificación de vulnerabilidades del BSI por primera vez a las 23:00.

Qué te convierte en fabricante

El estatus de distribuidor es frágil. Varios actos operativos de menor entidad pueden cruzar la línea hacia las obligaciones de fabricante sin que lo notes. Esta es la matriz acto por acto.

Acto Sigue siendo distribuidor Pasa a ser fabricante Por qué
Añadir una pegatina «Distribuido por» con tus datos de contacto Identificarte como distribuidor es obligatorio, no un acto de marca.
Sustituir la marca del fabricante por la tuya en el producto Esto equivale a introducir el producto en el mercado bajo tu propio nombre o marca.
Distribuir una actualización de firmware emitida por el fabricante original Trasladas la actualización del fabricante. El producto sigue siendo como el fabricante lo introdujo.
Instalar una compilación de firmware propia El firmware personalizado es una modificación sustancial.
Traducir el manual de usuario al idioma de un Estado miembro El cumplimiento del requisito de idioma corresponde a la cadena de suministro. La traducción no modifica el producto.
Añadir un perfil de configuración a todas las unidades antes de la venta depende depende Si el perfil es reversible por el usuario final y no cambia los ajustes de seguridad por defecto, sigues siendo distribuidor. Si modifica el flujo de autenticación, los valores de cifrado por defecto o la superficie de ataque, es una modificación sustancial.
Reempaquetar en tu propio embalaje de venta al público Siempre que el producto interior, su marcado CE, su identificación y su información de usuario no cambien, reempaquetar el embalaje exterior es distribución.
Reempaquetar de un modo que cambia la finalidad prevista Un producto reempaquetado como una categoría distinta de dispositivo (venta al consumidor de una unidad industrial, por ejemplo) es una modificación sustancial.
Preinstalar tu propio software sobre la imagen del fabricante Añadir software cambia el perímetro de seguridad del producto.
Retirar la etiqueta de contacto del importador ✓ (no conforme) La identificación del importador debe mantenerse presente. Retirarla hace que la unidad no supere la comprobación de conformidad del distribuidor.

Para el marco normativo detrás de estas decisiones, el FAQ de la guía del clúster ¿soy distribuidor o fabricante? tiene el texto del artículo relevante y la distinción del modificador tercero.

Cuando la aduana retiene tu envío

Un envío de fuera de la UE puede quedar retenido en aduana si las autoridades aduaneras detectan un defecto en el marcado CE, la conformidad o la información del producto. El Reglamento de Ciberresiliencia no regula la aduana directamente, pero se articula a través del marco de vigilancia del mercado de la UE que se aplica en frontera.

Lo que la aduana suele requerir:

  • Copia de la declaración UE de conformidad, completa o simplificada con una URL activa a la versión completa.
  • Evidencia de la vía de evaluación de la conformidad utilizada (Módulo A de autoevaluación, o número de certificado de organismo notificado para productos de Clase II Importante o Críticos).
  • Identificación del fabricante e importador, direcciones postales y datos de contacto digital.
  • Información de usuario e instrucciones en el idioma de un Estado miembro.
  • Evidencia de la colocación del marcado CE en una unidad de muestra.

Qué puede hacer el distribuidor durante la retención:

  • Aportar los documentos que debería haber reunido en la comprobación de admisión. Si el proveedor no te los entregó, no deberías haber aceptado el envío.
  • Coordinarte con el importador, que tiene un deber de verificación más exigente y la obligación de conservación durante 10 años. Si el importador dispone del índice de documentación técnica, la aduana suele aceptarlo como evidencia de que el expediente existe.
  • Mantener la mercancía en depósito aduanero mientras se subsanan los defectos. El depósito aduanero es un estado intermedio legítimo. El suministro al cliente final no lo es.
  • Devolver el envío al proveedor o proceder a su destrucción si el defecto no puede subsanarse en un plazo razonable. Las normas aduaneras varían por Estado miembro en cuanto al plazo de destrucción.

Errores comunes

La guía del clúster recoge la tabla completa de ocho errores sobre confusiones distribuidor-importador, errores en la verificación basada en la presencia y errores en el flujo de vulnerabilidades. Este blog añade tres errores específicos del plano operativo.

Afirmación Por qué falla
«Nuestra plataforma solo conecta compradores y vendedores.» Si tu plataforma de comercio electrónico adquiere la titularidad de los bienes, eres el distribuidor. El límite del marketplace puro gira en torno a si eres propietario del listado y la transacción, no a si operas un sitio web.
«Actualizo el firmware a los clientes como servicio.» Una actualización de firmware por parte del distribuidor es una modificación sustancial. Pasas a ser el fabricante del producto modificado, con el conjunto completo de obligaciones del fabricante. Deja que los clientes actualicen sus propios dispositivos, o canaliza las actualizaciones a través del fabricante original.
«Reenvío las notificaciones de vulnerabilidades al fabricante mensualmente, junto con las actualizaciones comerciales.» El deber de conocimiento de vulnerabilidades del Reglamento se activa sin demora injustificada. El envío mensual en lotes es un incumplimiento. Si la vulnerabilidad presenta un riesgo significativo de ciberseguridad, la notificación a las autoridades de vigilancia del mercado también es inmediata.

Preguntas frecuentes

¿Qué pasa si la URL de la declaración UE de conformidad del fabricante está caída o devuelve 404?

La declaración UE de conformidad simplificada debe indicar la dirección exacta de la versión completa. Una URL caída es un defecto documental. Retén el envío, notifica al fabricante por escrito y solicita o bien el documento completo de la declaración o bien una URL corregida. Hasta que la URL esté activa o la declaración completa sea entregada, la unidad no está lista para la venta. Si el fabricante no puede facilitar una declaración válida, el producto no supera la comprobación de admisión y el depósito aduanero o la devolución al proveedor son las opciones disponibles.

¿Con qué rapidez debo responder a una solicitud motivada de vigilancia del mercado y en qué formato?

El Reglamento exige a los distribuidores cooperar con las autoridades de vigilancia del mercado ante una solicitud motivada, en papel o en formato electrónico, en un idioma que la autoridad comprenda fácilmente. El Reglamento no fija un plazo de respuesta concreto para los distribuidores. Los marcos nacionales de vigilancia del mercado suelen operar con ventanas de 7 a 15 días para solicitudes documentales, con plazos más cortos en casos urgentes de riesgo de ciberseguridad. Organiza el expediente para poder presentarlo en un día hábil: referencia de la declaración UE de conformidad, muestras de información de usuario en el idioma del Estado miembro de suministro, datos de contacto del fabricante y del importador, y el registro de comprobación de admisión.

¿Puedo seguir vendiendo stock introducido en el mercado antes del 11 de diciembre de 2027?

Los productos introducidos en el mercado de la Unión antes de la fecha principal de aplicación del Reglamento siguen rigiéndose por el régimen de su introducción original, no por el Reglamento de Ciberresiliencia. Las unidades nuevas, las variantes nuevas o las unidades introducidas a partir del 11 de diciembre de 2027 sí quedan sujetas al Reglamento. El criterio es el acto de introducción en el mercado, no el acto de venta. Una unidad que lleva en tu almacén desde 2026 e introducida por el fabricante o el importador antes de la aplicación del Reglamento conserva su estatus previo. Una unidad introducida en el mercado a partir del 11 de diciembre de 2027 entra en el régimen del Reglamento aunque haya sido fabricada antes.

El fabricante acaba de declararse en concurso de acreedores. ¿Soy ahora responsable de sus obligaciones de soporte?

No. La obligación del distribuidor ante el cese del fabricante es una obligación de notificación, no una transferencia de las obligaciones del fabricante. Informa a las autoridades de vigilancia del mercado sin demora injustificada e informa a los usuarios por todos los medios disponibles y en la medida de lo posible. El Reglamento no obliga al distribuidor a asumir el soporte, la gestión de vulnerabilidades ni la emisión de actualizaciones de seguridad. Seguir vendiendo el stock existente es una decisión comercial con riesgo reputacional y de relaciones con los consumidores, no un deber legal. Si decides poner nuevas unidades en el mercado bajo tu propio nombre a partir de ese momento, el mecanismo de reatribución de marca te convierte en fabricante.

Distribuyo desde Alemania hacia Francia. Se notifica una vulnerabilidad. ¿A qué autoridad informo?

El deber de conocimiento de vulnerabilidades obliga a informar al fabricante sin demora injustificada y, cuando el producto presenta un riesgo significativo de ciberseguridad, a informar a las autoridades de vigilancia del mercado de cada Estado miembro en el que hayas suministrado el producto. En este ejemplo, tanto Alemania como Francia. Las notificaciones se envían en paralelo. Usa el canal del BSI alemán para la autoridad alemana, el canal de la ANSSI francesa para la autoridad francesa. Mantén un registro de distribución por producto para que la lista de Estados miembros de suministro sea una consulta rápida cuando surja una vulnerabilidad.

¿Puedo rechazar un envío de un proveedor habitual sin incumplir el contrato comercial?

El rechazo por motivos de no conformidad con el Reglamento es una obligación legal, no una preferencia comercial. Un distribuidor que pone en el mercado un producto no conforme incumple el Reglamento, con independencia de cualquier acuerdo con el proveedor. La mayoría de los contratos comerciales de suministro incluyen cláusulas de cumplimiento de la normativa aplicable que prevalecen sobre los compromisos comerciales cuando la no conformidad regulatoria está documentada. Rechaza con un registro escrito en el que conste qué elemento de la comprobación de admisión ha fallado, qué documentación faltaba o era no conforme y qué has solicitado al proveedor para subsanarlo. El registro de rechazo es también tu evidencia si una autoridad de vigilancia del mercado pregunta posteriormente por qué un envío estuvo retenido en depósito aduanero.

Este artículo es únicamente informativo y no constituye asesoramiento jurídico. Para orientación específica sobre cumplimiento normativo, consulta con asesores legales cualificados con experiencia en regulación europea de productos.

CRA Distribuidores Aplicación Cumplimiento
Share

Artículos Relacionados

Volver a todos los artículos

¿Se aplica el CRA a tu producto?

Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.

Comprobar ahora

¿Listo para lograr el cumplimiento del CRA?

Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.

Iniciar Prueba Gratuita de 14 Días

Análisis en profundidad de los temas del CRA

Guías permanentes sobre los requisitos, procesos y roles específicos definidos por la Ley de Ciberresiliencia.

Declaración UE de Conformidad

Qué debe contener la Declaración de Conformidad, quién la firma y cuándo es necesaria.

Leer la guía →
Evaluación de Conformidad

Cómo funciona la evaluación de conformidad bajo el CRA y cuándo se requiere un Organismo Notificado.

Leer la guía →
Documentación técnica

Qué debe contener la documentación técnica CRA (Anexo VII sección por sección) y cómo deben estructurarla los fabricantes.

Leer la guía →
Requisitos SBOM

Lo que el CRA exige para los SBOM y cómo la BSI TR-03183 define los criterios de calidad.

Leer la guía →
Notificación de vulnerabilidades

Cómo funciona el requisito de notificación de 24 horas a ENISA y qué cuenta como vulnerabilidad explotada activamente.

Leer la guía →
Obligaciones del importador

Qué exige el artículo 19 a los importadores y cómo verificar el cumplimiento del fabricante.

Leer la guía →
Planificación del período de soporte

Qué significa la obligación del período de soporte del CRA para las actualizaciones de seguridad y la planificación del fin de vida.

Leer la guía →
View full CRA compliance guide