Obligaciones del Importador CRA: Qué Verificar Antes de Colocar Productos en el Mercado de la UE
Una Guía práctica de los requisitos de Verificación del Articulo 19 para importadores de la UE. Incluye listas de Verificación, flujos de trabajo y orientacion para cuando los proveedores no cumplen.
In this article
- Resumen Ejecutivo
- Lo Qué el CRA Requiere de los Importadores
- La Lista de Verificación de 6 Puntos
- Cómo Verificar el Cumplimiento del Fabricante de Fuera de la UE
- Qué Hacer Cuando la Verificación Falla
- Cuando los Importadores se Convierten en Fabricantes
- Documentación y Retencion
- Errores Comunes
- Lista de Verificación de Pre-Importacion
- Proximos Pasos
- Guias Relacionadas
Estas importando productos conectados a la UE. Bajo la Ley de Ciberresiliencia, enfrentas obligaciones de Verificación personal antes de colocar cualquier cosa en el mercado. Si la Documentación de tu proveedor esta incompleta, no puedes vender legalmente el producto.
Esta Guía cubre exactamente Qué debes verificar y Qué hacer cuando los proveedores no cumplen.
Resumen Ejecutivo
- Los importadores deben verificar la finalizacion de la Evaluación de conformidad del fabricante antes de la comercializacion (Articulo 19)
- Verificaciones requeridas: marcado CE, Declaración de Conformidad UE, disponibilidad de Documentación tecnica, informacion de contacto
- Si la Verificación falla, no puedes colocar el producto en el mercado, informa al fabricante y a las autoridades
- Los importadores Qué cambian la marca de productos o hacen modificaciones sustanciales se convierten en fabricantes (aplican obligaciones completas)
- Retencion de Documentación: mínimo 10 años
Importante: Los importadores deben verificar que el fabricante ha realizado una evaluacion de conformidad ANTES de colocar el producto en el mercado de la UE. Usted es corresponsable de los productos no conformes.
Consejo: Solicite la Declaracion de Conformidad UE y verificala contra una lista de verificacion. Esta es su obligacion minima de diligencia debida.
Lo Qué el CRA Requiere de los Importadores
La Ley de Ciberresiliencia (Reglamento 2024/2847) establece a los importadores Cómo guardianes del mercado de la UE. Tu rol es verificar Qué los fabricantes de fuera de la UE han hecho su tarea de cumplimiento antes de Qué sus productos lleguen a los consumidores europeos.
Esto no es un ejercicio de sello de goma. El Articulo 19 crea responsabilidad personal para importadores Qué colocan productos no conformes en el mercado.
Importador vs Distribuidor: Diferencias Clave
| Aspecto | Importador | Distribuidor |
|---|---|---|
| Posicion en la cadena | Primera entrada al mercado UE | Despues del importador |
| Profundidad de Verificación | Revision completa de Documentación | Marcado CE + verificaciones visuales |
| Documentación | Debe mantener copias | Debe verificar presencia |
| Penalizaciones | Hasta 10M EUR / 2% facturacion | Hasta 5M EUR / 1% facturacion |
Si eres la primera entidad Qué coloca un producto fabricado fuera de la UE en el mercado de la UE, eres un importador, independientemente de lo Qué digan tus contratos.
La Lista de Verificación de 6 Puntos
Antes de colocar cualquier producto con elementos digitales en el mercado de la UE, verifica los seis puntos:
1. Evaluación de Conformidad Completada
El fabricante debe haber realizado la Evaluación de conformidad apropiada:
- Modulo A (autoevaluacion): Para productos de categoria "por defecto"
- Modulo B+C (examen de tipo UE): Para productos "Importante Clase II"
- Modulo H (aseguramiento de calidad total): Alternativa para productos Importantes/Criticos
Solicita evidencia: la Declaración de Conformidad UE (DoC) Qué referencia el modulo de Evaluación usado.
2. Existe la Declaración de Conformidad UE
La DoC debe incluir:
- Nombre y direccion del fabricante
- Identificacion del producto (modelo, tipo, rango de número de serie)
- Declaración de conformidad con los requisitos esenciales del CRA
- Referencia a estandares armonizados aplicados (si los hay)
- Detalles del organismo notificado (si Evaluación de terceros)
- Firma, fecha y cargo del firmante
Senal de alerta: Una DoC Qué solo referencia "requisitos de ciberseguridad" genericos sin especificos del CRA/Anexo I.
3. Marcado CE Correctamente Aplicado
Verifica:
- El marcado CE es visible, legible e indeleble
- Altura minima de 5mm (o proporcional para productos pequenos)
- Ubicado en el producto o embalaje (si el tamano del producto lo prohibe)
- Sin otras marcas Qué puedan confundir el significado del CE
Senal de alerta: Marcado CE solo en caja de envio externa, no en embalaje minorista.
4. Documentación Tecnica Disponible
No necesitas tener el expediente tecnico completo, pero debes confirmar:
- La Documentación tecnica existe
- El fabricante la proporcionara a las autoridades bajo solicitud
- La Documentación cubre los requisitos del Anexo VII del CRA
Solicita un resumen del expediente tecnico o indice Cómo evidencia.
5. Informacion de Contacto del Fabricante Presente
Los productos deben mostrar:
- Nombre del fabricante
- Nombre comercial registrado o marca
- Direccion postal de contacto
- URL o email de punto unico de contacto (para informes de vulnerabilidades)
Esta informacion debe estar en el producto mismo, o si es imposible, en el embalaje y/o Documentación acompanante.
6. Instrucciones en Idioma(s) del Mercado Objetivo
Las instrucciones de usuario y la informacion de seguridad deben estar disponibles en el/los idioma(s) oficial(es) del/los estado(s) miembro(s) donde venderas el producto.
Para distribucion en toda la UE: Cómo mínimo, proporciona ingles. Confirma idiomas adicionales para mercados especificos.
Cómo Verificar el Cumplimiento del Fabricante de Fuera de la UE
Muchos importadores reciben garantias confiadas de proveedores extranjeros. Las garantias no son evidencia.
La Solicitud de Documentación
Envia a los fabricantes esta solicitud antes de comprometerte a importar:
ASUNTO: Solicitud de Documentación de Cumplimiento CRA
Estamos evaluando [Nombre/Modelo del Producto] para importacion a la
Union Europea.
Bajo el Reglamento UE 2024/2847 (Ley de Ciberresiliencia), los
importadores deben verificar el cumplimiento del fabricante antes de
la comercializacion.
Por favor proporcione:
1. Declaración de Conformidad UE (firmada, fechada)
2. Indice o resumen del expediente tecnico
3. Confirmacion del modulo de Evaluación de conformidad usado
4. Confirmacion de ubicacion del marcado CE (foto si es posible)
5. Declaración del periodo de soporte (mínimo 5 años requerido)
6. Política de manejo de vulnerabilidades / punto de contacto de seguridad
Sin esta Documentación, no podemos proceder con la importacion.
Plazo solicitado: [X dias laborables]
Evaluación de Respuestas
| Respuesta | Accion |
|---|---|
| Documentación completa proporcionada | Proceder con revision de Verificación |
| Documentación parcial, promesas de completar | Retrasar importacion hasta completar |
| "Tenemos marcado CE para otras regulaciones" | No satisface CRA, solicitar DoC especifica del CRA |
| "Nuestros productos no necesitan cumplimiento CRA" | Solicitar analisis de alcance por escrito |
| Sin respuesta / rechazo | No importar |
Senales de Alerta en Respuestas del Fabricante
Observa estas senales de advertencia:
- DoC generica: Lenguaje de plantilla no especifico al producto
- Fechas desactualizadas: DoC anterior a la aplicacion del CRA (sugiere no cumplimiento del CRA)
- Falta organismo notificado: Para productos Importante Clase II, la Evaluación de terceros es obligatoria
- Sin contacto de seguridad: Requerido para todos los productos con elementos digitales
- Cumplimiento "pendiente": El producto no puede colocarse en el mercado mientras el cumplimiento esta pendiente
Qué Hacer Cuando la Verificación Falla
Si cualquier punto de Verificación falla, tienes obligaciones legales:
Paso 1: Detener
No coloques el producto en el mercado de la UE. La importacion para almacenamiento/reexportacion puede ser posible, pero la comercializacion esta prohibida.
Paso 2: Documentar
Registra el hallazgo especifico de incumplimiento:
- Qué punto de Verificación fallo
- Qué evidencia faltaba o era inadecuada
- Fecha de determinacion
- Comunicacion con el fabricante
Paso 3: Notificar al Fabricante
Informa al fabricante por escrito:
- Brechas de cumplimiento especificas identificadas
- Documentación requerida para resolver
- Plazo para respuesta
- Consecuencia: no se puede importar hasta Qué se resuelva
Paso 4: Evaluar Riesgo
Si el producto representa un riesgo de ciberseguridad (no solo brechas de Documentación):
- Reportar a la autoridad de vigilancia del mercado en el estado miembro relevante
- Proporcionar toda la Documentación disponible
- Cooperar con cualquier investigacion
Paso 5: Resolver o Rechazar
Solo procede con la importacion cuando:
- Todos los seis puntos de Verificación estan satisfechos
- Documentación recibida y revisada
- Cualquier preocupacion de riesgo abordada
Cuando los Importadores se Convierten en Fabricantes
Bajo el Articulo 22, te conviertes en fabricante (con obligaciones completas) cuando:
Disparador 1: Nombre o Marca Propia
Colocar un producto en el mercado bajo tu marca te convierte en el fabricante, independientemente de Quién lo construyo realmente.
Ejemplos:
- Router de marca blanca vendido bajo el nombre de tu empresa
- Dispositivo OEM con tu logo
- Producto donde tu empresa aparece Cómo "fabricante" en el embalaje
Disparador 2: Modificacion Sustancial
Hacer cambios Qué afectan el proposito previsto o el cumplimiento del CRA.
| Modificacion | ¿Sustancial? | Por Qué |
|---|---|---|
| Instalacion de firmware personalizado | Si | Cambia postura de seguridad |
| Agregar funciones de gestion remota | Si | Nueva superficie de ataque |
| Cambios de hardware Qué afectan seguridad | Si | Altera perfil de riesgo |
| Solo localizacion de idioma | No | Cosmetico, sin impacto de seguridad |
| Aplicacion de parche de seguridad | No | Explicitamente exento |
| Cambios de embalaje | No | Sin modificacion del producto |
Obligaciones del Fabricante (Si Se Activan)
Si te conviertes en fabricante, debes:
- Realizar Evaluación de riesgos de ciberseguridad
- Preparar Documentación tecnica completa (Anexo VII)
- Realizar Evaluación de conformidad (modulo apropiado)
- Emitir tu propia Declaración de Conformidad UE
- Aplicar marcado CE bajo tu responsabilidad
- Establecer proceso de manejo de vulnerabilidades
- Proporcionar actualizaciones de seguridad durante el periodo de soporte (mínimo 5 años)
- Reportar vulnerabilidades explotadas a ENISA dentro de 24 horas
Documentación y Retencion
Qué Conservar
- Declaración de Conformidad UE (copia)
- Resumen del expediente tecnico o confirmacion de acceso
- Tus registros de Verificación (lista de Verificación, correspondencia)
- Evidencia de comunicacion con el fabricante
- Documentación de importacion (aduanas, envio)
Cuanto Tiempo
10 años desde la fecha en Qué la ultima unidad fue colocada en el mercado.
Si importas un lote en 2027 y vendes la unidad final en 2029, la retencion termina en 2039.
Formato
El almacenamiento digital es aceptable. Asegura:
- Los archivos son accesibles y legibles
- Procedimientos de respaldo implementados
- Pueden producirse en tiempo razonable bajo solicitud de autoridad
Errores Comunes
"El marcado CE significa Qué estan conformes"
El marcado CE indica Qué el fabricante reclama cumplimiento. Tu trabajo es verificar la Documentación subyacente. Un marcado CE sin Documentación de respaldo es una senal de alerta.
"Nuestro proveedor ha sido confiable durante años"
La confiabilidad pasada con otras regulaciones no garantiza cumplimiento del CRA. El CRA es nuevo, y muchos fabricantes establecidos aun estan implementando requisitos.
"Garantias verbales de nuestro contacto de ventas"
El cumplimiento regulatorio requiere Documentación. La garantia de un representante de ventas no tiene peso legal. Obtenlo por escrito, o no importes.
"Verificaremos despues de Qué llegue el envio"
La Verificación debe ocurrir antes de la comercializacion. Puedes importar bienes a un almacen, pero no puedes venderlos hasta Qué la Verificación este completa. La Verificación tardia crea riesgo de inventario y flujo de caja.
"Solo somos el distribuidor"
Si eres la primera entidad Qué coloca bienes fabricados fuera de la UE en el mercado de la UE, eres un importador. No un distribuidor. Las obligaciones del distribuidor son mas ligeras, pero solo aplican despues de Qué un importador ya ha hecho su Verificación.
Lista de Verificación de Pre-Importacion
Usa esta lista de Verificación antes de cada Decisión de importacion:
LISTA DE Verificación DE Verificación DEL IMPORTADOR CRA
Producto: _______________________________________
Fabricante: _____________________________________
Fecha: __________________________________________
Documentación RECIBIDA:
[ ] Declaración de Conformidad UE
[ ] Resumen/Indice del expediente tecnico
[ ] Evidencia de Evaluación de conformidad (modulo usado: _____)
[ ] Contacto de seguridad / Política de vulnerabilidades
[ ] Declaración del periodo de soporte
Verificación FISICA:
[ ] Marcado CE presente y correctamente formateado
[ ] Nombre y direccion del fabricante en producto/embalaje
[ ] Instrucciones de usuario en idioma(s) del mercado objetivo
[ ] Punto unico de contacto para vulnerabilidades
Evaluación DE ROL:
[ ] El producto se vendera bajo la marca del fabricante (no la nuestra)
[ ] No hay modificaciones de firmware o hardware planificadas
[ ] Sin cambios al proposito previsto o caracteristicas de seguridad
Decisión:
[ ] PROCEDER - Todos los puntos de Verificación satisfechos
[ ] RETENER - Esperando Documentación (especificar: ___________)
[ ] RECHAZAR - Verificación fallida (documentar razones)
Verificado por: ___________________________________
Fecha: __________________________________________
Proximos Pasos
La Verificación es el primer paso. Una vez Qué los productos estan en el mercado, los importadores deben:
- Monitorear comunicaciones del fabricante sobre vulnerabilidades
- Cooperar con cualquier retiro o accion correctiva
- Notificar a las autoridades si el fabricante cesa operaciones
- Mantener Documentación durante el periodo de retencion de 10 años
CRA Evidence ayuda a los importadores a gestionar el flujo de trabajo completo de Verificación:
- Libreta de Direcciones del Fabricante: Rastrea el estado de cumplimiento del proveedor
- Listas de Verificación de Verificación: Flujo de trabajo estructurado del Articulo 19
- Almacenamiento de Documentos: Evidencia de cumplimiento centralizada
- Alertas de Vencimiento: Seguimiento de certificaciones y periodos de soporte
Comienza tu flujo de trabajo de Verificación de importador en app.craevidence.com.
Guias Relacionadas
- Clasificacion de Productos CRA: Es su Producto Default, Importante o Critico?
- Lista de Verificacion del Distribuidor CRA: 5 Pasos de Verificacion para Cada Producto
- Cuando los Importadores se Convierten en Fabricantes bajo el CRA: Escalacion de Roles
Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.
Temas tratados en este artículo
Artículos Relacionados
¿Son las Cámaras Inteligentes Productos Importantes bajo...
Las cámaras de seguridad inteligentes están clasificadas como Productos...
11 minCybersecurity Act 2 de la UE: Prohibiciones en la Cadena...
La UE propuso sustituir el Cybersecurity Act por completo. Qué cambió, qué...
11 minClasificación de Productos CRA: ¿Tu Producto es Por...
Una Guía práctica para determinar la categoria CRA de tu producto. Incluye...
12 minDoes the CRA apply to your product?
Responde 6 preguntas sencillas para saber si tu producto entra en el ámbito de la Ley de Resiliencia Cibernética de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Comienza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.