Penalizaciones del CRA en la práctica: cómo es realmente la vigilancia del mercado
Entendiendo los mecanismos de aplicación del CRA, estructuras de penalización y qué esperar de la vigilancia del mercado. Una guía práctica para evitar acciones de aplicación.
En este artículo
- Resumen ejecutivo
- ¿Cuáles son los niveles de sanción del CRA?
- Vigilancia del mercado: cómo funciona
- Más allá de las multas: otras consecuencias
- Qué desencadena la aplicación
- Cómo evitar acciones de aplicación
- Consideraciones para PYMEs
- Lista de verificación de preparación para aplicación
- Preguntas frecuentes
- Próximos pasos
El CRA incluye disposiciones de penalización que pueden alcanzar 15 millones de euros o el 2.5% de la facturación global. Pero, ¿Cómo es realmente la aplicación? ¿Cómo operan las autoridades de vigilancia del mercado? ¿Y qué desencadena las penalizaciones más altas?
Esta guía explica los mecanismos de aplicación del CRA y cómo mantenerse del lado correcto de los reguladores.
Resumen ejecutivo
- Penalizaciones máximas: 15M€ o 2.5% facturación global por violaciones de requisitos esenciales
- Las autoridades de vigilancia del mercado realizan inspecciones, solicitan Documentación, prueban productos
- Respuesta graduada: oportunidades de corrección antes de penalizaciones (normalmente)
- Peores resultados: retirada del producto, recall, prohibiciones de importación
- Mejor defensa: decisiones de cumplimiento documentadas y cooperación receptiva
¿Cuáles son los niveles de sanción del CRA?
Tres niveles de penalización
El CRA establece multas administrativas máximas basadas en la gravedad de la violación:
NIVELES DE PENALIZACION CRA
NIVEL 1: Violaciones de Requisitos Esenciales (Artículo 64(2))
─────────────────────────────────────────────────────────────
Máximo: 15.000.000€ o 2.5% de facturacion anual mundial
(lo qué sea mayor)
Violaciones incluyen:
- Incumplimiento de requisitos esenciales del Anexo I
- Colocar productos no conformes en el mercado
- evaluación de conformidad faltante o invalida
- Proporcionar información falsa a las autoridades
NIVEL 2: Violaciones de Otras Obligaciones (Artículo 64(3))
─────────────────────────────────────────────────────────────
Máximo: 10.000.000€ o 2% de facturacion anual mundial
(lo qué sea mayor)
Violaciones incluyen:
- Deficiencias de Documentación
- Marcado CE faltante o incorrecto
- Fallos de obligaciones de importador/distribuidor
- Fallos de requisitos de Notificación
NIVEL 3: Violaciones de información (Artículo 64(4))
─────────────────────────────────────────────────────────────
Máximo: 5.000.000€ o 1% de facturacion anual mundial
(lo qué sea mayor)
Violaciones incluyen:
- Proporcionar información incorrecta/incompleta a autoridades
- No proporcionar información bajo solicitud
- Obstruccion de actividades de vigilancia del mercado
Advertencia: Las penalizaciones máximas alcanzan 15 millones de euros o el 2,5% de la facturación anual global, lo que sea MAYOR. Para grandes empresas, el cálculo basado en facturación puede superar con creces el tope fijo.
Cómo se calculan las penalizaciones
Las autoridades deben considerar (Artículo 64(5)):
| Factor | Impacto en Penalización |
|---|---|
| Naturaleza, gravedad, duración | Más grave = mayor |
| Intencional vs negligente | Intención = mayor |
| Acciones para mitigar daño | Mitigación = menor |
| Violaciones anteriores | Reincidencia = mayor |
| Beneficios financieros obtenidos | Beneficio de incumplimiento = mayor |
| Cooperación con autoridades | Buena cooperación = menor |
| Otros factores agravantes/atenuantes | Específicos del caso |
Ejemplos de penalizaciones (ilustrativos)
ESCENARIOS DE EJEMPLO (Ilustrativos, no precedente)
Escenario A: Brecha de Documentación
─────────────────────────────────────────────────────────────
Violacion: Expediente técnico incompleto (falta evaluación de riesgos)
Circunstancias: Primera ofensa, corregida rapidamente, cooperativo
Resultado probable: Advertencia o multa baja
Rango estimado: 0€ - 50.000€
Escenario B: evaluación de Conformidad Faltante
─────────────────────────────────────────────────────────────
Violacion: Producto Importante Clase II vendido sin evaluación ON
Circunstancias: Conocia el requisito, procedio de todos modos
Resultado probable: Multa significativa + retirada del producto
Rango estimado: 100.000€ - 1.000.000€+
Escenario C: Vulnerabilidad Conocida Sin Parchear
─────────────────────────────────────────────────────────────
Violacion: Vulnerabilidad crítica conocida, no abordada durante 6 meses
Circunstancias: Dano a clientes resulto, pobre cooperacion
Resultado probable: Multa importante + potencial recall
Rango estimado: 500.000€ - 5.000.000€+
Escenario D: Incumplimiento Sistematico
─────────────────────────────────────────────────────────────
Violacion: Multiples productos, sin evaluación de conformidad, DoC falsa
Circunstancias: Gran empresa, continuo, evidencia de intencion
Resultado probable: Penalizaciones maximas + prohibicion de mercado
Rango estimado: Hasta 15.000.000€ o 2.5% facturacion
Vigilancia del mercado: cómo funciona
¿Quién Aplica el CRA?
Las autoridades de vigilancia del mercado (MSAs) en cada estado miembro aplican el CRA. Típicamente son:
- Agencias de protección al consumidor
- Autoridades de seguridad industrial/producto
- Reguladores sectoriales
Coordinación: La Red de Cumplimiento de Productos de la UE coordina la aplicación transfronteriza.
Métodos de vigilancia
ACTIVIDADES DE VIGILANCIA DEL MERCADO
VIGILANCIA PROACTIVA:
├── Monitorización del mercado (online y físico)
├── Muestreo aleatorio de productos
├── Investigaciones impulsadas por quejas
├── Campanas enfocadas en sectores
└── Intercambio de información transfronterizo
VIGILANCIA REACTIVA:
├── Informes de incidentes de usuarios
├── Divulgaciones de vulnerabilidades
├── Quejas de competidores
├── información de denunciantes
└── Alertas RAPEX/Safety Gate
SOLICITUDES DE Documentación:
├── Declaración de Conformidad UE
├── Expediente técnico (o partes relevantes)
├── SBOM
├── Informes de pruebas
├── Evidencia de evaluación de conformidad
└── Registros de gestión de vulnerabilidades
Secuencia típica de aplicación
ESCALERA DE ESCALACION DE APLICACION
1. SOLICITUD DE INFORMACION
├── Autoridad solicita Documentación
├── Fabricante proporciona dentro del plazo
└── Si satisfactorio → Caso cerrado
2. evaluación DE CUMPLIMIENTO
├── Autoridad revisa Documentación
├── Puede realizar pruebas del producto
├── Identifica deficiencias (si las hay)
└── Si conforme → Caso cerrado
3. SOLICITUD DE ACCION CORRECTIVA
├── Autoridad identifica incumplimiento
├── Solicita medidas correctivas
├── Establece plazo para corrección
└── Fabricante implementa correcciones
4. ADVERTENCIA FORMAL
├── Correcciones inadecuadas o retrasadas
├── Notificación formal de violacion
├── Última oportunidad de corregir
└── Advertencia de penalizacion emitida
5. MEDIDAS ADMINISTRATIVAS
├── Orden de retirada del producto
├── Prohibicion de importación/venta
├── Advertencias publicas emitidas
└── Multa administrativa impuesta
6. APLICACION ESCALADA
├── Recall del producto ordenado
├── Multas maximas aplicadas
├── Referencia penal (si aplica)
└── Prohibicion de mercado en toda la UE
Más allá de las multas: otras consecuencias
Retirada del Producto
Qué significa: Retirar producto del mercado (detener ventas).
Cuando se ordena: El producto presenta riesgo o incumplimiento que puede corregirse.
Tus obligaciones:
- Detener ventas inmediatamente
- Notificar a distribuidores
- Implementar correcciones
- Buscar re-aprobación antes de reanudar ventas
Recall del Producto
Qué significa: Recuperar productos ya vendidos a clientes.
Cuando se ordena: El producto presenta riesgo grave incluso en manos del usuario.
Tus obligaciones:
- Contactar a todos los clientes conocidos
- Proporcionar instrucciones de devolución/reemplazo
- Cubrir costes del recall
- Informar del progreso a las autoridades
Prohibición de importación
Qué significa: El producto no puede entrar al mercado de la UE.
Cuando se aplica: Productos no conformes interceptados en frontera o problemas sistemáticos con fabricante.
Consecuencias:
- Productos retenidos en aduanas
- Pueden ser destruidos o devueltos
- Afecta todos los envíos futuros
Nombrar públicamente
Qué significa: La autoridad publica detalles del incumplimiento.
Por qué importa:
- Daño reputacional
- Impacto en confianza del cliente
- Ventaja para competidores
- Descalificación de contratación pública
Qué desencadena la aplicación
Desencadenantes de alta prioridad
Las autoridades priorizan casos que involucran:
| Desencadenante | Por qué Alta Prioridad |
|---|---|
| Incidentes de seguridad | Daño real ocurrió |
| Vulnerabilidades activamente explotadas | Riesgo inmediato |
| Fraude sistemático (DoC falsa) | Engaño intencional |
| Productos de infraestructura crítica | Sector de alto impacto |
| Incumplimiento a gran escala | Muchas unidades afectadas |
| Reincidentes | Patrón de desatención |
Desencadenantes comunes de aplicación
Basado en experiencia de aplicación de regulaciones similares:
- Quejas de competidores - Rivales comerciales notifican sospecha de incumplimiento
- Incidentes de clientes - Usuarios notifican brechas de seguridad o daños
- Muestreo aleatorio - La autoridad compra y prueba productos
- Inspección de importación - Aduanas señala problemas de Documentación
- Divulgación de vulnerabilidades - Investigadores de seguridad notifican problemas sin parchear
- Denunciantes - Empleados notifican incumplimiento interno
Cómo evitar acciones de aplicación
Consejo: La mejor defensa son las decisiones de cumplimiento documentadas. Incluso si tu enfoque no es perfecto, demostrar un esfuerzo de buena fe con justificación documentada reduce significativamente el riesgo de penalización.
Estrategia de prevención
LISTA DE verificación DE PREVENCION DE APLICACION
Documentación:
[ ] Expediente técnico completo y accesible
[ ] DoC precisa y firmada
[ ] SBOM actual y disponible
[ ] evaluación de riesgos documentada
[ ] Informes de pruebas conservados
CONFORMIDAD:
[ ] Ruta de evaluación correcta seleccionada
[ ] evaluación realmente completada (no solo declarada)
[ ] Marcado CE correctamente aplicado
[ ] Identificación del producto trazable
GESTIÓN DE VULNERABILIDADES:
[ ] Contacto de seguridad publicado
[ ] Política CVD implementada
[ ] Capacidad de respuesta demostrada
[ ] Actualizaciones entregadas cuando necesario
POSTURA DE COOPERACION:
[ ] Responder rapidamente a solicitudes de autoridades
[ ] Proporcionar información completa
[ ] No ocultar problemas
[ ] Documentar esfuerzos de buena fe
Si comienza la aplicación
Importante: Nunca proporciones información falsa a las autoridades de vigilancia del mercado. Lo que comienza como una violación de Nivel 3 (máx. 5M€) se convierte en una violación de Nivel 1 (máx. 15M€) si mientes.
Hacer:
- Responder dentro de los plazos
- Proporcionar documentación completa
- Reconocer problemas honestamente
- Proponer acciones correctivas
- Documentar tu cooperación
- Buscar asesoría legal temprano
No hacer:
- Ignorar solicitudes (empeora todo)
- Proporcionar información falsa (violación Nivel 3 se convierte en Nivel 1)
- Retrasar sin explicación
- Culpar a otros sin evidencia
- Destruir documentos
Beneficios de la cooperación
La cooperación demostrada afecta significativamente los resultados:
| Comportamiento | Impacto Probable |
|---|---|
| Respuestas rápidas y completas | Penalizaciones menores |
| Autonotificación proactiva | Potencialmente sin multa |
| Acción correctiva rápida | El caso puede cerrarse temprano |
| Esfuerzo de buena fe documentado | Factor atenuante |
| Obstrucción o retraso | Factor agravante |
| información falsa | Penalizaciones máximas |
Consideraciones para PYMEs
Proporcionalidad
Las penalizaciones del CRA deben ser "efectivas, proporcionadas y disuasorias." Para PYMEs:
- Los topes de porcentaje de facturación importan (15M€ improbable para empresa pequeña)
- El principio de proporcionalidad aplica
- Violaciones menores de primera vez a menudo reciben advertencias
Exención de notificación para PYMEs
Información: Las PYMEs están exentas de penalizaciones específicas por no cumplir los plazos de notificación a ENISA de 24h/72h. Sin embargo, esto NO significa que las PYMEs puedan omitir la notificación por completo: deben seguir notificando, solo sin multas basadas en plazos.
Las PYMEs están exentas de penalizaciones específicas por no cumplir los plazos de notificación a ENISA de 24h/72h (Artículo 64(7)). Pero:
- Aún deben notificar (solo no multadas por timing)
- Otras penalizaciones aún aplican
- No es un pase libre para fallos sistemáticos
Lista de verificación de preparación para aplicación
LISTA DE verificación DE PREPARACION PARA APLICACION
Documentación LISTA:
[ ] Expediente técnico completo
[ ] DoC firmada y fechada
[ ] SBOM disponible
[ ] Informes de pruebas accesibles
[ ] evaluación de riesgos documentada
[ ] Evidencia de evaluación de conformidad
CAPACIDAD DE RESPUESTA:
[ ] Punto de contacto con autoridades designado
[ ] Proceso de respuesta definido
[ ] Asesor legal identificado
[ ] Recuperacion de documentación probada
[ ] Plazo de respuesta entendido (tipicamente 10-30 dias)
SEGUIMIENTO DE PROBLEMAS:
[ ] Vulnerabilidades conocidas documentadas
[ ] Estado de remediación rastreado
[ ] Registros de Notificación a clientes
[ ] Historial de incidentes mantenido
CONCIENCIA INTERNA:
[ ] Personal sabe no ignorar contacto de autoridad
[ ] Ruta de escalacion a cumplimiento/legal
[ ] Nadie autorizado a proporcionar información falsa
[ ] Retención de documentos aplicada
Preguntas frecuentes
¿Cuál es la multa máxima prevista por el CRA?
El artículo 64(2) fija el máximo en 15 millones de euros o el 2,5% de la facturación anual mundial, aplicándose la cifra mayor. Para grandes empresas, el cálculo basado en facturación puede superar con creces el tope fijo. El límite de 15 millones solo se aplica cuando el 2,5% de la facturación queda por debajo de esa cantidad.
¿Qué autoridad aplica el CRA en cada estado miembro de la UE?
El CRA no designa un único organismo de aplicación para toda la UE. Cada estado miembro designa su propia autoridad de vigilancia del mercado. En España, INCIBE (Instituto Nacional de Ciberseguridad) asume el papel principal, con CCN-CERT como referencia complementaria para el sector público. En otros países, el BSI alemán, la ANSSI francesa, la ACN italiana y el CERT Polska polaco son los organismos nacionales con mayor protagonismo previsto. La Red de Cumplimiento de Productos de la UE coordina la aplicación transfronteriza cuando los problemas afectan a varios mercados.
¿Qué desencadena una investigación de vigilancia del mercado bajo el CRA?
Los desencadenantes habituales son quejas de competidores, incidentes de seguridad notificados por clientes, muestreo aleatorio de productos por parte de las autoridades, señalamientos durante la inspección de importación y vulnerabilidades conocidas sin parchear que se hacen públicas. Las autoridades también realizan campañas proactivas en sectores con productos de alto riesgo.
¿Puede sancionarse a una empresa antes del plazo de diciembre de 2027?
Los productos comercializados después del 11 de diciembre de 2027 deben cumplir el reglamento en su totalidad. Sin embargo, la obligación de notificación de vulnerabilidades del artículo 14 entra en vigor el 11 de septiembre de 2026. Las autoridades pueden exigir su cumplimiento desde esa fecha. Una empresa que ignore una vulnerabilidad activamente explotada y confirmada después de septiembre de 2026 ya está expuesta a sanciones.
¿Las multas del CRA se aplican por producto o por empresa?
Las multas se calculan por infracción, no por unidad vendida. Una línea de producto no conforme constituye una sola infracción, aunque el cálculo de la sanción tiene en cuenta la escala del incumplimiento, el número de unidades en circulación y cualquier beneficio económico obtenido. El incumplimiento sistemático en varias líneas de producto se trataría normalmente como infracciones separadas.
¿Cómo se compara el régimen de sanciones del CRA con el del RGPD?
Los máximos son similares: el RGPD llega hasta 20 millones de euros o el 4% de la facturación global; el CRA, hasta 15 millones o el 2,5%. Ambos emplean una estructura escalonada según la gravedad de la infracción. La diferencia clave está en el objeto de la aplicación: el RGPD se dirige a responsables y encargados del tratamiento de datos; el CRA apunta a fabricantes, importadores y distribuidores de productos. La aplicación del CRA recae en las autoridades de seguridad de productos, no en las autoridades de protección de datos.
Próximos pasos
¿Gestionas el cumplimiento del CRA en varios productos? CRA Evidence realiza el seguimiento de las pruebas de tu expediente técnico, los registros de gestión de vulnerabilidades y el estado de tu evaluación de conformidad. Tu documentación está lista cuando una autoridad la solicita.
Una vez que comprendas la estructura de sanciones, confirma tus plazos con el calendario de implementación del CRA. Prepara tu expediente de pruebas con la guía del expediente técnico antes de que llegue el primer plazo de aplicación.
Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados.
Artículos Relacionados
ECSMAF v3.0 explicado: cómo ENISA mapea el mercado europeo de ciberseguridad
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.