Productos marca blanca y OEM bajo el CRA: ¿quién es el fabricante?

Vendes tablets bajo tu marca, pero una fábrica en Asia las hace. Bajo el CRA, tú eres el fabricante, con todas las obligaciones que eso conlleva. Entender el cumplimiento de productos marca blanca es esencial antes de poner tu logo en el hardware de otra persona.

Esta guía cubre las obligaciones CRA para acuerdos de marca blanca, OEM y marca privada.

Entendiendo marca blanca bajo el CRA

La regla central

El Artículo 3 del CRA define "fabricante" como:

"cualquier persona natural o juridica que fabrica un producto con elementos digitales o hace que dicho producto sea disenado o fabricado y lo comercializa bajo su nombre o marca"

La frase clave es "lo comercializa bajo su nombre o marca."

Si tu marca está en el producto, eres el fabricante, incluso si nunca tocaste un soldador o escribiste una línea de código.

Aclaración de terminología

Diferentes términos, mismo resultado CRA:

La distinción que importa: ¿De quién es la marca en el producto?

Qué significa esto en la práctica

Eres fabricante, entonces...

Como fabricante de marca blanca bajo el CRA, debes:

Antes de la Comercialización:

1. Realizar evaluación de conformidad (Módulo A, B+C, o H)
2. Preparar documentación técnica (Anexo VII)
3. Asegurar que el producto cumple requisitos esenciales del Anexo I
4. Firmar Declaración de Conformidad UE
5. Fijar marcado CE
6. Crear/mantener SBOM

Durante el Periodo de Soporte:

1. Gestionar notificaciones de vulnerabilidades
2. Proporcionar actualizaciones de seguridad por 5+ años
3. Notificar a ENISA (si explotación activa)
4. Notificar a clientes sobre problemas de seguridad
5. Mantener Documentación

Continuo:

1. Vigilancia post-mercado
2. Cooperacion con autoridades
3. Respuesta a incumplimiento

Tu proveedor se convierte en tu proveedor

El fabricante real (fábrica, ODM, etc.) es ahora tu proveedor, no el fabricante legal para propositos del CRA. Esto cambia la relación:

ANTES DEL CRA:
Fabrica ODM → "Fabricante" (su producto, su cumplimiento)
     ↓
Tu Marca → "Revendedor/Distribuidor"

BAJO EL CRA:
Fabrica ODM → "Proveedor" (construye a especificación)
     ↓
Tu Marca → "Fabricante" (tu producto, tu cumplimiento)

La brecha de cumplimiento de marca blanca

Muchos acuerdos de marca blanca no fueron disenados para esto. Problemas comunes:

Brecha 1: sin acceso a documentación técnica

Tu ODM tiene el expediente técnico, pero ahora tu eres requerido a mantenerlo.

Problema:

• La fábrica considera los diseños propietarios
• La documentación puede estar incompleta
• Puede no cumplir requisitos de formato CRA

Solucion:

• Contratar acceso a Documentación
• Requerir expediente técnico conforme al Anexo VII
• Verificar antes de firmar acuerdo

Brecha 2: gestión de vulnerabilidades indefinida

¿Quién gestiona problemas de seguridad cuando tu producto con marca tiene una vulnerabilidad?

Problema:

• La fabrica descubre vulnerabilidad, ¿te lo dicen?
• Cliente te notifica, ¿puede la fabrica arreglarlo?
• Cronogramas desalineados

Solucion:

• Definir respuesta a vulnerabilidades en contrato
• Establecer cronogramas de Notificación
• Acordar responsabilidades de desarrollo de actualizaciones
• Clarificar notificación a ENISA (tu obligación)

Brecha 3: desajuste de periodo de soporte

Prometiste soporte de 5 años, pero tu relación con proveedor es de 2 años.

Problema:

• La fabrica discontinua el producto
• La fabrica cierra el negocio
• Sin fuente de actualizaciones después de que termina contrato

Solucion:

• Contratar por duracion del período de soporte
• Acuerdos de escrow para código fuente
• planificación de contingencia para cambios de proveedor
• Considerar calificación de múltiples proveedores

Brecha 4: Sin SBOM

Necesitas un SBOM. Tu proveedor nunca creo uno.

Problema:

• No puedes proporcionar SBOM a reguladores o clientes
• No puedes rastrear vulnerabilidades en componentes
• No puedes demostrar transparencia de cadena de suministro

Solucion:

• Requerir SBOM en adquisición
• Especificar formato (CycloneDX, SPDX)
• Definir frecuencia de actualización

Estructurando acuerdos de marca blanca para CRA

Términos contractuales esenciales

Tu acuerdo de marca blanca/OEM debe incluir:

1. Reconocimiento de Cumplimiento CRA

El Proveedor reconoce qué el Comprador comercializara el Producto
en el mercado de la UE bajo la marca del Comprador y qué el
Comprador será considerado el "fabricante" bajo el Reglamento
(UE) 2024/2847 (Ley de Ciberresiliencia). El Proveedor acuerda
apoyar las obligaciones de cumplimiento del Comprador segun lo
establecido en este Acuerdo.

2. documentación Técnica

El Proveedor proporcionará al Comprador:
(a) documentación técnica completa qué cumpla los requisitos
    del Anexo VII del Reglamento (UE) 2024/2847
(b) Toda la documentación necesaria para que el Comprador:
    - Realice evaluación de conformidad
    - Prepare Declaración de Conformidad UE
    - Responda a solicitudes de vigilancia del mercado
(c) Actualizaciones de documentación dentro de [10] dias de
    cualquier cambio qué afecte el estado de conformidad

El Proveedor otorga al Comprador una licencia perpetua e
irrevocable para usar dicha documentación con fines de cumplimiento.

3. Provision de SBOM

El Proveedor proporcionará:
(a) Software Bill of Materials en formato [CycloneDX/SPDX]
(b) SBOM actualizado dentro de [5] dias de cada lanzamiento
    de firmware/software
(c) SBOM incluyendo todos los componentes de terceros con:
    - Nombre y version del componente
    - información del proveedor
    - información de licencia
    - Vulnerabilidades conocidas al momento de entrega

4. Gestión de Vulnerabilidades

Notificación de Vulnerabilidades:
El Proveedor notificara al Comprador dentro de [24 horas] de
tomar conocimiento de cualquier vulnerabilidad de seguridad
en el Producto, independientemente de la fuente de descubrimiento.

Desarrollo de Parches:
Tras Notificación de una vulnerabilidad, el Proveedor:
(a) Reconocera dentro de [24 horas]
(b) Proporcionara evaluación de severidad dentro de [72 horas]
(c) Entregara parche dentro de:
    - [7 dias] para severidad Crítica
    - [30 dias] para severidad Alta
    - [90 dias] para severidad Media/Baja

El Comprador retiene autoridad final sobre comunicaciones
a clientes y cronograma de lanzamiento de actualizaciones.

5. Compromiso de Periodo de Soporte

El Proveedor se compromete a:
(a) Proporcionar actualizaciones de seguridad para el Producto
    por un período mínimo de [5 años] desde la fecha de primera
    entrega al Comprador
(b) Mantener capacidad de producir actualizaciones durante
    este período
(c) Proporcionar [90 dias] de aviso antes de cualquier
    discontinuacion planificada
(d) [Escrow de código fuente / asistencia de transición] si
    el Proveedor no puede cumplir este compromiso

6. Soporte de Conformidad

El Proveedor:
(a) Apoyara las actividades de evaluación de conformidad del Comprador
(b) Proporcionara informes de pruebas, certificados y evidencia
    segun se solicite razonablemente
(c) Permitira al Comprador o su Organismo Notificado designado
    auditar instalaciones de producción
(d) Mantendra controles de calidad consistentes con el tipo de
    producto evaluado

7. Gestión de Subcomponentes

El Proveedor:
(a) Proporcionara lista de todos los proveedores de subcomponentes
(b) Transmitira requisitos CRA relevantes a subcomponentes
(c) Notificara al Comprador de cualquier cambio de subcomponente
    qué afecte seguridad o cumplimiento
(d) Mantendra registros de calificacion de proveedores de subcomponentes

Asignación de Riesgos

Flujo de trabajo práctico

Antes de firmar acuerdo de marca blanca

DEBIDA DILIGENCIA PRE-ACUERDO

1. evaluación TECNICA
   [ ] Revisar arquitectura del producto
   [ ] Evaluar caracteristicas de seguridad contra Anexo I
   [ ] Identificar brechas qué requieren remediación
   [ ] Evaluar capacidad de mecanismo de actualización

2. evaluación DE Documentación
   [ ] Solicitar muestra de documentación técnica
   [ ] Verificar completitud contra Anexo VII
   [ ] Revisar disponibilidad y calidad de SBOM
   [ ] Evaluar documentación de evaluación de riesgos

3. CAPACIDAD DEL PROVEEDOR
   [ ] Evaluar practicas de desarrollo de seguridad
   [ ] Revisar historial de gestión de vulnerabilidades
   [ ] Evaluar infraestructura de soporte
   [ ] Verificar capacidad de desarrollo de actualizaciones
   [ ] Verificar estabilidad financiera para compromiso de 5 años

4. NEGOCIACION DE CONTRATO
   [ ] Incluir todos los terminos especificos de CRA
   [ ] Definir entregables de Documentación
   [ ] Establecer SLAs de respuesta a vulnerabilidades
   [ ] Asegurar compromiso de período de soporte
   [ ] Abordar escrow de código fuente

5. planificación DE evaluación DE CONFORMIDAD
   [ ] Determinar Clasificación del producto
   [ ] Seleccionar modulo de evaluación de conformidad
   [ ] Identificar Organismo Notificado (si requerido)
   [ ] Planificar preparación de expediente técnico

Después de firmar: gestión continua

GESTION DE CUMPLIMIENTO DE PRODUCTO MARCA BLANCA

Mensual:
[ ] Revisar notificaciones de vulnerabilidad del proveedor
[ ] Verificar actualizaciones de SBOM recibidas
[ ] Monitorizar avisos de seguridad del proveedor
[ ] Verificar capacidades de entrega de actualizaciones

Trimestral:
[ ] Revision de documentación técnica
[ ] evaluación de capacidad del proveedor
[ ] verificación de cumplimiento contractual
[ ] Seguimiento de período de soporte

Anual:
[ ] Auditoria completa de cumplimiento
[ ] Revision y actualización de contrato
[ ] verificación de salud del negocio del proveedor
[ ] Revision de completitud de Documentación

Por Lanzamiento:
[ ] SBOM actualizado recibido
[ ] Expediente técnico actualizado
[ ] Pruebas completadas
[ ] Conformidad mantenida

Escenarios comunes de marca blanca

Escenario 1: rebranding simple

Situación: Compras tablets terminadas, pones tu logo, vendes bajo tu marca.

Tus obligaciones:

• Estado de fabricante completo
• Debe obtener toda la documentación del proveedor
• Debe realizar evaluación de conformidad (o verificar que la del proveedor es válida para tu uso)
• Debe gestionar todas las obligaciones post-mercado

Riesgos clave:

• evaluación de conformidad del proveedor puede no transferirse a ti
• Necesitas tu propia DoC
• Actualizaciones dependen enteramente del proveedor

Escenario 2: producto ODM personalizado

Situación: ODM disena producto a tus especificaciones, tu lo marcas y vendes.

Tus obligaciones:

• Estado de fabricante completo
• evaluación de conformidad es definitivamente tu responsabilidad (diseño personalizado)
• Expediente técnico debe reflejar tus personalizaciones
• Gestión de vulnerabilidades para tu versión

Riesgos clave:

• Personalizaciones pueden introducir vulnerabilidades
• Tus cambios pueden invalidar pruebas del proveedor
• Periodo de soporte para versión personalizada

Escenario 3: versiones multimarca

Situación: Mismo producto vendido bajo diferentes marcas (tuya y otras).

Obligaciones de cada propietario de marca:

• Cada uno es fabricante de su versión con marca
• Cada uno necesita su propia DoC y marcado CE
• Vulnerabilidades afectan a todos, se necesita Coordinación

Riesgos clave:

• Coordinación de Divulgación de vulnerabilidades
• ¿Quién notifica a ENISA?
• Confusion del cliente si actualizaciones difieren

Escenario 4: marca blanca parcial (componentes)

Situación: Tu disenas producto general, obtienes modulos de componentes marca blanca.

Tus obligaciones:

• Eres fabricante del producto general
• Proveedor de componente es tu proveedor
• Debes evaluar seguridad del componente
• Vulnerabilidades en componente son tu problema

Riesgos clave:

• Proveedor de componente puede no proporcionar documentación adecuada
• Vulnerabilidad en componente = tu responsabilidad
• Multiples proveedores de componentes = seguimiento complejo

Cuando marca blanca no funciona

Algunas situaciones hacen el cumplimiento de marca blanca muy difícil:

La fábrica no proporcionará documentación

Si el proveedor rechaza acceso a documentación técnica, no puedes:

• Completar evaluación de conformidad
• Crear expediente técnico conforme
• Demostrar cumplimiento a autoridades

Opciones:

• Encontrar proveedor diferente
• Negociar mas fuerte (cumplimiento no es negociable)
• Encargar pruebas independientes (caro, incompleto)

Periodo de soporte no puede garantizarse

Si el proveedor no se compromete a soporte de 5 años:

Opciones:

• Negociar escrow de código fuente
• Identificar capacidad de desarrollo de respaldo
• Acortar tu período de soporte (pero aun se requiere mínimo 5 años)
• No proceder

Producto no cumple requisitos

Si el producto marca blanca tiene brechas de seguridad fundamentales:

Opciones:

• Requerir que proveedor remedie (antes de recibir)
• Añadir capa de seguridad tu mismo (e involucrarte más)
• No proceder

Nunca: Llevar producto no conforme al mercado asumiendo que lo "arreglaras después."

Consideraciones de coste

El cumplimiento CRA de marca blanca agrega costes mas alla de la adquisición del producto:

Regla general: Añadir 15-25% al coste del producto por gastos generales de cumplimiento CRA.

Lista de verificación de cumplimiento marca blanca

LISTA DE verificación DE CUMPLIMIENTO CRA MARCA BLANCA

PRE-ACUERDO:
[ ] evaluación de seguridad del producto completada
[ ] Capacidad del proveedor verificada
[ ] Disponibilidad de documentación confirmada
[ ] Compromiso de período de soporte asegurado
[ ] Contrato incluye terminos CRA

Documentación:
[ ] Expediente técnico recibido y revisado
[ ] SBOM recibido en formato adecuado
[ ] documentación de evaluación de riesgos disponible
[ ] Informes de pruebas recibidos
[ ] documentación de diseno accesible

Evaluación DE CONFORMIDAD:
[ ] Clasificación del producto determinada
[ ] Modulo de evaluación seleccionado
[ ] evaluación de conformidad completada
[ ] DoC firmada (por ti, el propietario de la marca)
[ ] Marcado CE aplicado

GESTION DE VULNERABILIDADES:
[ ] Contacto de seguridad establecido
[ ] Política CVD publicada
[ ] Proceso de Notificación del proveedor acordado
[ ] Capacidad de pruebas de actualización
[ ] Proceso de Notificación a clientes

CONTINUO:
[ ] Actualizaciones de SBOM recibidas
[ ] Monitorización de vulnerabilidades activa
[ ] Relación con proveedor gestionada
[ ] Periodo de soporte rastreado
[ ] documentación mantenida

POST-EOL:
[ ] Retención de documentación (10 años)
[ ] Divulgación de vulnerabilidades conocidas (si necesario)
[ ] Transición de clientes gestionada

Cómo ayuda CRA Evidence

CRA Evidence apoya a fabricantes de marca blanca:

• Gestión de proveedores: Rastrea cumplimiento de proveedor de marca blanca
• Repositorio de Documentación: Almacena y gestiona documentación proporcionada por proveedor
• Agregacion de SBOM: Combina SBOMs de componentes
• Ensamblaje de expediente técnico: Estructura documentación para tu producto con marca
• Flujo de vulnerabilidades: Coordina entre proveedor y respuesta orientada al cliente

Gestiona tu cumplimiento de marca blanca en craevidence.com.

Guias relacionadas

• Cuando los Importadores se Convierten en Fabricantes bajo el CRA: Escalacion de Roles
• Due Diligence de Proveedores CRA: Plantilla de Cuestionario y Proceso de Verificación
• Evaluación de Conformidad CRA: Guia de Decision Módulo A vs B+C vs H

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.