Productos marca blanca y OEM bajo el CRA: guía del fabricante
CRA marca blanca y OEM: regla puente, cese del OEM, procedencia del SBOM, espejo del período de soporte y cláusulas contractuales del fabricante.
En este artículo
- Resumen
- Por qué la marca blanca es una categoría aparte
- La defensa del «es solo una pegatina» y qué cuenta de verdad
- Taxonomía de escenarios de marca blanca
- Personalización del firmware: dónde acaba la regla puente y empieza la cláusula residual
- Reloj del período de soporte para la marca blanca
- Marca blanca transfronteriza
- Procedencia del SBOM en marca blanca
- Cláusulas contractuales de reparto de responsabilidad
- Acuerdos de marca blanca heredados tras una operación corporativa
- Errores típicos
- Preguntas frecuentes
Vendes tablets bajo tu marca y un ODM en Shenzhen las fabrica. Bajo el CRA, tú eres el fabricante, el ODM es tu proveedor y el detonante es la marca, no la fábrica. Esta página es la capa operativa de marca blanca. Para el conjunto completo de obligaciones del fabricante consulta el clúster del fabricante.
Resumen
- El propietario de la marca es el fabricante bajo el CRA, independientemente de quién construya físicamente el producto. El OEM/ODM es tu proveedor.
- El reloj del período de soporte arranca cuando TÚ introduces el producto rebrandeado en el mercado de la UE, no cuando el OEM envió por primera vez la versión sin marca.
- Cuando tu OEM cierra, el deber de notificación del importador NO te aplica a ti (eres el fabricante, no el importador); la obligación de soporte nunca «se transfirió» porque siempre fue tuya.
- La personalización del firmware ANTES de la introducción en el mercado te convierte en fabricante desde el primer minuto. La personalización POSTERIOR a la introducción cae en la regla puente si la hace un importador o distribuidor, o en la cláusula residual si la hace cualquier otro tercero.
- La marca blanca oculta, la marca blanca multinivel, la marca privada del minorista y los productos co-branded tienen cada uno una fotografía operativa distinta; la taxonomía de escenarios más abajo asigna cada caso a la ruta CRA correcta.
Por qué la marca blanca es una categoría aparte
La marca blanca ocupa una esquina específica del mapa de roles del CRA. La frontera con los roles adyacentes es nítida sobre el papel y borrosa en la realidad de la compra.
| Rol | Qué haces | Posición CRA |
|---|---|---|
| Propietario de marca blanca | Coges un producto OEM/ODM, le pones tu marca y lo introduces en el mercado de la UE | Fabricante desde la primera venta |
| Importador | Traes a la UE el producto de un fabricante extranjero con la marca de ese fabricante | Importador; verificación completa de importador |
| Distribuidor | Revendes el producto con marca de otra entidad europea después de que el importador lo haya introducido; no lo modificas | Distribuidor |
| Modificador sustancial (regla puente) | Eres importador o distribuidor y modificas un producto ya introducido en el mercado | Te aplican las obligaciones del fabricante para el producto modificado |
| Modificador sustancial (cláusula residual) | NO eres fabricante, importador ni distribuidor, pero modificas sustancialmente un producto introducido (integrador, taller de reparación, reseller de valor añadido) | Te aplican las obligaciones del fabricante |
| Proveedor de componentes | Construyes componentes que terminan en el producto de otro | Tu cliente te aplica la diligencia debida de componente; no estás sujeto al conjunto completo de obligaciones del fabricante salvo que introduzcas por separado un producto en el mercado |
Tres fronteras se cruzan a menudo. Primero, la frontera entre marca blanca (eres fabricante desde el día uno) y modificación sustancial (alguien modifica un producto ya introducido). La marca blanca es un detonante en el momento de la introducción; la modificación sustancial es un detonante posterior a la introducción. Segundo, la frontera entre marca blanca e importador: si pones tu marca en el producto, has salido del rol de importador y has entrado en el de fabricante, aunque también importes físicamente el dispositivo. Tercero, la frontera entre marca blanca y aprovisionamiento de componentes: si introduces un producto bajo tu marca, eres el fabricante de ese producto; si integras un componente en un producto que construyes tú, la capa operativa es la guía de diligencia debida de proveedores.
La defensa del «es solo una pegatina» y qué cuenta de verdad
Los responsables de compras a veces argumentan que añadir una pegatina con la marca a un producto terminado no puede activar el estado completo de fabricante. La tabla de errores típicos del clúster del importador recoge esta misma reclamación («Es solo una pegatina con nuestro logo.») y la desmonta: si la pegatina te presenta como fuente del producto, te aplican las obligaciones del fabricante. El detonante es la presentación de la marca al mercado, no la profundidad de la modificación.
La pregunta operativa es qué cuenta como «marcado con tu marca» y qué se queda en territorio de distribuidor.
| Acto | Qué pasa |
|---|---|
| Vender el producto del OEM en el embalaje del OEM con la marca del OEM visible | Distribuidor. El OEM se presenta como fuente. |
| Añadir una etiqueta «Distribuido por [tu empresa]» que te nombra como distribuidor | Distribuidor. La identificación es obligatoria, no es un acto de marca. |
| Sustituir la marca del OEM en el producto por la tuya | Fabricante desde la primera venta. Te presentas como fuente. |
| Sustituir el embalaje del OEM por el tuyo; el producto sigue llevando la marca del OEM de forma visible | Depende. Si tu marca es la fuente que ve el cliente, fabricante. Si la marca del OEM sigue visible en el propio producto, distribuidor para esa unidad. |
| Co-brand con tu marca y la del OEM en el producto | Normalmente fabricante. La parte que se presenta como fuente carga la responsabilidad, habitualmente la marca de cara al canal minorista. |
| Traducir el manual de usuario y añadirlo a la caja | Distribuidor. El cumplimiento lingüístico es responsabilidad de la cadena de suministro; traducir no te convierte en fabricante. |
| Añadir una pegatina de distribuidor Y sustituir el splash del firmware por tu logo en el primer arranque | Fabricante. La presentación de marca en el arranque te convierte en fuente. |
| Vender producto sin marca solo en tu embalaje minorista (marca privada del minorista) | Fabricante. La marca privada te presenta como fuente. Amazon Basics, Lidl Silvercrest y Tesco F&F-Tech son los ejemplos canónicos. |
| Revender bajo tu marca Y modificar sustancialmente el firmware tras la introducción | Fabricante de extremo a extremo. Fabricante de marca blanca desde la primera venta; la modificación posterior activa la regla puente o la cláusula residual. |
La regla unificadora es la presentación como fuente. Si una autoridad de vigilancia del mercado, ante la pregunta «¿quién es el fabricante de este producto?», señalaría tu marca, eres el fabricante bajo el CRA. La profundidad de la pegatina, el esfuerzo de diseño y el nivel de personalización no son el test.
Taxonomía de escenarios de marca blanca
Siete escenarios cubren el territorio operativo. Cada uno se asigna a una combinación distinta de ruta CRA, profundidad de diligencia sobre el proveedor y exposición contractual.
1. Rebranding simple (producto terminado, solo tu marca)
Compras tablets terminadas, aplicas tu logo y vendes bajo tu marca. Marca blanca por defecto.
- Ruta CRA: fabricante desde la primera venta.
- Evaluación de la conformidad: tuya. La evaluación previa del OEM puede alimentar tu expediente técnico, pero no se transfiere.
- Profundidad de la diligencia: alta sobre el OEM como proveedor, en especial documentación, gestión de vulnerabilidades y compromiso de período de soporte.
- Riesgo operativo: la voluntad del OEM de enviar actualizaciones de seguridad dicta tu capacidad de honrar tu propio compromiso de soporte ante los usuarios.
2. Marca blanca oculta (tu reseller re-rebrandea)
Marcas un producto OEM como Marca-A y lo vendes a un reseller. El reseller retira tu marca y lo re-rebrandea como Marca-B sin avisarte, y después introduce las unidades Marca-B en el mercado de la UE.
- Ruta CRA: el reseller se convierte en el fabricante de las unidades Marca-B. Tú sigues siendo el fabricante de las unidades Marca-A que introdujiste. El OEM sigue siendo proveedor de ambos.
- Señal operativa de descubrimiento: tickets de atención al cliente que mencionan Marca-B y se comportan como Marca-A, o devoluciones que llegan en embalaje Marca-B cuando tú nunca vendiste a Marca-B.
- Solución contractual: los acuerdos con resellers deben prohibir el re-rebranding sin consentimiento por escrito. Sin esa cláusula, tu único remedio es la terminación.
- Por qué importa: el parche que tú envíes para una vulnerabilidad no llegará a las unidades Marca-B salvo que el reseller lo propague, y puede que el reseller no tenga infraestructura para hacerlo.
3. Marca blanca multinivel (tú marcas, tu distribuidor vuelve a marcar la tuya)
El OEM fabrica, tú lo marcas como tu marca, vendes a un distribuidor europeo y el distribuidor lo re-marca con la suya.
- Ruta CRA: tres posiciones jurídicas apiladas. El OEM es proveedor, tú eres fabricante de las unidades que introdujiste bajo tu marca y el distribuidor pasa a ser fabricante de las unidades que él introdujo bajo la suya.
- Patrón operativo: habitual en automatización industrial, equipos AV e IoT B2B.
- Cláusula crítica: tu contrato con el distribuidor debe especificar si se permite el re-rebranding y, si se permite, que el distribuidor asume el estado de fabricante para la variante re-marcada. Sin eso, ambas partes pueden acabar reclamando estado de distribuidor mientras las autoridades miran la marca visible en cada unidad.
4. Productos co-branded (los dos nombres en el producto)
El producto lleva tu marca y la del OEM de forma visible para el usuario final.
- Ruta CRA: normalmente la marca de cara al canal minorista carga el estado de fabricante; ambas partes pueden ser designadas como fabricantes si ambas se presentan como fuente.
- Solución contractual: la designación de fabricante debe escribirse en el acuerdo de co-branding. Lectura por defecto: quien firme la declaración UE de conformidad es el fabricante para esa cohorte de unidades.
- Riesgo operativo: la visibilidad compartida de marcas puede confundir al usuario sobre a quién acudir para notificar vulnerabilidades; el punto único de contacto del producto debe ser inequívoco.
5. Marca privada del minorista (Amazon Basics, Lidl Silvercrest, Tesco)
Un minorista de alto volumen encarga a un OEM la fabricación de un producto bajo la marca privada del minorista. El minorista es el propietario de la marca blanca.
- Ruta CRA: el minorista es el fabricante. El volumen no cambia el análisis; lo cambia la presentación de marca.
- Escala operativa: cientos de SKU repartidos entre varios OEM es lo habitual. Expediente técnico por SKU, declaración UE de conformidad por SKU y reloj de período de soporte por SKU. Un comprador minorista que trate el cumplimiento del CRA como una pregunta de compra de una sola pasada subestima la carga.
- Patrón contractual: acuerdos marco a largo plazo con el OEM, cláusulas de espejo del período de soporte (el OEM se compromete AL MENOS tanto como el minorista se compromete ante el usuario), escrow de código fuente del firmware y traslado explícito de los requisitos CRA a los subcomponentes.
6. ODM solo hardware + tu firmware
Encargas hardware ODM (placa industrial, tablet rugerizada, carcasa de pasarela IoT) y le metes tu propio firmware. El sustrato hardware lo aporta el OEM; el envoltorio de seguridad es tuyo.
- Ruta CRA: eres el fabricante del producto integrado. El ODM es tu proveedor de hardware. Distinto del rebranding simple porque tú sí construyes algo encima del sustrato.
- Forma de la diligencia: se apoya en la guía de ODM solo hardware (controles de BOM, origen del elemento seguro, inyección de claves en fábrica, ventana de fin de vida de la plataforma hardware).
- Error operativo común: firmar un compromiso plurianual de soporte al cliente con un ODM cuya ventana de fin de vida del hardware es más corta. Cuando el silicio queda obsoleto, tu obligación de soporte no se ablanda.
7. SaaS de marca blanca o componente de tratamiento de datos a distancia
El «producto» que ven los clientes es tu SaaS con tu marca o tu API con tu marca. El procesamiento real corre sobre una plataforma OEM en marca blanca para ti (un clúster Kafka gestionado, una plataforma de autenticación SaaS, un servicio gestionado de fleet management de dispositivos).
- Ruta CRA: depende de si el propio SaaS es un «producto con elementos digitales» bajo el CRA. El CRA cubre «soluciones de tratamiento de datos a distancia» solo cuando son integrantes de un producto introducido en el mercado. Un SaaS puro que no se integra con un producto introducido suele quedar fuera del ámbito. Si tu SaaS es un componente integrante de un producto introducido (firmware que llama a casa, gestión de flotas de dispositivos IoT), el proveedor de SaaS forma parte de tu cadena de suministro y se aplica la guía de componente cloud.
- Patrón contractual: cartera de atestaciones SaaS (SOC 2, ISO/IEC 27001, ISO/IEC 27017), acuerdo de tratamiento de datos, lista de subencargados y ventana de aviso de discontinuación del servicio.
Personalización del firmware: dónde acaba la regla puente y empieza la cláusula residual
La confusión más común en cumplimiento de marca blanca es entre la regla puente (un importador o distribuidor que modifica sustancialmente un producto ya introducido en el mercado pasa a ser el fabricante del producto modificado) y la cláusula residual (cualquier otro tercero que modifique sustancialmente un producto introducido pasa a ser el fabricante). Las dos rutas están en el CRA; cubren actores distintos.
La frontera, proyectada sobre los escenarios de personalización de firmware que se encuentra un propietario de marca blanca:
| Escenario | Ruta CRA | Por qué |
|---|---|---|
| Personalizas el firmware ANTES de introducir el producto en el mercado de la UE bajo tu marca | Fabricante desde la primera venta | No hay pregunta de cláusula residual. La personalización forma parte del producto tal como lo introduces. |
| Liberas una actualización de firmware tras la introducción que corrige vulnerabilidades y preserva la finalidad prevista, el comportamiento y la arquitectura de seguridad | Mismo estado de fabricante que antes | Una actualización de seguridad genuina no es una modificación sustancial. |
| Liberas una actualización de firmware tras la introducción que añade funciones, cambia la autenticación o amplía la superficie de ataque | Estado de fabricante intacto, PERO se activa un nuevo ciclo de evaluación de la conformidad sobre tu mismo expediente | Ya eras el fabricante; la modificación cambia la fotografía de riesgo del producto, no tu rol |
| Un importador o distribuidor aguas abajo de ti modifica el firmware en las unidades de marca blanca que tiene en stock | El importador o distribuidor se convierte en el fabricante de las unidades modificadas (ruta puente) | El puente cubre expresamente la modificación sustancial de un producto ya introducido en el mercado por parte de un importador o distribuidor |
| Un tercero que NO es fabricante, importador ni distribuidor (un proveedor de servicios, un integrador, un reseller de valor añadido, un contratista de mantenimiento) modifica el firmware en tus unidades de marca blanca y las pone disponibles de nuevo | El tercero pasa a ser el fabricante de esas unidades (ruta residual) | La cláusula residual cubre a todos los actores fuera de la cadena fabricante/importador/distribuidor |
| Encargas a un OEM, el OEM te envía el producto y tú personalizas el firmware antes de la introducción | Sigues siendo el fabricante desde la primera venta; el OEM sigue siendo tu proveedor | La personalización previa a la introducción no cambia tu rol; forma parte del producto tal como lo introduces |
Dos implicaciones operativas. Primera, el propietario de la marca blanca no «escapa» a la cláusula residual alegando que la modificación sustancial la hizo otro; si introduces el producto modificado en el mercado bajo tu marca, la modificación forma parte de tu ámbito como fabricante. Segunda, cuando uno de tus distribuidores personaliza tu firmware de marca blanca, la regla puente aterriza sobre él, no sobre ti, para esas unidades concretas. Lleva la cuenta de qué unidades salieron de tu control sin modificar y cuáles se modificaron aguas abajo; la responsabilidad del período de soporte para las unidades modificadas se desplaza al modificador.
Para el texto completo de la regla puente y la cláusula residual, consulta las preguntas frecuentes del clúster del distribuidor, que las recogen una al lado de la otra.
Reloj del período de soporte para la marca blanca
El reloj del período de soporte del CRA arranca cuando el fabricante introduce el producto en el mercado de la UE. Para la marca blanca, tú eres el fabricante, así que el reloj arranca cuando tú introduces por primera vez tu versión rebrandeada en el mercado de la UE, no cuando el OEM introdujo por primera vez el original sin marca ni cuando te lo vendió a ti.
RELOJ DEL PERÍODO DE SOPORTE (MARCA BLANCA)
Año 0 El OEM introduce por primera vez la versión sin marca en el mercado de la UE
El reloj de soporte del OEM arranca sobre su propia declaración UE de conformidad
Año 0 El OEM envía a tu almacén el primer lote rebrandeado
(Aún no arranca ningún reloj CRA sobre ti, no está en el mercado de la UE)
Año 1 Introduces las primeras unidades rebrandeadas en el mercado de la UE
TU reloj de soporte arranca sobre TU declaración UE de conformidad (5 años mínimo)
Año 1 El OEM sigue vendiendo el original sin marca en paralelo
(Corren ahora dos relojes independientes; el del OEM cubre sus unidades, el tuyo las tuyas)
Año 4 El OEM detiene la producción
Tu obligación de soporte sigue al menos hasta el año 6
(y más allá si introdujiste unidades después del año 1)
La obligación de espejo que se desprende: tu contrato con el OEM debe comprometer al OEM a enviarte actualizaciones de seguridad AL MENOS durante el mismo período que tú comprometes ante tus usuarios. Si te comprometes a cinco años ante el usuario y el OEM se compromete a tres años contigo, cargas con una brecha de dos años sin fuente de parches. El escrow de código fuente y la cualificación de segunda fuente son las dos mitigaciones estándar.
Cuando el OEM cesa su actividad
Un malentendido común: cuando el OEM cierra, el CRA te impone un deber de notificación que transfiere parte de las obligaciones del OEM.
Dos aclaraciones importan. Primera, el deber de notificación del CRA sobre el cese del fabricante recae sobre el importador, no sobre ti. Como propietario de la marca blanca, eres el fabricante CRA de tu producto rebrandeado; el OEM era tu proveedor, no el fabricante de tu producto con marca. La disposición de notificación de cese del importador no te aplica en este escenario, porque el OEM no era el fabricante CRA de tu producto con marca. La sección de cese del clúster del importador detalla la obligación del lado importador.
Segunda, la obligación de soporte no «se transfiere» del OEM a ti porque siempre fue tuya. Te comprometiste con tus usuarios en la primera introducción; el cese del OEM cambia tu situación de aprovisionamiento, no tu compromiso normativo. El plan B práctico es lo que comprometió el contrato (escrow de código fuente, segunda fuente, servicios de transición), no la disposición de cese del importador.
La única notificación normativa de cese que SÍ te aplica a ti, como propietario de la marca blanca, es la obligación de cese del propio fabricante: si TÚ como fabricante cesas tu actividad, debes informar a las autoridades de vigilancia del mercado y, por cualquier medio disponible, a tus usuarios.
Marca blanca transfronteriza
Aprovisionas desde un ODM asiático, marcas e introduces el producto en el mercado de la UE a través de tu filial europea. El detonante de la marca blanca (eres fabricante desde la primera venta) se combina con la pregunta de ausencia de establecimiento en la UE a efectos de notificación de vulnerabilidades e incidentes.
Si la marca blanca pertenece a una matriz fuera de la UE y la filial europea es la entidad que introduce el producto en el mercado, hay dos rutas posibles. Ruta A: la filial europea es el fabricante legal, con la matriz actuando como propietario comercial de la marca; el Estado miembro de la filial es la autoridad competente. Ruta B: la matriz extra-UE es el fabricante legal (titular de la marca registrada) y la filial europea es el importador; la cascada de fallback del fabricante extra-UE encamina la notificación de incidentes vía Estado miembro del RA, Estado miembro del importador, Estado miembro del distribuidor y Estado miembro con más usuarios.
Elige la ruta de forma deliberada en la estructuración legal del grupo; no la dejes caer por accidente desde la titularidad de la marca. Un propietario de marca fuera de la UE sin establecimiento europeo ni representante autorizado designado encamina su notificación de incidentes al Estado miembro del importador por defecto, lo que significa que la autoridad de vigilancia del mercado de la filial europea recibirá las notificaciones esté o no preparada para tramitarlas.
Procedencia del SBOM en marca blanca
La página hermana de proveedores trata las cláusulas contractuales de SBOM en abstracto. Para la marca blanca, la realidad operativa es más afilada: no puedes generar el SBOM desde tu propio pipeline de build porque tú no escribiste el código.
Tres consecuencias operativas.
Primero, el SBOM es un entregable contractual del OEM, no un artefacto interno. Tu contrato debe especificar el formato (CycloneDX o SPDX), la cadencia de actualización (por release), la profundidad (dependencias transitivas, no solo directas) y el detonante de refresco (cualquier salto de versión del firmware). Sin esto, el OEM puede entregar un SBOM solo de dependencias directas que se deja fuera el 90 % de la superficie real de riesgo.
Segundo, la autoría del SBOM lleva tu marca aunque tú no escribieras los componentes. Cuando el SBOM lista una dependencia transitiva vulnerable, la diligencia debida de componente aterriza sobre ti. El registro de diligencia no puede ser un copia-pega del OEM; tiene que ser tu propia decisión y tu propia aceptación de riesgo por cada componente integrado. Usa la guía de diligencia debida de proveedores para los subcasos FOSS, cloud, hardware-only y stewards OSS dentro del SBOM del OEM.
Tercero, los escenarios de ODM solo hardware se dividen en BOM de hardware (BOM de componentes físicos) y SBOM de software (BOM del firmware que tú envías). El BOM de hardware lo aporta el OEM; el SBOM de software es tuyo (porque el firmware es tuyo). El expediente técnico tiene que distinguir las dos y el reparto de la monitorización de vulnerabilidades tiene que encajar: la monitorización del BOM de hardware fluye del OEM hacia ti, la monitorización del SBOM de software es responsabilidad directa tuya.
Cláusulas contractuales de reparto de responsabilidad
Siete cláusulas contractuales sostienen el acuerdo de marca blanca bajo el CRA. Cada una se conecta con una obligación específica del fabricante que nace contigo, el propietario de la marca, y depende del OEM para cumplirse.
1. Reconocimiento de fabricante CRA
El Proveedor reconoce que el Comprador introducirá el Producto
en el mercado de la UE bajo el nombre o marca del Comprador y
que el Comprador será considerado «fabricante» con arreglo al
Reglamento (UE) 2024/2847 (Reglamento de Ciberresiliencia).
El Proveedor se compromete a apoyar las obligaciones de
cumplimiento del Comprador según se establece en el presente
Acuerdo.
2. Documentación técnica (anexo VII)
El Proveedor entregará al Comprador:
(a) Documentación técnica completa que cumpla los requisitos
del anexo VII del Reglamento (UE) 2024/2847
(b) Toda la documentación necesaria para que el Comprador:
- Realice la evaluación de la conformidad
- Prepare la declaración UE de conformidad
- Responda a solicitudes motivadas de vigilancia del mercado
(c) Actualizaciones de la documentación en un plazo de [10] días
hábiles ante cualquier cambio que afecte al estado de
conformidad
El Proveedor otorga al Comprador una licencia perpetua, irrevocable
y libre de regalías para usar dicha documentación a efectos de
cumplimiento, incluida su entrega a cualquier autoridad de
vigilancia del mercado en una lengua que la autoridad entienda.
3. Provisión de SBOM (con profundidad transitiva)
El Proveedor entregará:
(a) Software Bill of Materials en formato [CycloneDX/SPDX]
(b) SBOM actualizado en un plazo de [5] días hábiles desde cada
release de firmware que cambie componentes directos o
transitivos
(c) SBOM que incluya dependencias transitivas, no solo directas
(d) Identificación de componente con nombre, versión, proveedor,
licencia y vulnerabilidades conocidas en el momento de la
entrega
4. Notificación de vulnerabilidades (horas, no «sin demora»)
El Proveedor notificará al Comprador en un plazo de [24/48]
horas desde que tenga conocimiento de cualquier vulnerabilidad
de seguridad en el Producto o en cualquier componente integrado
transitivamente que:
(a) Esté explotada activamente
(b) Tenga una puntuación CVSS de 7,0 o superior
(c) Sea objeto de divulgación pública
Desarrollo de parches:
(a) Acuse de recibo en [24] horas
(b) Evaluación de severidad en [72] horas
(c) Entrega del parche en [7/30/90] días
para severidad Crítica/Alta/Media
El Comprador conserva la autoridad final sobre las
comunicaciones al cliente y el calendario de release de la
actualización.
5. Espejo del período de soporte
El Proveedor se compromete a proporcionar actualizaciones de
seguridad para el Producto durante un período mínimo que iguale
o supere el compromiso de período de soporte del Comprador ante
sus usuarios finales y, en todo caso, durante al menos
[5/7/10] años desde la fecha de primera introducción en el
mercado de la UE por parte del Comprador.
El Proveedor entregará aviso por escrito con [90] días de
antelación a cualquier discontinuación planificada. Ante la
discontinuación, el Proveedor liberará el código fuente y los
artefactos de build bajo [escrow de código fuente / términos
de asistencia de transición].
6. Apoyo a la evaluación de la conformidad y derechos de auditoría
El Proveedor:
(a) Apoyará las actividades de evaluación de la conformidad
del Comprador, incluida la entrega de informes de pruebas,
certificados y evidencia bajo solicitud razonable
(b) Permitirá al Comprador o al organismo notificado del
Comprador auditar las instalaciones de producción con
[30] días de aviso por escrito
(c) Mantendrá controles de calidad coherentes con el tipo de
producto evaluado
7. Traslado y divulgación de subcomponentes
El Proveedor:
(a) Entregará y mantendrá una lista de proveedores de
subcomponentes que contribuyan o tengan acceso a partes
del Producto relevantes para la seguridad
(b) Trasladará los requisitos CRA pertinentes a los
subcomponentes
(c) Notificará al Comprador en un plazo de [30] días cualquier
cambio material en la lista de proveedores de subcomponentes
(d) Mantendrá los registros de cualificación de proveedores de
subcomponentes durante todo el período de soporte del
Comprador más 10 años
Resumen de asignación de riesgos
| Riesgo | Mecanismo contractual | Quién actúa |
|---|---|---|
| El producto no cumple los requisitos esenciales de ciberseguridad | Garantía + obligación de remediación | El Proveedor remedia; el Comprador mantiene la posición en el mercado |
| Documentación incompleta o tardía | Requisito de entregable con ventana de respuesta | El Proveedor entrega |
| Vulnerabilidad descubierta | SLA de notificación en horas, SLA de parche en días | El Proveedor notifica y parchea; el Comprador notifica a ENISA |
| Notificación a ENISA | La obligación de notificación del Proveedor fluye hacia el Comprador | El Comprador notifica |
| Solicitud motivada de vigilancia del mercado | Licencia perpetua de acceso a documentación | El Comprador responde; el Proveedor apoya |
| Cese del OEM | Escrow de código fuente + servicios de transición | El Comprador continúa el soporte desde el código depositado |
| Sanciones regulatorias | Indemnización negociada (proporcional a la culpa) | Negociado |
Acuerdos de marca blanca heredados tras una operación corporativa
Adquieres una marca y descubres que la mitad de su catálogo es marca blanca sin trazabilidad de cumplimiento. El CRA no concede un período de gracia post-M&A; la entidad adquirente hereda las obligaciones del fabricante el día uno para cada producto actualmente en el mercado de la UE bajo la marca adquirida.
TRIAJE DE MARCA BLANCA POST-M&A (90 DÍAS)
DÍA 1-15: Inventario
[ ] Extraer la lista de SKU del ERP de la entidad adquirida
[ ] Etiquetar cada SKU como diseño propio / marca blanca / OEM modificado
[ ] Identificar al OEM detrás de cada SKU de marca blanca
[ ] Cotejar con el estado actual de envío (activo vs stock EOL)
DÍA 15-30: Análisis de brechas documentales
[ ] Por cada SKU activo de marca blanca: ¿hay declaración UE
de conformidad a nombre del Comprador?
[ ] Por cada SKU activo de marca blanca: ¿hay expediente técnico
a nombre del Comprador?
[ ] Por cada SKU activo de marca blanca: ¿hay SBOM?
[ ] Etiquetar SKU por severidad de la brecha
(sin declaración > expediente incompleto > sin SBOM)
DÍA 30-60: Remediación de nivel 1
[ ] SKU sin declaración: retirar del mercado de la UE hasta
contar con declaración
[ ] SKU sin expediente técnico: construir desde la evidencia
del OEM más tu propia evaluación
[ ] SKU sin SBOM: contratar al OEM la entrega del SBOM; si el
OEM rechaza o ha cesado, planificar sustitución o sunset
DÍA 60-90: Puerta de decisión
[ ] Cada SKU de marca blanca clasificado: mantener / sunset /
sustituir OEM
[ ] Contratos OEM evaluados contra el conjunto de 7 cláusulas;
brechas mapeadas
[ ] Cobertura de espejo de período de soporte analizada de
extremo a extremo
CONTINUO:
[ ] Etiquetar el origen «adquirido vía M&A» en cada registro de
SKU para auditoría
[ ] Incorporar los SKU heredados al ciclo normal de release de
SBOM y monitorización de vulnerabilidades
El triaje no es un ejercicio de papel. Las autoridades que pregunten por qué un SKU de marca blanca de 12 años no tiene declaración UE de conformidad tras la adquisición aceptarán mejor «detectamos la brecha en nuestro triaje post-adquisición de 90 días y retiramos el SKU hasta su remediación» que «aún estamos averiguando qué OEM lo fabricó».
Errores típicos
| Reclamación | Por qué no se sostiene |
|---|---|
| «Es solo una pegatina con nuestro logo.» | Si la pegatina te presenta como fuente ante el mercado de la UE, te aplican las obligaciones del fabricante. El detonante es la presentación de marca, no la profundidad de la pegatina. |
| «Lo fabrica el OEM, así que el OEM es el fabricante.» | El CRA trata al propietario de la marca como fabricante. El OEM es tu proveedor. |
| «El marcado CE del OEM se transfiere cuando hacemos rebranding.» | El marcado CE va ligado al fabricante nombrado en la declaración UE de conformidad. Cuando rebrandeas, emites tu propia declaración y fijas el CE bajo tu propia responsabilidad; el CE del OEM ya no cubre las unidades rebrandeadas. |
| «El reloj de soporte arranca cuando el OEM introdujo por primera vez la versión sin marca.» | El reloj arranca cuando TÚ introduces la versión rebrandeada en el mercado de la UE. Tus clientes compraron el producto rebrandeado en tu calendario. |
| «Nuestro OEM va a cerrar; podemos esperar y ver qué pasa con nuestra obligación de soporte.» | Tu obligación de soporte no cambia cuando el OEM cesa. Planifica escrow de código fuente y segunda fuente ANTES de que el OEM caiga, no después. |
| «El co-branding significa que compartimos responsabilidad a partes iguales.» | La marca de cara al canal minorista carga normalmente la designación de fabricante; el contrato decide si ambas partes son fabricantes. La lectura por defecto es quien firme la declaración UE de conformidad. |
| «La marca privada del minorista está exenta porque es retail de volumen.» | El volumen es irrelevante. Amazon Basics, Lidl Silvercrest y Tesco F&F-Tech son todos fabricantes de sus SKU de marca privada. |
| «Lo marcamos desde un OEM extra-UE; el OEM es responsable de la notificación de vulnerabilidades.» | Tu marca en el producto te convierte en el fabricante a ti, incluso a efectos de notificación de vulnerabilidades e incidentes a ENISA. El OEM tiene cero obligación de notificación CRA sobre tus SKU con marca. |
Preguntas frecuentes
Acabo de descubrir que nuestro reseller está re-rebrandeando nuestro producto de marca blanca bajo su propia marca. ¿Y ahora qué?
El reseller se convierte en el fabricante de las unidades re-rebrandeadas. Tú sigues siendo el fabricante de las unidades que introdujiste bajo tu marca; el reseller es el fabricante de las suyas. El primer paso es mapear las unidades afectadas (qué rangos de número de serie o qué lotes se re-rebrandearon) para que una respuesta a vulnerabilidades pueda alcanzarlas. El segundo paso es modificar el contrato con el reseller: prohibir el re-rebranding sin consentimiento por escrito y añadir una cláusula de reconocimiento del estado de fabricante para cualquier stock re-rebrandeado preexistente. El tercer paso es montar un flujo de divulgación coordinada que informe al reseller de las vulnerabilidades para que pueda parchear sus unidades, ya que tus clientes ya no pueden alcanzarlas a través de tus canales.
Un producto lleva nuestra marca y la del OEM una al lado de la otra. ¿Quién es el fabricante?
Normalmente la marca que se presenta como fuente del producto ante el mercado de la UE, que suele ser la marca de cara al canal minorista. Ambas partes pueden ser designadas como fabricantes si ambas se presentan como tal, pero la operativa real rara vez sostiene el estado compartido de fabricante. La posición más limpia es escribir la designación en el acuerdo de co-branding: quien firme la declaración UE de conformidad es el fabricante. Evita un co-branding ambiguo que deje la pregunta a la interpretación de una autoridad de vigilancia del mercado.
Nuestro OEM va a quebrar. ¿Tenemos que asumir sus obligaciones de soporte?
No. El deber de notificación del cese que recae sobre el importador no te aplica en este escenario, porque eres el fabricante CRA de tu producto rebrandeado y el OEM era tu proveedor, no el fabricante. La obligación de soporte no «se transfiere» desde el OEM porque siempre fue tuya. Tu plan B operativo es lo que comprometió el contrato: escrow de código fuente, cualificación de segunda fuente, servicios de transición. Si introdujiste el producto en el mercado, debes el soporte, pase lo que pase con tu OEM. La sección de cese del clúster del importador cubre el deber del lado importador para completar la imagen.
Encargamos hardware ODM y enviamos nuestro propio firmware. ¿Seguimos en territorio de marca blanca?
Sí, pero con una forma distinta de diligencia sobre el proveedor. Eres el fabricante del producto integrado; el ODM es tu proveedor de hardware. El BOM de hardware lo aporta el OEM; el SBOM de software es tuyo porque el firmware es tuyo. Usa la guía de diligencia debida ODM solo hardware para el lado hardware. El error operativo común es firmar un compromiso largo de período de soporte con tus usuarios cuando la ventana de fin de vida del hardware del ODM es más corta que ese compromiso.
¿Y si modificamos el firmware después de haber introducido ya el producto?
Sigues siendo el fabricante; la modificación forma parte de tu ámbito como fabricante, no es un detonante separado sobre otro. Una actualización de seguridad genuina que preserva la finalidad prevista y el comportamiento no abre un nuevo ciclo de evaluación de la conformidad. Una modificación que añade funciones, cambia la autenticación o amplía la superficie de ataque se queda dentro de tu estado de fabricante, pero abre un nuevo ciclo de evaluación de la conformidad para el producto modificado sobre tu mismo expediente técnico. La regla puente y la cláusula residual solo se disparan cuando la modificación la hace otro (un importador o distribuidor para el puente, cualquier otro para la cláusula residual).
¿Cuánto tiempo debemos conservar la documentación técnica de un producto de marca blanca?
Al menos 10 años tras la introducción en el mercado o durante el período de soporte, lo que sea más largo. Un producto de marca blanca introducido en 2028 con un período de soporte de 7 años exige retención hasta 2038. Tu contrato con el OEM debe reflejarlo: el OEM conserva la evidencia técnica subyacente (informes de pruebas, documentación de diseño, cualificaciones de subcomponente) durante al menos la misma ventana, y tú puedes solicitar copias durante el período para responder a una solicitud motivada de vigilancia del mercado.
Acabamos de adquirir una empresa cuyo catálogo es la mitad marca blanca. ¿Por dónde empezamos?
Ejecuta el triaje de 90 días de la sección post-M&A de arriba. Primero inventario (qué SKU son marca blanca, qué OEM está detrás de cada uno), después análisis de brechas documentales (sin declaración > expediente incompleto > sin SBOM), retirar del mercado de la UE los SKU sin declaración hasta la remediación y etiquetar el origen M&A en cada registro de SKU para auditoría. El CRA no concede período de gracia post-M&A; las obligaciones del fabricante aterrizan sobre ti el día que se cierra la adquisición. Un programa defendible y demostrablemente en marcha dentro del primer trimestre es la posición creíble que llevar ante una autoridad de vigilancia del mercado.
¿La evaluación de la conformidad de nuestro proveedor se transfiere a nuestra versión con marca?
Por regla general no. La evaluación de la conformidad se vincula al producto tal como lo introduce un fabricante concreto. Cuando rebrandeas, emites tu propia declaración UE de conformidad, a tu nombre, contra tu propio expediente técnico. Puedes apoyarte en la evidencia de pruebas del OEM como insumo (y eso debe ser un entregable contratado), pero la declaración, el marcado CE y la autoría del expediente recaen sobre ti, el fabricante propietario de la marca. La guía de evaluación de la conformidad cubre la elección de módulo.
Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.
Artículos Relacionados
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.