Productos Marca Blanca y OEM Bajo el CRA: ¿Quién Es el Fabricante?

Vendes tablets bajo tu marca, pero una fabrica en Asia las hace. Bajo el CRA, tu eres el fabricante, con todas las obligaciones Qué eso conlleva. Entender el cumplimiento de productos marca blanca es esencial antes de poner tu logo en el hardware de otra persona.

Esta Guía cubre las obligaciones CRA para acuerdos de marca blanca, OEM y marca privada.

Entendiendo Marca Blanca Bajo el CRA

La Regla Central

El Articulo 3 del CRA define "fabricante" Cómo:

"cualquier persona natural o juridica Qué fabrica un producto con elementos digitales o hace Qué dicho producto sea disenado o fabricado y lo comercializa bajo su nombre o marca"

La frase clave es "lo comercializa bajo su nombre o marca."

Si tu marca esta en el producto, eres el fabricante, incluso si nunca tocaste un soldador o escribiste una linea de codigo.

Aclaracion de Terminologia

Diferentes terminos, mismo resultado CRA:

La distincion Qué importa: ¿De Quién es la marca en el producto?

Qué Significa Esto en la práctica

Eres Fabricante, Entonces...

Cómo fabricante de marca blanca bajo el CRA, debes:

Antes de la Comercializacion:

1. Realizar Evaluación de conformidad (Modulo A, B+C, o H)
2. Preparar Documentación tecnica (Anexo VII)
3. Asegurar Qué el producto cumple requisitos esenciales del Anexo I
4. Firmar Declaración de Conformidad UE
5. Fijar marcado CE
6. Crear/mantener SBOM

Durante el Periodo de Soporte:

1. Manejar reportes de vulnerabilidades
2. Proporcionar actualizaciones de seguridad por 5+ años
3. Reportar a ENISA (si explotacion activa)
4. Notificar a clientes sobre problemas de seguridad
5. Mantener Documentación

Continuo:

1. Vigilancia post-mercado
2. Cooperacion con autoridades
3. Respuesta a incumplimiento

Tu Proveedor se Convierte en Tu Proveedor

El fabricante real (fabrica, ODM, etc.) es ahora tu proveedor, no el fabricante legal para propositos del CRA. Esto cambia la relacion:

ANTES DEL CRA:
Fabrica ODM → "Fabricante" (su producto, su cumplimiento)
     ↓
Tu Marca → "Revendedor/Distribuidor"

BAJO EL CRA:
Fabrica ODM → "Proveedor" (construye a especificacion)
     ↓
Tu Marca → "Fabricante" (tu producto, tu cumplimiento)

La Brecha de Cumplimiento de Marca Blanca

Muchos acuerdos de marca blanca no fueron disenados para esto. Problemas comunes:

Brecha 1: Sin Acceso a Documentación Tecnica

Tu ODM tiene el expediente tecnico, pero ahora tu eres requerido a mantenerlo.

Problema:

• La fabrica considera los disenos propietarios
• La Documentación puede estar incompleta
• Puede no cumplir requisitos de formato CRA

Solucion:

• Contratar acceso a Documentación
• Requerir expediente tecnico conforme al Anexo VII
• Verificar antes de firmar acuerdo

Brecha 2: Manejo de Vulnerabilidades Indefinido

¿Quién maneja problemas de seguridad cuando tu producto con marca tiene una vulnerabilidad?

Problema:

• La fabrica descubre vulnerabilidad, ¿te lo dicen?
• Cliente reporta a ti, ¿puede la fabrica arreglarlo?
• Cronogramas desalineados

Solucion:

• Definir respuesta a vulnerabilidades en contrato
• Establecer cronogramas de Notificación
• Acordar responsabilidades de desarrollo de actualizaciones
• Clarificar reporte a ENISA (tu obligacion)

Brecha 3: Desajuste de Periodo de Soporte

Prometiste soporte de 5 años, pero tu relacion con proveedor es de 2 años.

Problema:

• La fabrica discontinua el producto
• La fabrica cierra el negocio
• Sin fuente de actualizaciones despues de Qué termina contrato

Solucion:

• Contratar por duracion del periodo de soporte
• Acuerdos de escrow para codigo fuente
• Planificación de contingencia para cambios de proveedor
• Considerar calificacion de multiples proveedores

Brecha 4: Sin SBOM

Necesitas un SBOM. Tu proveedor nunca creo uno.

Problema:

• No puedes proporcionar SBOM a reguladores o clientes
• No puedes rastrear vulnerabilidades en componentes
• No puedes demostrar transparencia de cadena de suministro

Solucion:

• Requerir SBOM en adquisicion
• Especificar formato (CycloneDX, SPDX)
• Definir frecuencia de actualizacion

Estructurando Acuerdos de Marca Blanca para CRA

Terminos Contractuales Esenciales

Tu acuerdo de marca blanca/OEM debe incluir:

1. Reconocimiento de Cumplimiento CRA

El Proveedor reconoce Qué el Comprador comercializara el Producto
en el mercado de la UE bajo la marca del Comprador y Qué el
Comprador sera considerado el "fabricante" bajo el Reglamento
(UE) 2024/2847 (Ley de Ciberresiliencia). El Proveedor acuerda
apoyar las obligaciones de cumplimiento del Comprador segun lo
establecido en este Acuerdo.

2. Documentación Tecnica

El Proveedor proporcionara al Comprador:
(a) Documentación tecnica completa Qué cumpla los requisitos
    del Anexo VII del Reglamento (UE) 2024/2847
(b) Toda la Documentación necesaria para Qué el Comprador:
    - Realice Evaluación de conformidad
    - Prepare Declaración de Conformidad UE
    - Responda a solicitudes de vigilancia del mercado
(c) Actualizaciones de Documentación dentro de [10] dias de
    cualquier cambio Qué afecte el estado de conformidad

El Proveedor otorga al Comprador una licencia perpetua e
irrevocable para usar dicha Documentación con fines de cumplimiento.

3. Provision de SBOM

El Proveedor proporcionara:
(a) Software Bill of Materials en formato [CycloneDX/SPDX]
(b) SBOM actualizado dentro de [5] dias de cada lanzamiento
    de firmware/software
(c) SBOM incluyendo todos los componentes de terceros con:
    - Nombre y version del componente
    - Informacion del proveedor
    - Informacion de licencia
    - Vulnerabilidades conocidas al momento de entrega

4. Gestion de Vulnerabilidades

Notificación de Vulnerabilidades:
El Proveedor notificara al Comprador dentro de [24 horas] de
tomar conocimiento de cualquier vulnerabilidad de seguridad
en el Producto, independientemente de la fuente de descubrimiento.

Desarrollo de Parches:
Tras Notificación de una vulnerabilidad, el Proveedor:
(a) Reconocera dentro de [24 horas]
(b) Proporcionara Evaluación de severidad dentro de [72 horas]
(c) Entregara parche dentro de:
    - [7 dias] para severidad Critica
    - [30 dias] para severidad Alta
    - [90 dias] para severidad Media/Baja

El Comprador retiene autoridad final sobre comunicaciones
a clientes y cronograma de lanzamiento de actualizaciones.

5. Compromiso de Periodo de Soporte

El Proveedor se compromete a:
(a) Proporcionar actualizaciones de seguridad para el Producto
    por un periodo mínimo de [5 años] desde la fecha de primera
    entrega al Comprador
(b) Mantener capacidad de producir actualizaciones durante
    este periodo
(c) Proporcionar [90 dias] de aviso antes de cualquier
    discontinuacion planificada
(d) [Escrow de codigo fuente / asistencia de transicion] si
    el Proveedor no puede cumplir este compromiso

6. Soporte de Conformidad

El Proveedor:
(a) Apoyara las actividades de Evaluación de conformidad del Comprador
(b) Proporcionara informes de pruebas, certificados y evidencia
    segun se solicite razonablemente
(c) Permitira al Comprador o su Organismo Notificado designado
    auditar instalaciones de produccion
(d) Mantendra controles de calidad consistentes con el tipo de
    producto evaluado

7. Gestion de Subcomponentes

El Proveedor:
(a) Proporcionara lista de todos los proveedores de subcomponentes
(b) Transmitira requisitos CRA relevantes a subcomponentes
(c) Notificara al Comprador de cualquier cambio de subcomponente
    Qué afecte seguridad o cumplimiento
(d) Mantendra registros de calificacion de proveedores de subcomponentes

Asignacion de Riesgos

Flujo de Trabajo práctico

Antes de Firmar Acuerdo de Marca Blanca

DEBIDA DILIGENCIA PRE-ACUERDO

1. Evaluación TECNICA
   [ ] Revisar arquitectura del producto
   [ ] Evaluar caracteristicas de seguridad contra Anexo I
   [ ] Identificar brechas Qué requieren remediacion
   [ ] Evaluar capacidad de mecanismo de actualizacion

2. Evaluación DE Documentación
   [ ] Solicitar muestra de Documentación tecnica
   [ ] Verificar completitud contra Anexo VII
   [ ] Revisar disponibilidad y calidad de SBOM
   [ ] Evaluar Documentación de Evaluación de riesgos

3. CAPACIDAD DEL PROVEEDOR
   [ ] Evaluar practicas de desarrollo de seguridad
   [ ] Revisar historial de manejo de vulnerabilidades
   [ ] Evaluar infraestructura de soporte
   [ ] Verificar capacidad de desarrollo de actualizaciones
   [ ] Verificar estabilidad financiera para compromiso de 5 años

4. NEGOCIACION DE CONTRATO
   [ ] Incluir todos los terminos especificos de CRA
   [ ] Definir entregables de Documentación
   [ ] Establecer SLAs de respuesta a vulnerabilidades
   [ ] Asegurar compromiso de periodo de soporte
   [ ] Abordar escrow de codigo fuente

5. Planificación DE Evaluación DE CONFORMIDAD
   [ ] Determinar Clasificación del producto
   [ ] Seleccionar modulo de Evaluación de conformidad
   [ ] Identificar Organismo Notificado (si requerido)
   [ ] Planificar preparacion de expediente tecnico

Despues de Firmar: Gestion Continua

GESTION DE CUMPLIMIENTO DE PRODUCTO MARCA BLANCA

Mensual:
[ ] Revisar notificaciones de vulnerabilidad del proveedor
[ ] Verificar actualizaciones de SBOM recibidas
[ ] Monitorear avisos de seguridad del proveedor
[ ] Verificar capacidades de entrega de actualizaciones

Trimestral:
[ ] Revision de Documentación tecnica
[ ] Evaluación de capacidad del proveedor
[ ] Verificación de cumplimiento contractual
[ ] Seguimiento de periodo de soporte

Anual:
[ ] Auditoria completa de cumplimiento
[ ] Revision y actualizacion de contrato
[ ] Verificación de salud del negocio del proveedor
[ ] Revision de completitud de Documentación

Por Lanzamiento:
[ ] SBOM actualizado recibido
[ ] Expediente tecnico actualizado
[ ] Pruebas completadas
[ ] Conformidad mantenida

Escenarios Comunes de Marca Blanca

Escenario 1: Rebranding Simple

Situacion: Compras tablets terminadas, pones tu logo, vendes bajo tu marca.

Tus obligaciones:

• Estado de fabricante completo
• Debe obtener toda la Documentación del proveedor
• Debe realizar Evaluación de conformidad (o verificar Qué la del proveedor es valida para tu uso)
• Debe manejar todas las obligaciones post-mercado

Riesgos clave:

• Evaluación de conformidad del proveedor puede no transferirse a ti
• Necesitas tu propia DoC
• Actualizaciones dependen enteramente del proveedor

Escenario 2: Producto ODM Personalizado

Situacion: ODM disena producto a tus especificaciones, tu lo marcas y vendes.

Tus obligaciones:

• Estado de fabricante completo
• Evaluación de conformidad es definitivamente tu responsabilidad (diseno personalizado)
• Expediente tecnico debe reflejar tus personalizaciones
• Manejo de vulnerabilidades para tu version

Riesgos clave:

• Personalizaciones pueden introducir vulnerabilidades
• Tus cambios pueden invalidar pruebas del proveedor
• Periodo de soporte para version personalizada

Escenario 3: Versiones Multi-Marca

Situacion: Mismo producto vendido bajo diferentes marcas (tuya y otras).

Obligaciones de cada propietario de marca:

• Cada uno es fabricante de su version con marca
• Cada uno necesita su propia DoC y marcado CE
• Vulnerabilidades afectan a todos, se necesita Coordinación

Riesgos clave:

• Coordinación de Divulgación de vulnerabilidades
• ¿Quién reporta a ENISA?
• Confusion del cliente si actualizaciones difieren

Escenario 4: Marca Blanca Parcial (Componentes)

Situacion: Tu disenas producto general, obtienes modulos de componentes marca blanca.

Tus obligaciones:

• Eres fabricante del producto general
• Proveedor de componente es tu proveedor
• Debes evaluar seguridad del componente
• Vulnerabilidades en componente son tu problema

Riesgos clave:

• Proveedor de componente puede no proporcionar Documentación adecuada
• Vulnerabilidad en componente = tu responsabilidad
• Multiples proveedores de componentes = seguimiento complejo

Cuando Marca Blanca No Funciona

Algunas situaciones hacen el cumplimiento de marca blanca muy dificil:

La Fabrica No Proporcionara Documentación

Si el proveedor rechaza acceso a Documentación tecnica, no puedes:

• Completar Evaluación de conformidad
• Crear expediente tecnico conforme
• Demostrar cumplimiento a autoridades

Opciones:

• Encontrar proveedor diferente
• Negociar mas fuerte (cumplimiento no es negociable)
• Encargar pruebas independientes (caro, incompleto)

Periodo de Soporte No Puede Garantizarse

Si el proveedor no se compromete a soporte de 5 años:

Opciones:

• Negociar escrow de codigo fuente
• Identificar capacidad de desarrollo de respaldo
• Acortar tu periodo de soporte (pero aun se requiere mínimo 5 años)
• No proceder

Producto No Cumple Requisitos

Si el producto marca blanca tiene brechas de seguridad fundamentales:

Opciones:

• Requerir Qué proveedor remedie (antes de recibir)
• Agregar capa de seguridad tu mismo (e involucrarte mas)
• No proceder

Nunca: Llevar producto no conforme al mercado asumiendo Qué lo "arreglaras despues."

Consideraciones de Coste

El cumplimiento CRA de marca blanca agrega costes mas alla de la adquisicion del producto:

Regla general: Agregar 15-25% al coste del producto por gastos generales de cumplimiento CRA.

Lista de Verificación de Cumplimiento Marca Blanca

LISTA DE Verificación DE CUMPLIMIENTO CRA MARCA BLANCA

PRE-ACUERDO:
[ ] Evaluación de seguridad del producto completada
[ ] Capacidad del proveedor verificada
[ ] Disponibilidad de Documentación confirmada
[ ] Compromiso de periodo de soporte asegurado
[ ] Contrato incluye terminos CRA

Documentación:
[ ] Expediente tecnico recibido y revisado
[ ] SBOM recibido en formato adecuado
[ ] Documentación de Evaluación de riesgos disponible
[ ] Informes de pruebas recibidos
[ ] Documentación de diseno accesible

Evaluación DE CONFORMIDAD:
[ ] Clasificación del producto determinada
[ ] Modulo de Evaluación seleccionado
[ ] Evaluación de conformidad completada
[ ] DoC firmada (por ti, el propietario de la marca)
[ ] Marcado CE aplicado

GESTION DE VULNERABILIDADES:
[ ] Contacto de seguridad establecido
[ ] Política CVD publicada
[ ] Proceso de Notificación del proveedor acordado
[ ] Capacidad de pruebas de actualizacion
[ ] Proceso de Notificación a clientes

CONTINUO:
[ ] Actualizaciones de SBOM recibidas
[ ] Monitoreo de vulnerabilidades activo
[ ] Relacion con proveedor gestionada
[ ] Periodo de soporte rastreado
[ ] Documentación mantenida

POST-EOL:
[ ] Retencion de Documentación (10 años)
[ ] Divulgación de vulnerabilidades conocidas (si necesario)
[ ] Transicion de clientes gestionada

Cómo Ayuda CRA Evidence

CRA Evidence apoya a fabricantes de marca blanca:

• Gestion de proveedores: Rastrea cumplimiento de proveedor de marca blanca
• Repositorio de Documentación: Almacena y gestiona Documentación proporcionada por proveedor
• Agregacion de SBOM: Combina SBOMs de componentes
• Ensamblaje de expediente tecnico: Estructura Documentación para tu producto con marca
• Flujo de vulnerabilidades: Coordina entre proveedor y respuesta orientada al cliente

Gestiona tu cumplimiento de marca blanca en app.craevidence.com.

Guias Relacionadas

• Cuando los Importadores se Convierten en Fabricantes bajo el CRA: Escalacion de Roles
• Due Diligence de Proveedores CRA: Plantilla de Cuestionario y Proceso de Verificacion
• Evaluacion de Conformidad CRA: Guia de Decision Modulo A vs B+C vs H

Este articulo es solo para fines informativos y no constituye asesoramiento legal. Para orientacion especifica sobre cumplimiento, consulta con asesores legales cualificados familiarizados con las regulaciones de productos de la UE.