Clasificación CRA: por defecto, importante, crítico

Tu ruta de evaluación de conformidad CRA depende de cómo clasifiques tu producto. Los productos "importantes" y "críticos" requieren evaluación obligatoria por terceros. Los productos "por defecto" pueden autocertificarse.

Resumen ejecutivo

  • El CRA define cuatro categorías: por defecto, importante clase I, importante clase II y crítico
  • Por defecto: autoevaluación (módulo A) permitida
  • Importante clase I: evaluación por terceros salvo que se apliquen completamente las normas armonizadas
  • Importante clase II y crítico: evaluación por terceros obligatoria
  • La clasificación se basa en la función y el riesgo del producto, no en el sector de mercado
  • Ante la duda, opta por una clasificación superior (más prudente frente a la supervisión)

Consejo: Cerca del 90% de los productos caen en la categoría por defecto. Revisa primero el anexo III y el anexo IV. Si tu producto no figura, es por defecto.

Árbol de decisión de clasificación de productos CRA: categorías por defecto, importante clase I/II y crítico

¿Cuáles son las cuatro categorías de productos del CRA?

El CRA clasifica los productos con elementos digitales en cuatro niveles según el riesgo de ciberseguridad:

Resumen de categorías de productos CRA: por defecto, importante clase I/II y crítico, con sus rutas de conformidad

Productos por defecto

La gran mayoría de productos caen aquí. Si tu producto no aparece específicamente en el anexo III o IV, es "por defecto".

Evaluación de conformidad: la autoevaluación (módulo A) es suficiente.

Ejemplos:

  • Sensores IoT simples
  • Electrónica de consumo básica
  • Software empresarial estándar
  • Aplicaciones de propósito general
  • Dispositivos embebidos no conectados a red

Importante clase I (anexo III, parte I)

Productos con riesgo elevado por su función o por su base de usuarios.

Evaluación de conformidad: se permite la autoevaluación SI aplicas completamente las normas armonizadas pertinentes. En caso contrario, se requiere evaluación por terceros.

Lista completa del anexo III, parte I:

  1. Sistemas de gestión de identidad y software y hardware de gestión de accesos privilegiados, incluidos lectores de autenticación y control de acceso, también biométricos
  2. Navegadores independientes e integrados
  3. Gestores de contraseñas
  4. Software que busca, elimina o pone en cuarentena software malicioso
  5. Productos con elementos digitales que cumplen la función de red privada virtual (VPN)
  6. Sistemas de gestión de redes
  7. Sistemas de gestión de información y eventos de seguridad (SIEM)
  8. Gestores de arranque
  9. Infraestructuras de clave pública y software de emisión de certificados digitales
  10. Interfaces físicas y virtuales de red
  11. Sistemas operativos
  12. Enrutadores, módems destinados a la conexión a internet y conmutadores
  13. Microprocesadores con funcionalidades relacionadas con la seguridad
  14. Microcontroladores con funcionalidades relacionadas con la seguridad
  15. Circuitos integrados de aplicación específica (ASIC) y matrices de puertas programables in situ (FPGA) con funcionalidades relacionadas con la seguridad
  16. Asistentes virtuales de propósito general para hogares inteligentes
  17. Productos para hogares inteligentes con funciones de seguridad, incluidas cerraduras inteligentes, cámaras de seguridad, sistemas de vigilancia de bebés y sistemas de alarma
  18. Juguetes conectados a internet cubiertos por la Directiva 2009/48/CE que tienen funcionalidades sociales interactivas (por ejemplo, hablar o filmar) o funciones de seguimiento de localización
  19. Productos vestibles personales destinados a llevarse o colocarse sobre el cuerpo humano con fines de seguimiento de la salud (como rastreo) y a los que no se aplica el Reglamento (UE) 2017/745 ni el Reglamento (UE) 2017/746, o productos vestibles personales destinados a ser utilizados por y para niños

Importante clase II (anexo III, parte II)

Productos de mayor riesgo que requieren evaluación obligatoria por terceros.

Evaluación de conformidad: se exige evaluación por un organismo notificado. No hay opción de autoevaluación.

Lista completa del anexo III, parte II:

  1. Hipervisores y sistemas de ejecución de contenedores que permiten la ejecución virtualizada de sistemas operativos y entornos similares
  2. Cortafuegos y sistemas de detección y prevención de intrusiones
  3. Microprocesadores resistentes a manipulaciones
  4. Microcontroladores resistentes a manipulaciones

Productos críticos (anexo IV)

La categoría de mayor riesgo. Módulos de seguridad de hardware y similares.

Evaluación de conformidad: evaluación por terceros MÁS Certificación de Ciberseguridad de la Unión Europea (EUCC) en nivel "sustancial" o superior.

Lista completa del anexo IV:

  1. Dispositivos de hardware con cajas de seguridad
  2. Pasarelas de contadores inteligentes dentro de los sistemas de medición inteligente, según se definen en el artículo 2, punto 23, de la Directiva (UE) 2019/944, y otros dispositivos para fines de seguridad avanzada, incluido el procesamiento criptográfico seguro
  3. Tarjetas inteligentes o dispositivos similares, incluidos los elementos seguros

Árbol de decisión: encontrando tu categoría

Sigue este proceso para clasificar tu producto:

INICIO: ¿tu producto tiene elementos digitales?
|
+- NO → Fuera del ámbito del CRA. Para aquí.
|
\- SÍ → ¿figura en el anexo IV (productos críticos)?
     |
     +- SÍ → CRÍTICO
     |        Evaluación por terceros + certificación EUCC
     |
     \- NO → ¿figura en el anexo III, parte II (importante clase II)?
          |
          +- SÍ → IMPORTANTE CLASE II
          |        Evaluación por terceros obligatoria
          |
          \- NO → ¿figura en el anexo III, parte I (importante clase I)?
               |
               +- SÍ → IMPORTANTE CLASE I
               |        Terceros O autoevaluación con normas armonizadas
               |
               \- NO → POR DEFECTO
                        Autoevaluación (módulo A) permitida

Rutas de evaluación de conformidad por categoría

Rutas de evaluación de conformidad CRA por categoría: módulo A, B+C, H y EUCC

Módulo Disponible para Organismo notificado
A: control interno de la producción Por defecto; clase I aplicando normas armonizadas No requerido
B+C: examen UE de tipo + control de la producción Clase I sin normas; clase II; crítico Requerido
H: aseguramiento total de la calidad Cualquier categoría, alternativa a B+C Requerido
EUCC: certificación de ciberseguridad de la UE Solo crítico (anexo IV), además de B+C o H Requerido

El módulo A es el ciclo completo de autoevaluación: expediente técnico, declaración UE de conformidad y marcado CE. Sin auditor externo.

El módulo B+C divide el trabajo: un organismo notificado examina un espécimen tipo y emite un certificado (módulo B); el fabricante asegura que toda la producción se ajusta a ese tipo (módulo C).

El módulo H sustituye el enfoque producto a producto por una auditoría del sistema de gestión de calidad del fabricante. Encaja mejor cuando se tiene un catálogo de productos amplio.

La EUCC se añade al módulo B+C o H para los productos críticos. Se emite bajo la Ley de Ciberseguridad de la UE en nivel de garantía "sustancial" o superior por un organismo de evaluación de la conformidad acreditado.

¿Cómo clasificar un producto que encaja en varias categorías?

No todos los productos encajan limpiamente en una sola categoría. Estos son los casos límite más habituales:

Productos multifunción

Regla: si CUALQUIER función activa una categoría superior, todo el producto se clasifica en ese nivel.

Ejemplo: un hub de hogar inteligente que incluye:

  • Control básico de automatización (por defecto)
  • Funcionalidad VPN (importante clase I)
  • Integración de cámara de seguridad (importante clase I)

Clasificación: importante clase I (la categoría más alta activada)

Regla CRA para productos multifunción: prevalece la categoría más alta entre todas las funciones

Componentes embebidos

Regla: valora si los componentes relevantes para la seguridad activan la clasificación.

Ejemplo: un dispositivo de consumo que contiene:

  • Microcontrolador de propósito general → por defecto
  • Microcontrolador "con funcionalidades relacionadas con la seguridad" → importante clase I

Pregunta clave: ¿el microcontrolador realiza funciones de seguridad (cifrado, autenticación, arranque seguro)?

Consideraciones de "destinado a"

Algunos elementos del anexo III especifican un uso o un contexto previsto (por ejemplo, los referidos a "juguetes conectados cubiertos por la Directiva 2009/48/CE" o los vestibles de monitorización de la salud que remiten a los Reglamentos 2017/745 y 2017/746).

Si tu producto pudiera usarse en esos contextos pero no está específicamente destinado a ellos, la clasificación puede no aplicar. Documenta el uso previsto con claridad.

Sistemas operativos

Los sistemas operativos figuran solo en el anexo III parte I (importante clase I). No hay categoría de sistemas operativos en clase II:

Tipo de SO Clasificación
SO embebido (RTOS, firmware) Por defecto (habitualmente)
SO de propósito general Importante clase I

Ejemplo: una distribución Linux personalizada para dispositivos embebidos sería normalmente importante clase I. Ubuntu Server es importante clase I.

Software frente a hardware

La clasificación se aplica al producto tal y como se introduce en el mercado:

  • Software independiente: se clasifica por la función del software
  • Hardware con software embebido: se clasifica por la funcionalidad combinada
  • Componente software vendido por separado: se clasifica de forma independiente

Orientación específica por industria

Fabricantes de dispositivos IoT

La mayoría de dispositivos IoT son por defecto salvo que:

  • Incluyan funcionalidad VPN → clase I
  • Sean dispositivos de seguridad para hogar inteligente → clase I
  • Sean IoT industrial → clase I o II
  • Incluyan funciones de seguridad resistentes a manipulación → clase II

Empresas de software

La mayoría del software es por defecto salvo que esté listado expresamente:

  • Navegadores, gestores de contraseñas, antimalware → clase I
  • Herramientas de seguridad de red (cortafuegos, IDS) → clase II
  • Sistemas operativos → clase I

Sistemas embebidos

La clasificación depende mucho de:

  • Las funciones de seguridad de los microcontroladores y procesadores
  • Si el producto es de uso industrial o profesional
  • El entorno de despliegue previsto (¿infraestructura crítica?)

Dispositivos médicos

Los dispositivos médicos están excluidos del ámbito del CRA (cubiertos por el MDR/IVDR). No obstante, el software complementario o las funciones no médicas pueden seguir estando dentro del ámbito.

Encontrar un organismo notificado

Para los productos que requieren evaluación por terceros:

  1. Consulta la base de datos NANDO: el registro oficial de la UE de organismos notificados
  2. Busca la designación específica para CRA: los organismos deben estar designados para la evaluación de conformidad CRA
  3. Ten en cuenta la capacidad: en los primeros años del CRA habrá disponibilidad limitada de organismos notificados
  4. Considera la ubicación: trabajar con un organismo de tu región puede facilitar la coordinación

El proceso de designación de organismos notificados para el CRA está en curso. Consulta directamente la base de datos NANDO para ver la lista actualizada de organismos designados.

Errores comunes de clasificación

Importante: la clasificación se basa en la función del producto, no en el sector de mercado, el tamaño de la empresa ni la complejidad del producto. Revisa siempre las listas del anexo III y IV.

"Producto de consumo = por defecto"

Incorrecto. La clasificación se hace por función, no por mercado.

Una cerradura inteligente vendida a consumidores es importante clase I porque es un "producto para hogar inteligente con función de seguridad", con independencia de que su mercado sea el consumidor final.

"Somos B2B, así que la clasificación es menor"

Incorrecto. B2B frente a B2C no afecta a la clasificación.

Productos de IoT industrial dirigidos a clientes empresariales pueden ser importante clase I o II según su función.

"Nuestro producto es pequeño/simple, así que es por defecto"

Probablemente incorrecto. El tamaño y la complejidad no determinan la clasificación.

Un microcontrolador minúsculo con funciones de seguridad puede ser importante clase I. Un producto grande y complejo sin funciones listadas puede ser por defecto.

"Ya tenemos ISO 27001, así que estamos cubiertos"

Incorrecto. ISO 27001 cubre la seguridad de la información a nivel organizativo, no la evaluación de conformidad de producto.

El CRA exige una evaluación de conformidad específica por producto, al margen de las certificaciones organizativas.

Lista de verificación de clasificación de productos 

LISTA DE VERIFICACIÓN DE CLASIFICACIÓN DE PRODUCTOS

Producto: _______________________________________
Fecha: _________________________________________

VERIFICACIÓN INICIAL DE ALCANCE:
[ ] El producto tiene elementos digitales (software o conexión de datos)
[ ] El producto se introducirá en el mercado de la UE
[ ] El producto no está excluido (médico, automoción, aviación, militar)

VERIFICACIÓN ANEXO IV (CRÍTICO):
[ ] No es un dispositivo de hardware con caja de seguridad
[ ] No es una pasarela de contador inteligente (según Directiva (UE) 2019/944, art. 2(23)) ni otro dispositivo para fines de seguridad avanzada
[ ] No es una tarjeta inteligente ni dispositivo similar, incluidos los elementos seguros

Si alguno es   CRÍTICO (para aquí)

VERIFICACIÓN ANEXO III PARTE II (IMPORTANTE CLASE II):
[ ] No es un hipervisor ni sistema de ejecución de contenedores
[ ] No es un cortafuegos ni sistema de detección o prevención de intrusiones
[ ] No es un microprocesador resistente a manipulaciones
[ ] No es un microcontrolador resistente a manipulaciones

Si alguno es   IMPORTANTE CLASE II (para aquí)

VERIFICACIÓN ANEXO III PARTE I (IMPORTANTE CLASE I):
[ ] Revisar la lista completa de 19 categorías
[ ] Considerar implicaciones multifunción
[ ] Comprobar si los componentes incluyen funcionalidades relacionadas con la seguridad

Si aplica alguna categoría  IMPORTANTE CLASE I (para aquí)

POR DEFECTO:
[ ] El producto no figura en ningún anexo
[ ] Clasificación: POR DEFECTO

RUTA DE EVALUACIÓN DE CONFORMIDAD:
[ ] Módulo A (autoevaluación): por defecto, clase I con normas armonizadas
[ ] Módulo B+C (terceros): clase I sin normas, clase II
[ ] Módulo H (aseguramiento de calidad): alternativa a B+C
[ ] Certificación EUCC: solo productos críticos

DOCUMENTACIÓN:
[ ] Justificación de la clasificación documentada
[ ] Análisis multifunción completado
[ ] Uso previsto definido con claridad
[ ] Organismo notificado identificado (si procede)

Clasificado por: _________________________________
Fecha: _________________________________________

Preguntas frecuentes

¿Un router doméstico se clasifica como importante clase I o por defecto?

Importante clase I. Los routers "destinados a la conexión a internet" figuran en el anexo III parte I, punto 12. La autoevaluación es posible si aplicas completamente una norma armonizada pertinente. Sin ella, se requiere un organismo notificado. Consulta las rutas de evaluación de conformidad CRA.

¿El CRA se aplica a productos SaaS sin hardware físico?

Depende de qué haga el software. Un SaaS que ofrezca procesamiento remoto de datos integral a un producto con elementos digitales está dentro del ámbito según el artículo 3(1). Una aplicación web autónoma sin hardware asociado también puede estar dentro del ámbito según su función. Si lo está, la clasificación se hace con las mismas listas del anexo III y IV que cualquier producto físico.

Si mi producto combina funciones por defecto y de clase I, ¿qué categoría aplica?

La categoría más alta rige todo el producto. Si una sola función figura en el anexo III o IV, el producto entero se evalúa en ese nivel. Un conmutador de red que también incorpora un concentrador VPN es importante clase I para el dispositivo completo, no solo para el componente VPN.

¿La certificación ISO 27001 afecta a la clasificación de mi producto bajo el CRA?

No. La clasificación se determina por la función del producto frente a los anexos III y IV. Las certificaciones organizativas no juegan ningún papel. ISO 27001 cubre la gestión de la seguridad de la información a nivel de empresa. El CRA exige una evaluación de conformidad por producto, al margen de lo que tenga el fabricante. Consulta CRA frente a ISO 27001.

¿Cuándo hay que determinar la clasificación de producto bajo el CRA?

Antes de introducir el producto en el mercado de la UE. La clasificación fija tu ruta de evaluación de conformidad, que debe completarse antes de poder colocar el marcado CE y emitir la declaración de conformidad. Consulta el calendario de implementación del CRA para las fechas clave.

¿Dónde encuentro un organismo notificado para la evaluación de conformidad CRA?

La base de datos NANDO (nando.ec.europa.eu) es el registro oficial de la UE de organismos notificados. Las designaciones específicas para el CRA se siguen publicando a medida que el programa avanza, así que conviene consultar directamente los organismos listados bajo el Reglamento (UE) 2024/2847. Para los productos importante clase I, solo se necesita organismo notificado si no se aplica una norma armonizada pertinente.

Próximos pasos

¿Gestionas la conformidad CRA en varios productos? CRA Evidence centraliza clasificación, rutas de conformidad y documentación.

Una vez que conozcas tu clasificación, el siguiente paso es tu ruta de evaluación de conformidad. Después, prepara la documentación técnica del anexo VII y emite la declaración UE de conformidad. Todas las categorías, sea cual sea su nivel, requieren un SBOM. Consulta el calendario de implementación del CRA para las fechas clave.