Tu ruta de evaluación de la conformidad CRA depende de la clasificación del producto. Los productos por defecto suelen poder usar control interno. Los productos importantes y críticos pueden necesitar un organismo notificado o, en el caso de los productos críticos cuando se cumplen las condiciones específicas del Reglamento (UE) 2024/2847, un certificado europeo de ciberseguridad.
Resumen
- La clasificación CRA empieza por el alcance: el producto debe tener elementos digitales y una conexión lógica o física de datos, directa o indirecta, a un dispositivo o red.
- Los productos cuya funcionalidad principal figura en el la lista de productos importantes son productos importantes, divididos en clase I y clase II.
- Los productos cuya funcionalidad principal figura en el la lista de productos críticos son productos críticos.
- Los productos por defecto pueden usar control interno basado en el módulo A.
- Los productos importantes de clase I solo pueden mantener el control interno cuando se apliquen plenamente las normas, especificaciones comunes o esquemas de certificación pertinentes.
- Los productos críticos usan la vía de certificación o, cuando esa vía no esté disponible y sea aplicable, las rutas estándar de evaluación por terceros.
Consejo: como estimación de trabajo, no como cifra fijada por el CRA, cerca del 90% de los productos cae en la categoría por defecto. Revisa primero las listas de productos críticos e importantes. Si tu producto no aparece, normalmente es por defecto.
Empieza aquí solo si el producto tiene elementos digitales y una conexión de datos directa o indirecta.
El nivel de mayor riesgo. Un "sí" aquí implica certificación o una de las rutas de evaluación por terceros.
Estos productos suelen necesitar una ruta de tercero o de certificación.
Este nivel también cubre sistemas de identidad, SIEM, PKI, interfaces de red, chips con seguridad, determinados juguetes y determinados wearables.
Para una primera comprobación rápida del alcance, usa el verificador gratuito de aplicabilidad CRA. Trata el resultado como punto de partida y documenta la clasificación legal por separado.
Las cuatro categorías de producto del CRA
El CRA clasifica los productos con elementos digitales en cuatro niveles según el riesgo de ciberseguridad: por defecto, importante clase I, importante clase II y crítico. La asignación de nivel depende de si la funcionalidad principal del producto coincide con las listas de productos importantes o críticos.
Base reguladora
- Por defecto = dentro del alcance, sin coincidencia de funcionalidad principal en la lista de productos importantes ni la lista de productos críticos.
El control interno basado en el módulo A está disponible cuando el producto está, por lo demás, dentro del alcance del CRA.
No hay coincidencia de funcionalidad principal importante o crítica.El módulo A sigue disponible solo con uso pleno de las normas, especificaciones o esquemas pertinentes.
lista importante clase I.Usa el módulo B+C, el módulo H o un esquema de certificación aplicable.
lista importante clase II.Usa la certificación cuando se cumplan las condiciones de certificación; en caso contrario, usa las vías de evaluación de terceros.
lista crítica.Productos por defecto
La gran mayoría de los productos caen aquí. Si tu producto está dentro del alcance del CRA pero su funcionalidad principal no figura en el la lista de productos importantes ni en el la lista de productos críticos, es por defecto.
Evaluación de la conformidad: la autoevaluación (módulo A) es suficiente.
Ejemplos:
- Sensores IoT simples
- Electrónica de consumo básica
- Software empresarial estándar
- Aplicaciones de propósito general
- Dispositivos embebidos cuyo fin previsto o uso razonablemente previsible incluye una conexión de datos pero sin funcionalidad principal de productos importantes o críticos
Importante clase I
Productos con riesgo elevado por su función o por su base de usuarios.
Evaluación de la conformidad: el control interno está disponible solo si aplicas plenamente las normas armonizadas, especificaciones comunes o esquemas europeos de certificación de ciberseguridad pertinentes con nivel de garantía al menos «sustancial». Donde esos instrumentos aún no existan o no los apliques plenamente, usa el módulo B+C o el módulo H.
Lista completa de importante clase I:
- (1) Sistemas de gestión de la identidad y programas y equipos informáticos de gestión de accesos privilegiados, incluidos los lectores de autenticación y control de acceso, como los lectores biométricos
- (2) Navegadores independientes e integrados
- (3) Gestores de contraseñas
- (4) Programas informáticos que busquen, eliminen o pongan en cuarentena programas maliciosos
- (5) Productos con elementos digitales que ejerzan la función de red privada virtual (VPN)
- (6) Sistemas de gestión de redes
- (7) Sistemas de gestión de información de seguridad y eventos (SIEM)
- (8) Gestores de arranque
- (9) Infraestructuras públicas clave y programas informáticos de emisión de certificados digitales
- (10) Interfaces físicas y virtuales de red
- (11) Sistemas operativos
- (12) Enrutadores, módems destinados a la conexión a internet e interruptores
- (13) Microprocesadores con funcionalidades relacionadas con la seguridad
- (14) Microcontroladores con funcionalidades relacionadas con la seguridad
- (15) Circuitos integrados de aplicación específica (ASIC) y matrices de puertas programables in situ (FPGA) con funcionalidades relacionadas con la seguridad
- (16) Asistentes virtuales de propósito general para hogares inteligentes
- (17) Productos para hogares inteligentes con funciones de seguridad, como cerraduras, cámaras de seguridad, sistemas de vigilancia de bebés y sistemas de alarma inteligentes
- (18) Juguetes conectados a internet regulados por la Directiva 2009/48/CE que tienen funcionalidades sociales interactivas (por ejemplo, que hablen o filmen) o funcionalidades de seguimiento de localización
- (19) Productos ponibles personales destinados a ser utilizados o colocados en el cuerpo humano con fines de seguimiento médico (como la localización) y a los que no se aplican el Reglamento (UE) 2017/745 o el Reglamento (UE) 2017/746, o productos ponibles personales destinados a ser utilizados por y para niños
Importante clase II
Productos de mayor riesgo que requieren evaluación obligatoria por terceros.
Evaluación de la conformidad: usa el módulo B+C, el módulo H o, cuando esté disponible y sea aplicable, un esquema europeo de certificación de ciberseguridad con nivel de garantía al menos sustancial.
Lista completa de importante clase II:
- (1) Hipervisores y sistemas de ejecución de contenedores que permitan la ejecución virtualizada de sistemas operativos y entornos similares
- (2) Cortafuegos y sistemas de detección y prevención de intrusiones
- (3) Microprocesadores resistentes a las manipulaciones
- (4) Microcontroladores resistentes a las manipulaciones
Productos críticos
La categoría de mayor riesgo cubre dispositivos de hardware con cajas de seguridad, pasarelas de contadores inteligentes y otros dispositivos avanzados de seguridad, y tarjetas inteligentes o dispositivos similares.
Evaluación de la conformidad: usa la vía de certificación cuando se cumplan las condiciones de certificación. Si esas condiciones no se cumplen, usa una de las vías de evaluación de terceros.
Lista completa de críticos:
- (1) Dispositivos de equipos informáticos con cajas de seguridad
- (2) Pasarelas de contadores inteligentes dentro de los sistemas de medición inteligente según se definen en el punto (23) de la Directiva (UE) 2019/944, y otros dispositivos con fines de seguridad avanzada, incluido el procesamiento seguro de criptoactivos
- (3) Tarjetas inteligentes o dispositivos similares, que incluyan elementos seguros
Rutas de evaluación de la conformidad por categoría
Cada nivel se asigna a un conjunto específico de módulos de evaluación de la conformidad: por defecto normalmente usa control interno, importante clase I solo puede usarlo con cobertura completa de normas o esquemas, importante clase II usa una vía de terceros o certificación, y crítico usa certificación cuando esté disponible o las vías de terceros de respaldo.
Base reguladora
El control interno de la producción está disponible cuando el producto no presenta coincidencia de funcionalidad principal con el la lista de productos importantes ni con el la lista de productos críticos.
Organismo notificado: no requeridoUsa el módulo A solo con cobertura plena de normas, especificaciones comunes o esquema de certificación. En caso contrario, usa el módulo B+C o el módulo H.
Organismo notificado: requerido cuando se usa el módulo B+C o el módulo HUsa una ruta de tercero, o un esquema europeo de certificación de ciberseguridad aplicable con nivel de garantía al menos sustancial.
Organismo notificado: requerido para B+C o H; las reglas del esquema aplican a la certificaciónUsa la vía de certificación cuando se cumplan sus condiciones. En caso contrario, usa las vías de evaluación de terceros.
Organismo notificado: depende de la ruta disponibleEl módulo A es control interno: expediente técnico, declaración UE de conformidad y marcado CE. Sin auditor externo.
El módulo B+C divide el trabajo: un organismo notificado examina un espécimen tipo y emite un certificado (módulo B); a continuación, el fabricante asegura que toda la producción se ajusta a ese tipo (módulo C).
El módulo H sustituye el enfoque producto a producto por una auditoría del sistema de gestión de la calidad del fabricante. Encaja mejor cuando se dispone de un catálogo de productos amplio.
Para los productos críticos, la certificación no es un añadido al módulo B+C ni al módulo H. Es la vía crítica cuando se cumplen las condiciones de certificación; en caso contrario, el producto usa las vías de evaluación de terceros.
Clasificar productos que encajan en varias categorías
No todos los productos encajan limpiamente. Estos son los casos límite más habituales.
Base reguladora
Productos multifunción
Regla: céntrate en la funcionalidad principal del producto. Un producto cuya funcionalidad principal coincida con una categoría de productos importantes es importante, pero integrar un componente de clase I en un producto anfitrión no convierte, por sí solo, a ese anfitrión en importante.
Ejemplo: un hub de hogar inteligente que incluye:
- Control básico de automatización (por defecto)
- Funcionalidad VPN (importante clase I)
- Integración de cámara de seguridad (importante clase I)
Clasificación: importante clase I si la funcionalidad VPN o la de cámara de seguridad forma parte de la funcionalidad principal del producto.
Componentes embebidos
Regla: valora si los componentes relevantes para la seguridad se introducen en el mercado por separado o aportan al producto anfitrión la funcionalidad principal de una categoría de productos importantes.
Ejemplo: un dispositivo de consumo que contiene:
- Microcontrolador de propósito general → por defecto
- Microcontrolador "con funcionalidades relacionadas con la seguridad" → importante clase I
Pregunta clave: ¿el microcontrolador realiza funciones de seguridad (cifrado, autenticación, arranque seguro)?
Consideraciones de uso previsto
Varias categorías listadas especifican un uso o contexto de producto, por ejemplo elementos que remiten a "juguetes conectados a internet regulados por la Directiva 2009/48/CE" o a wearables de monitorización de la salud que remiten a los Reglamentos 2017/745 y 2017/746.
Si tu producto pudiera usarse en esos contextos pero no está destinado específicamente a ellos, la clasificación puede no aplicar. Documenta el uso previsto con claridad.
Sistemas operativos
Los sistemas operativos figuran en el lista importante clase I. La pregunta práctica es si el producto introducido en el mercado es un sistema operativo o si el firmware solo forma parte de un producto más amplio cuya funcionalidad principal es otra:
| Tipo de SO | Clasificación |
|---|---|
| Sistema operativo introducido en el mercado como producto | Importante clase I |
| Firmware dentro de un producto más amplio | Clasificar el producto más amplio por su funcionalidad principal |
Ejemplo: una distribución Linux personalizada vendida como sistema operativo es importante clase I. El firmware dentro de un sensor conectado sencillo puede mantener al sensor en por defecto si no tiene funcionalidad principal de productos importantes o críticos.
Software frente a hardware
La clasificación considera el producto tal y como se introduce en el mercado:
- Software independiente: se clasifica por la función del software
- Hardware con software embebido: se clasifica por la funcionalidad combinada
- Componente software vendido por separado: se clasifica de forma independiente
Orientación específica por sector
Muchos dispositivos IoT son por defecto, salvo que su funcionalidad principal coincida con una categoría listada.
- Funcionalidad VPN: importante clase I
- Dispositivos de seguridad para hogar inteligente: importante clase I
- Funciones de seguridad resistentes a manipulaciones: importante clase II
La mayoría del software es por defecto salvo que el producto en sí ofrezca una función listada.
- Navegadores, gestores de contraseñas, antimalware: importante clase I
- Cortafuegos e IDS/IPS: importante clase II
- Sistemas operativos: importante clase I
La clasificación depende de la función de seguridad y de cómo se introduce el componente en el mercado.
- Comprobar funciones de seguridad en procesadores y microcontroladores
- Comprobar si el componente se vende por separado
- Comprobar si la función de seguridad es principal para el producto
Los productos cubiertos por MDR o IVDR quedan excluidos del alcance del CRA. El software complementario o las funciones no médicas pueden seguir necesitando un análisis de alcance CRA por separado.
Errores comunes de clasificación
Importante: la clasificación se basa en la función del producto, no en el sector de mercado, el tamaño de la empresa ni la complejidad del producto. Revisa siempre las listas de productos importantes y críticos.
Una cerradura inteligente vendida a consumidores puede seguir siendo importante clase I porque la clasificación sigue la función, no el mercado objetivo.
El uso empresarial o industrial no rebaja el nivel. La clasificación sigue dependiendo del alcance del CRA y de las listas de funcionalidad principal de productos importantes o críticos.
El tamaño y la complejidad no determinan la clasificación. Un microcontrolador pequeño con funciones de seguridad puede ser importante clase I, mientras que un producto complejo sin funciones listadas puede ser por defecto.
ISO 27001 es una norma de gestión de seguridad organizativa. La clasificación CRA y la evaluación de la conformidad siguen siendo específicas del producto.
Lista de verificación de clasificación de producto
Base reguladora
- Rutas de evaluación de la conformidad por nivel. (las reglas de evaluación de la conformidad)
- El producto tiene elementos digitales y una conexión de datos directa o indirecta
- El producto se introducirá en el mercado de la UE
- El producto no está cubierto por una exclusión sectorial o de seguridad
- Dispositivo de hardware con caja de seguridad
- Pasarela de contador inteligente u otro dispositivo de seguridad avanzada
- Tarjeta inteligente o dispositivo similar, incluidos elementos seguros
Cualquier coincidencia significa Crítico.
- Hipervisor o sistema de ejecución de contenedores
- Cortafuegos o sistema de detección o prevención de intrusiones
- Microprocesador o microcontrolador resistente a manipulaciones
Cualquier coincidencia significa Importante clase II.
- Revisar la lista completa de 19 categorías
- Comprobar implicaciones de productos multifunción
- Comprobar funcionalidad relacionada con la seguridad en componentes
Cualquier coincidencia con una categoría listada significa Importante clase I.
- El producto está dentro del alcance del CRA
- No hay coincidencia de funcionalidad principal importante o crítica
- La justificación de la clasificación está documentada
Sin coincidencia de categoría listada significa Por defecto.
- Módulo A para por defecto, o clase I con cobertura plena de normas, especificaciones o esquema
- Módulo B+C o H para clase I sin cobertura plena, clase II y rutas de reserva para crítico
- Ruta de certificación para crítico cuando se cumplan las condiciones de certificación
Preguntas frecuentes
¿Un router doméstico se clasifica como importante clase I o como por defecto?
La clasificación probable es importante clase I. Los enrutadores destinados a la conexión a internet figuran en el lista importante clase I, punto 12. El control interno sigue disponible solo si se aplican plenamente las normas armonizadas, especificaciones comunes o esquemas de certificación pertinentes; en caso contrario, usa el módulo B+C o el módulo H. Consulta las rutas de evaluación de la conformidad CRA.
¿Se aplica el CRA a productos SaaS sin hardware físico?
Depende de si el software es un producto con elementos digitales dentro del alcance del CRA. Una solución de tratamiento de datos a distancia queda cubierta cuando la diseña el fabricante o se diseña bajo su responsabilidad y es necesaria para que un producto con elementos digitales realice una función. El alcance también exige una conexión lógica o física de datos, directa o indirecta, a un dispositivo o red.
Si mi producto combina funciones por defecto y de clase I, ¿qué categoría aplica?
El nivel superior se aplica cuando la función de mayor riesgo es la funcionalidad principal del producto. Un producto cuya funcionalidad principal coincide con las categorías listadas de productos importantes pasa al nivel importante. Pero la mera integración de un componente de clase I en un producto anfitrión no eleva, por sí sola, a ese anfitrión a las rutas de conformidad de producto importante. Documenta por qué la función listada es o no es principal en el producto introducido en el mercado.
¿La certificación ISO 27001 afecta a la clasificación de mi producto bajo el CRA?
No. La clasificación CRA se determina por la funcionalidad principal del producto frente al la lista de productos importantes y al la lista de productos críticos. ISO 27001 cubre la gestión de la seguridad de la información a nivel organizativo; no cambia si un producto es por defecto, importante clase I, importante clase II o crítico bajo el CRA. Consulta CRA frente a ISO 27001.
¿Cuándo debe determinarse la clasificación de producto bajo el CRA?
Determina la clasificación antes de introducir el producto en el mercado de la UE. La clasificación fija la ruta de evaluación de la conformidad que respalda la declaración UE de conformidad y el marcado CE. Los fabricantes deben completar la evaluación de la conformidad antes de poner el producto a disposición como conforme. Consulta el calendario de implementación del CRA.
¿Dónde encuentro un organismo notificado para la evaluación de la conformidad CRA?
Usa NANDO como registro activo de organismos notificados designados. Las designaciones específicas para el CRA se siguen publicando, así que consulta directamente si hay organismos designados al amparo del Reglamento (UE) 2024/2847. Los productos importantes de clase I solo necesitan un organismo notificado cuando el fabricante no puede apoyarse plenamente en las normas armonizadas, especificaciones comunes o esquemas de certificación pertinentes.