Cada producto con elementos digitales necesita una Declaración UE de conformidad antes de poder llevar legalmente el marcado CE. La DoC es tu declaración formal de que el producto cumple los requisitos del CRA. Eres legalmente responsable de su exactitud.
Esta guía proporciona una plantilla completa y explica cada elemento requerido.
Resumen
- La Declaración UE de conformidad (DoC) es obligatoria para todo producto CRA y debe existir antes de la puesta en el mercado.
- La firma el fabricante. Un representante autorizado establecido en la UE puede figurar en la declaración y conservarla para las autoridades, pero el acto de declarar la conformidad recae en el fabricante.
- Los elementos obligatorios están fijados en la plantilla de declaración del CRA.
- Debe estar disponible en los idiomas exigidos por cada Estado miembro donde se venda el producto.
- Consérvala durante al menos 10 años después de la puesta en el mercado, o durante el periodo de soporte si es más largo.
- Una modificación sustancial exige una nueva DoC, emitida por quien hizo el cambio.
- Abajo tienes una plantilla. Adáptala a tu producto.
Importante: No firmes una DoC antes de completar la evaluación de conformidad. Una declaración incompleta o inexacta puede crear una exposición sancionadora seria y debilitar el marcado CE.
Consejo: Incluye el periodo de soporte del producto y un punto de contacto para vulnerabilidades en la DoC. Son campos prácticos de transparencia aunque la plantilla mínima no los obligue.
¿Qué es la Declaración UE de conformidad?
La Declaración UE de conformidad es un documento legal formal en el que el fabricante declara que un producto cumple la legislación de la UE aplicable. Es obligatoria para todos los productos con elementos digitales antes de que puedan llevar el marcado CE. Para los productos CRA, debe establecer:
- El producto cumple los requisitos esenciales de ciberseguridad.
- La evaluación de conformidad ha sido completada.
- El fabricante asume la responsabilidad legal.
Sin una DoC firmada, tu producto no puede llevar el marcado CE y no puede comercializarse legalmente en el mercado de la UE.
¿Qué exige el CRA en la DoC?
La DoC debe redactarse antes de la introducción en el mercado, mantenerse actualizada conforme cambie el producto o su estado de conformidad, traducirse al idioma o idiomas requeridos por cada Estado miembro donde se comercialice el producto y conservarse junto al expediente técnico durante al menos diez años.
Nota: Cuando un producto está sujeto a varios reglamentos de la UE, puedes emitir una única declaración combinada que los cubra todos. Consulta la variación «Múltiples reglamentos» más adelante en esta guía.
Elementos requeridos
| # | Elemento | Qué incluir |
|---|---|---|
| 1 | Nombre y tipo del producto | Nombre, tipo y toda información adicional que permita la identificación única del producto con elementos digitales. |
| 2 | Identificación del fabricante | Nombre y dirección del fabricante o de su representante autorizado. |
| 3 | Declaración de responsabilidad exclusiva | Texto exacto: «La declaración UE de conformidad se emite bajo la exclusiva responsabilidad del proveedor.» |
| 4 | Objeto de la declaración | Identificación del producto que permita la trazabilidad, que puede incluir una fotografía cuando proceda. |
| 5 | Declaración de conformidad | Confirmar que el objeto es conforme con el Reglamento (UE) 2024/2847. |
| 6 | Normas y certificaciones aplicadas | Normas armonizadas, especificaciones comunes o certificaciones de ciberseguridad utilizadas. |
| 7 | Datos del organismo notificado | Nombre, número, procedimiento de evaluación de la conformidad realizado y referencia del certificado. Solo si se utilizó un módulo de evaluación por terceros. |
| 8 | Información adicional y firma | Lugar y fecha de emisión; nombre, cargo/función y firma del firmante (manuscrita o electrónica cualificada). Otra información adicional que proceda. |
Cada fila se corresponde con el punto numerado equivalente del Anexo V.
Nota: El número de declaración no es obligatorio, pero se recomienda encarecidamente para el control de versiones y el seguimiento interno.
Plantilla completa de DoC
Utiliza esta plantilla como punto de partida. Personaliza los campos entre corchetes para tu producto.
Nota: La sección 3 contiene una frase textual legalmente exigida. No la parafrasees.
Identificación del documento
| N.º de declaración | [DoC-PRODUCTO-AAAA-NNN] |
|---|---|
| Fecha de emisión | [DD de mes de AAAA] |
Fabricante
| Nombre | [Nombre legal de la empresa] |
|---|---|
| Dirección | [Dirección postal, código postal, ciudad, país] |
| Contacto | [Correo electrónico / Teléfono] |
| Sitio web | [URL] |
Identificación del producto
| Nombre del producto | [Nombre del producto] |
|---|---|
| Modelo / tipo | [Número de modelo / designación de tipo] |
| Versión hardware | [Versión de hardware, si aplica] |
| Versión software | [Versión de software / firmware] |
| Lote / serie | [Rango de lote o formato de número de serie] |
| Fotografía | [Opcional, cuando proceda para la trazabilidad] |
| Descripción | [Descripción breve del producto y su uso previsto, suficiente para identificar el producto de forma inequívoca] |
Declaración
«La declaración UE de conformidad se emite bajo la exclusiva responsabilidad del proveedor.» (Frase legalmente exigida en virtud del Anexo V, punto 3.)
El objeto de la declaración descrito anteriormente es conforme con la legislación de armonización de la Unión pertinente:
- Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, sobre requisitos horizontales de ciberseguridad para productos con elementos digitales (Reglamento de Ciberresiliencia).
- [Legislación adicional aplicable de la UE, cuando proceda.]
Evaluación de conformidad
Procedimiento de evaluación de conformidad aplicado (selecciona uno):
Módulo A. Internal Production Control. Basado en el Anexo VIII.
| Organismo notificado | No requerido para Módulo A |
|---|
Módulo B + C. Examen de tipo UE + Conformidad con el tipo. Basado en el Anexo VIII.
| Organismo notificado | [Nombre], N.º [XXXX] |
|---|---|
| Certificado | [Número], con fecha [DD de mes de AAAA] |
Módulo H. Full Quality Assurance. Basado en el Anexo VIII.
| Organismo notificado | [Nombre], N.º [XXXX] |
|---|---|
| Certificado de calidad | [Número], con fecha [DD de mes de AAAA] |
Certificación europea de ciberseguridad conforme al Artículo 27(9) y al Reglamento (UE) 2019/881.
| Sistema | [Nombre] |
|---|---|
| Certificado | [Número] |
| Nivel de garantía | [Sustancial / Alto] |
Normas y especificaciones aplicadas
| Normas armonizadas | EN [XXXXX]:20XX, [Título de la norma] |
|---|---|
| Otras especificaciones técnicas | ISO/IEC [XXXXX]:20XX, [Título de la norma] |
| Certificaciones de ciberseguridad | [Nombre del sistema, referencia del certificado, si aplica] |
Información adicional (específica del CRA)
| Período de soporte | Actualizaciones de seguridad hasta [DD de mes de AAAA] |
|---|---|
| Primera introducción en el mercado de la UE | [DD de mes de AAAA] |
| Contacto para vulnerabilidades | [security@empresa.com] / [https://empresa.com/.well-known/security.txt] |
| Documentación técnica | Disponible previa solicitud a las autoridades competentes en la dirección indicada arriba. |
Firma
Firmado en nombre y representación de [Nombre legal de la empresa]:
Lugar: [Ciudad, país] · Fecha: [DD de mes de AAAA]
Orientación sección por sección
1. Identificación del documento
Número de declaración. No es obligatorio, pero se recomienda encarecidamente para el control de versiones. Un formato práctico es DoC-[CódigoProducto]-[Año]-[Secuencia], por ejemplo DoC-SSP3000-2027-001.
Fecha de emisión. La fecha en que firmas la declaración. Debe ser posterior a la finalización de la evaluación de conformidad.
2. Identificación del fabricante
El firmante es el fabricante: una persona autorizada para comprometerlo legalmente. El CRA permite, pero no exige por sí solo, designar un representante autorizado; cuando se designe uno, podrá figurar en la declaración y conservarla para las autoridades, pero el acto de declarar la conformidad recae en el fabricante (artículo 28). Si se nombra un representante autorizado, añade una línea como:
Representante autorizado: [Nombre, dirección]
en nombre de: [Nombre del fabricante, dirección]
3. Identificación del producto
Sé suficientemente específico para la trazabilidad: incluye números de modelo, números de versión de hardware y software por separado y el alcance del lote o número de serie.
Ejemplo:
Nombre del producto: SmartSense Pro Industrial Sensor
Modelo/Tipo: SSP-3000
Versión hardware: Rev C (PCB v3.2)
Versión software: Firmware 2.4.1
Lote/Serie: Números de serie SSP3K-2027-XXXXXX
4. Evaluación de conformidad
El módulo que debes utilizar depende de la clasificación de tu producto. Usa esta tabla para orientarte:
| Módulo | Cuándo aplica | ¿Organismo notificado? |
|---|---|---|
| Módulo A (Internal Production Control) | Productos por defecto; Importante Clase I cuando se aplican íntegramente las normas, especificaciones o esquemas pertinentes | No |
| Módulo B+C (Examen de tipo UE) | Disponible para todos los productos; opción exigida para Importante Clase I cuando no se aplican íntegramente; una ruta para Importante Clase II y para críticos como alternativa | Sí |
| Módulo H (Full Quality Assurance) | Todos los productos; alternativa a B+C para Importante Clase I y II | Sí |
| EUCC / sistema de ciberseguridad | Productos que poseen un certificado europeo de ciberseguridad de nivel de garantía ≥ Sustancial (Artículo 27(9)) | No se requiere evaluación adicional por terceros |
Nota: Los productos críticos siguen una ruta de evaluación de conformidad más estricta. Usa la guía de decisión de evaluación de conformidad para la lógica completa.
Usa este diagrama de flujo para identificar tu ruta:
flowchart TD
A["¿Cuál es la clase de tu producto?"] --> B["Por defecto\n(no Anexo III/IV)"]
A --> C["Importante Clase I\n(Anexo III)"]
A --> D["Importante Clase II\n(Anexo III)"]
A --> E["Crítico\n(Anexo IV)"]
B --> F["Módulo A, B+C o H\na tu elección"]
C --> G{"¿Normas, especificaciones o\nesquema aplicados por completo?"}
G -->|Sí| H["Módulo A disponible\no B+C / H"]
G -->|No| I["Módulo B+C o H\nOrganismo notificado requerido"]
D --> J["Módulo B+C, H o esquema de certificación\napplicable con nivel de garantía al menos sustancial"]
E --> K["Ruta de certificación si aplica Article 8(1)\nsi no, rutas de Article 32(3)"]
5. Normas aplicadas
Las normas armonizadas son normas publicadas en el Diario Oficial de la UE. Crean una presunción de conformidad para los requisitos que cubren. Incluye la referencia completa: número, año, título.
Formato:
EN 303 645:2020, Cyber Security for Consumer Internet of Things: Baseline Requirements
Si no existen normas armonizadas, indica: «No se aplicaron normas armonizadas. La conformidad se demostró mediante [describir el enfoque].»
Si se utilizó un certificado europeo de ciberseguridad durante la evaluación de conformidad, inclúyelo con el nombre del sistema y la referencia del certificado (esto cubre el campo de certificación de la declaración).
6. Información adicional específica del CRA
Esta sección no forma parte de la plantilla mínima, pero incluirla mejora la transparencia regulatoria:
- Período de soporte. Indica cuándo finalizan las actualizaciones de seguridad. Debe ser como mínimo 5 años desde la introducción en el mercado, o el período de uso previsto si fuera menor.
- Contacto para vulnerabilidades. Dónde deben enviarse los informes, incluyendo una referencia a tu archivo
security.txt.
Nota: La fecha de fin del período de soporte debe aparecer también en el punto de venta. Incluirla en la DoC es una buena práctica, pero no sustituye la comunicación en el punto de venta.
7. Firma
Cualquier persona autorizada para comprometer legalmente al fabricante puede firmar. Habitualmente es el CEO, un director, el responsable de calidad o el responsable de asuntos regulatorios. La DoC debe llevar el nombre completo y el cargo del firmante, lugar y fecha (la fecha debe ser posterior a la finalización de la evaluación) y bien una firma manuscrita, bien una firma electrónica cualificada.
¿Cuándo debe aplicarse el marcado CE en relación con la Declaración UE de conformidad?
Para los productos físicos, coloca el marcado CE de forma visible, legible e indeleble en el producto antes de comercializarlo.
Para los productos solo de software, el marcado CE se coloca bien directamente en la Declaración UE de conformidad, bien en el sitio web del producto, en una sección fácil y directamente accesible para los usuarios.
Nota: El marcado CE debe colocarse antes de la introducción del producto en el mercado, no después. Para los productos de software, asegúrate de que la DoC o la sección del sitio web esté activa antes de que comience cualquier distribución.
¿Debe traducirse la DoC?
Sí. La DoC debe ponerse a disposición en el idioma o idiomas requeridos por cada Estado miembro en el que se comercialice el producto.
En la práctica:
- Venta solo en Alemania → se requiere una DoC en alemán.
- Venta en toda la UE → necesitarás múltiples versiones lingüísticas.
- Conserva todas las versiones lingüísticas en el expediente técnico.
La DoC simplificada y la URL que apunta a la DoC completa también deben estar en el idioma o idiomas requeridos. La URL en sí debe permanecer estable y accesible.
¿Necesita cada modelo o versión de producto su propia Declaración UE de conformidad?
Una DoC por tipo de producto
Cada modelo o tipo de producto distinto necesita generalmente su propia DoC.
Una única DoC puede cubrir varias variantes cuando son variantes del mismo tipo, se aplica la misma evaluación de conformidad a todas ellas y se aplicaron las mismas normas.
Ejemplo:
Nombre del producto: SmartSense Pro Industrial Sensor
Modelo/Tipo: SSP-3000 (todas las variantes)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
¿Cuándo exige una modificación una nueva DoC?
Advertencia: Una modificación sustancial es cualquier cambio que afecte a la base de conformidad de ciberseguridad del producto o a su finalidad prevista. Exige una nueva DoC. Quien realiza la modificación sustancial pasa a ser el fabricante del producto modificado y debe emitir la nueva DoC.
| Escenario | ¿Nueva DoC requerida? |
|---|---|
| Nueva versión de hardware que afecta a las características de seguridad | Sí, modificación sustancial |
| Actualización de firmware que introduce nuevas interfaces o nuevos vectores de amenaza | Sí, perfil de riesgo de ciberseguridad alterado |
| Actualización de firmware que cambia el uso previsto del producto | Sí, modificación sustancial |
| Parche de seguridad (misma arquitectura, sin nuevo riesgo, reduce CVEs) | Caso a caso |
| Cambio en las normas armonizadas aplicadas o en el certificado de evaluación de conformidad | Sí |
| Cambio cosmético, únicamente de documentación o de localización | No |
| Un tercero modifica sustancialmente el producto y lo comercializa | Sí, el tercero emite la nueva DoC como nuevo fabricante |
Para las publicaciones iterativas de software que no sean modificaciones sustanciales, la DoC existente sigue siendo válida. Debes poder demostrarlo ante las autoridades de vigilancia del mercado, y la actualización de la evaluación de riesgos es la forma de hacerlo.
Distribución de la DoC
La DoC debe acompañar al producto. Puedes elegir entre:
- la DoC completa, o
- una DoC simplificada que lleve la dirección exacta de internet donde se publica la DoC completa.
Cualquiera de las dos formas también debe proporcionarse a petición de las autoridades de vigilancia del mercado, y debería estar disponible para los clientes a petición.
Declaración UE de conformidad simplificada
La forma simplificada consta de dos frases: la declaración del fabricante y una URL donde puede encontrarse el documento completo. Resulta especialmente útil para distribuciones de software, hardware con espacio de embalaje limitado y cualquier producto cuya DoC completa esté publicada en línea.
Por la presente, [nombre del fabricante] declara que el tipo de producto con elementos digitales [designación] es conforme con el Reglamento (UE) 2024/2847.
El texto completo de la declaración UE de conformidad está disponible en la siguiente dirección de internet: [URL]
Requisitos para la URL: estable (no la cambies una vez los productos hayan sido distribuidos), accesible sin registro ni inicio de sesión, y la página debe permitir descargar o imprimir la DoC. La DoC completa debe seguir existiendo en el expediente técnico y estar disponible para las autoridades a petición.
Errores comunes
| Error | Por qué importa | Solución |
|---|---|---|
| Elementos requeridos ausentes (p. ej., no se indica el módulo de evaluación de conformidad) | La DoC no es conforme | Usa la lista de verificación antes de firmar; comprueba cada punto del Anexo V |
| Entidad incorrecta firma (el importador o distribuidor firma en lugar del fabricante) | La DoC es legalmente inválida | Solo el fabricante (una persona autorizada para comprometerlo legalmente) puede firmar; un importador o distribuidor no puede hacerlo salvo que se haya convertido en fabricante |
| Referencias a normas desactualizadas (se listan normas retiradas o sustituidas) | Se pierde la presunción de conformidad | Revisa regularmente las normas aplicadas; actualiza la DoC cuando cambien las normas |
| Sin control de versiones (existen múltiples versiones de la DoC sin una versión actual clara) | Riesgo de auditoría y aplicación | Asigna números de declaración; archiva las versiones sustituidas |
| Firma antes de completar la evaluación (la DoC está fechada antes de que finalizaran las actividades de conformidad) | La DoC es anterior a la evidencia en la que se apoya | Completa todas las actividades de evaluación primero; la fecha de la DoC debe ser posterior a la evaluación |
| Idioma incorrecto (la DoC solo en inglés cuando se vende en un Estado miembro no anglófono) | No conforme para ese mercado | Traduce la DoC al idioma de cada Estado miembro requerido |
| Sin actualización tras una modificación sustancial (la DoC original sigue en uso tras un cambio material) | La DoC cubre una versión para la que nunca fue evaluada | Emite una nueva DoC siempre que se produzca una modificación sustancial |
Lista de verificación de preparación de la DoC
- Evaluación de conformidad completada
- Informes de pruebas disponibles
- Expediente técnico preparado
- Lista de normas finalizada
- Período de soporte determinado
- Requisitos de idioma confirmados para todos los Estados miembros de destino
- Número de declaración único asignado
- Nombre y dirección del fabricante correctos
- Producto totalmente identificado (modelo, versión, lote/serie)
- CRA referenciado correctamente: «Reglamento (UE) 2024/2847»
- Otra legislación aplicable listada (si la hay)
- Módulo de evaluación de conformidad indicado
- Datos del organismo notificado incluidos (si aplica)
- Todas las normas aplicadas listadas con referencias completas
- Fecha de fin del período de soporte incluida
- Información de contacto de seguridad incluida
- El firmante está autorizado para comprometer al fabricante
- Nombre completo y cargo/función indicados
- Lugar y fecha indicados (fecha posterior a la finalización de la evaluación)
- Firma presente (manuscrita o electrónica cualificada)
- Copia acompaña al producto (física o enlace digital)
- Copia en el expediente técnico
- Disponible para solicitudes de las autoridades
- Versiones rastreadas y archivadas
- Versiones lingüísticas preparadas para todos los Estados miembros de destino
- Marcado CE aplicado antes de la distribución
Variaciones de plantilla de DoC
Para Módulo A (autoevaluación)
Módulo A. Internal Production Control. Basado en el Anexo VIII.
El fabricante ha verificado que el producto cumple los requisitos esenciales mediante evaluación interna documentada en el expediente técnico.
Para Módulo B+C (terceros)
Módulo B + C. Examen de tipo UE + Conformidad con el tipo. Basado en el Anexo VIII.
| Organismo notificado | TÜV Rheinland LGA Products GmbH |
|---|---|
| N.º de organismo notificado | 0197 |
| Certificado | EU-TYPE-2027-12345 |
| Fecha | 15 de enero de 2027 |
El fabricante asegura la conformidad de la producción con el tipo certificado (Módulo C) mediante controles internos de producción.
Para múltiples reglamentos
Se permite una única DoC combinada cuando un producto está sujeto tanto al CRA como a otra legislación de la UE:
El objeto de la declaración descrito anteriormente es conforme con la legislación de armonización de la Unión pertinente:
- Reglamento (UE) 2024/2847 (Reglamento de Ciberresiliencia)
- Directiva 2014/53/UE (Directiva de Equipos de Radio). Organismo notificado: [Nombre], N.º [XXXX], Certificado: [Número]
- Directiva 2014/35/UE (Directiva de Baja Tensión)
Requisitos de retención
| Qué conservar | Período de retención | Dónde |
|---|---|---|
| DoC firmada (o copia autenticada) | 10 años desde la introducción en el mercado, o el período de soporte si fuera más largo | Expediente técnico; accesible a las autoridades a petición |
| Historial de versiones y DoCs sustituidas | Junto a la DoC actual | Expediente técnico |
| Documentación de respaldo referenciada en la DoC | Junto a la DoC | Expediente técnico |
Preguntas frecuentes
¿Una sola Declaración UE de conformidad puede cubrir productos vendidos en todos los Estados miembros de la UE?
Sí. El mismo documento de DoC puede cubrir toda la UE, pero debe traducirse al idioma o idiomas requeridos por cada Estado miembro en el que se comercialice el producto. El contenido principal es idéntico; solo cambia la versión lingüística. Conserva todas las traducciones en el expediente técnico.
¿La Declaración UE de conformidad del CRA debe notarizarse o certificarse oficialmente?
No. La DoC la firma el fabricante. Una firma manuscrita o una firma electrónica cualificada es suficiente. No se requiere notarización, apostilla ni certificación de terceros del propio documento, salvo que un Estado miembro concreto lo exija a efectos de vigilancia del mercado.
¿Qué ocurre si la vigilancia del mercado encuentra que la DoC es incompleta o inexacta?
La exposición sancionadora depende del incumplimiento. Una afirmación falsa de que se ha demostrado la conformidad del producto puede alcanzar el tramo más alto de multas del CRA. Los defectos autónomos de DoC, marcado CE, evaluación de conformidad o documentación quedan en el tramo siguiente; la información incorrecta o engañosa facilitada a autoridades tiene su propio tramo inferior.
¿Puede un producto de software utilizar la DoC simplificada en lugar del documento completo?
Sí. Los fabricantes pueden incluir junto al producto la Declaración UE de conformidad simplificada, siempre que el documento completo sea de acceso público en una URL estable. La forma simplificada consta de dos frases: la declaración de conformidad del fabricante y la URL. El documento completo debe seguir existiendo y estar disponible para las autoridades a petición.
¿Cuánto tiempo debe conservarse la Declaración UE de conformidad del CRA?
Al menos 10 años después de la introducción del producto en el mercado, o durante la duración del período de soporte, lo que sea más largo. Para un producto con un período de soporte de 15 años, la DoC y el expediente técnico deben conservarse durante 15 años.
¿Quién está autorizado a firmar la Declaración UE de conformidad del CRA?
Firma el fabricante: una persona autorizada para comprometerlo legalmente. El representante autorizado no firma la declaración; en virtud del artículo 28, el acto de declarar la conformidad recae en el fabricante, aunque el representante autorizado puede figurar en la DoC y conservarla para las autoridades. Un importador o distribuidor no puede firmar salvo que se haya convertido en fabricante por marca propia o por una modificación sustancial.