A partir del 11 de diciembre de 2027, el artículo 20 del Reglamento Europeo de Ciberresiliencia (Reglamento (UE) 2024/2847) hace al distribuidor responsable de una comprobación de presencia sobre cada producto con elementos digitales antes de su puesta a disposición en el mercado de la Unión: marcado CE, identificación del fabricante e información del anexo II, identificación del importador, fecha del período de soporte y DoC. Esta página recorre el artículo 20 en su totalidad, la frontera de rol frente al importador del artículo 3(16) y al fabricante del artículo 3(13), y el tramo intermedio de sanciones.
Resumen
- Usted es distribuidor solo si no toca el producto. Cualquiera que comercialice un producto con marcado CE en el mercado de la UE después del importador entra en la categoría, siempre que el producto llegue al siguiente eslabón sin alterar. Si lo cambia de marca, lo reembala de modo que cambie su finalidad, preinstala su propio software o modifica su configuración de seguridad, pasa a ser fabricante (artículo 3(17)).
- Realice una comprobación de presencia en cada envío. Antes de poner a disposición una unidad, confirme que el marcado CE figura en el producto, que la identificación del fabricante y las instrucciones del anexo II lo acompañan, que la fecha de fin del período de soporte muestra el mes y el año, que la DoC es accesible y que los datos de contacto del importador están visibles (artículo 20(2)).
- Detenga la línea si falta algo. Si la comprobación falla, o si tiene cualquier razón para creer que el producto o los procesos del fabricante no cumplen con el anexo I, no ponga el producto a disposición. Ante un riesgo significativo de ciberseguridad, alerte al fabricante y a las autoridades de vigilancia del mercado sin demora indebida (artículo 20(3)).
- Manténgase atento tras la venta. Persiga las medidas correctoras o las retiradas cuando algo falle, y traslade al fabricante cualquier vulnerabilidad de la que tenga conocimiento sin demora indebida. Ante un riesgo significativo, notifique a las autoridades de vigilancia del mercado de cada Estado miembro al que envíe (artículo 20(4)).
- Esté preparado para producir documentación. Una autoridad de vigilancia del mercado puede solicitar, de forma motivada, los documentos necesarios para demostrar la conformidad, en una lengua que comprenda fácilmente. Mantenga recuperables la referencia de la DoC, el anexo II en la lengua de suministro y los contactos de la cadena de suministro (artículo 20(5)).
- Cubra el peor escenario. Si el fabricante cesa su actividad, informe a las autoridades y a los usuarios por todos los medios disponibles (artículo 20(6)).
- Tramo de sanciones. Las infracciones del distribuidor se sitúan en el segundo tramo de multas, hasta 10.000.000 EUR o el 2% de la facturación anual mundial total, el importe que sea mayor (artículo 64(3)).
El artículo 20 en cuatro cifras: seis apartados de deberes, siete elementos a comprobar antes de la puesta a disposición en el mercado, la multa del segundo tramo y la fecha en la que todo arranca.
¿Quién es distribuidor en la Ley de Ciberresiliencia?
El artículo 3(17) define al distribuidor de forma literal:
"Distribuidor" es toda persona física o jurídica de la cadena de suministro, distinta del fabricante o del importador, que comercializa un producto con elementos digitales en el mercado de la Unión sin afectar a sus propiedades.
Usted es distribuidor a efectos de la Ley de Ciberresiliencia si concurren los tres elementos siguientes:
| Elemento | Prueba |
|---|---|
| En la cadena de suministro | Toma posesión o control comercial del producto a medida que avanza desde el importador u otro distribuidor hacia el usuario final |
| Distinto del fabricante o del importador | El producto no lleva su nombre o marca (en otro caso el artículo 3(13) le alcanza como fabricante) y usted no es la primera entidad de la UE que lo introduce en el mercado de la Unión (en otro caso el artículo 3(16) le alcanza como importador) |
| Sin afectar a sus propiedades | No modifica el producto, su software, su embalaje en lo que cambie su finalidad prevista, ni su configuración de seguridad |
Si falla cualquiera de los tres elementos, no es distribuidor. Si el producto lleva su propio nombre o marca, usted es el fabricante conforme al artículo 3(13). Si es la primera entidad de la UE que introduce en el mercado de la Unión un producto con marca extracomunitaria, usted es el importador conforme al artículo 3(16). Si modifica sustancialmente el producto tras su introducción en el mercado, no le ampara el artículo 22 (que excluye a los distribuidores), pero la modificación puede atraerle al artículo 3(13) cuando comercialice la versión modificada con su propio nombre. Para la matriz completa de clasificación de roles, consulte quién debe cumplir con la Ley de Ciberresiliencia.
Artículo 20 de un vistazo
| Apartado | Deber | Punto clave |
|---|---|---|
| 20(1) | Diligencia debida | El estándar general. Se aplica a cada acto de puesta a disposición, antes y después de la introducción en el mercado. |
| 20(2) | Verificación previa al mercado | Confirmar que el marcado CE está presente, que el fabricante cumple los apartados 13(15), (16), (18), (19) y (20), que el importador cumple el artículo 19(4) y que se han facilitado los documentos necesarios. |
| 20(3) | Rechazo + información | Si se sospecha la no conformidad con el anexo I, no poner a disposición. Ante un riesgo significativo de ciberseguridad, informar al fabricante y a las autoridades de vigilancia del mercado sin demora indebida. |
| 20(4) | Medidas correctoras + conocimiento de vulnerabilidades | Asegurar las medidas correctoras, retirar o recuperar cuando proceda. Informar al fabricante de las vulnerabilidades sin demora indebida. Ante un riesgo significativo de ciberseguridad, informar inmediatamente a las autoridades de vigilancia del mercado de cada Estado miembro de suministro. |
| 20(5) | Cooperación con la vigilancia del mercado | A petición motivada, facilitar toda la información y la documentación necesarias para demostrar la conformidad, en una lengua que la autoridad pueda comprender fácilmente. |
| 20(6) | Cese de actividad del fabricante | Informar a las autoridades de vigilancia del mercado sin demora indebida e informar a los usuarios por todos los medios disponibles. |
Distribuidor frente a importador
El criterio jurídico determinante es qué parte introduce por primera vez el producto en el mercado de la Unión.
| Aspecto | Distribuidor (artículo 20) | Importador (artículo 19) |
|---|---|---|
| Posición | Cualquiera de la cadena de suministro después del importador, distinto del fabricante | Primera entidad de la UE que introduce en el mercado de la Unión un producto con marca extracomunitaria |
| Verificación | Basada en presencia: CE, fabricante 13(15), (16), (18), (19), (20), importador 19(4), documentos facilitados | Sustantiva: artículo 19(2) (a) a (d) completo, incluyendo evaluación de la conformidad realizada y documentación técnica elaborada |
| Supuesto de rechazo | Artículo 20(3): no conformidad con el anexo I | Artículo 19(3): el mismo más el fallo de cualquier comprobación del 19(2) |
| Conocimiento de vulnerabilidades | Artículo 20(4): informar al fabricante; ante riesgo significativo informar a las autoridades de vigilancia del mercado en cada Estado miembro de suministro | Artículo 19(5): mismo alcance |
| Documentación | Sin retención plurianual específica; cooperar a petición motivada (20(5)) | Conservación de la DoC durante 10 años o el período de soporte, lo que sea mayor (artículo 19(6)) |
| Tramo de sanción | 10.000.000 EUR o 2% (artículo 64(3)) | 10.000.000 EUR o 2% (artículo 64(3)) |
Para el detalle del lado del importador en la misma frontera, consulte importador frente a distribuidor en la página del importador. La evaluación de la conformidad, la DoC y el expediente técnico del anexo VII son responsabilidad del fabricante; el distribuidor verifica los artefactos visibles (marcado CE, referencia de la DoC, acompañamiento del anexo II) y coopera en la producción de documentos en lugar de custodiar el expediente.
Comprobaciones de verificación previas al mercado (artículo 20(2))
El artículo 20(2) pide al distribuidor que verifique que la identificación del fabricante, las instrucciones y la DoC están presentes, no que vuelva a ejecutar la evaluación de la conformidad. El conjunto de comprobaciones más ligero se compensa con un supuesto de rechazo más afilado: en virtud del artículo 20(3), cualquier razón para creer que el producto o los procesos del fabricante no cumplen con el anexo I detiene la puesta a disposición en el mercado hasta que se restablezca la conformidad.
El artículo 20(2) fija una lista de comprobación basada en presencia. Ejecútela antes de que cualquier unidad se ponga a disposición.
Marcado CE (artículo 30, vía artículo 20(2))
El marcado CE es la declaración del fabricante de que el producto cumple con el anexo I. El distribuidor confirma que figura colocado de forma visible, legible e indeleble sobre el producto o su placa de datos. Cuando el tamaño o la naturaleza no lo permitan, en el embalaje y en los documentos de acompañamiento. Cuando un organismo notificado haya intervenido, su número de identificación de cuatro dígitos debe seguir al marcado CE. El marcado CE solo en el embalaje exterior cuando el producto puede llevarlo es no conforme. Consulte la guía del clúster de evaluación de la conformidad para saber qué representa el marcado CE bajo cada módulo del artículo 32.
Identificación e información del fabricante (artículo 13(15), (16), (18), (19), (20))
Cinco deberes diferenciados del fabricante referenciados desde el artículo 20(2)(b):
| Cita | Deber | Comprobación del distribuidor |
|---|---|---|
| 13(15) | Número de tipo, lote o serie para la identificación del producto | Confirmar el elemento sobre el producto, o sobre el embalaje o documento de acompañamiento si el producto no puede llevarlo |
| 13(16) | Nombre del fabricante, nombre comercial o marca, dirección postal, contacto digital, también reproducidos en el anexo II | Confirmar sobre el producto, embalaje o documento de acompañamiento |
| 13(18) | La información e instrucciones del anexo II acompañan al producto, en una lengua fácilmente comprensible para los usuarios y la vigilancia del mercado | Confirmar que un conjunto documental del anexo II está presente, en la lengua o lenguas del Estado miembro de suministro |
| 13(19) | Fecha de fin del período de soporte especificada en el momento de la compra, indicando al menos el mes y el año | Confirmar que mes + año son visibles en el punto de venta |
| 13(20) | DoC completa que acompaña al producto, o DoC simplificada que contiene la dirección de internet exacta de la DoC completa | Confirmar que la referencia de la DoC está presente y se puede resolver |
Un producto sin un conjunto documental del anexo II en la lengua del Estado miembro, o sin una fecha de fin del período de soporte con mes y año, falla el artículo 20(2) y activa el artículo 20(3).
Identificación del importador (artículo 19(4), vía artículo 20(2))
El artículo 19(4) exige al importador indicar su nombre, nombre comercial registrado o marca registrada, dirección postal, correo electrónico y cualquier otro contacto digital, sobre el producto, sobre su embalaje o en un documento que acompañe al producto. El distribuidor confirma que la identificación del importador está presente. Una identificación del importador ausente o retirada falla el artículo 20(2) sobre la base del artículo 19(4).
Documentos necesarios facilitados (artículo 20(2))
El artículo 20(2)(b) cierra con un requisito general: el fabricante y el importador han facilitado al distribuidor "todos los documentos necesarios". En la práctica, este es el conjunto documental que el distribuidor necesita para satisfacer su propio deber de cooperación del artículo 20(5): una copia o referencia de la DoC, la información e instrucciones del anexo II en la lengua del Estado miembro de suministro y los puntos de contacto de la cadena de suministro (punto único de contacto del fabricante conforme al artículo 13(17), contacto postal y digital del importador conforme al artículo 19(4)). Un distribuidor que no pueda producir estos elementos a petición motivada de la vigilancia del mercado infringe el artículo 20(5), aunque el producto subyacente sea conforme.
Cuando la verificación falla
El artículo 20(3) crea un deber de detener e informar.
- Detener. No ponga el producto a disposición en el mercado de la Unión hasta que se restablezca la conformidad. El almacenamiento y la devolución al proveedor siguen siendo posibles; la venta a los usuarios finales no.
- Documentar. Registre qué elemento del artículo 20(2) ha fallado, si afecta al producto o a los procesos del fabricante, la fecha y el firmante.
- Notificar aguas arriba por escrito. Informe al fabricante (y al importador cuando proceda) de la laguna y de la documentación requerida.
- Evaluar el riesgo de ciberseguridad. Riesgo significativo de ciberseguridad: informar a las autoridades de vigilancia del mercado conforme al artículo 20(3), sin demora indebida. No significativo: continuar la resolución aguas arriba.
- Resolver o rechazar. Ponga el producto a disposición solo cuando todos los elementos del artículo 20(2) pasen. En caso contrario, devuelva al proveedor.
Deberes post-mercado (artículo 20(4))
El artículo 20(4) cubre dos deberes que rigen durante todo el período en que el producto se está poniendo a disposición.
El deber de medidas correctoras: cuando el distribuidor sepa o tenga razones para creer, sobre la base de la información que obre en su poder, que el producto o los procesos del fabricante no son conformes, el distribuidor se asegura de que se adopten las medidas correctoras necesarias para restablecer la conformidad, o de retirar o recuperar el producto si procede. "Asegurarse" no traslada la solución técnica al distribuidor; le exige escalar, hacer seguimiento y detener la puesta a disposición posterior hasta que el fabricante haya actuado.
El deber de conocimiento de vulnerabilidades: al tener conocimiento de una vulnerabilidad en el producto, el distribuidor informa al fabricante sin demora indebida. Cuando el producto presente un riesgo significativo de ciberseguridad, el distribuidor informa inmediatamente a las autoridades de vigilancia del mercado de cada Estado miembro de suministro, con detalles de la no conformidad y de cualquier medida correctora adoptada. El desencadenante es el conocimiento de la vulnerabilidad, no el conocimiento de un incidente notificable conforme al artículo 14; el fabricante ejecuta por separado la notificación del artículo 14 a través del flujo de notificación de vulnerabilidades.
Cooperación, documentos y cese del fabricante
El artículo 20(5) exige al distribuidor, a petición motivada de una autoridad de vigilancia del mercado, facilitar toda la información y la documentación, en papel o en formato electrónico, necesarias para demostrar la conformidad del producto y de los procesos del fabricante, en una lengua que la autoridad pueda comprender fácilmente. El distribuidor coopera con la autoridad en cualquier medida adoptada para eliminar los riesgos de ciberseguridad que presente el producto.
No existe en el artículo 20 una regla específica de retención documental plurianual análoga a la regla de diez años o período de soporte del artículo 19(6) para importadores. El umbral práctico es el conjunto documental enumerado en "Documentos necesarios facilitados" arriba: conservado mientras el distribuidor está poniendo el producto a disposición, recuperable ante cualquier petición motivada durante ese período, más una cola razonable que cubra consultas post-mercado de las autoridades.
El artículo 20(6) aborda un fallo específico: el fabricante cesa su actividad. Al tener conocimiento del cese, el distribuidor informa a las autoridades de vigilancia del mercado pertinentes sin demora indebida e informa a los usuarios de los productos que ha introducido en el mercado por todos los medios disponibles y en la medida de lo posible. El artículo 19(8) impone el mismo deber al importador; en la práctica, las notificaciones del distribuidor y del importador corren en paralelo.
Errores comunes
| Afirmación | Por qué falla |
|---|---|
| "Nuestro proveedor está en la UE, así que no somos el importador; eso nos hace distribuidores por defecto." | La condición de distribuidor conforme al artículo 3(17) exige también que no afecte a las propiedades del producto. Reembalar, cambiar la marca, preinstalar software o cambiar la configuración pueden devolverle al artículo 3(13) o sacarle por completo de la categoría de distribuidor. |
| "No tenemos que comprobar nada; el importador ya lo hizo conforme al artículo 19." | El artículo 20(2) es una comprobación separada, basada en presencia, a nivel de distribuidor. CE presente, cumplimiento del artículo 13(15), (16), (18), (19), (20) y del artículo 19(4), y documentos necesarios facilitados. El trabajo del importador del artículo 19 no exime el trabajo del artículo 20 del distribuidor. |
| "Anexo II en inglés basta para toda la UE." | El artículo 13(18) exige el anexo II en una lengua fácilmente comprensible para los usuarios y la vigilancia del mercado del Estado miembro de que se trate. El distribuidor que pone el producto a disposición en un Estado miembro cuyas autoridades y usuarios no trabajan en inglés falla el artículo 20(2). |
| "Solo trasladamos los avisos de vulnerabilidad mensualmente con nuestras demás actualizaciones comerciales." | Artículo 20(4) párrafo segundo: informar al fabricante "sin demora indebida" al tener conocimiento de una vulnerabilidad e "inmediatamente" a la vigilancia del mercado ante riesgos significativos de ciberseguridad. La agrupación mensual infringe ambos estándares. |
| "La notificación del artículo 14 es trabajo del fabricante, así que ignoramos las vulnerabilidades." | La vía a ENISA del artículo 14 es del fabricante, pero el deber del artículo 20(4) de informar al fabricante y el deber de informar a las autoridades de vigilancia del mercado ante riesgo significativo son del distribuidor. El silencio infringe el artículo 20(4). |
| "Podemos seguir vendiendo unidades ya en nuestro almacén tras detectar una laguna lingüística del anexo II; solo paran los nuevos envíos." | El artículo 20(3) detiene la puesta a disposición posterior del producto no conforme, con independencia de dónde se sitúen físicamente las unidades. El stock existente se retiene, no se liquida. |
| "Retirar la etiqueta de contacto del importador mantiene en privado a nuestros socios de canal." | El artículo 19(4) exige la identificación del importador sobre el producto, el embalaje o el documento de acompañamiento. Retirarla hace al producto no conforme conforme al artículo 20(2). |
| "No necesitamos conservar documentos; solo somos un revendedor." | El artículo 20(5) exige al distribuidor facilitar el conjunto documental a petición motivada, en la lengua de la autoridad. Un distribuidor que no pueda producir la referencia de la DoC, el anexo II o los puntos de contacto de la cadena de suministro infringe la norma incluso cuando el producto sea conforme. |
Preguntas frecuentes
¿Qué es un distribuidor en la Ley de Ciberresiliencia?
Un eslabón de la cadena de suministro de la UE que entrega el producto sin alterarlo. El rol se define por la posición (después del importador, antes del usuario final) y por la neutralidad respecto al producto (sin cambio de marca, sin cambios de software, sin configuraciones que cambien la finalidad prevista). Los revendedores, los distribuidores de valor añadido que solo agrupan y los socios de canal que solo envían y facturan encajan en la definición, siempre que dejen el producto tal y como el fabricante lo introdujo en el mercado (artículo 3(17); la regla de «vuelta a fabricante» en el artículo 3(13) abarca a quien realiza cambio de marca o altera el producto).
¿Soy distribuidor o importador?
La línea es la primera introducción en el mercado. Eres importador si eres la primera entidad de la UE que introduce en el mercado de la Unión un producto con marca extracomunitaria. Eres distribuidor si comercializas el producto en el mercado después del importador, sin afectar a sus propiedades. Si compras un producto extracomunitario a otra empresa de la UE que ya lo importó, esa otra empresa es el importador y tú eres el distribuidor. Si compras directamente al fabricante extracomunitario e introduces el producto en el mercado de la UE, eres el importador, con el conjunto de verificación más pesado y el deber de retención de 10 años (artículos 3(16) y 3(17); obligaciones del importador en el artículo 19; obligaciones del distribuidor en el artículo 20).
¿Soy distribuidor o fabricante?
Tocas el producto y te conviertes en fabricante. El cambio de marca blanca te hace fabricante independientemente de dónde se construyera el producto. Preinstalar tu propio software, cambiar la configuración de seguridad antes de la reventa, reembalar de un modo que cambie la finalidad prevista o modificar el firmware rompen la condición de "sin afectar a sus propiedades". Una vez que esa condición falla, el análisis ya no es el de la distribución; es el de la clasificación como fabricante, o para modificadores externos fuera de la cadena fabricante/importador/distribuidor, la vía del modificador sustancial (artículo 3(17) exige "sin afectar a sus propiedades"; artículo 3(13) abarca a quien realiza cambio de marca o modifica; artículo 22 excluye a los distribuidores).
¿Qué tiene exactamente que verificar el distribuidor antes de poner un producto a disposición?
Dos comprobaciones: marcado CE presente, y la documentación previa presente. El fabricante debe haber cumplido la identificación del producto, la identificación del fabricante, la información e instrucciones del anexo II en una lengua del Estado miembro, la fecha de fin del período de soporte con mes y año, y la entrega de la DoC. El importador debe haber cumplido su deber de identificación. Los documentos necesarios deben haberse facilitado. La comprobación se basa en la presencia, no es una nueva ejecución de la evaluación de la conformidad (artículo 20(2)(a) para el CE; artículo 20(2)(b) para el cumplimiento del fabricante del 13(15), (16), (18), (19), (20), y del importador del 19(4); el fallo de cualquier elemento activa el artículo 20(3)).
¿Tiene el distribuidor que conservar la Declaración UE de Conformidad durante 10 años?
No. El deber de retención de la DoC durante 10 años o el período de soporte recae sobre el importador, no sobre el distribuidor. El deber documental del distribuidor es facilitar, a petición motivada de una autoridad de vigilancia del mercado, la información y la documentación necesarias para demostrar la conformidad, en una lengua que la autoridad pueda comprender fácilmente. El umbral práctico es el conjunto documental que el distribuidor utiliza para su propia comprobación de entrada (referencia de la DoC, anexo II en la lengua del Estado miembro de suministro, puntos de contacto del fabricante y del importador), conservado mientras el producto se está poniendo a disposición y durante una cola razonable posterior que cubra consultas de las autoridades (retención en el importador en el artículo 19(6); el deber documental del distribuidor en el artículo 20(5)).
¿Qué hace el distribuidor cuando tiene conocimiento de una vulnerabilidad en un producto que ha enviado?
Avisar al fabricante de inmediato, y avisar a vigilancia del mercado si el riesgo es significativo. El primer deber es la notificación aguas arriba sin demora indebida. El segundo es la notificación paralela a las autoridades de vigilancia del mercado de cada Estado miembro de suministro, con detalles de la no conformidad y de cualquier medida correctora adoptada. La vía de notificación a ENISA del artículo 14 sigue siendo del fabricante, no del distribuidor (artículo 20(4); la notificación a ENISA del artículo 14 es deber del fabricante).
¿Existen exenciones para pymes para los distribuidores?
Las obligaciones sustantivas del artículo 20 se aplican con independencia del tamaño. La única concesión específica de la Ley de Ciberresiliencia en materia de multas administrativas para pymes es para fabricantes y administradores de software de código abierto; los distribuidores no están en el ámbito de esa excepción. Las autoridades deben tener debidamente en cuenta el tamaño del infractor (incluidas pymes y empresas emergentes) al fijar el importe de las multas en cada caso; eso es un factor de graduación en todo el régimen, no una exención de obligaciones (artículo 20 se aplica a todos los tamaños; la salvedad del artículo 64(10) es para fabricantes y administradores OSS, no para distribuidores; factor de calibración en artículo 64(5)(c)).
¿Cuándo se aplican las obligaciones del distribuidor en la Ley de Ciberresiliencia?
El artículo 20 se aplica en su totalidad desde el 11 de diciembre de 2027. A diferencia de los fabricantes, los distribuidores no tienen un plazo previo separado; la notificación del artículo 14 es deber del fabricante, no del distribuidor. Los deberes de conocimiento de vulnerabilidades e información a las autoridades de vigilancia del mercado ante riesgo significativo arrancan con el resto del artículo 20. Para esa fecha, los distribuidores que comercialicen productos en el mercado de la Unión necesitan tener operativos una comprobación de entrada, un flujo de rechazo, un flujo de conocimiento de vulnerabilidades y una capacidad de producción documental (artículo 71 de aplicabilidad; la notificación del artículo 14 es vía del fabricante, no del distribuidor; las obligaciones del artículo 20(2)/(3)/(4)/(5) arrancan el 11 de diciembre de 2027).