Si su empresa revende o suministra un producto con elementos digitales en el mercado de la UE después del fabricante o el importador y no modifica el producto, la Ley de Ciberresiliencia normalmente la considera distribuidora. Los distribuidores no repiten la evaluación de la conformidad, pero antes de poner el producto a disposición deben comprobar que los artefactos visibles de cumplimiento están presentes, detener la venta cuando falte algo o aparezca una no conformidad, trasladar la información de vulnerabilidades al fabricante, cooperar con la vigilancia del mercado y avisar a autoridades y usuarios cuando el fabricante cese su actividad.
Resumen
- ¿Es usted el distribuidor? Normalmente sí cuando pone el producto a disposición después del importador u otro distribuidor y no afecta a sus propiedades.
- ¿Qué debe comprobarse antes de la venta o el suministro? Marcado CE, identificador del producto, datos del fabricante, información de usuario, fecha de fin del período de soporte, acceso a la declaración UE de conformidad, identificación del importador y los documentos necesarios.
- ¿Cuándo debe detenerse? No ponga el producto a disposición si el producto o los procesos del fabricante no parecen conformes. Informe al fabricante y a la vigilancia del mercado cuando exista un riesgo significativo de ciberseguridad.
- ¿Qué continúa después de la venta? Seguimiento de medidas correctoras, retirada o recuperación cuando proceda, información de vulnerabilidades al fabricante y aviso a la vigilancia del mercado ante riesgo significativo.
- ¿Qué documentos deben estar listos? El distribuidor debe poder facilitar la información y documentación de conformidad ante una petición motivada; no existe una regla propia de conservación de la declaración UE de conformidad durante 10 años para distribuidores.
- ¿Cuándo se aplican las obligaciones? Las obligaciones principales del distribuidor se aplican desde el 11 de diciembre de 2027.
Cumplimiento del distribuidor en cuatro cifras: seis bloques de deberes, siete comprobaciones antes del suministro, la multa del segundo tramo y la fecha de inicio.
Quién es distribuidor según el CRA
En términos prácticos, el distribuidor CRA es el actor de la cadena de suministro que pone a disposición en el mercado de la Unión un producto con elementos digitales después del fabricante, importador u otro distribuidor, sin alterar las propiedades del producto. La prueba tiene tres partes: está en la cadena de suministro, no es fabricante ni importador y pone el producto a disposición sin cambios.
Si usted es la primera entidad de la UE que introduce en el mercado de la Unión un producto con marca no comunitaria, es el importador. Si comercializa el producto bajo su propio nombre o marca, o modifica sustancialmente un producto ya introducido en el mercado, le corresponden las obligaciones de fabricante a través del puente de cambio de marca. Para el conjunto completo de obligaciones del fabricante que entonces se aplica, consulte la guía del cluster del fabricante. Una regla aparte cubre a otros terceros que no son fabricante, importador ni distribuidor. Para la matriz completa de clasificación de roles, consulte quién debe cumplir el CRA.
Deberes principales del distribuidor
| Deber | Punto clave | Fuente |
|---|---|---|
| Diligencia debida | El estándar general. Se aplica a cada acto de puesta a disposición, antes y después de la introducción en el mercado. | Artículo 20, apartado 1 |
| Verificación previa al mercado | Confirmar la presencia del marcado CE, el cumplimiento por el fabricante de los deberes de información del producto, la identificación del importador y la entrega de los documentos necesarios. | Artículo 20, apartado 2 |
| Rechazo e información | Si se sospecha no conformidad con the essential cybersecurity requirements, no ponga el producto a disposición. Ante un riesgo significativo de ciberseguridad, informe al fabricante y a las autoridades de vigilancia del mercado sin demora indebida. | Artículo 20, apartado 3 |
| Medidas correctoras y vigilancia de vulnerabilidades | Asegurar las medidas correctoras, retirar o recuperar cuando proceda. Informar al fabricante de las vulnerabilidades sin demora indebida. Ante un riesgo significativo de ciberseguridad, informar inmediatamente a las autoridades de vigilancia del mercado de cada Estado miembro de suministro. | Artículo 20, apartado 4 |
| Cooperación con la vigilancia del mercado | A petición motivada, facilitar toda la información y documentación necesaria para demostrar la conformidad, en una lengua que la autoridad pueda comprender fácilmente. | Artículo 20, apartado 5 |
| Cese de actividad del fabricante | Informar sin demora indebida a las autoridades de vigilancia del mercado e informar a los usuarios por todos los medios disponibles. | Artículo 20, apartado 6 |
Distribuidor frente a importador
El criterio jurídico es qué parte introduce por primera vez el producto en el mercado de la Unión.
| Aspecto | Distribuidor | Importador |
|---|---|---|
| Posición | Cualquiera de la cadena de suministro después del importador, distinto del fabricante | Primera entidad de la UE que introduce en el mercado de la Unión un producto con marca no comunitaria |
| Verificación | Basada en presencia: CE, deberes de información del producto del fabricante, identificación del importador y documentos necesarios | Sustantiva: comprobación previa completa del importador, incluida la evaluación de conformidad realizada y la documentación técnica elaborada |
| Supuesto de rechazo | No conformidad con the essential cybersecurity requirements | Lo mismo, más el fallo de cualquier comprobación previa al mercado |
| Vigilancia de vulnerabilidades | Informar al fabricante; ante riesgo significativo, informar a las autoridades de vigilancia del mercado en cada Estado miembro de suministro | Mismo alcance |
| Documentación | Sin conservación plurianual específica; cooperar a petición motivada | Conservación de la declaración UE de conformidad durante 10 años o el período de soporte, lo que sea mayor |
| Tramo de sanción | 10.000.000 EUR o 2% | 10.000.000 EUR o 2% (mismo tramo) |
Para el detalle del lado del importador en la misma frontera, consulte importador frente a distribuidor en la página del importador. La evaluación de conformidad, la declaración UE de conformidad y el expediente técnico son responsabilidad del fabricante; el distribuidor verifica los artefactos visibles: marcado CE, referencia de la declaración, información de usuario y capacidad de producir documentos.
Qué deben comprobar los distribuidores antes del suministro
Su trabajo no es repetir la evaluación de la conformidad. Su trabajo es confirmar que los artefactos visibles de cumplimiento están presentes y detener el suministro si algo falta, ha sido retirado, está obsoleto o le da motivos para dudar de la conformidad.
Ejecute esta lista antes de poner cualquier unidad a disposición en el mercado de la UE.
- El CE es visible, legible e indeleble en el producto o en la placa de datos.
- El CE solo en el embalaje únicamente se usa cuando marcar el producto no sea posible.
- El número del organismo notificado figura tras el marcado CE cuando haya intervenido uno.
El CE es la declaración de conformidad del fabricante. Consulte la guía de evaluación de la conformidad.
- El tipo, lote, número de serie u otro identificador del producto está presente.
- El identificador figura en el producto, embalaje o documento acompañante cuando proceda.
- El identificador coincide con el envío, SKU o lote que se está suministrando.
Sin un identificador trazable, la recuperación y las medidas correctoras se vuelven imposibles.
- El nombre, nombre comercial o marca del fabricante está presente.
- La dirección postal y el contacto digital están presentes.
- Los datos también aparecen en la información de usuario cuando se requiere.
Úselos para escalar preguntas, defectos e información de vulnerabilidades aguas arriba.
- La información e instrucciones de usuario acompañan al producto.
- La lengua es adecuada para usuarios y vigilancia del mercado del Estado miembro de suministro.
- Se incluyen los detalles de configuración segura, soporte y notificación de vulnerabilidades.
Las instrucciones solo en inglés no bastan para todos los mercados de la UE.
- La fecha de fin del período de soporte se muestra antes de la compra.
- La fecha incluye al menos mes y año.
- La declaración UE de conformidad completa se incluye, o la declaración UE de conformidad simplificada indica la URL exacta de la versión completa.
Una fecha sin mes y año o una declaración UE de conformidad inaccesible bloquea el suministro.
- Nombre, dirección postal y contacto digital del importador de la UE figuran cuando existe importador.
- La identificación del importador no se ha retirado ni ocultado.
- La referencia a la declaración UE de conformidad, la información de usuario y los contactos de la cadena de suministro pueden facilitarse a las autoridades.
Las autoridades esperan este conjunto a la primera petición; cualquier elemento que falte dispara el flujo de rechazo.
El suministro se detiene hasta cerrar la brecha. Un producto sin información de usuario en el idioma local, sin identificación del importador cuando se requiera, sin declaración UE de conformidad accesible o sin fecha de fin de soporte con mes y año no debe ponerse a disposición.
Cuando la verificación falla
Una comprobación fallida del distribuidor significa que el producto permanece fuera del mercado hasta que se restablezca la conformidad. Si el problema crea un riesgo significativo de ciberseguridad, el distribuidor debe informar al fabricante y a la vigilancia del mercado sin demora indebida.
- Detenga. No ponga el producto a disposición en el mercado de la Unión hasta que se restablezca la conformidad. El almacenamiento y la devolución al proveedor siguen siendo posibles; la venta a usuarios finales no.
- Documente. Registre qué elemento de la lista falló, si afecta al producto o a los procesos del fabricante, la fecha y el firmante.
- Notifique aguas arriba por escrito. Informe al fabricante (y al importador cuando proceda) de la brecha y de la documentación requerida.
- Evalúe el riesgo de ciberseguridad. El riesgo significativo va a la vigilancia del mercado sin demora indebida. Las brechas no significativas siguen el flujo de resolución aguas arriba.
- Resuelva o rechace. Ponga el producto a disposición solo cuando todos los elementos de la lista pasen. En caso contrario, devuélvalo al proveedor.
Después del suministro: medidas correctoras y vigilancia de vulnerabilidades
Dos deberes continúan durante todo el período en que el producto se pone a disposición:
Si sabe o tiene motivos para creer que el producto o los procesos del fabricante no son conformes, escale aguas arriba y asegúrese de que se adopten medidas correctoras, retirada o recuperación cuando proceda. La solución técnica sigue siendo del fabricante, pero el suministro posterior se detiene hasta que el problema quede tratado.
Cuando conozca una vulnerabilidad, informe al fabricante sin demora indebida. Si el producto presenta un riesgo significativo de ciberseguridad, notifíquelo a la vigilancia del mercado en cada Estado miembro donde lo haya suministrado. El fabricante ejecuta por separado el flujo de notificación a ENISA mediante el flujo de notificación de vulnerabilidades.
Peticiones de autoridades y cese del fabricante
Facilite lo que le pidan, en la lengua local. Cuando una autoridad de vigilancia del mercado formule una petición motivada, facilite la información y documentación necesaria para demostrar la conformidad del producto y de los procesos del fabricante, en papel o formato electrónico y en una lengua que la autoridad pueda comprender fácilmente. Coopere también en las medidas adoptadas para eliminar los riesgos de ciberseguridad planteados por los productos que haya suministrado.
El distribuidor no tiene un deber de conservación de 10 años. No existe una regla propia del distribuidor de conservación plurianual análoga a la regla del importador de conservar la declaración UE de conformidad durante 10 años o el período de soporte. El suelo práctico es el conjunto documental indicado más arriba en "Importador y conjunto documental": conservado mientras el distribuidor pone el producto a disposición, recuperable ante cualquier petición motivada durante ese período, más una cola razonable para cubrir consultas de autoridades posteriores a la comercialización.
Si el fabricante cesa su actividad, avise a autoridades y usuarios. Si el fabricante deja de operar y ya no puede cumplir, informe a las autoridades de vigilancia del mercado pertinentes sin demora indebida e informe a los usuarios por todos los medios disponibles y en la medida de lo posible. Los importadores tienen el mismo deber de notificación de cese, de modo que las notificaciones del distribuidor y el importador suelen correr en paralelo.
Errores comunes
| Afirmación | Por qué falla |
|---|---|
| "Nuestro proveedor está en la UE, así que no somos importador; eso nos convierte en distribuidor por defecto." | El estatus de distribuidor también exige no afectar a las propiedades del producto. El reembalaje, el cambio de marca, la preinstalación de software o los cambios de configuración pueden activar obligaciones de fabricante. |
| "No tenemos que comprobar nada; el importador ya lo hizo." | La comprobación del distribuidor es separada y basada en presencia: CE presente, información del producto por el fabricante presente, identificación del importador presente y documentos necesarios facilitados. La verificación del importador no exime al distribuidor de su propia comprobación. |
| "Con instrucciones de usuario en inglés basta para toda la UE." | La información de usuario debe estar en una lengua fácilmente comprensible para los usuarios y la vigilancia del mercado del Estado miembro correspondiente. Suministrar solo inglés a un Estado miembro cuyas autoridades y usuarios no trabajan en inglés no pasa la comprobación del distribuidor. |
| "Solo reenviamos los avisos de vulnerabilidad mensualmente, junto con el resto de actualizaciones comerciales." | La información de vulnerabilidades debe llegar al fabricante sin demora indebida, y los riesgos significativos de ciberseguridad deben ir inmediatamente a la vigilancia del mercado. El envío mensual agregado incumple ambos estándares. |
| "La notificación a ENISA es trabajo del fabricante, así que ignoramos las vulnerabilidades." | El flujo de notificación a ENISA es del fabricante, pero el deber de informar al fabricante y, ante riesgo significativo, de informar a las autoridades de vigilancia del mercado, es del distribuidor. El silencio incumple la obligación posterior a la comercialización. |
| "Podemos seguir vendiendo las unidades que ya están en nuestro almacén tras detectar una laguna lingüística en la información de usuario; solo se detienen las nuevas remesas." | La disponibilidad posterior del producto no conforme se detiene con independencia de dónde estén físicamente las unidades. El stock existente queda retenido, no se liquida. |
| "Retiramos la etiqueta de contacto del importador para que nuestros socios de canal queden anónimos." | La identificación del importador debe permanecer en el producto, embalaje o documento acompañante. Retirarla hace que el producto no sea conforme para el suministro del distribuidor. |
| "No necesitamos conservar documentos; solo somos un revendedor." | El distribuidor debe poder facilitar el conjunto documental ante una petición motivada, en la lengua de la autoridad. Un distribuidor que no puede presentar la referencia de la declaración UE de conformidad, la información de usuario o los puntos de contacto de la cadena de suministro está en infracción aunque el producto sea conforme. |
Preguntas frecuentes
¿Qué es un distribuidor según el CRA?
Un eslabón de la cadena de suministro de la UE que entrega el producto sin alterarlo. El papel se define por la posición (después del importador, antes del usuario final) y por la neutralidad respecto al producto (sin cambio de marca, sin cambios de software, sin configuraciones que cambien la finalidad prevista). Encajan los revendedores, los distribuidores de valor añadido que solo agrupan y los socios de canal que solo envían y facturan, siempre que dejen el producto tal como el fabricante lo introdujo en el mercado. Si un importador o distribuidor vende bajo su propio nombre o modifica sustancialmente el producto, se activa el interruptor de obligaciones de fabricante.
¿Soy distribuidor o importador?
La línea es la primera introducción en el mercado. Usted es el importador si es la primera entidad de la UE que introduce en el mercado de la Unión un producto con marca no comunitaria. Es el distribuidor si pone el producto a disposición después del importador, sin afectar a sus propiedades. Si compra un producto no comunitario a otra empresa de la UE que ya lo importó, esa otra empresa es el importador y usted es el distribuidor. Si compra directamente al fabricante no comunitario y pone el producto en el mercado de la UE por su cuenta, usted es el importador, con el conjunto de verificaciones más pesado y el deber de conservación de 10 años.
¿Soy distribuidor o fabricante?
El artículo 21 es el puente legal entre distribuidor (o importador) y fabricante. Tiene dos supuestos, y ambos se aplican tanto a importadores como a distribuidores:
"A los efectos del presente Reglamento, se considerará fabricante a un importador o distribuidor, a quien, por consiguiente, se le aplicará lo dispuesto en los artículos 13 y 14, cuando dicho importador o distribuidor introduzca en el mercado un producto con elementos digitales con su nombre o marca o lleve a cabo una modificación sustancial de un producto con elementos digitales que ya se haya introducido en el mercado."
Los dos supuestos son: (a) introducir el producto en el mercado con su propio nombre o marca, o (b) llevar a cabo una modificación sustancial de un producto ya introducido en el mercado. El rebranding tipo marca blanca, la preinstalación de software propio, el cambio de la configuración de seguridad antes de la reventa, el reembalaje que cambia la finalidad prevista o la modificación del firmware rompen el papel de distribuidor. Para importadores y distribuidores, el cambio es directo: usted se convierte en fabricante y le es aplicable íntegramente el régimen del fabricante. Para el conjunto completo de obligaciones que entonces se aplica, consulte la guía del cluster del fabricante.
Una regla separada y más estrecha cubre a una persona que no es fabricante, importador ni distribuidor: un reconfigurador, integrador o modificador externo que toma un producto ya introducido, lo modifica sustancialmente y lo pone a disposición en el mercado. Esa persona se considera fabricante. Conforme al artículo 22, apartado 2, las obligaciones del fabricante se aplican "con respecto a la parte del producto con elementos digitales afectada por la modificación sustancial o, si la modificación sustancial afecta a la ciberseguridad del producto con elementos digitales en su conjunto, con respecto a la totalidad del producto". Esta regla general no se aplica si usted ya es importador o distribuidor. El puente de cambio de marca para importadores y distribuidores cubre su caso.
¿Qué debe verificar exactamente el distribuidor antes de poner el producto a disposición?
Dos comprobaciones: CE presente y documentación aguas arriba presente. El fabricante debe haber cumplido la identificación del producto, la identificación del fabricante, la información de usuario en una lengua del Estado miembro, la fecha de fin del período de soporte con mes y año, y la entrega de la declaración UE de conformidad. El importador debe haber cumplido su deber de identificación. Los documentos necesarios deben haberse facilitado. La comprobación es de presencia, no una nueva ejecución de la evaluación de conformidad.
¿Debe el distribuidor conservar la declaración UE de conformidad durante 10 años?
No. El deber de conservación de 10 años o del período de soporte recae sobre el importador, no sobre el distribuidor. El deber documental del distribuidor consiste en facilitar, ante una petición motivada de la autoridad de vigilancia del mercado, la información y documentación necesarias para demostrar la conformidad, en una lengua que la autoridad pueda comprender fácilmente. El suelo práctico es el conjunto documental que el distribuidor usa para su propia comprobación de entrada: referencia a la declaración UE de conformidad, información de usuario en la lengua del Estado miembro de suministro y puntos de contacto del fabricante y del importador.
¿Qué hace el distribuidor cuando se entera de una vulnerabilidad en un producto que ha suministrado?
Comunicarlo de inmediato al fabricante y, si el riesgo es significativo, a la vigilancia del mercado. El primer deber es la notificación aguas arriba sin demora indebida. El segundo es la notificación paralela a las autoridades de vigilancia del mercado de cada Estado miembro de suministro, con detalles de la no conformidad y de cualquier medida correctora adoptada. El flujo de notificación a ENISA sigue siendo del fabricante, no del distribuidor.
¿Hay exenciones para PYME en el caso de los distribuidores?
No. Las obligaciones del distribuidor se aplican con independencia del tamaño. La única concesión del CRA sobre multas administrativas vinculada a PYME está reservada a los fabricantes y a los administradores de software de código abierto. Los distribuidores no entran en esa excepción. Las autoridades también deben tener en cuenta el tamaño del infractor al fijar multas en casos individuales; eso es un factor de graduación, no una exención de obligaciones.
¿Cuándo se aplican las obligaciones del distribuidor CRA?
Las obligaciones del distribuidor se aplican plenamente desde el 11 de diciembre de 2027. A diferencia de los fabricantes, los distribuidores no tienen un plazo anterior separado; el flujo de notificación a ENISA es deber del fabricante, no del distribuidor. Para esa fecha, los distribuidores que pongan productos a disposición en el mercado de la Unión necesitan una comprobación de entrada, un flujo de rechazo, un flujo de vigilancia de vulnerabilidades y la capacidad de producir documentos.