La ruta de evaluación de conformidad CRA que elijas determina el coste, el calendario y las dependencias externas. Elige mal y perderás meses y miles de euros. Elige bien y tendrás un camino claro hacia el marcado CE.
Esta guía te ayuda a seleccionar el módulo de evaluación de conformidad adecuado y a entender qué implica cada uno.
Resumen
- Módulo A (autoevaluación): disponible para productos Por defecto y para Importante de clase I solo cuando se aplican íntegramente las normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad pertinentes
- Módulo B+C (terceros): obligatorio para Importante de clase II, opcional para los demás
- Módulo H (garantía total de calidad): alternativa a B+C para organizaciones con varios productos
- La clasificación del producto determina qué opciones están disponibles
- Diferencia de coste: Módulo A (~EUR 5–20K interno), B+C (~EUR 30–100K+), H (~EUR 50K+ de implantación más coste continuo)
Fuentes: el CRA, Artículo 13(13) (período de conservación); base de datos NANDO, registro de organismos notificados de la UE (estado de las designaciones); cifras indicadas en esta guía. El «~90%» de productos Por defecto es una estimación basada en la estrechez del Anexo III/Anexo IV, no un valor declarado en el CRA.
Visión general de la evaluación de conformidad
La evaluación de conformidad es la forma de demostrar que tu producto cumple los requisitos del CRA. La declaración UE de conformidad que firmas declara que tu producto es conforme, pero debes contar con evidencias que respalden esa afirmación.
El CRA ofrece tres módulos de evaluación de conformidad. El árbol de decisión anterior asigna cada categoría de producto a sus rutas permitidas. El Módulo A es una autoevaluación del fabricante. El Módulo B+C combina un examen de tipo realizado por un organismo notificado (B) con una fase de conformidad de producción que ejecutas tú (C). El Módulo H es una ruta única en la que un organismo notificado aprueba tu sistema de gestión de la calidad y lo supervisa de forma continua.
¿Cuándo puedes usar la autoevaluación del Módulo A?
Autoevaluación. Tú evalúas tu propio producto frente a los requisitos del CRA.
Cuándo está disponible el Módulo A
- Productos Por defecto: siempre disponible
- Importante de clase I: solo si se aplican íntegramente las normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad pertinentes (con nivel de garantía al menos «sustancial»)
Qué significa cobertura completa
Para la autoevaluación de Importante de clase I, el Módulo A sigue disponible solo cuando las normas armonizadas, especificaciones comunes o esquemas europeos de certificación de la ciberseguridad pertinentes:
- Cubran los requisitos esenciales del Anexo I
- Estén disponibles para el producto y la ruta
- Se apliquen íntegramente, no de forma parcial
Si esa cobertura no existe o solo se aplica parcialmente, usa el Módulo B+C o el Módulo H para los requisitos afectados.
Las normas armonizadas para el CRA están todavía en desarrollo. Vigila las publicaciones del DOUE.
Proceso del Módulo A
| Fase | Qué hacer | Por qué importa a los equipos CRA | Ancla |
|---|---|---|---|
| Diseño | Aplicar seguridad desde el diseño, hacer la evaluación de riesgos, documentar la arquitectura de seguridad y aplicar normas armonizadas cuando proceda. | Aquí se crea la base probatoria, en lugar de reconstruirla al final. | Requisitos del Anexo I. |
| Documentación | Crear el expediente técnico con descripción del producto, resultados de riesgo, documentación de diseño, normas aplicadas, resultados de ensayo y SBOM. Preparar la Declaración UE de conformidad. | El Módulo A también necesita evidencia. Autoevaluación no significa no tener expediente. | Expediente del Anexo VII. |
| Controles de producción | Asegurar que la producción mantiene la conformidad, documentar controles de calidad y verificar unidades cuando corresponda. | La declaración firmada debe seguir siendo cierta para la serie que se pone en el mercado. | Producción en serie. |
| Cierre | Firmar la Declaración UE de conformidad, colocar el marcado CE y conservar la documentación durante al menos 10 años, o el período de soporte si fuera mayor. | Es el paso de creación de evidencia a puesta en el mercado. | DoC, CE, conservación. |
Requisitos de documentación del Módulo A
Tu expediente técnico del Anexo VII bajo el Módulo A debe cubrir estas seis áreas.
| Área | Qué debe contener el expediente | Por qué importa a los equipos CRA | Ancla |
|---|---|---|---|
| Descripción general | Identificación del producto, finalidad prevista, versiones cubiertas e instrucciones de usuario proporcionadas. | Las autoridades necesitan ver exactamente qué producto y versión cubre la evidencia. | Alcance del producto. |
| Evaluación de riesgos | Riesgos de ciberseguridad identificados, amenazas y escenarios de ataque considerados, y decisiones de tratamiento del riesgo. | Es la lógica que conecta el modelo de amenazas con los controles. | Evidencia de riesgo. |
| Documentación de diseño | Arquitectura del sistema, medidas de seguridad implementadas y cómo se cumple cada requisito. | El expediente debe mostrar cómo el diseño del producto satisface los requisitos de ciberseguridad. | Anexo I mapping. |
| Normas y ensayos | Normas, especificaciones o esquemas aplicados con datos de versión, planes y resultados de ensayo, y prueba de aplicación íntegra para Importante de clase I. | Una cobertura parcial puede cambiar la ruta de conformidad disponible. | Evidencia de la ruta. |
| SBOM | Componentes incluidos y vulnerabilidades conocidas en el momento de la evaluación. | El SBOM conecta el inventario de componentes con la gestión de vulnerabilidades. | Inventario de componentes. |
| Producción | Cómo la producción mantiene la conformidad y qué controles de calidad aplican. | La conformidad debe mantenerse más allá del prototipo evaluado. | Controles de serie. |
Se basan en regímenes análogos de marcado CE (Directiva de Equipos Radioeléctricos, Reglamento de Productos Sanitarios) y en precios iniciales de consultoría sobre el CRA. No son un estudio de mercado específico del CRA. Ningún organismo notificado ha publicado un catálogo de tarifas CRA: NANDO muestra cero designaciones CRA a junio de 2026. Usa las cifras para planificar. Confírmalas con presupuestos reales una vez se produzcan las designaciones.
Costes del Módulo A
| Elemento de coste | Rango típico | Notas |
|---|---|---|
| Evaluación de riesgos | EUR 5.000–15.000 | Interno o consultor |
| Documentación técnica | EUR 5.000–20.000 | Depende de la complejidad |
| Pruebas | EUR 2.000–10.000 | Interno o laboratorio |
| Herramientas SBOM | EUR 0–5.000 | Las herramientas pueden ya existir |
| Tiempo de personal interno | Variable | A menudo el mayor coste |
Rango total típico: EUR 15.000–50.000 (costes internos)
Calendario del Módulo A
| Fase | Duración |
|---|---|
| Evaluación de riesgos | 2-4 semanas |
| Documentación | 4-8 semanas |
| Pruebas | 2-4 semanas |
| Revisión y finalización | 1-2 semanas |
Calendario total típico: 2-4 meses
¿Cuándo exige el CRA un organismo notificado?
Evaluación por terceros. Un organismo notificado examina el diseño de tu producto.
Cuándo se exige un organismo notificado
- Importante de clase II: usa el Módulo B+C, el Módulo H o un esquema europeo de certificación de la ciberseguridad aprobado con nivel «sustancial».
- Productos Críticos: usa la ruta de certificación europea cuando la Comisión la active para esa categoría de producto. Hasta entonces, usa las mismas rutas de terceros como alternativa: Módulo B+C, Módulo H o un esquema aprobado.
- Importante de clase I: usa el Módulo B+C o el Módulo H solo cuando las normas armonizadas, especificaciones comunes o esquemas de certificación pertinentes no existan o no se apliquen íntegramente.
Módulo B: examen UE de tipo
Un organismo notificado examina una muestra representativa (tipo) de tu producto y emite un certificado.
| Elemento | Detalles |
|---|---|
| Solicitud | Selecciona un organismo notificado y presenta tu solicitud con muestras del producto, documentación técnica y el formulario de solicitud. Abona las tasas iniciales. |
| Examen | El organismo notificado revisa la documentación, prueba la muestra del producto, verifica el cumplimiento de los requisitos esenciales de ciberseguridad y puede solicitar información o pruebas adicionales. |
| Decisión | Si el producto es conforme, el organismo notificado emite el certificado de examen UE de tipo. Si se detectan deficiencias, las subsanas y vuelves a presentar. |
| Certificado | Válido para el tipo evaluado, con las condiciones que figuren en el certificado. Las modificaciones que puedan afectar a la conformidad requieren seguimiento del certificado con el organismo notificado. El CRA no fija un intervalo de reexamen. |
Módulo C: conformidad con el tipo
Tras el Módulo B, aseguras que la producción se ajusta al tipo certificado.
| Elemento | Detalles |
|---|---|
| Controles de producción | Asegura que cada unidad se ajusta al tipo certificado, documenta los procesos de producción y mantén los controles de calidad. |
| Declaración | Referencia el certificado de examen UE de tipo, firma la declaración UE de conformidad y aplica el marcado CE. |
| Seguimiento | Mantén la conformidad con el tipo certificado, comunica al organismo notificado los cambios que afecten al tipo y recertifica si se producen cambios sustanciales. |
Selección del organismo notificado
Aspectos a tener en cuenta al elegir un organismo notificado:
| Factor | Consideración |
|---|---|
| Alcance | ¿Está designado el organismo notificado para el CRA y tu tipo de producto? |
| Capacidad | ¿Tiene disponibilidad? (CRA inicial = capacidad limitada) |
| Ubicación | Logística más sencilla si está cerca |
| Experiencia | Familiaridad con tu tipo de producto |
| Coste | Las tarifas varían de forma significativa |
| Calendario | ¿Con qué rapidez puede programar el examen? |
Cómo encontrar organismos notificados: consulta la base de datos NANDO (registro oficial de organismos notificados de la UE) una vez se publiquen las designaciones CRA.
Las tarifas de los organismos notificados oscilan habitualmente entre EUR 30.000 y EUR 100.000 o más, y los tiempos de espera pueden alcanzar de 4 a 16 semanas. Presupuesta y planifica en consecuencia.
Costes del Módulo B+C
| Elemento de coste | Rango típico | Notas |
|---|---|---|
| Tasa de solicitud al organismo | EUR 2.000–5.000 | No reembolsable |
| Tasa de examen del organismo | EUR 15.000–50.000 | Depende de la complejidad |
| Preparación de muestras | EUR 1.000–5.000 | Muestras del producto para las pruebas |
| Documentación técnica | EUR 10.000–30.000 | Debe cumplir los requisitos del organismo |
| Viajes/logística | EUR 1.000–5.000 | Si se requieren visitas presenciales |
| Subsanación (si procede) | Variable | Nuevas pruebas, correcciones documentales |
Rango total típico: EUR 30.000–100.000+
Calendario del Módulo B+C
| Fase | Duración |
|---|---|
| Selección del organismo y solicitud | 2-4 semanas |
| Preparación de la documentación | 4-8 semanas |
| Tiempo de espera del organismo | 4-16 semanas (varía considerablemente) |
| Examen | 4-8 semanas |
| Emisión del certificado | 2-4 semanas |
Calendario total típico: 4-10 meses
Módulo H: garantía total de calidad
Enfoque basado en sistema de gestión de la calidad. El organismo notificado aprueba tu SGC para diseño, producción y pruebas.
Cuándo tiene sentido el Módulo H
El Módulo H resulta ventajoso cuando:
- Tienes varios productos que requieren evaluación por terceros
- Ya cuentas con un SGC maduro (ISO 9001, ISO 27001)
- Prefieres una relación continua con el organismo notificado en lugar de un examen por producto
- Lanzas actualizaciones frecuentes del producto
Proceso del Módulo H
| Elemento | Detalles |
|---|---|
| Establecimiento del SGC | Diseña un sistema de gestión de la calidad que cubra el proceso de diseño, los controles de producción, los procedimientos de prueba y la gestión documental, alineado con los requisitos del CRA. |
| Evaluación por el organismo notificado | Presenta la documentación del SGC, recibe la auditoría del organismo notificado, verifica la alineación con el CRA y obtén el certificado de aprobación del SGC. |
| Diseño de producto (por producto) | Sigue el SGC aprobado para el diseño, realiza un examen de diseño, documenta el cumplimiento y permite las auditorías del organismo notificado sobre el proceso de diseño. |
| Producción | Sigue el SGC aprobado para la producción, documenta la conformidad y acepta las auditorías de vigilancia del organismo notificado. |
| Declaración (por producto) | Firma la declaración UE de conformidad, referencia el certificado del SGC y aplica el marcado CE. |
| Seguimiento | Mantén el SGC y supera las auditorías periódicas de vigilancia del organismo notificado. El CRA no fija una frecuencia de vigilancia ni un ciclo de recertificación; la cadencia se establece en el plan de auditoría. |
Requisitos del SGC para el Módulo H
Tu sistema de gestión de la calidad debe cubrir cuatro áreas en paralelo. Las carencias en cualquiera de ellas bloquearán la certificación.
| Elemento | Detalles |
|---|---|
| Calidad del diseño |
|
| Calidad de la producción |
|
| Calidad de la documentación |
|
| Integración de la ciberseguridad |
|
Costes del Módulo H
| Elemento de coste | Rango típico | Notas |
|---|---|---|
| Desarrollo o actualización del SGC | EUR 20.000–50.000 | Si se parte de cero |
| Auditoría inicial del organismo | EUR 15.000–30.000 | Certificación del SGC |
| Vigilancia anual | EUR 5.000–15.000 | Continuo |
| Revisión de diseño por producto | EUR 5.000–15.000 | Varía según la complejidad |
Implantación inicial: EUR 40.000–100.000 Coste anual continuo: EUR 10.000–30.000
Decisión Módulo H frente a B+C
| Factor | Módulo B+C | Módulo H |
|---|---|---|
| Número de productos | 1-3 productos | 4 o más productos |
| SGC existente | Sin SGC maduro | SGC maduro existente |
| Frecuencia de actualizaciones | Actualizaciones poco frecuentes | Lanzamientos frecuentes |
| Tamaño de la organización | Pequeña/mediana | Mediana/grande |
| Coste inicial | Menor | Mayor |
| Coste por producto | Mayor | Menor |
| Coste continuo | Menor | Mayor (vigilancia) |
El Módulo H resulta rentable a partir de 4 productos. Si ya cuentas con un SGC maduro (ISO 9001, ISO 27001), suele ser la mejor inversión a largo plazo.
Regla práctica: el Módulo H resulta rentable con 4 o más productos, o cuando necesitarías realizar reexámenes con frecuencia.
Marco de decisión
Paso 1: determinar la clasificación del producto
Usa la guía de clasificación de productos para determinar si tu producto es Por defecto, Importante de clase I, Importante de clase II o Crítico.
Paso 2: identificar las opciones disponibles
El árbol de decisión al inicio de esta guía muestra la asignación completa. La tabla siguiente resume las mismas rutas en formato textual.
| Categoría | Módulos disponibles | Ruta recomendada |
|---|---|---|
| Por defecto | A, B+C, H | Módulo A salvo que desees validación por terceros |
| Importante de clase I, normas, especificaciones o esquema pertinentes aplicados íntegramente | A, B+C, H | Módulo A con cobertura completa |
| Importante de clase I, cobertura inexistente o parcial | B+C, H | Módulo B+C salvo que tengas varios productos |
| Importante de clase II | B+C, H, o un esquema de certificación aplicable con nivel de garantía al menos «sustancial» | Módulo B+C salvo que tengas varios productos o un SGC maduro |
| Crítico | EUCC u otra ruta europea de certificación obligatoria o B+C / H / esquema aprobado como alternativa | Depende de si la Comisión ha activado la ruta de certificación para esa categoría |
Paso 3: valorar los factores empresariales
El Paso 3 solo te ayuda a elegir entre los módulos que el Paso 2 ha dejado disponibles. Las reglas de ruta hacen que el Módulo A no esté disponible para Importante de clase I cuando las normas, especificaciones o esquemas pertinentes no existen o solo se aplican parcialmente, para Importante de clase II y para los productos Críticos. Las dos tablas siguientes se dividen según esa barrera, de modo que cada fila tenga una respuesta alcanzable en tu ruta.
Cuando los Módulos A, B+C y H están todos disponibles
Aplica a productos Por defecto y a los de Importante de clase I cuando las normas, especificaciones o esquemas pertinentes se aplican íntegramente.
| Factor | Módulo A | Módulo B+C | Módulo H |
|---|---|---|---|
| Presupuesto limitado | ✓ | ||
| Tiempo limitado | ✓ | ||
| Se necesita validación externa | ✓ | ✓ | |
| Producto único | ✓ | ✓ | |
| Varios productos | ✓ | ||
| Actualizaciones frecuentes | ✓ | ||
| Sin SGC existente | ✓ | ✓ | |
| SGC maduro (ISO 9001, ISO 27001) | ✓ | ||
| El cliente exige un organismo notificado | ✓ | ✓ |
Cuando solo están disponibles los Módulos B+C y H
Aplica a Importante de clase I cuando las normas, especificaciones o esquemas pertinentes no existen o solo se aplican parcialmente, a Importante de clase II y a productos Críticos. El Módulo A no es una opción legal para estas categorías, con independencia de la presión presupuestaria o de calendario.
| Factor | Módulo B+C | Módulo H |
|---|---|---|
| Producto único | ✓ | |
| Varios productos | ✓ | |
| Actualizaciones frecuentes | ✓ | |
| Sin SGC existente | ✓ | |
| SGC maduro (ISO 9001, ISO 27001) | ✓ |
Esta segunda rama refleja la tabla «Decisión Módulo H frente a B+C» presentada antes en la guía. Cuando ambas coinciden, trátalas como la misma decisión vista desde dos ángulos: la primera pondera el coste, esta pondera el encaje operativo.
Paso 4: calcular los costes
Escenario: 5 productos de Importante de clase II, sin SGC existente, horizonte de 5 años con 2 actualizaciones por producto.
| Concepto de coste | Módulo B+C | Módulo H |
|---|---|---|
| Implantación inicial Construcción del SGC y certificación inicial por el organismo notificado | n/d | EUR 75.000 EUR 50.000 SGC + EUR 25.000 cert. del organismo |
| Evaluación por producto (× 5) Examen UE de tipo (B+C) o revisión de diseño (H) | EUR 250.000 EUR 50.000 × 5 | EUR 50.000 EUR 10.000 × 5 |
| Evaluación por actualización (× 10) Reexamen completo (B+C) o delta de revisión de diseño (H) | EUR 250.000 EUR 25.000 × 10 | EUR 50.000 EUR 5.000 × 10 |
| Vigilancia anual (× 5 años) | n/d | EUR 60.000 EUR 12.000 × 5 |
| Total a 5 años | EUR 500.000 | EUR 235.000 |
El Módulo H ahorra EUR 265.000 en 5 años en este escenario. El punto de cruce depende de la combinación entre número de productos y frecuencia de actualizaciones. Las cifras por producto y por actualización son ilustrativas (consulta la nota sobre estimaciones cerca de la tabla de costes del Módulo A). Realiza el cálculo con tus propios presupuestos antes de comprometerte con una cifra.
Declaración UE de conformidad
Sea cual sea el módulo elegido, debes emitir una declaración UE de conformidad.
Contenido obligatorio de la declaración UE de conformidad
La declaración UE de conformidad para el Reglamento de Ciberresiliencia es el Reglamento (UE) 2024/2847. Toda declaración debe contener los ocho campos siguientes, seguidos del bloque de firma.
| Elemento | Detalles |
|---|---|
| Identificación del producto | Nombre del producto, tipo, lote y número(s) de serie, con el detalle suficiente para garantizar la trazabilidad. |
| Nombre y dirección del fabricante | Entidad jurídica responsable de la declaración. Datos del representante autorizado, si procede. |
| Declaración de responsabilidad | «La presente declaración de conformidad se emite bajo la exclusiva responsabilidad del proveedor.» |
| Objeto de la declaración | Descripción del producto suficiente para garantizar la trazabilidad, incluida una fotografía o un dibujo si el producto es físico. |
| Legislación de la Unión aplicable | Enumera cada reglamento al que el producto sea conforme, empezando por el Reglamento (UE) 2024/2847 (Reglamento de Ciberresiliencia) y añadiendo cualquier otra legislación horizontal aplicable (DER, CEM, Máquinas, etc.). |
| Normas armonizadas o especificaciones aplicadas | Enumera cada norma con número de versión. Si ninguna norma armonizada cubre una parte del Anexo I, referencia la especificación o especificación común utilizada en su lugar. |
| Bloque del organismo notificado (Módulo B+C o H) | Nombre del organismo notificado, número de identificación de cuatro dígitos, referencia del certificado, módulo realizado y número de certificado emitido. Omite este campo por completo en el Módulo A. |
| Información adicional | Fecha de fin del período de soporte, punto de contacto para la notificación de vulnerabilidades y cualquier otra información que exija el CRA o la legislación aplicable. |
Cierra la declaración con el nombre y la función del firmante, el lugar y la fecha de emisión y una firma. Una declaración sin firma fechada de una persona identificada por nombre y cargo no es una declaración válida.
Marcado CE
Tras la evaluación de conformidad, aplica el marcado CE. La forma visual del marcado es fija. Lo que varía es si lo acompaña un número de cuatro dígitos del organismo notificado.
Requisitos del marcado CE
| Tema | Qué cambia | Por qué importa a los equipos CRA | Ancla |
|---|---|---|---|
| Visibilidad | Visible, legible e indeleble una vez colocado. | Una marca que no puede leerse o verificarse puede fallar la revisión del producto. | Marcado CE legible. |
| Altura mínima | Mínimo general de 5 mm, medido desde la parte inferior hasta la superior del glifo C. El Artículo 30(2) permite un marcado de menor tamaño cuando la naturaleza del producto lo justifica. | Aplica sea cual sea la ruta de conformidad, si bien los productos pequeños pueden llevar un marcado inferior a 5 mm al amparo del Artículo 30(2). | Mínimo general de 5 mm; excepción del Artículo 30(2). |
| Proporciones | Usar las proporciones CE fijas. | No redibujar, estirar ni adaptar la marca por conveniencia de embalaje o interfaz. | Regulation (EC) No 765/2008 Annex II. |
| Ubicación | En el producto. En el embalaje solo si no es viable marcar el producto. | El marcado solo en embalaje es una alternativa, no la regla. | Primero el producto. |
| Número del organismo | Obligatorio junto a la marca solo si se usó el Módulo H (garantía total de calidad). | El número muestra qué organismo notificado participó en la ruta evaluada. | CE más cuatro dígitos. |
Colocación del marcado CE
| Elemento | Detalles |
|---|---|
| Producto físico |
|
| Software |
|
| Con organismo notificado |
|
Errores comunes
Autoevaluarse (Módulo A) cuando tu producto es Importante de clase II constituye una evaluación de conformidad inválida. El producto no puede comercializarse legalmente en el mercado de la UE.
Cada uno de los cinco errores siguientes tiene la misma anatomía: un atajo tentador, una consecuencia grave y un hábito preventivo concreto.
| Elemento | Detalles |
|---|---|
| 1 · Autoevaluarse cuando no está permitido | Problema. Elegir el Módulo A para un producto de Importante de clase II. Consecuencia. Evaluación de conformidad inválida. El producto no puede comercializarse legalmente. Prevención. Verifica siempre la clasificación del producto antes de elegir la ruta de evaluación. |
| 2 · Aplicación parcial de normas | Problema. Reclamar el Módulo A para Importante de clase I cuando las normas, especificaciones o esquemas pertinentes solo se aplican parcialmente. Consecuencia. El Módulo A no está disponible sin cobertura completa. Prevención. Si no puedes aplicar íntegramente la ruta pertinente, usa el Módulo B+C o H. |
| 3 · Documentación insuficiente | Problema. El expediente técnico carece del contenido exigido para el módulo elegido. Consecuencia. No puedes demostrar la conformidad. La declaración UE de conformidad no es válida. Prevención. Usa listas de verificación. Revisa los requisitos documentales del módulo concreto antes de firmar. |
| 4 · Sorpresa con el organismo notificado | Problema. Descubrir tarde que el producto requiere evaluación por un organismo notificado. Consecuencia. Retraso en la puesta en mercado. Los tiempos de espera pueden ser de meses. Prevención. Clasifica los productos con antelación. Contacta con los organismos notificados de forma proactiva. |
| 5 · Declaración antes de la evaluación | Problema. Firmar la declaración UE de conformidad antes de completar la evaluación de conformidad. Consecuencia. Declaración falsa. Responsabilidad legal. Prevención. La declaración UE de conformidad es el paso final, tras completar todas las actividades de evaluación. |
Lista de comprobación de la evaluación de conformidad
Completa primero la tarjeta de evaluación previa. Después rellena solo las tarjetas del módulo que use tu producto. Todos los productos terminan en la tarjeta de Finalización.
| Elemento | Detalles |
|---|---|
| Evaluación previa |
|
| Módulo A · Autoevaluación |
|
| Módulo B · Examen UE de tipo |
|
| Módulo C · Conformidad con el tipo |
|
| Módulo H · Garantía total de calidad |
|
| Finalización · Todos los módulos |
|
Preguntas frecuentes
¿Un producto de categoría Por defecto puede usar siempre la autoevaluación del Módulo A?
Sí. Los productos Por defecto pueden usar siempre la autoevaluación del Módulo A. Tú mismo realizas la evaluación, la documentas en el expediente técnico, firmas la declaración UE de conformidad y aplicas el marcado CE. No interviene ningún organismo notificado. La cifra «aproximadamente el 90%» es una estimación basada en la estrechez del alcance de los productos Importantes y Críticos, no un valor declarado en el CRA.
¿Cuándo es obligatorio un organismo notificado para productos de Importante de clase I?
Solo cuando no puedes aplicar íntegramente normas armonizadas pertinentes, especificaciones comunes o un esquema europeo de certificación de la ciberseguridad con nivel «sustancial». Si una de esas rutas cubre los requisitos esenciales de ciberseguridad para tu tipo de producto y la aplicas por completo, la autoevaluación del Módulo A sigue estando disponible. Si no existe ninguna ruta aplicable, o la aplicas de forma parcial, debes usar el Módulo B+C o H.
¿Hay ya organismos notificados designados para el CRA?
A junio de 2026 hay cero organismos notificados designados para el CRA. Las designaciones se publican en la base de datos NANDO. Los fabricantes de productos Importantes de clase II y Críticos no pueden completar la evaluación por terceros hasta que se produzcan las designaciones. Planifica contando con ese retraso.
¿Qué implica la evaluación de conformidad del Módulo B+C?
El Módulo B es el examen de tipo del producto que realiza un organismo notificado, que revisa tu documentación técnica, prueba una muestra representativa y emite un certificado de examen UE de tipo. El Módulo C es la fase de conformidad de la producción que ejecutas tú: cada unidad debe ajustarse al tipo certificado y la declaración UE de conformidad referencia el número de certificado.
¿Pueden las normas armonizadas sustituir a la evaluación por un organismo notificado?
Solo para los productos de Importante de clase I. Si aplicas íntegramente las normas armonizadas, especificaciones comunes o esquema europeo de certificación de la ciberseguridad pertinentes que cubren cada requisito esencial de ciberseguridad, puedes autoevaluarte bajo el Módulo A sin organismo notificado. Para los productos de Importante de clase II, la evaluación por terceros es obligatoria con independencia de las normas. Los productos Críticos siguen una ruta distinta: certificación una vez que la Comisión la active, o la alternativa Módulo B+C, Módulo H o esquema aprobado.
¿Cuál es el coste de una evaluación de conformidad por organismo notificado?
Cuenta con entre EUR 30.000 y EUR 100.000 o más en tarifas de examen del organismo notificado, además de entre EUR 2.000 y EUR 5.000 de tasa de solicitud y entre EUR 1.000 y EUR 5.000 de preparación de muestras. Los tiempos de espera actuales son de 4 a 16 semanas, por lo que conviene sumar el riesgo de calendario al coste. (Las cifras son estimaciones de regímenes análogos (RED, MDR) y de precios iniciales de consultoría sobre el CRA, no valores indicados en el CRA.)