El fabricante asume el conjunto más profundo de obligaciones de la Ley de Ciberresiliencia (Reglamento (UE) 2024/2847): artículo 13 (diseño, documentación técnica, evaluación de la conformidad, período de soporte, deberes post-mercado), artículo 14 (notificación en 24h/72h de vulnerabilidades activamente explotadas e incidentes graves a ENISA y al CSIRT coordinador) y anexo I (13 requisitos de producto en la parte I, 8 requisitos de gestión de vulnerabilidades en la parte II). Esta página recorre cada deber, junto con la prueba del artículo 3(13) que decide si usted es realmente el fabricante.
Resumen
- Clasificación del artículo 3(13): usted es fabricante si desarrolla o manda diseñar, desarrollar o fabricar productos y los comercializa con su propio nombre o marca. Lo decide la marca; los contratos de suministro no.
- Obligaciones del artículo 13: evaluación del riesgo de ciberseguridad (13(2) a (4)), cumplimiento del anexo I parte I + parte II (13(1), 13(8)), diligencia debida sobre componentes (13(5) a (6)), documentación técnica (artículo 31, anexo VII), evaluación de la conformidad (artículo 32), declaración UE de conformidad (13(20), artículo 28, anexo V), marcado CE (artículo 30), período de soporte de al menos 5 años o el período de uso previsto (13(8)) con fecha de fin documentada (13(19)), conservación durante 10 años o el período de soporte, lo que sea mayor (13(13)).
- Notificación del artículo 14: dos vías, ambas a través de la plataforma única de notificación de ENISA conforme al artículo 16, simultáneamente al CSIRT designado como coordinador. Vulnerabilidades: aviso temprano en 24h, notificación en 72h, informe final 14 días después de que se disponga de una medida correctora. Incidentes graves: aviso temprano en 24h, notificación en 72h, informe final en el plazo de un mes desde la notificación de 72h.
- Exposición a sanciones (artículo 64(2)): hasta 15.000.000 EUR o el 2,5% de la facturación mundial anual total, el importe que sea mayor. El artículo 64(10) limita el alivio sancionador a microempresas y pequeñas empresas únicamente respecto de los plazos del artículo 14(2)(a) y 14(4)(a).
- Plazos: la notificación de vulnerabilidades e incidentes del artículo 14 comienza el 11 de septiembre de 2026. El resto del régimen del fabricante comienza el 11 de diciembre de 2027 (artículo 71).
Tres números que enmarcan la exposición del fabricante: 21 requisitos esenciales en el anexo I, dos plazos de notificación por vía y la multa del tramo superior.
¿Quién es fabricante en la Ley de Ciberresiliencia?
El artículo 3(13) define al fabricante de forma literal:
"Fabricante" es toda persona física o jurídica que desarrolle o fabrique productos con elementos digitales o que mande diseñar, desarrollar o fabricar productos con elementos digitales, y los comercialice con su nombre o marca, ya sea a cambio de un pago, mediante monetización o de forma gratuita.
Usted es fabricante a efectos de la Ley de Ciberresiliencia si concurren ambos elementos siguientes:
| Elemento | Prueba |
|---|---|
| Desarrollar, fabricar o mandar diseñar/desarrollar/fabricar productos | Incluye el diseño externalizado o la fabricación por contrato. El trabajo no tiene por qué realizarse en sus instalaciones. |
| Comercializar con su propio nombre o marca | El producto, tal como se introduce en el mercado, identifica a su entidad como origen, ya sea por la marca, el embalaje, los materiales de marketing o la documentación que lo acompaña. |
Los dos elementos son acumulativos. Una fábrica que produce un producto pero lo comercializa con la marca de otra empresa no es el fabricante a efectos de la Ley de Ciberresiliencia; lo es el titular de la marca. A la inversa, una empresa que pone su propia marca en un producto diseñado y construido por una fábrica externa es el fabricante con independencia de quién haya hecho la ingeniería. La distribución gratuita, monetizada y de pago cuentan por igual; el reglamento dice expresamente "ya sea a cambio de un pago, mediante monetización o de forma gratuita".
Si no concurre ninguno de los elementos, usted no es el fabricante. Puede ser el importador conforme al artículo 3(16) (introduce en el mercado de la Unión un producto con marca extracomunitaria), el distribuidor conforme al artículo 3(17) (comercializa el producto después del importador sin afectar a sus propiedades) o el representante autorizado conforme al artículo 3(15) y el artículo 18 (actúa por cuenta del fabricante en virtud de un mandato escrito). Un tercero que modifique sustancialmente un producto tras su introducción en el mercado se considera fabricante de la versión modificada conforme al artículo 22; el mismo análisis se aplica vía artículo 3(13) cuando quien modifica comercializa el producto modificado con su propio nombre. Para la matriz completa de clasificación de roles y el árbol de decisión que compara los cinco roles, consulte quién debe cumplir con la Ley de Ciberresiliencia.
Artículo 13 de un vistazo
| Apartado | Deber | Punto clave |
|---|---|---|
| 13(1) | Diseñar y producir conforme al anexo I parte I | Los requisitos esenciales son obligatorios, modulados por la evaluación del riesgo de ciberseguridad. |
| 13(2) a (4) | Evaluación del riesgo de ciberseguridad | Documentada, actualizada durante todo el período de soporte, incluida en la documentación técnica conforme al artículo 31. |
| 13(5) a (7) | Diligencia debida sobre componentes | Incluye los componentes libres y de código abierto. Documentar las vulnerabilidades de las que el fabricante tenga conocimiento; notificar aguas arriba y remediar. |
| 13(8) | Período de soporte | Al menos 5 años, o el período de uso previsto si fuera menor. Documentado en la documentación técnica. Incluye obligaciones de gestión de vulnerabilidades y de política CVD. |
| 13(9) | Disponibilidad de las actualizaciones de seguridad | Cada actualización de seguridad permanece disponible al menos 10 años desde su emisión, o durante el resto del período de soporte, lo que sea mayor. |
| 13(10) a (11) | Versiones de software sustancialmente modificadas | El cumplimiento del anexo I parte II (2) puede aplicarse solo a la versión más reciente cuando los usuarios tengan acceso libre a ella; se permiten archivos públicos de versiones sin soporte con avisos de riesgo. |
| 13(12) a (14) | Documentación técnica previa al mercado + evaluación de la conformidad + CE; controles de la producción en serie | Elaborar la documentación técnica conforme al artículo 31; llevar a cabo la evaluación de la conformidad conforme al artículo 32 o hacer que se lleve a cabo; redactar la declaración UE de conformidad y colocar el marcado CE; mantener procedimientos para que la producción en serie siga siendo conforme. |
| 13(13) | Conservación | Documentación técnica y declaración UE de conformidad a disposición de las autoridades de vigilancia del mercado durante al menos 10 años o el período de soporte, lo que sea mayor. |
| 13(15) a (16) | Identificación del producto + identificación del fabricante | Número de tipo, lote o serie; nombre del fabricante, nombre comercial o marca, dirección postal, contacto digital, también reproducidos en la información del anexo II. |
| 13(17) | Punto único de contacto | Permite a los usuarios elegir su medio de comunicación preferido. No puede limitarse a herramientas automatizadas. |
| 13(18) | Acompañamiento del anexo II | Información e instrucciones en una lengua fácilmente comprensible para usuarios y autoridades de vigilancia del mercado, accesibles en línea durante el mismo período de conservación. |
| 13(19) | Fecha de fin del período de soporte | Especificada en el momento de la compra, indicando al menos el mes y el año. Mostrar al usuario el aviso de fin de soporte cuando sea técnicamente viable. |
| 13(20) | Entrega de la declaración UE de conformidad | Bien la declaración completa, bien una declaración simplificada que contenga la dirección de internet exacta donde puede consultarse la declaración completa. |
| 13(21) a (22) | Medidas correctoras post-mercado + cooperación | Retirar, recuperar o restablecer la conformidad al tener conocimiento de no conformidad. Facilitar toda la información a la autoridad de vigilancia del mercado a petición motivada. |
| 13(23) | Cese de actividad | Informar a las autoridades de vigilancia del mercado y, por todos los medios disponibles, a los usuarios antes de que el cese surta efecto. |
| 13(24) a (25) | Formato de SBOM + evaluaciones de dependencias | La Comisión podrá especificar el formato de SBOM mediante actos de ejecución. ADCO podrá realizar evaluaciones de dependencias a escala de la Unión. |
Anexo I: los requisitos esenciales de ciberseguridad
El anexo I tiene dos partes. La parte I enumera 13 requisitos sobre las propiedades del producto, modulados por la evaluación del riesgo de ciberseguridad del fabricante conforme al artículo 13(2). La parte II enumera 8 requisitos sobre los procesos de gestión de vulnerabilidades del fabricante; estos no se modulan por riesgo y se aplican con independencia del tipo o clase de producto.
Parte I: propiedades del producto (artículo 13(1), anexo I parte I)
Los productos con elementos digitales se diseñarán, desarrollarán y producirán para garantizar un nivel adecuado de ciberseguridad basado en los riesgos. Sobre la base de la evaluación del riesgo de ciberseguridad conforme al artículo 13(2), se aplica lo siguiente cuando proceda:
| Código | Requisito |
|---|---|
| (a) | Comercializados sin vulnerabilidades explotables conocidas |
| (b) | Configuración segura por defecto; restablecimiento al estado original disponible (los productos a medida para usuarios profesionales pueden acordar otra cosa) |
| (c) | Vulnerabilidades subsanables mediante actualizaciones de seguridad; actualizaciones automáticas instaladas en un plazo adecuado por defecto, con opción de exclusión y de aplazamiento, cuando proceda |
| (d) | Protección frente al acceso no autorizado (autenticación, gestión de identidades o accesos, notificación de posibles accesos no autorizados) |
| (e) | Confidencialidad de los datos almacenados, transmitidos y procesados, incluido el cifrado en reposo o en tránsito mediante mecanismos del estado de la técnica |
| (f) | Protección de la integridad de datos, órdenes, programas y configuración; notificación de corrupciones |
| (g) | Minimización de datos: tratar únicamente los datos adecuados, pertinentes y limitados a la finalidad prevista |
| (h) | Disponibilidad de las funciones esenciales y básicas, también tras un incidente; resiliencia frente a denegación de servicio |
| (i) | Minimizar el impacto negativo en la disponibilidad de los servicios prestados por otros dispositivos o redes |
| (j) | Limitar las superficies de ataque, incluidas las interfaces externas |
| (k) | Reducir el impacto de los incidentes mediante mecanismos y técnicas de mitigación de la explotación |
| (l) | Facilitar información de seguridad mediante el registro y la supervisión de la actividad interna pertinente, con opción de exclusión por el usuario |
| (m) | Permitir a los usuarios eliminar de forma segura y sencilla todos los datos y configuraciones; garantizar la transferencia segura de datos cuando proceda |
El matiz de "cuando proceda" del anexo I parte I (2) significa que la evaluación del riesgo del fabricante determina qué requisitos (a)–(m) vinculan al producto. Cuando un requisito no sea aplicable, la documentación técnica deberá incluir una justificación clara conforme al artículo 13(4).
Parte II: gestión de vulnerabilidades (artículo 13(8), anexo I parte II)
La parte II es incondicional: se aplica durante todo el período de soporte con independencia de la clase de producto o del perfil de riesgo.
| Código | Requisito |
|---|---|
| (1) | Identificar y documentar vulnerabilidades y componentes, incluida una lista de materiales de software (SBOM) en un formato legible por máquina ampliamente utilizado que cubra al menos las dependencias de primer nivel |
| (2) | Abordar y remediar vulnerabilidades sin demora mediante actualizaciones de seguridad; cuando sea técnicamente viable, separar las actualizaciones de seguridad de las de funcionalidad |
| (3) | Aplicar pruebas y revisiones eficaces y periódicas de la seguridad del producto |
| (4) | Una vez disponible una actualización de seguridad, compartir y divulgar públicamente información sobre las vulnerabilidades corregidas (descripción, productos afectados, impactos, gravedad, orientaciones de remediación). Puede demorarse la divulgación pública en casos debidamente justificados hasta que los usuarios puedan aplicar el parche |
| (5) | Establecer y aplicar una política de divulgación coordinada de vulnerabilidades (CVD) |
| (6) | Facilitar el intercambio de información sobre vulnerabilidades potenciales (incluidas las de componentes de terceros) proporcionando una dirección de contacto para la notificación de vulnerabilidades |
| (7) | Mecanismos para distribuir actualizaciones de forma segura, de modo que las vulnerabilidades se subsanen en un plazo razonable y, cuando proceda, automáticamente |
| (8) | Difundir las actualizaciones de seguridad sin demora; de forma gratuita, salvo acuerdo en otro sentido con un usuario profesional para productos a medida; con mensajes informativos a los usuarios |
La parte II se aplica desde la introducción en el mercado y durante todo el período de soporte (artículo 13(8)). Las actualizaciones de seguridad permanecen disponibles al menos 10 años desde su emisión o durante el resto del período de soporte, lo que sea mayor (artículo 13(9)).
Artefactos previos al mercado: lo que debe existir antes de introducir el producto en el mercado
Cuatro artefactos deben existir antes de la introducción del producto en el mercado. Cada uno se ancla en un artículo concreto de la Ley de Ciberresiliencia y produce un acto de conformidad concreto: el expediente que el fabricante conserva, la evaluación que realiza, la declaración que firma y la marca que coloca.
| Artefacto | Anclaje | Qué contiene o exige |
|---|---|---|
| Documentación técnica | Artículo 31, anexo VII (elaborada conforme al artículo 13(12)) | Descripción del producto, información de diseño y desarrollo, la evaluación del riesgo de ciberseguridad conforme al artículo 13(2), las normas armonizadas o especificaciones comunes aplicadas, la vía y el resultado de la evaluación de la conformidad, la declaración UE de conformidad y el proceso de gestión de vulnerabilidades. Conservada durante al menos 10 años o el período de soporte, lo que sea mayor (artículo 13(13)). |
| Evaluación de la conformidad | Artículo 32 | Autoevaluación según el módulo A únicamente para productos de clase por defecto. Los productos importantes de clase II por defecto, y los productos críticos en ausencia de un esquema europeo de certificación de ciberseguridad, requieren los módulos B+C o el módulo H a través de un organismo notificado. Los productos importantes de clase I pueden recurrir solo al módulo A cuando se apliquen plenamente normas armonizadas, especificaciones comunes o un esquema de certificación de ciberseguridad. |
| Declaración UE de conformidad | Artículo 13(20), artículo 28, anexo V | Bien la declaración completa entregada con el producto, bien una declaración simplificada con la dirección de internet exacta de la declaración completa. El anexo V fija el contenido: nombre y dirección del fabricante, identificación del producto, declaración de conformidad con el anexo I, normas aplicadas con números de referencia y fechas, nombre y número del organismo notificado cuando proceda, referencia del certificado, fecha, firma, nombre y función del firmante. |
| Marcado CE | Artículo 30, Reglamento (CE) n.º 765/2008 | De al menos 5 mm de altura, visible, legible, indeleble, sobre el producto o su placa de datos. Cuando el tamaño o la naturaleza no lo permitan, en el embalaje y la documentación de acompañamiento. Cuando un organismo notificado intervenga en el control de la producción, su número de identificación de cuatro dígitos seguirá al marcado CE. |
La elección del módulo de evaluación de la conformidad es la decisión más consecuente de esta sección. La tabla y el diagrama de decisión que figuran a continuación ofrecen el detalle fila a fila.
| Módulo | Cuándo |
|---|---|
| A control interno de la producción | Únicamente productos de clase por defecto |
| B + C examen UE de tipo + control de la producción | Importantes clase II por defecto; clase I cuando no se aplique norma armonizada, especificación común ni esquema europeo de certificación de ciberseguridad relevante |
| H aseguramiento total de la calidad | Alternativa para productos importantes; obligatorio para productos críticos en ausencia de un esquema europeo de certificación de ciberseguridad que cubra los requisitos |
Consulte la guía de documentación técnica, la guía de evaluación de la conformidad, la guía de clasificación de productos y la guía de declaración de conformidad para los detalles de cada artefacto.
Plazos de notificación para fabricantes (artículo 14)
El artículo 14 establece dos vías de notificación para los fabricantes, ambas dirigidas simultáneamente al CSIRT designado como coordinador y a ENISA a través de la plataforma única de notificación conforme al artículo 16. Las dos vías comparten la cadencia 24h/72h pero tienen plazos distintos para el informe final, un punto que con frecuencia se malinterpreta.
| Vía | Aviso temprano 24h | Notificación 72h | Informe final |
|---|---|---|---|
| Vulnerabilidad activamente explotada (14(1)–(2)) | En las 24h siguientes al conocimiento | En las 72h siguientes al conocimiento | 14 días después de que se disponga de una medida correctora o paliativa |
| Incidente grave (14(3)–(5)) | En las 24h siguientes al conocimiento | En las 72h siguientes al conocimiento | Un mes después de la notificación de 72h |
El reloj del informe final de la vulnerabilidad arranca cuando el parche está listo, no cuando se tiene conocimiento; el lapso puede ser de semanas o meses. El reloj del informe final del incidente grave queda fijado en la notificación de 72h, es decir, en la práctica, el día 33 desde el conocimiento. Consulte la guía del clúster de notificación de vulnerabilidades para el flujo operativo, el enrutamiento al CSIRT coordinador conforme al artículo 14(7) (incluida la cascada de respaldo para fabricantes no comunitarios), el deber de información a usuarios conforme al artículo 14(8) y la mecánica de la plataforma única de notificación del artículo 16.
Período de soporte y obligaciones post-mercado
El artículo 13(8) fija el período de soporte en al menos 5 años, o el período de uso previsto si fuera menor; las actualizaciones de seguridad permanecen disponibles al menos 10 años desde su emisión conforme al artículo 13(9). La fecha de fin (al menos mes y año) debe comunicarse en el momento de la compra conforme al artículo 13(19). Consulte la guía del clúster del período de soporte para los criterios de determinación, las reglas para versiones de software sustancialmente modificadas en 13(10) y (11) y el deber de notificación del fin de vida útil.
Dos deberes post-mercado del fabricante conviven con el régimen del período de soporte y no tienen una página de clúster propia. Artículo 13(21)–(22): al tener conocimiento de una no conformidad con el anexo I, el fabricante adopta inmediatamente las medidas correctoras necesarias o, en su caso, retira o recupera el producto y, a petición motivada de una autoridad de vigilancia del mercado, facilita toda la información necesaria para demostrar la conformidad en una lengua que la autoridad comprenda. Artículo 13(23): el fabricante que cese su actividad informa a las autoridades de vigilancia del mercado pertinentes antes de que el cese surta efecto, e informa a los usuarios por todos los medios disponibles y en la medida de lo posible.
Fabricante frente al modificador del artículo 22
El artículo 22 cubre un supuesto distinto del de la clasificación del artículo 3(13). Literalmente:
"Toda persona física o jurídica, distinta del fabricante, el importador o el distribuidor, que lleve a cabo una modificación sustancial de un producto con elementos digitales y comercialice dicho producto se considerará fabricante a efectos del presente Reglamento."
El artículo 22 excluye expresamente a fabricantes, importadores y distribuidores. Se aplica a terceros fuera de la cadena del artículo 3: integradores de sistemas, distribuidores de valor añadido, departamentos de TI corporativos que modifican productos del proveedor antes de redistribuirlos. El alcance del artículo 22(2) es nítido: quien modifica se considera fabricante respecto de la parte del producto afectada por la modificación sustancial, o respecto de todo el producto si la modificación tiene impacto en la ciberseguridad del producto en su conjunto. La "modificación sustancial" se define en el artículo 3(30) como un cambio posterior a la introducción en el mercado que afecta al cumplimiento del anexo I parte I o modifica la finalidad prevista para la que se evaluó el producto.
| Caso | Clasificación |
|---|---|
| Ingeniería original, marca original | Fabricante (artículo 3(13)) |
| Marca original; un tercero añade funcionalidades de firmware tras la introducción en el mercado que cambian la superficie de ataque | El fabricante original sigue siéndolo; el tercero también es fabricante respecto de la parte modificada conforme al artículo 22 |
| Reetiquetado de marca blanca de un producto extracomunitario por una entidad de la UE | La entidad de la UE es el fabricante conforme al artículo 3(13); no se trata de "escalado al artículo 22" |
| Un integrador de la UE empaqueta productos compatibles sin modificar sus componentes internos | Distribuidor conforme al artículo 3(17), no artículo 22 |
| TI corporativa instala una versión personalizada de firmware en dispositivos del proveedor y los revende | Modificador del artículo 22; tratado como fabricante respecto del producto modificado |
La consecuencia práctica de que el artículo 22 alcance a un tercero: obligaciones plenas del artículo 13 y del artículo 14 respecto de la parte modificada o del producto completo, incluidos un nuevo expediente técnico, una nueva declaración UE de conformidad, un nuevo marcado CE bajo la responsabilidad del modificador y la cadencia de notificación del artículo 14 indicada arriba.
Cronograma de implementación
Errores comunes
| Afirmación | Por qué falla |
|---|---|
| "Realmente no somos el fabricante; un OEM en otro país lo construye." | El artículo 3(13) alcanza al titular de la marca. Externalizar la fabricación no transfiere la obligación. |
| "Nuestra política de seguridad es suficiente; no necesitamos hacer una evaluación del anexo I parte I." | El artículo 13(2) hace obligatoria la evaluación del riesgo de ciberseguridad. La documentación técnica debe incluir la evaluación conforme al artículo 13(4). |
| "Nuestros clientes no piden un SBOM, así que no lo hacemos." | El anexo I parte II punto (1) exige la identificación de vulnerabilidades y componentes, incluido un SBOM en un formato legible por máquina ampliamente utilizado. El interés del cliente es irrelevante. |
| "Nuestro chatbot es el punto único de contacto." | El artículo 13(17) exige que el usuario pueda elegir su medio de comunicación preferido. Los medios no pueden limitarse a herramientas automatizadas. |
| "Cinco años desde el lanzamiento del producto bastan para el período de soporte." | El artículo 13(8) corre el período de soporte desde la introducción en el mercado de cada unidad, no desde el lanzamiento. Las unidades introducidas en el año 4 arrastran obligaciones de soporte hasta el año 9. |
| "El plazo de informe final de 14 días también se aplica a incidentes." | No. Vulnerabilidades: 14 días tras disponer de una medida correctora. Incidentes graves: un mes tras la notificación de 72h (artículo 14(2)(c) frente a 14(4)(c)). |
| "Nuestro SLA ya cubre vulnerabilidades; no necesitamos notificar a ENISA." | La notificación del artículo 14 se dirige simultáneamente al CSIRT designado como coordinador y a ENISA, a través de la plataforma única de notificación del artículo 16. Los SLA con clientes no la sustituyen. |
| "Tenemos seguro frente a brechas." | Las multas administrativas del artículo 64 no son asegurables en la mayoría de los Estados miembros. La transferencia de riesgo no puede sustituir al cumplimiento. |
| "El artículo 14 solo se aplica cuando tengamos una entidad europea." | El párrafo tercero del artículo 14(7) enruta a los fabricantes no comunitarios a través de una cascada de CSIRT basada en la ubicación del representante autorizado, importador, distribuidor o usuario. El deber de notificación comienza el 11 de septiembre de 2026 en cualquier caso. |
| "Demoramos la divulgación pública de toda vulnerabilidad hasta la siguiente versión trimestral." | El anexo I parte II punto (4) solo permite la demora en casos debidamente justificados hasta que los usuarios puedan aplicar el parche. El agrupamiento trimestral rutinario no es un "caso debidamente justificado". |
Preguntas frecuentes
¿Qué es un fabricante en la Ley de Ciberresiliencia?
El titular de la marca. Un fabricante es la entidad que desarrolla o encarga un producto (incluso a una fábrica externalizada) y lo comercializa con su propio nombre o marca, de pago o gratuito. La marca del producto, no la ubicación de la línea de producción, decide quién es el fabricante. Los administradores de software de código abierto son una categoría separada y más ligera; la reventa exclusiva al consumidor sin marca propia es distribución, no fabricación (artículo 3(13); régimen de administradores en artículo 3(14)).
¿Soy fabricante o importador?
Depende de qué marca aparece en el producto. Su propio nombre o marca en el producto le convierte en fabricante, con independencia de dónde se construya. La marca de una persona no comunitaria en un producto que usted introduce en el mercado de la Unión le convierte en importador. Ponga su propia marca en un producto fabricado fuera de la UE y cargará con el conjunto completo de obligaciones del fabricante; conserve la marca original y canalícelo a través de su entidad de la UE, y cargará únicamente con el conjunto de verificaciones del importador (artículos 3(13) y 3(16); obligaciones del fabricante en artículos 13 y 14; obligaciones del importador en artículo 19).
Fabricante frente a representante autorizado: ¿cuál es la diferencia?
El representante autorizado es un apoderado documental, no un sustituto del fabricante. En virtud de un mandato escrito, mantiene la declaración UE de conformidad y la documentación técnica a disposición de las autoridades de vigilancia del mercado, responde a peticiones motivadas y coopera en acciones de ejecución. La ingeniería, la evaluación del riesgo, la gestión de vulnerabilidades, la evaluación de la conformidad y los deberes de producción en serie permanecen en el fabricante. El representante autorizado no introduce el producto en el mercado; ese acto sigue correspondiendo al fabricante o a su importador. Designar un representante autorizado es opcional, no obligatorio (artículos 3(15) y 18(1)–(3); deberes que permanecen en el fabricante en artículos 13(1)–(11), 13(12) párrafo primero y 13(14)).
¿Existen exenciones para pymes para los fabricantes?
Las obligaciones sustantivas se aplican con independencia del tamaño. La única concesión específica del CRA para pymes en materia de sanciones protege a las microempresas y pequeñas empresas de las multas vinculadas específicamente a los plazos de aviso temprano de 24h, y nada más. Los administradores de software de código abierto disponen de una exención más amplia de multas administrativas, pero son una categoría distinta. Las autoridades también deben tener debidamente en cuenta el tamaño del infractor (incluidas pymes y empresas emergentes) al fijar el importe de las multas en cada caso; ese es un factor de graduación aplicable a todo el régimen, no una exención de obligaciones (artículos 13 y 14 se aplican a todos los tamaños; concesión para pymes en artículo 64(10)(a) para los plazos 14(2)(a) y 14(4)(a); factor de graduación en artículo 64(5)(c); exención más amplia de administradores de OSS en artículos 3(14) y 64(10)(b)).
¿Cuándo se aplican las obligaciones del fabricante en la Ley de Ciberresiliencia?
Dos fechas. La notificación de vulnerabilidades e incidentes del artículo 14 comienza el **11 de septiembre de 2026**. El resto del régimen del fabricante (artículo 13, anexo I, evaluación de la conformidad, declaración UE de conformidad, marcado CE, documentación técnica) comienza el **11 de diciembre de 2027**. Los fabricantes que introduzcan productos en el mercado de la UE necesitan tener una capacidad de notificación del artículo 14 operativa para septiembre de 2026, aunque su programa completo de conformidad del artículo 13 todavía esté en construcción (aplicabilidad del artículo 71; notificación del artículo 14 desde el 11 de septiembre de 2026; artículos 13, 30, 31, 32 y anexo I desde el 11 de diciembre de 2027).
¿Qué es el período de soporte y cómo se determina?
Al menos 5 años, o el periodo previsto de uso si es más corto. El fabricante determina el periodo teniendo en cuenta las expectativas razonables de los usuarios, la naturaleza y la finalidad prevista del producto, el Derecho de la Unión pertinente sobre la vida útil de los productos, los periodos de soporte de productos similares en el mercado, la disponibilidad del entorno operativo, los periodos de soporte de los componentes integrados de terceros y la orientación de ADCO y de la Comisión. La información considerada debe incluirse en la documentación técnica. La fecha de fin (al menos mes y año) debe comunicarse en el momento de la compra. Una vez emitidas, las actualizaciones de seguridad permanecen disponibles al menos 10 años o el resto del periodo de soporte, lo que sea mayor (artículos 13(8), 13(9) y 13(19)).
¿Cuál es la diferencia entre una "vulnerabilidad activamente explotada" y un "incidente grave" a efectos del artículo 14?
Definiciones distintas, plazos de informe final distintos. Una vulnerabilidad activamente explotada es aquella respecto de la cual existe evidencia fiable de que un actor malicioso la ha explotado sin permiso del titular del sistema. Un incidente grave es aquel que afecta o puede afectar negativamente a la capacidad del producto de proteger la disponibilidad, autenticidad, integridad o confidencialidad de datos o funciones sensibles o importantes, o que ha conducido o puede conducir a la introducción o ejecución de código malicioso en el producto o en la red de un usuario. Ambas vías utilizan la cadencia de aviso temprano en 24 h + notificación en 72 h, pero los informes finales difieren: las vulnerabilidades se notifican 14 días después de que se disponga de una medida correctora; los incidentes, en el plazo de un mes desde la notificación de 72 h (vulnerabilidad activamente explotada en artículo 3(42); incidente grave en artículo 14(5); plazos en artículos 14(2) y 14(4)).
¿Los componentes de código abierto en nuestro producto afectan a las obligaciones del fabricante?
Sí. El fabricante debe actuar con diligencia debida al integrar componentes de terceros, incluidos los de software libre y código abierto no comercializados en el marco de una actividad comercial. Al identificar una vulnerabilidad en un componente, la notifica a la persona o entidad que lo mantiene y la remedia conforme al anexo I parte II. Cuando el fabricante haya desarrollado una corrección, comparte el código o la documentación pertinentes con el mantenedor del componente cuando proceda, en formato legible por máquina cuando sea aplicable. El producto necesita un SBOM que cubra al menos las dependencias de primer nivel. Los administradores de software de código abierto son una categoría separada con su propio régimen (más ligero) (artículos 13(5)–(7); SBOM en anexo I parte II (1); categoría de administradores en artículo 3(14)).