Si tu entidad de la UE es la primera en introducir en el mercado de la UE un producto con elementos digitales de marca no-UE, la Ley de Ciberresiliencia normalmente te trata como importador. Los importadores no ejecutan el programa completo de conformidad del fabricante, pero deben verificarlo antes de la introducción en el mercado, rechazar productos no conformes, identificarse en el producto o material adjunto, cooperar con la vigilancia del mercado y conservar la Declaración UE de Conformidad.
Resumen
- ¿Eres el importador? Normalmente eres importador cuando tu entidad de la UE es la primera en introducir un producto digital de marca no-UE en el mercado de la Unión.
- ¿Qué debe comprobarse antes de introducirlo en el mercado? Evaluación de conformidad, documentación técnica, marcado CE, Declaración UE de Conformidad, instrucciones de usuario, identificación del producto, datos de contacto del fabricante y fecha de fin del período de soporte.
- ¿Cuándo debes rechazarlo? No introduzcas el producto en el mercado si el producto o los procesos de gestión de vulnerabilidades del fabricante no son conformes. Notifica al fabricante y a la vigilancia del mercado cuando exista un riesgo significativo de ciberseguridad.
- ¿Qué continúa después de la introducción? Medidas correctivas, retirada o recuperación, comunicación de vulnerabilidades al fabricante, cooperación con la vigilancia del mercado y notificación si el fabricante cesa su actividad.
- ¿Qué debe conservarse? Conserva la Declaración UE de Conformidad durante 10 años o durante el período de soporte, lo que sea más largo, y asegúrate de que la documentación técnica pueda facilitarse a petición.
- ¿Cuándo se aplica? Las principales obligaciones del importador se aplican desde el 11 de diciembre de 2027.
Cuatro comprobaciones, conservación de más de diez años, dos niveles de sanción según seas realmente el importador o no.
¿Quién es importador en el CRA?
En términos prácticos, el importador CRA es la entidad establecida en la UE que introduce por primera vez en el mercado de la Unión un producto con elementos digitales de marca no-UE. El test tiene tres partes: la entidad está establecida en la Unión, es la primera en poner el producto a disposición en el mercado de la Unión y el producto lleva el nombre o la marca de una persona establecida fuera de la Unión.
Si el producto lleva tu propio nombre o marca, no actúas como importador para ese producto; estás en terreno de fabricante. Si otra entidad de la UE ya introdujo el producto en el mercado, normalmente eres distribuidor. Si el fabricante no-UE solo te ha nombrado mediante mandato escrito y no introduces el producto en el mercado, eres representante autorizado. Para el árbol completo de roles, consulta quién debe cumplir el CRA.
Obligaciones principales del importador
Las obligaciones del importador se agrupan en cuatro bloques: qué debe comprobarse antes de la introducción en el mercado, cuándo debe detenerse el importador, qué información identificativa debe aparecer y qué debe conservarse o facilitarse después de la introducción.
| Deber | Punto clave |
|---|---|
| Cumplimiento general | Solo comercializa productos cuyos requisitos de ciberseguridad y procesos del fabricante estén preparados para el CRA. |
| Verificación previa | Evaluación de conformidad + documentación técnica + CE/DoC/instrucciones de usuario + identificación del producto, datos del fabricante y fecha de fin del soporte. El importador debe poder facilitar los documentos que prueben el cumplimiento. |
| Deber de rechazo | No comercializar si el producto o los procesos no son conformes. Informar al fabricante y a la vigilancia del mercado cuando exista riesgo significativo de ciberseguridad. |
| Identificación del importador | Nombre propio, nombre comercial o marca, dirección postal y punto de contacto digital en el producto, embalaje o documento adjunto. |
| Medidas correctivas posteriores | Retirada o recuperación cuando proceda. Notificación de vulnerabilidades: informar al fabricante sin demora indebida; informar a las autoridades de vigilancia del mercado de cada Estado miembro de suministro cuando exista riesgo significativo de ciberseguridad. |
| Conservación | Mantener la DoC a disposición de las autoridades durante 10 años o el período de soporte, lo que sea más largo. Garantizar que la documentación técnica pueda facilitarse a petición. |
| Cooperación | A petición motivada de la vigilancia del mercado, facilitar toda la información y documentación en una lengua que la autoridad entienda. |
| Cese de actividad del fabricante | Informar a las autoridades de vigilancia del mercado y, por todos los medios disponibles, a los usuarios. |
Ninguna de estas obligaciones tiene umbral para PYME. El alivio para pequeñas empresas en el CRA es estrecho: no elimina los deberes del importador de verificar, rechazar, identificarse, conservar documentación o cooperar.
Importador frente a distribuidor
El criterio jurídico es qué parte introduce por primera vez el producto en el mercado de la Unión.
| Aspecto | Importador | Distribuidor |
|---|---|---|
| Posición | Establecido en la Unión; introduce en el mercado un producto que lleva el nombre de una persona de fuera de la UE | Cualquiera que pone el producto a disposición después del importador, sin afectar a sus propiedades |
| Verificación | Comprobación previa completa, incluida la identificación de tipo/lote, contacto del fabricante y fecha de fin del soporte | Verifica que estén presentes el CE, la identificación del fabricante, el período de soporte y los artefactos de DoC |
| Documentación | Debe poder facilitar documentos que prueben el cumplimiento; garantiza que la documentación técnica pueda facilitarse a petición | Coopera con las autoridades; verificación basada en presencia |
| Rechazo | Detener e informar cuando el producto o los procesos no sean conformes | Detener e informar cuando falten CE, DoC o artefactos requeridos |
| Notificación de vulnerabilidades | Avisar al fabricante sin demora indebida; avisar a vigilancia del mercado si hay riesgo significativo en cada Estado miembro de suministro | Mismo deber dentro de su alcance; la ruta pasa por el fabricante |
| Conservación | DoC durante 10 años o período de soporte, lo que sea más largo | Ninguna específica; cooperar a petición |
| Nivel de sanción | 10.000.000 EUR o 2 % | 10.000.000 EUR o 2 % |
Llamar «distribución» al rol en un acuerdo privado no traslada la obligación de derecho público. Si tu entidad introduce por primera vez en el mercado de la Unión un producto de fuera de la UE, eres el importador. Para el detalle del lado del distribuidor de la misma frontera, consulte la guía del cluster del distribuidor.
Las cuatro comprobaciones previas a la introducción en el mercado
1. Evaluación de conformidad realizada
El fabricante debe haber seguido la ruta de evaluación adecuada a la clase del producto. Solicita la Declaración UE de Conformidad con el módulo de evaluación utilizado y, cuando haya intervenido un organismo notificado, el número de certificado; en los productos evaluados bajo garantía total de calidad (Módulo H), el número de identificación de cuatro dígitos del organismo también acompaña al marcado CE.
| Módulo | Cuándo |
|---|---|
| A control interno de la producción | Productos por defecto; Importante Clase I solo cuando se aplican íntegramente las normas, especificaciones o esquemas pertinentes |
| B + C examen UE de tipo + control de la producción | Importante Clase I cuando las normas, especificaciones o esquemas pertinentes no se aplican íntegramente; Importante Clase II; rutas alternativas para productos Críticos |
| H aseguramiento de calidad total | Alternativa a B+C para Importante Clase I como vía alternativa, Importante Clase II y rutas alternativas para productos Críticos |
| Esquema europeo de certificación de ciberseguridad | Productos Críticos cuando se haya activado la vía de certificación y exista un esquema aplicable; también cuando el CRA lo permita |
Consulta la guía del clúster de evaluación de conformidad.
2. Documentación técnica elaborada
El importador no está obligado a tener el expediente técnico completo. Sí necesita evidencia de que el expediente existe y puede facilitarse a las autoridades a petición. En la práctica, solicita al fabricante un índice de la documentación técnica y un compromiso escrito de producir el expediente subyacente en un plazo y una lengua definidos. Consulta la guía del clúster de documentación técnica.
3. Marcado CE, DoC UE e instrucciones de usuario
Tres artefactos deben acompañar al producto.
| Artefacto | Requisito |
|---|---|
| Marcado CE | Visible, legible e indeleble, en el producto o en su placa de datos; la altura del marcado CE podrá ser inferior a 5 mm, siempre y cuando siga siendo visible y legible. El número de identificación de cuatro dígitos del organismo notificado acompaña al marcado solo bajo garantía total de calidad (Módulo H). El marcado CE puede figurar únicamente en el embalaje cuando no sea viable marcarlo en el propio producto; en ese caso, debe aparecer también en la declaración UE de conformidad. |
| DoC UE | DoC completa con el producto o DoC simplificada con la dirección de internet exacta de la DoC completa. Una referencia genérica a «requisitos de ciberseguridad» sin conexión concreta con los requisitos esenciales es un defecto. |
| Información e instrucciones de usuario | En una lengua fácilmente comprensible para los usuarios y la vigilancia del mercado del Estado miembro de que se trate. Identidad del fabricante, finalidad prevista, fecha de fin del período de soporte, configuración segura, desactivación segura, dirección para notificar vulnerabilidades. |
4. Identificación del producto, datos del fabricante y fin del soporte
La última comprobación del importador no es otro certificado. Es una comprobación de presencia: el producto debe ser identificable, el fabricante debe ser identificable y contactable, y la fecha de fin del período de soporte debe estar disponible en el momento de la compra.
| Deber | Comprobación del importador |
|---|---|
| Tipo, número de lote o de serie para identificar el producto (o en el embalaje si el producto no puede llevarlo) | Confirmar el elemento en el producto o el embalaje |
| Nombre del fabricante, nombre comercial o marca, dirección postal, punto de contacto digital, también reproducidos en la información de usuario | Confirmar en el producto, el embalaje o la documentación adjunta |
| Fecha de fin del período de soporte indicada en el momento de la compra, incluyendo al menos mes y año | Confirmar mes y año visibles en el punto de venta |
Un producto sin fecha de fin con mes y año declarada no es conforme, con independencia de que el resto de comprobaciones se superen.
Deber adyacente que conviene tratar como motivo de rechazo: el punto único de contacto debe permitir que los usuarios elijan el medio de comunicación preferido y no puede limitarse a herramientas automatizadas. Un contacto solo de chatbot no es conforme. Sin un punto único de contacto operativo aguas arriba, el flujo de notificación de vulnerabilidades queda roto desde el primer día.
Lista de comprobación de información del producto: 9 puntos (Anexo II)
Todo producto con elementos digitales debe llegar al importador con nueve elementos de información concretos. El Anexo II del CRA fija la lista y la comprobación del importador es de presencia: si falta alguno, el producto no puede comercializarse.
Nombre, razón social registrada o marca, dirección postal, correo electrónico o contacto digital y, cuando esté disponible, el sitio web.
En recepciónPresente en el producto, el embalaje o el documento adjunto.
Punto único de contacto para la notificación de vulnerabilidades, con una política de divulgación coordinada (CVD) accesible.
En recepciónCanal no automatizado, con la política de divulgación accesible.
Nombre del producto, tipo y cualquier información adicional (lote, número de serie, modelo) que permita su identificación única.
En recepciónTipo, número de lote o de serie visibles.
Finalidad prevista, entorno de seguridad, funcionalidades esenciales y propiedades de seguridad.
En recepciónIndicado en la información de usuario.
Circunstancias conocidas o previsibles que puedan dar lugar a riesgos significativos de ciberseguridad.
En recepciónDocumentadas en la información de usuario.
Cuando proceda, la dirección de internet en la que puede consultarse la Declaración UE de Conformidad completa.
En recepciónLa URL resuelve y la DoC está completa.
Tipo de soporte técnico de seguridad y la fecha de fin del período de soporte.
En recepciónLa fecha de fin incluye al menos mes y año.
Instrucciones detalladas o una URL con uso seguro, impacto de cambios, instalación de actualizaciones, retirada del servicio del producto de forma segura y apagado de la configuración por defecto de instalación automática de actualizaciones.
En recepciónTodos los subelementos presentes o accesibles a través de la URL enlazada.
Cuando el fabricante ponga a disposición de los usuarios el SBOM, la ubicación en la que puede consultarse.
En recepciónComprobar si el SBOM se ofrece y en qué URL.
Para ver cómo el fabricante elabora cada elemento, consulta la sección correspondiente en la guía del clúster del fabricante.
Verificación del cumplimiento del fabricante de fuera de la UE
Las garantías verbales de los contactos comerciales no son evidencia suficiente para la comprobación del importador. Envía la solicitud de documentación antes de firmar cualquier contrato de importación.
Plantilla de solicitud de documentación
ASUNTO: Solicitud de documentación de cumplimiento CRA
Estamos evaluando [producto / modelo] para su importación a la
Unión Europea con arreglo al Reglamento (UE) 2024/2847
(Ley de Ciberresiliencia).
Por favor, facilite lo siguiente antes de que procedamos con la importación:
1. Declaración UE de Conformidad (completa o simplificada), citando los
requisitos esenciales de ciberseguridad y el módulo de evaluación de
conformidad utilizado, con el número de certificado del organismo
notificado cuando proceda.
2. Índice de la documentación técnica, junto con un compromiso escrito
de facilitar el expediente subyacente en [idioma] en un plazo de
[X] días.
3. Confirmación del período de soporte (al menos 5 años o el período
previsto de uso del producto si fuera inferior, con la justificación).
4. Fecha de fin del período de soporte (mes y año) tal como aparecerá en
el punto de compra.
5. Punto único de contacto, con confirmación de que no se limita a
herramientas automatizadas.
6. Política de divulgación coordinada de vulnerabilidades.
7. Evidencia de la ubicación del marcado CE en el producto o en la placa
de datos.
8. Instrucciones de usuario en [idioma(s) del Estado miembro de destino].
No podemos comercializar el producto en el mercado de la UE sin
esta documentación.
Plazo de respuesta solicitado: [X] días hábiles.
Evaluación de respuestas
| Respuesta | Acción |
|---|---|
| Documentación completa facilitada | Proceder a la revisión de verificación del importador |
| Documentación parcial, saldo "en tramitación" | Retener la importación; documentar la laguna; no comercializar |
| "Tenemos marcado CE para otra regulación" | Insuficiente; el CE de EMC, RED o LVD no satisface el CRA. Solicite DoC específica del CRA y documentación técnica. |
| "Nuestro producto queda fuera del ámbito del CRA" | Solicite un análisis del ámbito de aplicación por escrito con clase de producto y base de exclusión; no importe basándose en una declaración verbal |
| "El certificado del Organismo Notificado está pendiente" | La evaluación de conformidad debe completarse antes de la comercialización; no importe |
| Punto único de contacto limitado a un chatbot | Falta un canal de contacto no automatizado; rechazar |
| Fecha de DoC anterior al 11 de diciembre de 2027, sin actualización específica del CRA | Rechazar |
| Falta el número del Organismo Notificado en un producto Importante Clase II o Crítico | Rechazar |
| Período de soporte inferior a 5 años sin justificación de vida útil prevista | Rechazar |
| Falta fecha de fin de soporte con mes y año | Rechazar |
| Instrucciones solo en la lengua nacional del fabricante | Rechazar para el Estado miembro afectado |
| Rechazo o falta de respuesta | No importe |
Señales de alerta
- Texto de DoC copiado de una plantilla, sin mapeo específico del producto.
- Fecha de la DoC anterior al 11 de diciembre de 2027 sin indicación de una versión actualizada específica del CRA.
- Número de Organismo Notificado ausente en un producto Importante Clase II o Crítico.
- Ausencia de punto de contacto único para vulnerabilidades, o un contacto que devuelve error al probarlo.
- Período de soporte indicado inferior a cinco años sin justificación de vida útil prevista.
- Instrucciones solo en el idioma propio del fabricante para un mercado de destino con un idioma oficial diferente.
Si el fabricante no comunitario carece de establecimiento en la UE
Un fabricante no comunitario que carezca de establecimiento principal en la Unión encamina sus notificaciones de vulnerabilidades e incidentes a través de una cascada subsidiaria. El artículo 14, apartado 7 fija el orden y la ubicación del importador resulta determinante en esa cascada:
- a) el Estado miembro en el que esté establecido el representante autorizado que actúe en nombre del fabricante para el mayor número de productos con elementos digitales de dicho fabricante;
- b) el Estado miembro en el que esté establecido el importador que introduzca en el mercado el mayor número de productos con elementos digitales de dicho fabricante;
- c) el Estado miembro en el que esté establecido el distribuidor que comercialice el mayor número de productos con elementos digitales de dicho fabricante;
- d) el Estado miembro en el que esté situado el mayor número de usuarios de productos con elementos digitales de dicho fabricante.
Dos consecuencias prácticas para el importador. Si tu entidad es la mayor presencia de la UE para este fabricante distinta de un representante autorizado, la letra b) probablemente convierta a tu Estado miembro en el CSIRT coordinador para notificaciones de vulnerabilidad e incidentes graves. Confirma con el fabricante si existe un representante autorizado bajo la letra a) y si la ruta activa es la del Estado miembro del representante o la tuya.
La letra b) se basa en volumen y puede desplazarse entre importadores según las cohortes de producto. Lleva un registro de volúmenes por fabricante y por Estado miembro de modo que la ruta de notificación pueda justificarse ante un CSIRT o una autoridad de vigilancia del mercado cuando lo solicite.
Cuando la verificación falla: paso a paso
Una verificación fallida crea un deber de detener e informar. El importador debe mantener el producto fuera del mercado de la UE hasta que el producto y los procesos del fabricante sean conformes.
- Detener. No comercialice el producto en el mercado de la UE. Las mercancías pueden permanecer en depósito aduanero o ser reexportadas, pero la comercialización está prohibida hasta que se resuelva el incumplimiento.
- Documentar. Registre qué control previo ha fallado, qué evidencia faltaba o era inadecuada, la fecha de la determinación y el hilo de comunicaciones con el fabricante.
- Notificar al fabricante por escrito. Indique la laguna de cumplimiento específica, la documentación requerida, el plazo de respuesta y la consecuencia (no se importa hasta que se resuelva).
- Evaluar el riesgo de ciberseguridad. Si el producto presenta un riesgo significativo, informe a la autoridad de vigilancia del mercado del Estado miembro de que se trate. Los factores de riesgo no técnicos también necesitan una ruta ante la autoridad, pero el flujo del importador sigue siendo el mismo: documentar, notificar y retener el producto.
- Resolver o rechazar. Proceda con la importación únicamente cuando los cuatro controles estén satisfechos. En caso contrario, rechace la importación.
Después de la introducción en el mercado, el deber del importador pasa a medidas correctivas, retirada o recuperación cuando proceda, comunicación de vulnerabilidades al fabricante sin demora indebida e información a la vigilancia del mercado de cada Estado miembro de suministro cuando el producto presente un riesgo significativo de ciberseguridad. Si el fabricante ha cesado su actividad, informa a la vigilancia del mercado y, por todos los medios disponibles, a los usuarios.
Si el proveedor cesa su actividad
Cuando el fabricante no comunitario cesa su actividad, el importador queda como mensajero. Surge un deber de notificación, pero las obligaciones de soporte del fabricante no se transfieren al importador. El artículo 19, apartado 8 marca el supuesto:
"Cuando el importador de un producto con elementos digitales tenga conocimiento de que el fabricante de dicho producto ha cesado sus actividades y, en consecuencia, no puede cumplir las obligaciones establecidas en el presente Reglamento, el importador informará de esa situación a las autoridades de vigilancia del mercado pertinentes, así como, por cualquier medio disponible y en la medida de lo posible, a los usuarios de los correspondientes productos con elementos digitales introducidos en el mercado."
Dos destinatarios deben ser informados: las autoridades de vigilancia del mercado pertinentes y, en la medida de lo posible, los usuarios de los productos ya introducidos en el mercado (por cualquier medio disponible). El CRA no obliga al importador a asumir el soporte propio del fabricante, la gestión de vulnerabilidades, la emisión de actualizaciones de seguridad ni ningún otro deber del fabricante. Las obligaciones del fabricante se extinguen con el fabricante.
La gestión del stock es una decisión comercial, no un deber estatutario. El importador suele suspender la introducción adicional del stock afectado para limitar la exposición a soporte aguas abajo, pero eso es gestión de riesgo, no una obligación estatutaria. Si el importador quiere seguir vendiendo, se activa la escalada de rol: introducir el producto en el mercado bajo su propio nombre o marca a partir de ese momento es el puente del cambio de marca hacia el estatus de fabricante, con todas las obligaciones de ingeniería, evaluación de conformidad y período de soporte que ello conlleva.
¿Importador, distribuidor o fabricante?
La página del importador no debe cargar con toda la matriz de roles. Usa el árbol de decisión de roles CRA para la clasificación completa entre fabricante, importador, distribuidor, representante autorizado y administrador de código abierto.
El detonante estatutario de cambio de marca aparece en el artículo 3, apartado 13:
"«fabricante»: persona física o jurídica que desarrolla o fabrica productos con elementos digitales o para quien se diseñan, desarrollan o fabrican productos con elementos digitales, y que los comercializa con su nombre o marca comercial, ya sea de manera remunerada, monetizada o gratuita"
La cláusula «los comercializa con su nombre o marca comercial» es el detonante de cambio de marca. Poner tu marca de la UE sobre un producto OEM no comunitario te convierte en fabricante desde la primera venta. El puente del cambio de marca dirige a un importador o distribuidor que cae en este supuesto directamente hacia el régimen del fabricante. Una cláusula residual distinta cubre a los terceros que no son fabricante, importador ni distribuidor. Si su situación lo lleva al estatus de fabricante, consulte la guía del cluster del fabricante para el conjunto completo de obligaciones del fabricante.
Para el trabajo del importador, el límite práctico es este:
| Situación | Rol CRA o consecuencia |
|---|---|
| Entidad de la UE que introduce por primera vez en el mercado de la Unión un producto de marca no-UE | Importador |
| Entidad de la UE que revende un producto de marca no-UE después de que otra entidad de la UE ya lo introdujera en el mercado | Distribuidor |
| Entidad de la UE que introduce el producto en el mercado con su propio nombre o marca | Se aplican obligaciones de fabricante |
| Importador o distribuidor que modifica sustancialmente un producto ya introducido en el mercado | Se aplican obligaciones de fabricante |
| Tercero que no es fabricante, importador ni distribuidor y modifica sustancialmente el producto poniéndolo a disposición | Se aplican obligaciones de fabricante |
El coste práctico de pasar de importador a fabricante es alto: tu entidad debe poseer u organizar la documentación técnica, la ruta de evaluación de conformidad, la Declaración UE de Conformidad, el proceso de gestión de vulnerabilidades, los compromisos de actualizaciones de seguridad y la ruta de notificación de vulnerabilidades. Mantén visible la identidad del fabricante original y evita cambios relevantes para la seguridad si tu modelo depende de seguir siendo importador.
Documentación y retención
Conserva la Declaración UE de Conformidad a disposición de las autoridades de vigilancia del mercado durante al menos 10 años después de introducir el producto en el mercado, o durante el período de soporte si este es más largo. Asegúrate también de que la documentación técnica pueda ponerse a disposición a petición. Un producto con un período de soporte de 12 años exige por tanto un plan de retención del importador de 12 años.
El importador conserva: la Declaración UE de Conformidad, el índice de la documentación técnica y el compromiso del fabricante de facilitar el expediente subyacente, el registro propio de verificación, la comunicación con el fabricante, registros aduaneros y de lote con fechas de primera introducción en el mercado, y registros de medidas correctivas y notificaciones.
Cuando la línea pasa a obligaciones de fabricante porque vendes bajo tu propia marca o modificas sustancialmente el producto, se aplica la regla de conservación del fabricante: la misma duración de 10 años o período de soporte, más documentación técnica a tu propio nombre y toda la cadena probatoria de la evaluación de conformidad.
El almacenamiento digital es aceptable. El importador debe garantizar que los archivos permanezcan accesibles y legibles durante todo el período de retención y puedan producirse en un plazo razonable a petición de la autoridad, en un idioma que esta entienda.
Errores comunes
| Afirmación | Por qué falla |
|---|---|
| "El marcado CE significa que son conformes." | El CE es solo un punto de la comprobación del importador; la DoC, la disponibilidad de documentación técnica, la información de usuario y la fecha de fin de soporte siguen necesitando verificación. |
| "Nuestro proveedor ha sido fiable durante años." | El historial bajo EMC, RED o LVD no cubre la gestión de vulnerabilidades CRA, el período de soporte ni las rutas de notificación. |
| "Garantías verbales de nuestro contacto comercial." | El importador necesita documentación trazable; una garantía comercial no sustituye la verificación previa. |
| "Verificaremos después de que llegue el envío." | La verificación debe realizarse antes de la introducción en el mercado. El depósito aduanero es posible; la puesta a disposición en el mercado no. |
| "Es solo una pegatina con nuestro logo." | Si el producto se introduce bajo tu nombre o marca, se aplican obligaciones de fabricante. El permiso privado no cambia el rol CRA. |
| "La regla de modificación nos convierte en fabricantes si modificamos." | Para importadores y distribuidores, el cambio directo por marca propia o modificación sustancial es automático. La regla residual cubre a otros terceros. |
Señales de compras públicas sobre proveedores específicos no UE. En 2021 el Parlamento Europeo votó una resolución que restringe la adquisición interna de cámaras térmicas Hikvision. La resolución es una señal política sobre un proveedor de videovigilancia chino concreto, no una obligación CRA, pero la diligencia debida del importador sobre marcas de videovigilancia no comunitarias debería tratar estos antecedentes de compras como parte del cuadro de riesgo más amplio, junto con las cuatro verificaciones previas al mercado.
Preguntas frecuentes
¿Qué es un importador según el CRA?
Una entidad de la UE que pone un producto de marca no-UE en el mercado de la Unión. Los tres elementos deben darse conjuntamente: establecida en la Unión, primera en poner el producto a disposición en el mercado de la Unión, y el producto lleva el nombre o la marca de una persona establecida fuera de la UE. Si el producto lleva tu propia marca, no eres el importador; eres el fabricante.
¿Soy importador o distribuidor?
La línea la marca la primera puesta en el mercado. Eres el importador si eres la primera entidad de la UE que pone un producto de marca no-UE en el mercado de la Unión. Eres el distribuidor si pones el producto a disposición después del importador, sin afectar a sus propiedades. Si compras un producto no-UE a otra empresa de la UE que ya lo importó, esa otra empresa es el importador y tú eres el distribuidor. Si compras directamente al fabricante no-UE y pones el producto en el mercado de la UE tú mismo, eres el importador.
Importador frente a representante autorizado: ¿cuál es la diferencia?
Trabajos diferentes, y el representante autorizado es permisivo. El artículo 18, apartado 1 utiliza «podrá», no «deberá»:
"El fabricante podrá designar a un representante autorizado mediante mandato escrito."
El representante autorizado no es por tanto estatutariamente obligatorio. Un fabricante no comunitario puede designarlo o no. En la práctica, puede que necesites un representante autorizado o un importador contractualmente comprometido para actuar como contacto en la UE, pero eso es una realidad comercial, no una obligación del CRA.
Las descripciones de funciones difieren. El representante autorizado es la custodia documental del fabricante. El importador pone físicamente el producto en el mercado. El representante autorizado mantiene la DoC UE y la documentación técnica a disposición de las autoridades de vigilancia del mercado y coopera con ellas, pero no pone el producto en el mercado. El importador asume el deber de verificación en cuatro puntos antes de la comercialización. Un fabricante no comunitario que sí designe un representante autorizado para documentación y cooperación aún necesita un importador (o su propia entidad en la UE) para poner el producto efectivamente en el mercado. El mandato del representante autorizado no transfiere las obligaciones de ingeniería, evaluación de riesgos, gestión de vulnerabilidades ni evaluación de conformidad.
¿Existen exenciones para PYME en el caso de los importadores?
No hay exención de las obligaciones en sí. Las obligaciones del importador se aplican con independencia de su tamaño. La concesión PYME del CRA en materia de sanciones es para fabricantes, no para importadores, y únicamente para los plazos de notificación anticipada. La derogación de multas para administradores de código abierto en virtud del Artículo 64(10)(b) se aplica a los administradores, no a los importadores. Las autoridades deben tener debidamente en cuenta el tamaño del infractor al fijar los importes de las multas en cada caso concreto, pero eso es un factor de graduación de la sanción, no una exención de obligaciones.
¿Cuándo son aplicables las obligaciones de importador CRA?
Desde el 11 de diciembre de 2027. A partir de esa fecha, ningún producto con elementos digitales podrá comercializarse en el mercado de la UE a menos que el importador haya realizado la verificación previa. La notificación de vulnerabilidades e incidentes comienza antes, el 11 de septiembre de 2026, pero es una obligación del fabricante; el papel del importador consiste en verificar que el punto de contacto único del fabricante esté en funcionamiento y no limitado a herramientas automatizadas.
¿El cambio de marca por sí solo convierte al importador en fabricante?
Sí, en la práctica. Si la entidad de la UE introduce el producto bajo su propio nombre o marca, debe cumplir las obligaciones de fabricante para esa línea. Para importadores y distribuidores, el cambio directo por marca propia o modificación sustancial es automático; una regla separada cubre a otros terceros.
¿Son los parches de seguridad alguna vez una modificación sustancial?
No cuando los parches son emitidos por el fabricante original y preservan la finalidad prevista, el comportamiento y la arquitectura de seguridad. Un parche que hace algo más que corregir una vulnerabilidad (añade funciones, cambia la autenticación, amplía la superficie de ataque) sale de la exención.
¿Cuánto tiempo debe conservar el importador la Declaración UE de Conformidad?
Al menos 10 años desde que el producto se pone en el mercado o durante el período de soporte, el plazo que resulte mayor. Un producto puesto en el mercado en 2028 con un período de soporte de 12 años obliga a conservar la documentación hasta 2040. El mismo deber exige al importador garantizar que la documentación técnica pueda ponerse a disposición de las autoridades previa solicitud. El almacenamiento digital es aceptable.
¿Qué debe hacer el importador si la documentación tiene lagunas?
Detener e informar. No comercializar hasta que la laguna esté cerrada. Notificar al fabricante por escrito. Cuando el producto presente un riesgo de ciberseguridad significativo, informar a la autoridad de vigilancia del mercado del Estado miembro afectado. El deber se extiende también a los factores de riesgo no técnicos; las autoridades siguen entonces el procedimiento correspondiente. Las mercancías pueden permanecer en depósito aduanero mientras la laguna está abierta.
¿Qué ocurre con el marcado CE original cuando la entidad de la UE pasa a ser el fabricante?
Deja de cubrir el producto tal como lo comercializa la entidad de la UE. La entidad de la UE emite su propia DoC y fija el CE bajo su propia responsabilidad.
¿Comienza de nuevo el período de soporte de cinco años cuando la entidad de la UE pasa a ser el fabricante?
Sí. El período de soporte corre desde la fecha en que la entidad de la UE pone el producto modificado o con nueva marca en el mercado. El mínimo de cinco años se aplica, con la excepción de que los productos cuyo uso previsto sea inferior a cinco años pueden tomar un período de soporte igual al tiempo de uso previsto. El coste recae en los recursos de soporte y en los contratos con proveedores.
¿Necesita la entidad de la UE un organismo notificado si el fabricante original utilizó uno?
Para productos Importante Clase II o Críticos modificados sustancialmente, casi siempre sí. El certificado original estaba vinculado al producto tal como fue diseñado; la modificación sustancial lo invalida. El cambio de marca sin modificación de un producto Importante Clase II o Crítico también exige una nueva DoC a nombre de la entidad de la UE. Consulta las guías de evaluación de conformidad y clasificación de productos.