El Reglamento de Ciberresiliencia se aplica a cualquier producto con elementos digitales que se conecte, directa o indirectamente, a un dispositivo o red y se introduzca en el mercado de la UE. Si esa prueba se cumple y no encajas en ninguna exclusión, la siguiente pregunta es qué rol desempeñas en la cadena de suministro de la UE: fabricante, importador, distribuidor, representante autorizado o administrador de código abierto. Esta página es el clasificador previo antes de comprometerte con un artículo en profundidad.
Resumen
- La prueba de ámbito cabe en una frase. Pivota sobre una conexión lógica o física de datos, directa o indirecta, a un dispositivo o red, más amplia de lo que la mayoría de los equipos suponen.
- Las exclusiones principales incluyen regímenes sectoriales, recambios y defensa. Productos sanitarios, vehículos de motor, aviación civil, equipos marinos, recambios idénticos y productos desarrollados o modificados exclusivamente con fines de seguridad nacional, defensa o tratamiento de información clasificada.
- Tres roles de operador económico hacen casi todo el trabajo. Fabricante, importador, distribuidor.
- Atención al interruptor de obligaciones de fabricante. Los importadores y distribuidores que usan su propia marca o modifican sustancialmente un producto se tratan como fabricantes; otros terceros que realizan modificaciones sustanciales quedan cubiertos por separado.
- Los administradores de código abierto tienen un régimen más ligero. Una política de ciberseguridad documentada y un deber de cooperación, no la carga completa del fabricante.
- Los roles múltiples se acumulan al más estricto. Cuando encajes en más de una definición, se aplica el conjunto de obligaciones más pesado.
Cuatro anclajes que deciden si el CRA se te aplica y con qué intensidad: la prueba de ámbito, las exclusiones, el eje de roles y el interruptor de obligaciones de fabricante.
¿Se aplica el CRA a tu producto?
Empieza por el producto, no por la cita legal. La primera prueba de ámbito del CRA es si comercializas software, hardware o un componente digital en el mercado de la UE, y si su finalidad prevista o uso razonablemente previsible incluye una conexión lógica o física de datos, directa o indirecta, a un dispositivo o red.
La expresión más consecuente es "conexión lógica o física de datos, directa o indirecta". En lenguaje claro:
| Tipo de conexión | Significado en lenguaje claro | Ejemplo real |
|---|---|---|
| Lógica | Vía de datos virtual implementada a través de una interfaz de software. | Una llamada REST API entre un microservicio y un backend; un topic MQTT entre un dispositivo IoT y un broker. |
| Física | Conexión a través de interfaces eléctricas, ópticas o mecánicas, cables u ondas de radio. | Un cable Ethernet; un emparejamiento Bluetooth; un bus industrial RS-485. |
| Indirecta | Conexión que circula a través de un sistema mayor que sí es directamente conectable. | Un sensor que solo dialoga con un hub local, donde el propio hub alcanza internet. El sensor entra en el ámbito a través del hub. |
La cláusula de conexión indirecta es la red más amplia. Un sensor que solo dialoga con un hub local entra en el ámbito si el hub es conectable. Un accesorio de sensor que se empareja con un teléfono por Bluetooth entra en el ámbito a través del teléfono. Un PLC de fábrica que solo alcanza internet a través de una pasarela industrial entra en el ámbito a través de la pasarela. Los fabricantes industriales y de IoT que asumen "sin Wi-Fi no hay CRA" pasan por alto esta cláusula y se saltan el reglamento por completo.
Un "producto con elementos digitales" cubre entonces productos de software o de hardware y sus soluciones de tratamiento de datos a distancia, incluidos los componentes de software o hardware comercializados por separado. Los componentes autónomos comercializados también entran en el ámbito.
Sectores ya regulados por otra normativa
Algunos sectores quedan fuera del CRA con independencia de las pruebas de umbral anteriores, porque ya están cubiertos por sus propios regímenes de ciberseguridad.
| Sector | Regulado en su lugar por | Excluido por |
|---|---|---|
| Productos sanitarios | Reglamento (UE) 2017/745 (MDR) | Artículo 2(2), letra (a) |
| Productos sanitarios para diagnóstico in vitro | Reglamento (UE) 2017/746 (IVDR) | Artículo 2(2), letra (b) |
| Vehículos de motor | Reglamento (UE) 2019/2144 | Artículo 2(2), letra (c) |
| Productos de aviación civil certificados | Reglamento (UE) 2018/1139 | Artículo 2(3) |
| Equipos marinos | Directiva 2014/90/UE | Artículo 2(4) |
| Piezas de recambio (que sustituyen componentes idénticos) | No aplicable; fuera del ámbito por definición | Artículo 2(6) |
| Productos de seguridad nacional, defensa e información clasificada | Competencia del Estado miembro | Artículo 2(7) |
La Comisión podrá además limitar o excluir la aplicación del CRA cuando otro acto de la Unión ya cubra los mismos riesgos con un nivel de protección equivalente o superior.
Para el nivel de ciberseguridad de tu producto (por defecto, importante de clase I, importante de clase II o crítico), consulta la clasificación de productos CRA y la evaluación de la conformidad CRA.
Roles CRA: ¿fabricante, importador, distribuidor o representante autorizado?
Una vez que el producto está dentro del ámbito, tus obligaciones bajo el CRA dependen de lo que hagas en la cadena de suministro de la UE: qué marca aparece en el producto, quién lo introduce en la Unión, quién lo comercializa y si alguien lo modifica antes de revenderlo.
Fabricante
Comercializas el producto bajo tu propio nombre o marca. Desarrollas o mandas diseñar y fabricar un producto con elementos digitales y lo comercializas con tu propia marca, ya sea a cambio de un pago o de forma gratuita. Los fabricantes asumen el conjunto completo de obligaciones: diseño basado en el riesgo, gestión de vulnerabilidades, documentación técnica, declaración UE de conformidad, marcado CE y notificación de incidentes graves y vulnerabilidades activamente explotadas. Comercializar con tu propia marca un producto diseñado y construido por un OEM te sigue convirtiendo en fabricante. Consulta obligaciones del fabricante CRA.
Importador
Estás establecido en la UE e introduces en el mercado de la UE un producto con marca extracomunitaria. Antes de introducir el producto, debes verificar que el fabricante ha realizado la evaluación de la conformidad, ha elaborado la documentación técnica, ha colocado el marcado CE y ha facilitado la declaración UE de conformidad y la información para el usuario requerida. Los importadores deben conservar la documentación durante diez años y cooperar con las autoridades de vigilancia del mercado. Consulta obligaciones del importador CRA.
Distribuidor
Comercializas un producto en el mercado de la Unión sin afectar a sus propiedades. Te sitúas en la cadena de suministro, distinto del fabricante o del importador. Antes de comercializar el producto, debes verificar que el marcado CE figura colocado, que la declaración UE de conformidad está disponible y que el fabricante ha facilitado la información y las instrucciones requeridas. Consulta obligaciones del distribuidor CRA.
Representante autorizado
Estás establecido en la UE en virtud de un mandato escrito de un fabricante. El CRA permite que un fabricante designe a un representante autorizado mediante mandato escrito, pero la designación no es automática ni obligatoria solo porque el fabricante esté fuera de la UE. El representante actúa dentro de las tareas mandatadas. Consulta el representante autorizado CRA.
Modificaciones de producto: cuándo te conviertes en fabricante
Te sitúas en la cadena de suministro detrás de un fabricante tercero. Aplica las dos comprobaciones siguientes antes de asumir que sigues siendo importador o distribuidor.
Colocar tu propia marca sobre el producto de otra persona te convierte en fabricante desde el origen, no en fabricante presunto.
Una modificación sustancial afecta al cumplimiento de los requisitos esenciales de ciberseguridad, o altera la finalidad prevista para la que el producto fue evaluado originalmente.
Modificar el producto de otra persona puede hacerte responsable como fabricante. Un importador o distribuidor se considera fabricante si vende el producto con su propio nombre o marca, o si modifica sustancialmente un producto que ya está en el mercado. El mismo tratamiento de fabricante se aplica a cualquier otra persona física o jurídica que modifique sustancialmente un producto y luego comercialice el producto modificado.
Para otros terceros que realizan modificaciones, la responsabilidad sigue el impacto en la ciberseguridad: los deberes del fabricante se aplican a la parte del producto afectada por la modificación, salvo que el cambio afecte a la ciberseguridad del producto en su conjunto; en ese caso, los deberes cubren todo el producto.
Una "modificación sustancial" es un cambio realizado tras la introducción del producto en el mercado que, bien afecta al cumplimiento del producto con los requisitos esenciales de ciberseguridad, bien altera la finalidad prevista para la que el producto fue evaluado originalmente. Dos patrones lo activan con mayor frecuencia: reflashear o reembalar un dispositivo de un tercero con firmware propio, e integrar un producto de un tercero en un sistema de un modo que cambia su finalidad prevista.
El etiquetado con marca propia no es un detonante de modificación sustancial; es la definición misma de fabricante, y se aplica desde el origen.
Administradores de código abierto
Un administrador de código abierto es una persona jurídica, distinta de un fabricante, cuya finalidad es apoyar de forma sistemática el desarrollo de productos de código abierto específicos destinados a actividades comerciales y garantizar su viabilidad. En la práctica, los administradores son típicamente fundaciones o entidades jurídicas sin ánimo de lucro que sostienen el propio proyecto aguas arriba, no empresas que envían software de código abierto dentro de sus propios productos.
Los deberes son más estrechos que el régimen del fabricante, pero igualmente concretos:
- Documentar una política de ciberseguridad que fomente el desarrollo seguro del proyecto y la gestión eficaz de vulnerabilidades por parte de sus desarrolladores, incentive la notificación voluntaria de vulnerabilidades y favorezca el intercambio de información en la comunidad del código abierto.
- Cooperar con las autoridades de vigilancia del mercado a petición motivada, también facilitando la documentación de la política de ciberseguridad.
Este régimen no se aplica a la mayoría de las empresas que envían software de código abierto dentro de un producto comercial. Si tomas una biblioteca de código abierto, la integras en un producto que comercializas e introduces ese producto en el mercado de la UE con tu propio nombre, eres fabricante, no administrador.
Árbol de decisión: identifica tu itinerario de cumplimiento
| Si tú... | Eres un... | Ve a... |
|---|---|---|
| Diseñas o mandas fabricar un producto con elementos digitales que introduces en el mercado de la UE con tu nombre o marca | Fabricante | Obligaciones del fabricante |
| Estás establecido en la UE e introduces en el mercado de la UE un producto que lleva el nombre o la marca de una persona extracomunitaria | Importador | Obligaciones del importador |
| Te sitúas en la cadena de suministro (no fabricante ni importador) y comercializas un producto en el mercado de la UE sin afectar a sus propiedades | Distribuidor | Obligaciones del distribuidor |
| Como importador o distribuidor, vendes con tu propio nombre o marca, o modificas sustancialmente un producto ya introducido en el mercado | Se aplican las obligaciones de fabricante | Se aplican las obligaciones plenas de fabricante |
| Como otro tercero, modificas sustancialmente un producto y lo comercializas | Se aplican las obligaciones de fabricante | Se aplican las obligaciones plenas de fabricante respecto de la parte afectada o del producto en su conjunto |
| Eres un fabricante extracomunitario que introduce productos en el mercado de la UE y designa a un mandatario en la UE | Fabricante, con un representante autorizado que actúa solo dentro del mandato escrito | Representante autorizado |
| Eres una persona jurídica que apoya sistemáticamente un proyecto de código abierto como finalidad principal, no la distribución comercial | Administrador de código abierto | Régimen del administrador de código abierto |
Si encajas en más de un rol, se aplica el conjunto de obligaciones más estricto. Una empresa que desarrolla un producto, lo etiqueta con su marca y lo introduce en el mercado de la UE es fabricante con independencia de qué subcontratistas hayan hecho el diseño o la fabricación; un importador o distribuidor que modifique sustancialmente un producto ya introducido en el mercado se trata como fabricante.
Errores frecuentes
| Error | Por qué falla |
|---|---|
| "Solo operamos en una red local, así que el CRA no se aplica." | La cláusula de conexión indirecta atrapa cualquier cosa que alcance un sistema conectable a través de un hub, un teléfono o una pasarela. |
| "Reetiquetamos el producto del OEM, así que somos el distribuidor." | Comercializar con tu propio nombre o marca te convierte en fabricante desde el origen, no en fabricante presunto. |
| "Usamos bibliotecas de código abierto en nuestro producto, así que somos administradores." | Los administradores sostienen proyectos aguas arriba como finalidad principal; los consumidores aguas abajo de software de código abierto son fabricantes respecto del producto que comercializan. |
| "Nuestro marketplace solo intermedia para vendedores extracomunitarios, así que no tenemos deberes." | Un marketplace que mantiene stock en la UE o es titular del listado cruza al territorio del importador y hereda los deberes de verificación y conservación. |
Preguntas frecuentes
Mi producto solo está en una red local. ¿Sigue dentro del ámbito del CRA?
Probablemente sí. La prueba de ámbito captura también las conexiones indirectas: un producto entra en el ámbito si se conecta a través de un sistema mayor que sí es conectable. Un sensor en un hub local, un periférico Bluetooth que se empareja con un teléfono o un PLC tras una pasarela industrial entran todos en el ámbito a través del dispositivo al que se conectan. El único producto que queda fuera es el que no tiene software, ni firmware, ni ruta alguna a otro dispositivo o red.
Opero un servicio SaaS. ¿Se me aplica el CRA?
Respuesta corta: no. El SaaS se sitúa bajo NIS2, no bajo el CRA, que cubre productos de software o hardware introducidos en el mercado. Un servicio puro alojado en la nube no encaja en esa definición. Dos excepciones a vigilar: una solución de tratamiento de datos a distancia suministrada por el fabricante, cuando ese componente en la nube sea necesario para que el producto realice sus funciones, entra en el ámbito como parte de ese producto; y un SaaS que también envíe un cliente instalable (una aplicación de escritorio o móvil, un SDK, un agente local) sitúa la parte instalable dentro del ámbito.
Revendemos hardware sin modificar con nuestra propia marca. ¿Fabricante o distribuidor?
Fabricante. Quien comercializa un producto con su propio nombre o marca es el fabricante, con independencia de quién lo haya diseñado o construido. Etiquetar con marca propia un producto OEM es el caso de manual, y hereda el conjunto completo de obligaciones del fabricante. No es la vía del fabricante presunto; eres fabricante desde el origen.
Usamos bibliotecas de código abierto en nuestro producto. ¿Somos administradores?
No. Los administradores son típicamente fundaciones o entidades jurídicas sin ánimo de lucro que apoyan sistemáticamente un proyecto de código abierto como finalidad principal. Una empresa que toma una biblioteca de código abierto, la integra en un producto comercial e introduce ese producto en el mercado de la UE es fabricante respecto de ese producto. El régimen más ligero cubre a la entidad que sostiene el proyecto aguas arriba, no a los consumidores aguas abajo.
Una empresa extracomunitaria vende directamente a consumidores de la UE a través de nuestro marketplace. ¿Quién es responsable?
Depende de la cadena. El CRA permite que el fabricante extracomunitario designe a un representante autorizado mediante mandato escrito, pero la cuestión del importador depende de quién introduce el producto en el mercado de la UE y qué operador está establecido en la UE. Un marketplace que solo intermedia y no introduce los productos en el mercado por sí mismo, por regla general, no es el importador; si el marketplace es titular del listado o gestiona el pedido desde stock en la UE, cruza al territorio del importador. Analiza el flujo real de la transacción antes de decidir.