La Ley de Ciberresiliencia se aplica a todo producto con elementos digitales que se conecte, directa o indirectamente, a un dispositivo o red y se introduzca en el mercado de la UE. Si esa prueba se cumple y el artículo 2 no le excluye, la siguiente pregunta es qué rol desempeña conforme al artículo 3: fabricante, importador, distribuidor, representante autorizado o administrador de software de código abierto. Esta página es el clasificador previo a comprometerse con un artículo en profundidad.
Resumen
- La prueba de ámbito cabe en una frase (artículo 2, apartado 1). Pivota sobre una "conexión lógica o física de datos, directa o indirecta, a un dispositivo o red", más amplia de lo que muchos equipos suponen.
- El artículo 2 excluye cinco familias de productos. Productos sanitarios, vehículos de motor, aviación civil, equipos marinos y productos desarrollados o modificados exclusivamente con fines de seguridad nacional, defensa o procesamiento de información clasificada.
- Tres roles de operador económico hacen casi todo el trabajo. Fabricante (artículos 13 y 14), importador (artículo 19), distribuidor (artículo 20).
- Atención a la trampa del fabricante presunto (artículo 22). Modificar sustancialmente un producto tras su introducción en el mercado le convierte en fabricante respecto de la parte afectada o del producto en su conjunto.
- Los administradores de software de código abierto tienen un régimen más ligero (artículo 24). Una política de ciberseguridad documentada y un deber de cooperación, no la carga completa del fabricante.
- Los roles múltiples se acumulan al más estricto. Cuando encaje en más de una definición, se aplica el conjunto de obligaciones más pesado.
Cuatro anclajes que deciden si la Ley de Ciberresiliencia se le aplica y con qué intensidad: la prueba de ámbito, las exclusiones, el eje de roles y la trampa del modificador.
El criterio de aplicación: ¿está cubierto su producto?
El artículo 2, apartado 1, define el ámbito de la Ley de Ciberresiliencia en una sola frase:
"El presente Reglamento se aplica a los productos con elementos digitales comercializados en el mercado cuya finalidad prevista o uso razonablemente previsible incluya una conexión lógica o física de datos, directa o indirecta, a un dispositivo o red."
La expresión más consecuente es "conexión lógica o física de datos, directa o indirecta". El artículo 3 define cada componente. Traducción a lenguaje claro:
| Tipo de conexión | Significado en lenguaje claro | Ejemplo real |
|---|---|---|
| Lógica (artículo 3, apartado 8) | Vía de datos virtual implementada a través de una interfaz de software. | Una llamada REST API entre un microservicio y un backend; un topic MQTT entre un dispositivo IoT y un broker. |
| Física (artículo 3, apartado 9) | Conexión a través de interfaces eléctricas, ópticas o mecánicas, cables u ondas de radio. | Un cable Ethernet; un emparejamiento Bluetooth; un bus industrial RS-485. |
| Indirecta (artículo 3, apartado 10) | Conexión que circula a través de un sistema mayor que sí es directamente conectable. | Un sensor que solo dialoga con un hub local, donde el propio hub alcanza internet. El sensor entra en el ámbito a través del hub. |
En la práctica, la cláusula de conexión indirecta es la red más amplia. Un sensor que solo dialoga con un hub local entra en el ámbito si el hub es conectable. Un accesorio sanitario que se empareja con un teléfono por Bluetooth entra en el ámbito a través del teléfono. Un PLC de fábrica que solo alcanza internet a través de una pasarela industrial entra en el ámbito a través de la pasarela. Los fabricantes industriales y de IoT que asumen "sin Wi-Fi no hay CRA" pasan por alto esta cláusula y se saltan el reglamento por completo.
Un "producto con elementos digitales" se define a continuación en el artículo 3, apartado 1, como un producto de software o hardware y sus soluciones de tratamiento de datos a distancia, incluidos los componentes de software o hardware comercializados por separado. Los componentes autónomos comercializados también entran en el ámbito.
Exclusiones del artículo 2
Los apartados 2 a 8 del artículo 2 enumeran lo que queda excluido de la Ley de Ciberresiliencia:
| Lo que se excluye | Fuente |
|---|---|
| Productos sanitarios y productos sanitarios para diagnóstico in vitro | Reglamento (UE) 2017/745 (MDR), Reglamento (UE) 2017/746 (IVDR) |
| Vehículos de motor | Reglamento (UE) 2019/2144 |
| Productos de aviación civil | Reglamento (UE) 2018/1139 |
| Equipos marinos | Directiva 2014/90/UE |
| Piezas de recambio que sustituyan componentes idénticos fabricados conforme a las mismas especificaciones | Artículo 2, apartado 6 |
| Productos desarrollados o modificados exclusivamente con fines de seguridad nacional o defensa | Artículo 2, apartado 7 |
| Información cuya divulgación sería contraria a los intereses esenciales de seguridad de un Estado miembro | Artículo 2, apartado 8 |
El artículo 2, apartado 5, permite además a la Comisión limitar o excluir la aplicación de la Ley de Ciberresiliencia cuando otro acto de la Unión ya cubra los mismos riesgos con un nivel de protección equivalente o superior.
Para el nivel de ciberseguridad de su producto (por defecto, importante de clase I, importante de clase II o crítico), consulte la clasificación de productos de la CRA y la evaluación de la conformidad de la CRA.
El eje de roles: ¿qué operador económico es usted?
El artículo 3 define cuatro roles relevantes para los operadores que introducen productos en el mercado de la UE.
Es fabricante (artículo 3, apartado 13) si desarrolla o manda diseñar y fabricar un producto con elementos digitales y lo comercializa con su propio nombre o marca, ya sea a cambio de un pago o de forma gratuita. Los fabricantes asumen el conjunto completo de obligaciones del artículo 13: diseño basado en el riesgo, gestión de vulnerabilidades conforme al anexo I, parte II, documentación técnica conforme al anexo VII, declaración UE de conformidad, marcado CE y notificación del artículo 14 de incidentes graves y vulnerabilidades activamente explotadas. Comercializar con su propia marca un producto diseñado y construido por un OEM le sigue convirtiendo en fabricante. Consulte obligaciones del fabricante en la CRA.
Es importador (artículo 3, apartado 16) si está establecido en la Unión e introduce en el mercado de la UE un producto con elementos digitales que lleva el nombre o la marca de una persona establecida fuera de la Unión. El artículo 19 exige al importador verificar, antes de introducir el producto, que el fabricante ha realizado la evaluación de la conformidad, ha elaborado la documentación técnica, ha colocado el marcado CE y ha facilitado la declaración UE de conformidad y la información para el usuario requerida. Los importadores deben conservar la documentación durante diez años y cooperar con las autoridades de vigilancia del mercado. Consulte obligaciones del importador en la CRA.
Es distribuidor (artículo 3, apartado 17) si se sitúa en la cadena de suministro, distinto del fabricante o del importador, y comercializa un producto en el mercado de la Unión sin afectar a sus propiedades. El artículo 20 exige al distribuidor verificar, antes de la comercialización, que el marcado CE figura colocado, que la declaración UE de conformidad está disponible y que el fabricante ha facilitado la información y las instrucciones requeridas. Consulte obligaciones del distribuidor en la CRA.
Es representante autorizado (artículo 3, apartado 15) si está establecido en la Unión y dispone de un mandato escrito de un fabricante extracomunitario para actuar por su cuenta. Un fabricante extracomunitario que introduzca productos en el mercado de la UE debe designar un representante autorizado conforme al artículo 18; el representante autorizado es el punto de contacto en la UE para las autoridades de vigilancia del mercado. Consulte el representante autorizado de la CRA.
La trampa del fabricante presunto: artículo 22
El artículo 22, apartado 1, crea un rol de "fabricante presunto": cualquier persona distinta del fabricante, el importador o el distribuidor que lleve a cabo una modificación sustancial de un producto y a continuación comercialice el producto modificado se considera fabricante de ese producto, con todas las obligaciones de los artículos 13 y 14 asociadas.
El artículo 22, apartado 2, fija el alcance de esas obligaciones. Si la modificación solo afecta a una parte del producto, los deberes del fabricante presunto cubren esa parte. Si la modificación tiene impacto en la ciberseguridad del producto en su conjunto, cubren el producto entero.
Una "modificación sustancial" se define en el artículo 3, apartado 30, como un cambio realizado tras la introducción del producto en el mercado que afecta al cumplimiento del producto con los requisitos esenciales de ciberseguridad del anexo I, parte I, o que altera la finalidad prevista para la que el producto fue evaluado originalmente. Dos patrones lo activan en la práctica: reflashear o reembalar un dispositivo de un tercero con firmware propio, e integrar un producto de un tercero en un sistema de un modo que cambia su finalidad prevista. En ambos casos, quien modifica hereda las obligaciones de los artículos 13 y 14 respecto de la parte afectada, o respecto del producto en su conjunto si se ve afectada la ciberseguridad global.
El etiquetado con marca propia no es el artículo 22; es la definición de fabricante del artículo 3, apartado 13. Si comercializa un producto de un tercero con su propia marca, es fabricante desde el origen, no fabricante presunto.
Administradores de software de código abierto: artículo 24
Un administrador de software de código abierto (artículo 3, apartado 14) es una persona jurídica, distinta de un fabricante, cuya finalidad es apoyar de forma sistemática el desarrollo de productos de código abierto específicos destinados a actividades comerciales y garantizar su viabilidad. En la práctica, los administradores son típicamente fundaciones o entidades jurídicas sin ánimo de lucro que sostienen el propio proyecto aguas arriba, no empresas que envían software de código abierto dentro de sus propios productos.
Los deberes son más estrechos que el régimen del fabricante, pero igualmente concretos:
- Documentar una política de ciberseguridad (artículo 24, apartado 1) que fomente el desarrollo seguro del proyecto y la gestión eficaz de vulnerabilidades por parte de sus desarrolladores, incentive la notificación voluntaria de vulnerabilidades conforme al artículo 15 y favorezca el intercambio de información en la comunidad del código abierto.
- Cooperar con las autoridades de vigilancia del mercado (artículo 24, apartado 2) a petición motivada, también facilitando la documentación de la política de ciberseguridad.
Este régimen no se aplica a la mayoría de las empresas que envían software de código abierto dentro de un producto comercial. Si toma una biblioteca de código abierto, la integra en un producto que comercializa e introduce ese producto en el mercado de la UE con su propio nombre, es un fabricante, no un administrador.
Árbol de decisión: identifique su itinerario de cumplimiento
| Si usted... | Es un... | Vaya a... |
|---|---|---|
| Diseña o manda fabricar un producto con elementos digitales que introduce en el mercado de la UE con su nombre o marca | Fabricante (artículos 13 y 14) | Obligaciones del fabricante |
| Está establecido en la UE e introduce en el mercado de la UE un producto que lleva el nombre o la marca de una persona extracomunitaria | Importador (artículo 19) | Obligaciones del importador |
| Está en la cadena de suministro (no fabricante ni importador) y comercializa un producto en el mercado de la UE sin afectar a sus propiedades | Distribuidor (artículo 20) | Obligaciones del distribuidor |
| Lleva a cabo una modificación sustancial de un producto antes de comercializarlo | Fabricante presunto (artículo 22) | Las obligaciones plenas de los artículos 13 y 14 se aplican respecto de la parte afectada o del producto entero |
| Es un fabricante extracomunitario que introduce productos en el mercado de la UE | Fabricante (artículos 13 y 14) y debe designar un representante autorizado (artículo 18) | Representante autorizado |
| Es una persona jurídica que apoya sistemáticamente un proyecto de código abierto como finalidad principal, no la distribución comercial | Administrador OSS (artículos 3, apartado 14, y 24) | Régimen del administrador OSS |
Si encaja en más de un rol, se aplica el conjunto de obligaciones más estricto. Una empresa que desarrolla un producto, lo etiqueta con su marca y lo introduce en el mercado de la UE es fabricante con independencia de qué subcontratistas hayan hecho el diseño o la fabricación; una empresa que importa un producto extracomunitario y lo modifica sustancialmente antes de introducirlo hereda obligaciones de fabricante conforme al artículo 22 además de su condición de importador.
Preguntas frecuentes
Mi producto solo está en una red local. ¿Sigue dentro del ámbito de la CRA?
Probablemente sí. La prueba de ámbito del CRA captura también las conexiones indirectas: un producto entra en el ámbito si se conecta a través de un sistema mayor que sí es conectable. Un sensor en un hub local, un periférico Bluetooth que se empareja con un teléfono o un PLC tras una pasarela industrial entran todos en el ámbito a través del dispositivo al que se conectan. El único caso en que la CRA no se aplica es un producto sin software, sin firmware y sin ruta alguna a otro dispositivo o red (artículos 2(1) y 3(10)).
Opero un servicio SaaS. ¿Se me aplica la CRA?
Por regla general, no. El SaaS se sitúa bajo NIS2, no bajo la CRA. La CRA se aplica a un producto de software o hardware introducido en el mercado. Un servicio puro alojado en la nube no cumple esa definición. La excepción es una solución de tratamiento de datos a distancia suministrada por el fabricante: un componente en la nube necesario para que el producto realice sus funciones entra en el ámbito como parte de ese producto. El SaaS que también envía un cliente instalable (una aplicación de escritorio o móvil, un SDK, un agente local) sitúa la parte instalable dentro del ámbito (artículo 3(1) y (2)).
Revendemos hardware sin modificar con nuestra propia marca. ¿Fabricante o distribuidor?
Fabricante. Quien comercializa un producto con su propio nombre o marca es el fabricante, con independencia de quién lo haya diseñado o construido. El etiquetado de un producto OEM con marca propia es el caso de manual, y hereda el conjunto completo de obligaciones de los artículos 13 y 14. No es la vía del fabricante presunto; es fabricante desde el origen (artículo 3(13); no artículo 22).
Usamos bibliotecas de código abierto en nuestro producto. ¿Somos administradores conforme al artículo 24?
No. Los administradores son típicamente fundaciones o entidades jurídicas sin ánimo de lucro que apoyan sistemáticamente un proyecto de código abierto como finalidad principal. Una empresa que toma una biblioteca de código abierto, la integra en un producto comercial e introduce ese producto en el mercado de la UE es fabricante respecto de ese producto. El régimen más ligero es para la entidad que sostiene el proyecto aguas arriba, no para los consumidores aguas abajo (artículos 3(14) y 24; obligaciones del fabricante en los artículos 13 y 14).
Una empresa extracomunitaria vende directamente a consumidores de la UE a través de nuestro marketplace. ¿Quién es responsable?
Depende de la cadena. El fabricante extracomunitario debe designar un representante autorizado; si no lo hace, un importador establecido en la UE (el operador que introduce el producto en el mercado de la UE) hereda parte de los deberes. Un marketplace que solo intermedia y no introduce los productos en el mercado por sí mismo, por regla general, no es el importador; si el marketplace es titular del listado o gestiona el pedido desde stock en la UE, cruza al territorio del importador. Analice el flujo real de la transacción antes de decidir (artículos 18 y 19).