El representante autorizado conforme al artículo 18 es una persona establecida en la Unión a la que un fabricante puede pedir, mediante mandato escrito, que realice por su cuenta tareas concretas del Reglamento de Ciberresiliencia. A diferencia del Reglamento sobre productos sanitarios (artículo 11) o de la Directiva sobre equipos radioeléctricos (artículo 5), el Reglamento de Ciberresiliencia no exige representante autorizado a los fabricantes establecidos fuera de la UE. La designación es opcional. Esta página cubre cuándo merece la pena designarlo, qué puede y qué no puede hacer conforme al artículo 18, apartados 2 y 3, cómo se sitúa junto al importador del artículo 19 y qué buscar al elegir socio.
Resumen
- El artículo 18, apartado 1, es permisivo. «El fabricante podrá designar a un representante autorizado mediante mandato escrito.» La designación es opcional. El Reglamento de Ciberresiliencia no penaliza la ausencia de representante autorizado.
- El artículo 18, apartado 3, fija el alcance máximo de lo que el representante autorizado puede hacer: mantener la declaración UE de conformidad y la documentación técnica durante al menos 10 años (o durante el período de soporte si este plazo fuera más largo); facilitar esa documentación a las autoridades de vigilancia del mercado previa solicitud motivada; cooperar en cualquier acción destinada a eliminar los riesgos planteados por el producto.
- El artículo 18, apartado 2, excluye las obligaciones sustantivas: el artículo 13, apartados 1 a 11, el artículo 13, apartado 12, párrafo primero, y el artículo 13, apartado 14, no pueden delegarse. Los requisitos esenciales del anexo I, la gestión de vulnerabilidades, la evaluación de la conformidad y los controles de la producción en serie permanecen en el fabricante.
- Representante autorizado e importador son papeles independientes. El representante autorizado existe únicamente cuando el fabricante firma un mandato. El importador existe por definición conforme al artículo 3, punto 16, siempre que una persona establecida en la Unión introduce en el mercado el producto de un fabricante establecido fuera de la UE. Ninguno sustituye al otro.
- La exposición a sanciones se divide por artículo. Un incumplimiento del fabricante de los artículos 13 o 14 puede alcanzar 15.000.000 EUR o el 2,5 % de la facturación mundial anual total conforme al artículo 64, apartado 2, el importe que sea mayor. Un incumplimiento del representante autorizado de su mandato del artículo 18 queda bajo el artículo 64, apartado 3: hasta 10.000.000 EUR o el 2 %, el importe que sea mayor. La multa recae en la persona jurídica cuyo deber se incumple.
- Plazos: la notificación de vulnerabilidades e incidentes del artículo 14 comienza el 11 de septiembre de 2026. El resto del régimen comienza el 11 de diciembre de 2027 (artículo 71). Cuando se firme, el mandato del representante autorizado debe alinearse con estas fechas.
¿Debes designar un representante autorizado?
El artículo 18, apartado 1, es permisivo, por lo que la decisión es operativa, no jurídica. Los factores siguientes cubren los argumentos habituales. Ninguno crea una obligación legal; el Reglamento de Ciberresiliencia no penaliza la ausencia de representante autorizado.
| Factor | A favor de designar | A favor de no designar |
|---|---|---|
| Presencia del fabricante en la UE | El fabricante está establecido fuera de la Unión y no tiene ninguna oficina en la UE que pueda gestionar de forma creíble la correspondencia con las autoridades de vigilancia del mercado. | El fabricante está establecido en la Unión o tiene una filial en la UE que ya gestiona la correspondencia regulatoria. |
| Otros instrumentos de la UE | El producto también queda cubierto por el MDR o la RED, que sí exigen un representante autorizado a los fabricantes establecidos fuera de la UE. Reutilizar la misma firma para el alcance del Reglamento de Ciberresiliencia es operativamente más sencillo. | El producto solo entra en el ámbito del Reglamento de Ciberresiliencia y no existe ninguna obligación paralela de representante autorizado bajo el MDR o la RED. |
| Correspondencia con las autoridades | Quieres que la correspondencia con las autoridades de vigilancia del mercado pase por un contacto local en la UE, en el idioma y la franja horaria del Estado miembro correspondiente. | No tienes problema en responder directamente desde la sede del fabricante a las solicitudes motivadas previstas en el artículo 18, apartado 3, letra b). |
| Custodia documental | Quieres que la conservación durante 10 años de la declaración UE de conformidad y de la documentación técnica esté en manos de un custodio establecido en la Unión. | Ya operas una plataforma de evidencias interna que mantiene la documentación accesible a las autoridades previa solicitud. |
| Ruta del importador | Tienes varios importadores y distribuidores en la UE y quieres un único representante autorizado nombrado en todo el canal, en lugar de fragmentar la responsabilidad. | Tienes un único importador de confianza en la UE que ya gestiona las verificaciones del artículo 19 y la conservación documental. |
La mayoría de los fabricantes establecidos fuera de la UE en sectores regulados acaban designando un representante autorizado porque la simplificación operativa compensa el coste del mandato, no porque el Reglamento de Ciberresiliencia se lo imponga.
De qué responde el representante autorizado: artículo 18, apartado 3
El alcance del mandato lo fija el fabricante por escrito, pero debe permitir al representante autorizado realizar como mínimo las tres funciones siguientes. Son las que las autoridades de vigilancia del mercado revisarán primero.
| Artículo | Función | Texto literal |
|---|---|---|
| 18, ap. 3, letra a) | Mantener la declaración UE de conformidad y la documentación técnica del anexo VII durante al menos 10 años desde la introducción en el mercado, o durante el período de soporte si este plazo fuera más largo. | «mantener la declaración UE de conformidad a que se refiere el artículo 28 y la documentación técnica a que se refiere el artículo 31 a disposición de las autoridades de vigilancia del mercado durante un mínimo de diez años a partir de la introducción en el mercado del producto con elementos digitales, o durante el período de soporte si este plazo fuera más largo» |
| 18, ap. 3, letra b) | Facilitar toda la información y documentación necesaria para demostrar la conformidad, previa solicitud motivada de una autoridad de vigilancia del mercado. | «en respuesta a una solicitud motivada de una autoridad de vigilancia del mercado, facilitar a dicha autoridad toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales» |
| 18, ap. 3, letra c) | Cooperar con las autoridades de vigilancia del mercado, a petición de estas, en cualquier acción destinada a eliminar los riesgos planteados por el producto. | «cooperar con las autoridades de vigilancia del mercado, a petición de estas, en cualquier acción destinada a eliminar los riesgos planteados por un producto con elementos digitales objeto del mandato del representante autorizado» |
El propio mandato es además un documento controlado. Conforme al artículo 18, apartado 3, párrafo primero, el representante autorizado debe facilitar copia del mandato a las autoridades de vigilancia del mercado a petición de estas.
Qué permanece en el fabricante: artículo 18, apartado 2
El artículo 18, apartado 2, excluye expresamente del mandato del representante autorizado obligaciones concretas del fabricante. No pueden delegarse, con independencia de lo que diga el texto del mandato.
| Alcance excluido | Qué cubre |
|---|---|
| Artículo 13, apartados 1 a 11 | Cumplimiento del anexo I, parte I, evaluación del riesgo de ciberseguridad conforme al artículo 13, apartados 2 a 4, diligencia debida sobre componentes conforme al artículo 13, apartados 5 a 7, determinación del período de soporte conforme al artículo 13, apartado 8, disponibilidad de las actualizaciones de seguridad conforme al artículo 13, apartado 9, y reglas sobre versiones de software sustancialmente modificadas conforme al artículo 13, apartados 10 y 11. |
| Artículo 13, apartado 12, párrafo primero | Elaboración de la documentación técnica del anexo VII conforme al artículo 31 y realización de la evaluación de la conformidad conforme al artículo 32. El representante autorizado podrá conservar el expediente resultante en virtud del artículo 18, apartado 3, letra a), pero no podrá elaborarlo. |
| Artículo 13, apartado 14 | Los controles de la producción en serie. El fabricante es la entidad que garantiza la conformidad continuada de la serie de productos que introduce en el mercado. |
La línea práctica es nítida: ingeniería, evaluación del riesgo, gestión de vulnerabilidades, evaluación de la conformidad y controles de la producción en serie permanecen en el fabricante. El representante autorizado es un custodio documental y una interfaz con las autoridades, no un fabricante sustituto.
Representante autorizado e importador: papeles independientes
El representante autorizado del artículo 18 y el importador del artículo 19 son papeles separados con desencadenantes distintos. El representante autorizado existe cuando el fabricante decide designarlo; el importador existe por el hecho comercial de que una persona establecida en la Unión introduce en el mercado el producto de un fabricante no establecido en la UE. Ninguno sustituye al otro en ninguna dirección.
| Representante autorizado (artículo 18) | Importador en la UE (artículo 19) | |
|---|---|---|
| Desencadenante | Opcional. El fabricante podrá designar un representante autorizado mediante mandato escrito (artículo 18, apartado 1). | Condición por definición. Toda persona establecida en la Unión que introduce en el mercado un producto que lleva el nombre o la marca de un fabricante establecido fuera de la UE es el importador (artículo 3, punto 16). |
| Se origina por | Mandato escrito del fabricante a una persona física o jurídica establecida en la Unión. | El canal de suministro comercial. Sin designación ni mandato. |
| Alcance máximo | Mantener la declaración UE de conformidad y la documentación técnica durante 10 años o más; facilitarlas a las autoridades de vigilancia del mercado previa solicitud motivada; cooperar en las acciones correctoras (artículo 18, apartado 3). El artículo 18, apartado 2, excluye las obligaciones sustantivas del artículo 13. | Verificar la evaluación de la conformidad, el marcado CE, la declaración UE de conformidad y las instrucciones para el usuario; conservar la documentación durante 10 años o más; cooperar con las autoridades; notificar las sospechas de no conformidad y las vulnerabilidades de las que se tenga conocimiento (artículo 19, apartados 1 a 8). |
| ¿Sustituye al otro? | No. Designar un representante autorizado no exime de las obligaciones del importador a quien introduzca el producto en el mercado de la Unión. | No. Las obligaciones del importador del artículo 19 son independientes. Ni crean ni eliminan la designación de representante autorizado. |
| ¿Puede ser la misma entidad? | Sí. Una misma firma establecida en la Unión puede asumir el mandato de representante autorizado y el papel de importador, con documentación escrita separada y un seguro que cubra ambos. | Igual. |
Implicación práctica: la decisión de designar un representante autorizado es independiente de quién importa el producto. Un importador en la UE no libera al fabricante de ninguna obligación de ciberseguridad, y un representante autorizado no libera al importador de ninguna obligación del artículo 19. Si quieres que un único socio en la UE asuma ambos papeles, está permitido; necesitas un mandato escrito de representación distinto del contrato comercial de suministro y un seguro que cubra ambas funciones.
Qué buscar al designar un representante autorizado
Si tu mapa de proveedores incluye firmas con experiencia en MDR, RED o RoHS, ese es un buen punto de partida. Las verificaciones específicas del Reglamento de Ciberresiliencia que aparecen a continuación son las que separan un representante autorizado solvente de otro que tendrá problemas en cuanto llegue la primera carta de las autoridades.
| Verificación | Cómo se ve un buen resultado |
|---|---|
| Domicilio | Persona jurídica establecida en la Unión en un Estado miembro, con domicilio social y un punto de contacto local. |
| Seguro | Seguro de responsabilidad civil profesional con cobertura ampliada explícitamente al alcance del Reglamento de Ciberresiliencia y a las clasificaciones de productos del anexo III. |
| Experiencia sectorial | Trayectoria demostrable bajo el MDR, el acto delegado de ciberseguridad de la RED o la RoHS. Son las firmas que hoy están reorientándose con credibilidad al trabajo del Reglamento de Ciberresiliencia. |
| Custodia documental | Plataforma que cumple la obligación de conservación durante 10 años conforme al artículo 18, apartado 3, letra a), con una pista de auditoría inalterable y exportaciones listas para las autoridades. |
| Rendición de cuentas | Una persona física nombrada que rinde cuentas ante las autoridades, no un buzón genérico del departamento jurídico. |
| Idioma | Capacidad para gestionar la cooperación en acciones correctoras prevista en el artículo 18, apartado 3, letra c), en el idioma de la autoridad del Estado miembro correspondiente. |
El propio mandato debería recoger íntegramente el artículo 18, apartado 3, reiterar las exclusiones del artículo 18, apartado 2, fijar las condiciones de preaviso y resolución y definir el traspaso cuando el fabricante cambie de representante autorizado. Conviene que lo revise un abogado con experiencia en cumplimiento de productos en la UE.
Errores comunes
| Afirmación | Por qué falla |
|---|---|
| «Estamos establecidos fuera de la UE, así que tenemos que designar un representante autorizado.» | El artículo 18, apartado 1, es permisivo. El Reglamento de Ciberresiliencia no exige representante autorizado ni siquiera a los fabricantes establecidos fuera de la UE. El artículo 11 del MDR y el artículo 5 de la RED sí; el Reglamento de Ciberresiliencia no. |
| «Nuestro importador en la UE es también nuestro representante autorizado; un solo contrato cubre ambos papeles.» | Los papeles son jurídicamente distintos. Las obligaciones del artículo 19 recaen en quien introduce el producto en el mercado; las del artículo 18, en quien firma el mandato escrito. Puedes combinar la entidad si quieres, pero documenta las dos funciones por separado. |
| «El representante autorizado firma nuestra declaración UE de conformidad.» | No. La declaración UE de conformidad la elabora y la firma el fabricante conforme al artículo 28. El representante autorizado la conserva conforme al artículo 18, apartado 3, letra a). |
| «Hemos delegado la gestión de vulnerabilidades en el representante autorizado.» | El artículo 18, apartado 2, excluye el artículo 13, apartados 1 a 11. La gestión de vulnerabilidades del anexo I, parte II, permanece en el fabricante. |
| «El representante autorizado se encarga de nuestra notificación del artículo 14.» | El artículo 14 es un deber del fabricante. El representante autorizado puede apoyar las comunicaciones, pero la obligación de notificar recae en el fabricante. |
| «El mandato cubre todos nuestros productos para siempre.» | Los mandatos son escritos, tienen plazo y un alcance de producto delimitado. Hay que actualizarlos con cada nueva línea de producto, con cada cambio sustancial y con cada cambio de representante autorizado. |
| «No necesitamos un mandato del Reglamento de Ciberresiliencia; basta con nuestro mandato MDR.» | El alcance del mandato MDR es específico del sector sanitario y no se extiende a las funciones del Reglamento de Ciberresiliencia. Hay que rehacer un mandato propio del Reglamento de Ciberresiliencia que recoja el artículo 18, apartado 3, y las exclusiones del artículo 18, apartado 2. |
| «El representante autorizado responde de los defectos del producto.» | El representante autorizado solo responde de las funciones recogidas en el mandato, acotadas por el artículo 18, apartado 3. La responsabilidad por defectos del producto y las obligaciones de ciberseguridad subyacentes permanecen en el fabricante. |
Preguntas frecuentes
¿Es obligatorio designar un representante autorizado en el Reglamento de Ciberresiliencia?
No. El artículo 18(1) dice, textualmente: «Un fabricante podrá designar a un representante autorizado mediante mandato escrito.» El Reglamento de Ciberresiliencia no exige la designación como condición para introducir productos en el mercado de la Unión, ni siquiera a los fabricantes establecidos fuera de la UE. Si el producto también queda cubierto por el MDR o la RED, la obligación de representante autorizado de esos instrumentos sigue aplicándose. (Artículo 18(1); MDR Artículo 11; RED Artículo 5.)
¿Por qué un fabricante establecido fuera de la UE designaría igualmente un representante autorizado en el Reglamento de Ciberresiliencia?
Simplificación operativa, no obligación legal. Un único punto de contacto establecido en la Unión reduce la fricción con las autoridades de vigilancia del mercado, que prefieren tratar con una entidad en su jurisdicción e idioma. El representante autorizado puede mantener localmente la declaración UE de conformidad y la documentación técnica durante el plazo de 10 años. Muchos fabricantes no establecidos en la UE ya tienen representante autorizado para MDR o RED y les resulta más sencillo extender ese acuerdo al alcance del Reglamento de Ciberresiliencia. Un representante autorizado claramente identificado también acorta los tiempos de respuesta cuando llega una solicitud motivada. (Artículo 18(3)(a) y (b).)
¿Qué puede y qué no puede delegarse en el representante autorizado del Reglamento de Ciberresiliencia?
Las obligaciones sustantivas de ciberseguridad no pueden delegarse; solo la custodia documental y la cooperación con autoridades. Los requisitos esenciales, la gestión de vulnerabilidades, la evaluación de la conformidad y los controles de la producción en serie permanecen en el fabricante. El alcance máximo del mandato cubre tres cosas: mantener la declaración UE de conformidad y la documentación técnica durante 10 años o más, facilitar información y documentación a las autoridades previa solicitud motivada, y cooperar en cualquier acción destinada a eliminar los riesgos. (Artículo 18(2); Artículo 18(3); Artículo 13(1) a (11), 13(12) párrafo primero y 13(14).)
¿Qué diferencia hay entre el representante autorizado del Reglamento de Ciberresiliencia y un importador en la UE?
Son funciones independientes. El importador es la persona establecida en la Unión que introduce en el mercado un producto que lleva el nombre o la marca de un fabricante no establecido en la UE, y asume las obligaciones del artículo 19 con independencia de que exista un representante autorizado. El representante autorizado, cuando se designa, asume las tareas recogidas en el mandato. No se sustituyen: el papel del importador lo activa el canal comercial de suministro; el del representante autorizado, un mandato escrito. Una misma entidad de la UE puede asumir ambos, con documentación separada. (Artículo 3(16); Artículo 18(1) y 18(3); Artículo 19.)
¿Puede mi importador o distribuidor en la UE actuar como representante autorizado?
Sí. El Reglamento de Ciberresiliencia no prohíbe que una misma entidad establecida en la Unión asuma a la vez el papel comercial de importador o distribuidor y el mandato de representante autorizado. Las funciones siguen siendo jurídicamente distintas: el importador asume las obligaciones derivadas de la relación comercial de suministro; el representante autorizado, las derivadas de un mandato escrito. Para combinarlos necesitas un mandato escrito de representación distinto, un seguro de responsabilidad civil profesional suficiente para ambos papeles y una línea contractual clara entre las dos funciones. (Artículo 18(1) y 18(3); Artículo 19; Artículo 20.)
¿Responde el representante autorizado de los defectos del producto o solo de las obligaciones documentales?
No. El representante autorizado responde solo por las obligaciones de documentación y cooperación previstas en el mandato; la responsabilidad por defectos de producto y las obligaciones sustantivas de ciberseguridad permanecen en el fabricante. El alcance máximo del mandato se limita a la custodia documental, la capacidad de respuesta a las autoridades y la cooperación en acciones correctoras. Las obligaciones sustantivas del artículo 13 no pueden incorporarse al mandato. La normativa nacional de algunos Estados miembros puede ampliar la exposición del representante autorizado, así que conviene redactar el mandato con cuidado. (Artículo 18(2); Artículo 18(3).)
¿Es lo mismo un representante autorizado del Reglamento de Ciberresiliencia que uno del MDR o de la RED?
No, los regímenes coinciden parcialmente, pero no son intercambiables. El MDR exige la designación a los fabricantes no establecidos en la UE e impone funciones más amplias propias del sector sanitario, incluida la vigilancia. La RED también la exige a los fabricantes no establecidos en la UE. El Reglamento de Ciberresiliencia la deja como opcional y acota las funciones a documentación, solicitudes de las autoridades y cooperación en acciones correctoras. Una firma con experiencia previa en MDR o RED es un buen punto de partida, pero el mandato debe rehacerse para ajustarse al alcance del Reglamento de Ciberresiliencia y a las reglas de indelegabilidad. (Artículo 18(1), 18(2) y 18(3); MDR Artículo 11; RED Artículo 5.)
¿El representante autorizado firma la declaración UE de conformidad?
No. La declaración UE de conformidad la elabora y la firma el fabricante. El representante autorizado, cuando se designa, mantiene la declaración firmada y la documentación técnica a disposición de las autoridades de vigilancia del mercado, pero el acto de declarar la conformidad es responsabilidad del fabricante y queda expresamente fuera del mandato. (Artículo 28; Artículo 18(3)(a); Artículo 18(2).)
¿Puedo cambiar de representante autorizado tras la designación?
Sí. El mandato es un contrato entre el fabricante y el representante autorizado, y cualquiera de las partes puede resolverlo en sus términos. Al producirse el cambio, el nuevo representante autorizado asume la custodia de la documentación técnica y de la declaración UE de conformidad, y el fabricante debe actualizar la información de contacto comunicada a las autoridades de vigilancia del mercado. Conviene prever un paso explícito de traspaso en la plantilla del mandato. (Artículo 18(1); Artículo 18(3)(a).)