Un representante autorizado CRA es una persona o empresa establecida en la UE a quien el fabricante puede designar mediante mandato escrito para custodiar documentos de cumplimiento, responder a solicitudes motivadas de las autoridades y cooperar con la vigilancia del mercado. La designación es opcional bajo el Reglamento de Ciberresiliencia, también para fabricantes establecidos fuera de la UE. La función es útil cuando el fabricante quiere un contacto regulatorio en la UE, pero no transfiere la ingeniería de ciberseguridad, la gestión de vulnerabilidades, la evaluación de la conformidad ni las obligaciones del importador fuera del fabricante o del importador.
Resumen
- La designación es opcional. Los fabricantes CRA pueden designar un representante autorizado, pero el CRA no lo exige como condición para acceder al mercado de la UE.
- El mandato es limitado. El representante autorizado puede custodiar la declaración UE de conformidad y la documentación técnica, facilitarlas a las autoridades ante solicitud motivada y cooperar en acciones para eliminar riesgos.
- Las obligaciones centrales siguen en el fabricante. Ciberseguridad del producto, evaluación de riesgos, gestión de vulnerabilidades, elaboración de la documentación técnica, evaluación de la conformidad y controles de producción permanecen en el fabricante.
- Las obligaciones del importador son separadas. El importador existe por la ruta de suministro; el representante autorizado solo existe por mandato escrito. Una misma entidad UE puede asumir ambas funciones, pero la documentación y los deberes son distintos.
- La exposición a sanciones sigue al deber incumplido. Los incumplimientos del fabricante caen en el nivel sancionador superior; los incumplimientos del mandato del representante autorizado caen en el nivel de importadores/distribuidores.
- Las fechas importan. La notificación del fabricante empieza el 11 de septiembre de 2026; la mayoría de la preparación operativa del representante autorizado se alinea con el inicio del régimen el 11 de diciembre de 2027.
¿Conviene designar un representante autorizado?
Designar un representante autorizado es una decisión operativa, no una condición de acceso al mercado CRA. Los factores siguientes recogen el razonamiento habitual. Ninguno de ellos genera una obligación legal; el CRA no sanciona la ausencia de un representante autorizado.
| Factor | A favor de designar | A favor de no designar |
|---|---|---|
| Presencia del fabricante en la UE | El fabricante está establecido fuera de la Unión y no dispone de oficina UE que pueda asumir creíblemente la correspondencia con vigilancia del mercado. | El fabricante está establecido en la UE o cuenta con una filial UE que ya gestiona la correspondencia regulatoria. |
| Otros instrumentos UE | El producto también queda cubierto por MDR, que exige representante autorizado para fabricantes no UE de productos sanitarios, o ya utiliza un representante o proveedor de cumplimiento RED. Reutilizar la misma firma para el alcance CRA puede simplificar las operaciones. | El producto cae solo bajo CRA, sin obligación paralela de representante autorizado MDR ni acuerdo RED de representación existente. |
| Correspondencia con autoridades | Quiere que la correspondencia con las autoridades de vigilancia del mercado fluya a través de un contacto UE local en la lengua y la zona horaria del Estado miembro. | Se siente cómodo respondiendo directamente desde la sede del fabricante a las solicitudes motivadas. |
| Custodia documental | Quiere que la conservación durante 10 años de la declaración UE de conformidad y la documentación técnica esté en manos de un custodio establecido en la UE. | Ya opera una plataforma interna de evidencias que mantiene la documentación accesible para las autoridades ante solicitud. |
| Ruta del importador | Hay múltiples importadores y distribuidores en la UE y quiere un único representante autorizado nombrado en todo el canal, en lugar de fragmentar la rendición de cuentas. | Hay un único importador UE de confianza que ya gestiona la verificación del importador y la conservación documental. |
La mayoría de los fabricantes no UE en sectores regulados acaban designando un representante autorizado porque la simplificación operativa compensa más que la tarifa del mandato, no porque el CRA les obligue.
Qué puede cubrir el mandato
El mandato escrito convierte al representante autorizado en custodio documental e interfaz con las autoridades. Puede ser más estrecho o más amplio en su redacción contractual, pero a efectos del CRA debe permitir al menos las tres tareas siguientes.
| Tarea | Qué hace el representante autorizado |
|---|---|
| Custodia documental | Conservar la declaración UE de conformidad y la documentación técnica durante al menos 10 años desde la introducción en el mercado, o durante el período de soporte si es más largo. |
| Solicitudes de autoridades | Facilitar la información y documentación necesarias para demostrar la conformidad cuando una autoridad de vigilancia del mercado formule una solicitud motivada. |
| Cooperación sobre riesgos | Cooperar con las autoridades de vigilancia del mercado, cuando lo soliciten, en las acciones para eliminar riesgos del producto. |
El mandato también es en sí mismo un documento controlado: el representante autorizado debe facilitar una copia a las autoridades de vigilancia del mercado a petición de estas.
Qué no puede delegarse
El mandato escrito no puede mover el trabajo central del fabricante en el ámbito CRA. Estas obligaciones quedan fuera del mandato sin importar lo que diga su redacción.
| Bloque excluido | Qué cubre |
|---|---|
| Deberes de producto y vulnerabilidades | Ciberseguridad del producto, evaluación de riesgos de ciberseguridad, diligencia sobre componentes, determinación del período de soporte, disponibilidad de actualizaciones de seguridad y reglas sobre software sustancialmente modificado. |
| Elaboración de documentación técnica y evaluación de la conformidad | Elaborar la documentación técnica sigue siendo responsabilidad del fabricante. El representante autorizado puede custodiar el expediente resultante bajo el mandato, pero no crearlo ni asumir la evaluación de la conformidad. |
| Controles de producción en serie | El fabricante sigue siendo responsable de la conformidad continuada de los productos que introduce en el mercado. |
La línea práctica es nítida: ingeniería, evaluación de riesgos, gestión de vulnerabilidades, evaluación de la conformidad y controles de producción permanecen en el fabricante. El representante autorizado es custodio documental e interfaz con las autoridades, no un fabricante sustituto.
Representante autorizado frente a importador
La función del representante autorizado nace de un mandato escrito. La función del importador nace de la ruta comercial cuando una entidad establecida en la UE introduce en el mercado de la Unión un producto de un fabricante no UE. No se sustituyen mutuamente en ninguna dirección.
| Representante autorizado | Importador UE | |
|---|---|---|
| Desencadenante | Opcional. Un fabricante puede designar a un representante autorizado mediante mandato escrito. | Estatus por definición. Quien, establecido en la Unión, introduce en el mercado un producto que lleva el nombre o la marca de un fabricante no UE es el importador. |
| Origen | Mandato escrito del fabricante a una persona jurídica o física establecida en la UE. | La ruta comercial de suministro. Sin designación ni mandato. |
| Alcance máximo | Custodiar la declaración UE de conformidad y la documentación técnica durante 10 años o más; facilitarlas a la vigilancia del mercado ante solicitud motivada; cooperar en medidas correctoras. Las obligaciones sustantivas del fabricante quedan excluidas del mandato. | Verificar la evaluación de la conformidad, el CE marking, la EU Declaration of Conformity y la información de usuario; conservar documentos durante 10 años o más; cooperar con autoridades; notificar la sospecha de no conformidad y el conocimiento de vulnerabilidades. |
| ¿Sustituye al otro? | No. Designar un representante autorizado no exime de las obligaciones del importador a quien introduce el producto en el mercado de la UE. | No. Las obligaciones del importador existen de forma independiente. Ni crean ni eliminan una designación de representante autorizado. |
| ¿Misma entidad permitida? | Sí. Una misma firma establecida en la UE puede asumir el mandato de representante autorizado y la función de importador, con documentación escrita separada e indemnización que cubra ambas. | Igual. |
Implicación práctica: la elección del representante autorizado es independiente de quién importe el producto. Un importador UE no exime al fabricante de ninguna obligación de ciberseguridad y un representante autorizado no exime al importador de ninguna obligación de importador. Si quiere que un único socio UE asuma ambos papeles, está permitido; necesitará un mandato escrito de representante autorizado distinto del contrato comercial de suministro y una indemnización que cubra ambas funciones.
Qué buscar al designar un representante autorizado
Si su panorama de proveedores incluye empresas que ya actúan bajo MDR, RED o RoHS, ese es un punto de partida razonable. Las comprobaciones específicas del CRA que siguen son las que separan a un representante autorizado útil de uno que se hundirá en cuanto llegue la primera carta de la autoridad.
| Verificación | Qué hay que ver |
|---|---|
| Domicilio | Persona jurídica establecida en un Estado miembro, con oficina registrada y punto de contacto local. |
| Seguro | Responsabilidad civil profesional con cobertura ampliada explícitamente al alcance CRA y a las clasificaciones de producto del CRA. |
| Experiencia sectorial | Trayectoria demostrable bajo MDR, el acto delegado de ciberseguridad de RED o RoHS. Estas son las firmas que están pivotando con credibilidad hacia trabajo CRA hoy. |
| Custodia documental | Plataforma que cumple la obligación de conservación durante 10 años prevista por el mandato, con un rastro de auditoría a prueba de manipulaciones y exportaciones listas para autoridades. |
| Rendición de cuentas | Una persona física nombrada y responsable ante las autoridades, no un buzón genérico del equipo jurídico. |
| Idioma | Capacidad para gestionar la cooperación en medidas correctoras en la lengua de la autoridad del Estado miembro correspondiente. |
El propio mandato debe especificar de forma íntegra las tareas CRA del mandato, reproducir las obligaciones indelegables del fabricante, fijar plazos de preaviso y terminación y definir el traspaso cuando el fabricante cambie de representante autorizado. Conviene que lo revise un asesor jurídico familiarizado con cumplimiento UE de productos.
Errores comunes
| Afirmación | Por qué falla |
|---|---|
| "Somos no UE, así que tenemos que designar representante autorizado." | La designación CRA es opcional incluso para fabricantes no UE. MDR puede exigir un representante autorizado para fabricantes no UE de productos sanitarios; RED tiene sus propias reglas de operadores económicos, pero no convierte la designación CRA en obligatoria. |
| "Nuestro importador UE también es nuestro representante autorizado; un único contrato cubre ambas funciones." | Las funciones son jurídicamente distintas. Las obligaciones del importador se vinculan a quien introduce el producto en el mercado; las obligaciones del representante autorizado se vinculan a quien recibe el mandato escrito. Combine la entidad si lo desea, pero documente las dos funciones por separado. |
| "El representante autorizado firma nuestra EU Declaration of Conformity." | El fabricante elabora y firma la EU Declaration of Conformity. El representante autorizado puede custodiarla para las autoridades de vigilancia del mercado, pero la declaración de conformidad sigue siendo un acto del fabricante. |
| "Delegamos la gestión de vulnerabilidades en el representante autorizado." | La gestión de vulnerabilidades queda en el fabricante. El mandato del representante autorizado no puede incluir las obligaciones centrales del fabricante excluidas del mandato. |
| "Externalizamos la notificación de incidentes en el representante autorizado." | La notificación es un deber del fabricante. El representante autorizado puede dar apoyo en las comunicaciones, pero la obligación de notificar sigue siendo del fabricante. |
| "El mandato cubre todos nuestros productos para siempre." | Los mandatos son escritos, acotados en el tiempo y delimitados por producto. Actualícelos con cada nueva línea de producto, cada cambio sustancial y cada cambio de representante autorizado. |
| "No necesitamos un mandato CRA; nuestro mandato MDR basta." | El alcance del mandato MDR es específico de productos sanitarios y no se extiende automáticamente a las obligaciones CRA. Documente un mandato CRA específico que enumere las tareas CRA de custodia documental y cooperación con autoridades y las obligaciones indelegables del fabricante. |
| "El representante autorizado responde por los defectos del producto." | El representante autorizado responde por las tareas enumeradas en el mandato. La responsabilidad por defectos del producto y las obligaciones de ciberseguridad subyacentes siguen en el fabricante, sin perjuicio de cualquier exposición separada bajo derecho nacional. |
Preguntas frecuentes
¿Es obligatorio designar un representante autorizado bajo el CRA?
No. El CRA hace la designación opcional, incluso para los fabricantes establecidos fuera de la Unión. El lenguaje operativo es permisivo: el fabricante podrá designar a un representante autorizado mediante mandato escrito. MDR puede seguir exigiendo un representante autorizado a fabricantes no UE de productos sanitarios cuando ese régimen aplique; RED puede implicar a un representante autorizado por mandato, pero eso no es un deber de designación CRA.
¿Por qué un fabricante no UE seguiría designando representante autorizado bajo el CRA?
Por simplificación operativa, no por imposición legal. Un único contacto jurídico establecido en la UE reduce la fricción con las autoridades de vigilancia del mercado, que suelen preferir la correspondencia con una entidad en su jurisdicción y lengua. El representante autorizado puede custodiar localmente la declaración UE de conformidad y la documentación técnica durante el período de conservación exigido. Muchos fabricantes no UE ya usan un representante autorizado MDR o un representante de cumplimiento RED y les resulta más sencillo extender ese acuerdo al alcance CRA. Un representante autorizado UE nombrado también acorta los ciclos de respuesta cuando llega una solicitud motivada.
¿Qué puede y qué no puede delegarse en un representante autorizado CRA?
Las obligaciones sustantivas de ciberseguridad no pueden delegarse; solo pueden delegarse la custodia documental y la cooperación con autoridades. Los requisitos esenciales, la gestión de vulnerabilidades, la evaluación de la conformidad y los controles de producción en serie permanecen en el fabricante. El mandato del representante autorizado, como mínimo, debe cubrir tres cosas: custodiar la declaración UE de conformidad y la documentación técnica durante 10 años o más, o el período de soporte si es más largo; facilitar información y documentación a las autoridades ante solicitud motivada; y cooperar en las acciones para eliminar riesgos.
¿Cuál es la diferencia entre un representante autorizado CRA y un importador UE?
Son funciones independientes. El importador es una persona establecida en la UE que introduce en el mercado de la UE un producto que lleva el nombre o la marca de un fabricante no UE y soporta las obligaciones de importador con independencia de que exista o no representante autorizado. El representante autorizado, cuando se designa, asume las tareas enumeradas en el mandato. No se sustituyen: la función de importador se activa por la ruta comercial de suministro; la función de representante autorizado se activa por un mandato escrito. Una misma entidad UE puede asumir ambas, con documentación separada.
¿Puede mi importador o distribuidor UE actuar como mi representante autorizado?
Sí. El CRA no prohíbe que una misma entidad establecida en la UE asuma a la vez una función comercial de importador o distribuidor y un mandato de representante autorizado. Las funciones siguen siendo jurídicamente distintas: el importador o distribuidor soporta deberes derivados de la relación comercial de suministro, mientras que el representante autorizado soporta deberes derivados de un mandato escrito. Para combinarlas, documente un mandato CRA separado, asegure una responsabilidad civil profesional suficiente para ambas funciones y mantenga una línea contractual clara entre las funciones.
¿Responde el representante autorizado por los defectos del producto o solo por los deberes documentales?
El representante autorizado responde por los deberes documentales y de cooperación recogidos en el mandato; la responsabilidad por defectos del producto y por la ciberseguridad sustantiva queda en el fabricante. El alcance del mandato está acotado a la custodia documental, la respuesta a autoridades y la cooperación en medidas correctoras. Las obligaciones sustantivas del fabricante no pueden incorporarse al mandato. El derecho nacional de algunos Estados miembros puede ampliar la exposición del representante autorizado, por lo que el mandato debe redactarse con cuidado.
¿Un representante autorizado CRA es lo mismo que un representante autorizado MDR o RED?
No, los regímenes se solapan pero no son intercambiables. MDR hace obligatoria la designación de representante autorizado para fabricantes no UE de productos sanitarios e impone deberes médicos más amplios, incluida la vigilancia poscomercialización. RED utiliza su propio marco de representante autorizado y operadores económicos, pero no hace obligatoria la designación CRA. El CRA la deja opcional, con deberes más estrechos centrados en documentación, solicitudes de autoridades y cooperación en medidas correctoras. Un representante autorizado MDR o representante de cumplimiento RED ya existente puede ser un buen punto de partida, pero el mandato debe rehacerse para el alcance CRA y las reglas de no delegación.
¿Firma el representante autorizado la EU Declaration of Conformity?
No. El fabricante elabora y firma la EU Declaration of Conformity. El representante autorizado, cuando se designa, custodia la EU Declaration of Conformity firmada y la documentación técnica a disposición de las autoridades de vigilancia del mercado, pero el acto de declarar la conformidad es una responsabilidad del fabricante que queda fuera del mandato del representante autorizado.
¿Puedo cambiar de representante autorizado tras la designación?
Sí. El mandato es un contrato entre el fabricante y el representante autorizado, y cualquiera de las partes puede resolverlo en los términos pactados. En el cambio, el nuevo representante autorizado asume la custodia de la documentación técnica y la declaración UE de conformidad, y el fabricante debe actualizar los datos de contacto comunicados a las autoridades de vigilancia del mercado. Conviene prever un paso explícito de traspaso en la plantilla del mandato.