Las sanciones CRA pueden alcanzar 15 000 000 EUR o el 2,5 % de la facturación mundial anual, lo que sea mayor para las empresas. El Reglamento de Ciberresiliencia da a las autoridades de vigilancia del mercado dos tipos de palanca: multas administrativas y medidas sobre el producto como la acción correctora, la retirada, la recuperación o las restricciones a la comercialización.
Esta página explica qué significan esas facultades en la práctica y qué pruebas debe tener listas un operador económico antes de que una autoridad las pida.
Resumen
- El CRA tiene tres tramos de multa. El tramo superior cubre los requisitos esenciales de ciberseguridad y las obligaciones centrales del fabricante.
- El importe fijo en euros no siempre es el techo. Para las empresas, se aplica el porcentaje sobre la facturación cuando sea superior al importe fijo.
- Las multas son solo una herramienta de aplicación. La autoridad también puede exigir acciones correctoras, retirada, recuperación o restricciones a la comercialización.
- La vigilancia del mercado empieza por las pruebas. La documentación técnica, la Declaración UE de Conformidad, las pruebas de SBOM, los registros de gestión de vulnerabilidades y los registros del periodo de soporte son lo que la autoridad usa para contrastar la afirmación de conformidad.
- El tamaño del operador importa, pero no exime. La autoridad debe tener en cuenta el tamaño, incluidas microempresas, pymes y empresas emergentes, al fijar la multa.
Los cuatro anclajes de aplicación: la multa máxima, la fecha temprana de inicio de la notificación, la fecha de aplicación completa y las medidas sobre el producto que pueden adoptar las autoridades de vigilancia del mercado.
Qué multas administrativas pueden aplicarse
El Reglamento fija los máximos a escala de la UE para las multas administrativas. Los Estados miembros detallan el régimen sancionador, pero esas reglas deben mantenerse dentro del marco del CRA y las sanciones deben ser efectivas, proporcionadas y disuasorias.
| Categoría de incumplimiento | Qué la activa | Multa administrativa máxima |
|---|---|---|
| Deberes centrales de seguridad del producto | Requisitos esenciales de ciberseguridad y deberes centrales del fabricante, incluida la gestión de vulnerabilidades, actualizaciones de seguridad, evidencia del periodo de soporte y notificación obligatoria | 15 000 000 EUR o, para las empresas, el 2,5 % del volumen de negocios mundial total anual del ejercicio anterior, lo que sea mayor |
| Acceso al mercado y conformidad | Comprobaciones de importadores y distribuidores, marcado CE, declaraciones, evaluación de conformidad, cooperación con organismos notificados y obligaciones de vigilancia del mercado | 10 000 000 EUR o, para las empresas, el 2 % del volumen de negocios mundial total anual, lo que sea mayor |
| Información engañosa | Información incorrecta, incompleta o engañosa facilitada a organismos notificados o a autoridades de vigilancia del mercado | 5 000 000 EUR o, para las empresas, el 1 % del volumen de negocios mundial total anual, lo que sea mayor |
La multa máxima es la primera que un fabricante debe entender. Cubre la sustancia de seguridad del producto y las obligaciones operativas del fabricante: evaluación del riesgo de ciberseguridad, gestión de vulnerabilidades, actualizaciones de seguridad, divulgación del periodo de soporte y notificación de incidentes graves o de vulnerabilidades explotadas activamente. La documentación técnica, la Declaración UE de Conformidad y el marcado CE se sitúan en el tramo intermedio, que cubre el acceso al mercado y los deberes de conformidad.
¿Qué incumplimientos pesan más?
El CRA no ordena cada caso posible. Fija marcos legales. En la práctica, la mayor exposición aparece cuando falla la sustancia de la ciberseguridad del producto, la veracidad de la afirmación de conformidad o la capacidad de la autoridad para evaluar el riesgo.
| Patrón | Por qué importa | Área legal probable |
|---|---|---|
| Producto introducido en el mercado de la UE sin cumplir los requisitos esenciales del Anexo I | La afirmación de seguridad del producto es errónea desde el origen | Multa máxima |
| Sin proceso eficaz de gestión de vulnerabilidades durante el periodo de soporte | La gestión de vulnerabilidades no opera durante el periodo de soporte | Multa máxima |
| No notificar un incidente grave o una vulnerabilidad explotada activamente cuando aplica la notificación obligatoria | El deber de notificación empieza antes del régimen completo | Multa máxima |
| Ruta de conformidad equivocada para un producto importante o crítico | La Declaración de Conformidad descansa sobre una ruta de evaluación errónea | Multa máxima o intermedia, según la obligación incumplida |
| Declaración UE de Conformidad, marcado CE o datos del operador ausentes o no válidos | La documentación de acceso al mercado es defectuosa | Multa intermedia |
| Información engañosa a un organismo notificado o a una autoridad de vigilancia del mercado | La autoridad no puede confiar en la información facilitada | Multa por información engañosa, y peor si concurren otros incumplimientos |
La forma más segura de leer los tramos no es "qué multa nos pondrán" sino "qué pruebas podemos producir". Una Declaración UE de Conformidad firmada sin expediente técnico, pruebas de SBOM, registros de gestión de vulnerabilidades y justificación de la ruta de evaluación de la conformidad es una posición de aplicación frágil.
Cómo se decide el importe
El importe de la multa no es un cálculo mecánico de porcentaje. Al fijarlo, la autoridad debe considerar la infracción, si el operador tiene multas previas por hechos similares y el tamaño del operador.
| Factor | Significado práctico |
|---|---|
| Naturaleza, gravedad y duración de la infracción y sus consecuencias | Una brecha documental breve no es lo mismo que un producto comercializado con una debilidad de diseño explotable. |
| Si ya se impusieron multas al mismo operador por infracciones similares | La conducta reiterada en varios Estados miembros puede agravar el resultado. |
| Tamaño del operador económico y cuota de mercado | Microempresas, pymes y empresas emergentes deben tenerse en cuenta al fijar la multa. |
Eso no significa que los operadores pequeños puedan ignorar la norma. Significa que la sanción debe ser proporcionada. Un fabricante pequeño sigue necesitando una ruta de conformidad real, documentación técnica, un proceso de gestión de vulnerabilidades y capacidad de notificación cuando los deberes apliquen.
Vigilancia del mercado más allá de las multas
Las multas no son el único riesgo. La aplicación del CRA se inserta en el marco europeo de vigilancia del mercado, incluido el Regulation (EU) 2019/1020. El CRA añade después el procedimiento nacional para productos con elementos digitales que presenten un riesgo de ciberseguridad significativo.
Si la autoridad evalúa un producto y detecta incumplimiento, puede exigir al operador económico pertinente que adopte acciones correctoras adecuadas, ponga el producto en conformidad, lo retire del mercado o lo recupere en un plazo razonable. Si el operador no adopta acciones correctoras suficientes, la autoridad puede pasar a restringir o prohibir la comercialización.
| Medida | Qué significa operativamente |
|---|---|
| Acción correctora | Corregir el incumplimiento, actualizar la documentación, remediar vulnerabilidades, actualizar instrucciones o modificar el producto antes de seguir vendiéndolo. |
| Retirada | Dejar de poner el producto a disposición en el mercado. Suele afectar al stock no vendido y a los canales de distribución. |
| Recuperación | Recuperar o remediar productos ya suministrados a los usuarios cuando el riesgo lo justifique. |
| Restricción o prohibición | Limitar o bloquear la disponibilidad del producto en el mercado nacional, con posibles consecuencias en toda la UE mediante coordinación. |
La conformidad formal no es un escudo. Un producto puede satisfacer la documentación y aun así presentar un riesgo de ciberseguridad significativo, en cuyo caso la autoridad puede exigir medidas adicionales para abordar el riesgo conforme al Artículo 57. El papel formal no basta si el producto sigue siendo peligroso.
¿Qué puede atraer la atención de las autoridades?
El CRA no publica una lista fija de detonantes. La vigilancia del mercado puede ser proactiva o reactiva. Estas son las situaciones que con más probabilidad ponen un producto en el radar de una autoridad:
| Detonante | Qué pedirá probablemente la autoridad |
|---|---|
| Vulnerabilidad explotada activamente o incidente grave | Pruebas de notificación, triage de vulnerabilidades, versiones afectadas, comunicaciones a clientes y cronología de remediación. |
| Reclamación de un competidor, cliente o investigador | Expediente técnico, registros de gestión de vulnerabilidades, pruebas de evaluación de la conformidad y razonamiento de seguridad del producto. |
| Muestreo de producto o campaña sectorial | Declaración UE de Conformidad, información de usuario, marcado CE, pruebas de SBOM y pruebas de ensayo. |
| Duda de un importador o distribuidor | Identidad del fabricante, datos del importador, Declaración de Conformidad, información del periodo de soporte y registros de trazabilidad. |
| Afirmaciones públicas incoherentes | Pruebas de que el marketing, las declaraciones sobre el periodo de soporte, los compromisos de actualizaciones de seguridad y el expediente técnico coinciden. |
El riesgo de aplicación es mayor cuando la empresa no puede explicar por qué el producto está en el ámbito, qué rol ocupa, qué ruta de conformidad siguió, qué pruebas sustentan la Declaración de Conformidad y cómo se gestionan las vulnerabilidades durante el periodo de soporte.
Cómo es una solicitud de la autoridad
Una solicitud de vigilancia del mercado suele ser primero un problema de pruebas, antes que de litigio. El contenido exacto depende del Estado miembro, del producto y del riesgo, pero un expediente CRA preparado debe permitir recuperar estos elementos:
| Área de pruebas | Ejemplos |
|---|---|
| Identidad y ámbito del producto | Modelo, versión, finalidad prevista, versiones de software o firmware, solución de tratamiento de datos a distancia, clase de producto. |
| Afirmación de conformidad | Declaración UE de Conformidad, normas aplicables, módulo de evaluación de la conformidad, certificado del organismo notificado cuando proceda. |
| Documentación técnica | Expediente técnico del Anexo VII, evaluación del riesgo de ciberseguridad, arquitectura, ensayos y controles de producción. |
| Pruebas de SBOM | SBOM vigente, alcance de componentes, método de generación, proceso de actualización, gestión de SBOM de proveedores. |
| Gestión de vulnerabilidades | Política de CVD, contacto de seguridad, registros de triage, registros de remediación y proceso de actualización de seguridad. |
| Notificación obligatoria | Registros de decisión sobre incidentes graves y vulnerabilidades explotadas activamente, registros de notificación a ENISA y CSIRT cuando proceda. |
| Periodo de soporte | Periodo de soporte divulgado, fecha de fin del soporte, disponibilidad de actualizaciones y registros de notificación a clientes. |
La prueba práctica es sencilla: si la autoridad pide hoy el expediente, ¿puede el equipo producir pruebas coherentes sin reconstruirlas de memoria?
Qué tener listo antes de una solicitud
Use esta lista antes del primer plazo de aplicación:
| Área | Estado preparado |
|---|---|
| Ámbito y rol | Puede explicar por qué aplica el CRA, qué rol del Artículo 3 ocupa y si concurre alguna exclusión del Artículo 2. |
| Clasificación del producto | Sabe si el producto es por defecto, importante de clase I, importante de clase II o crítico. |
| Ruta de conformidad | Puede justificar el módulo A, B+C, H u otra ruta permitida. |
| Expediente técnico | Las pruebas del Anexo VII existen, están versionadas y se corresponden con el producto vendido. |
| Declaración y marcado CE | La Declaración de Conformidad está firmada, es exacta y está alineada con el expediente de pruebas. |
| SBOM | El SBOM se genera, se mantiene y está vinculado a las versiones comercializadas. |
| Gestión de vulnerabilidades | La entrada, el triage, la remediación, la divulgación y la entrega de actualizaciones están operativos. |
| Notificación | La toma de decisiones y el escalado están listos antes del 11 de septiembre de 2026. |
| Comunicaciones | Las comunicaciones con clientes, distribuidores, importadores y autoridades están documentadas. |
Pymes, fabricantes micro y pequeños y administradores de código abierto
Los operadores más pequeños reciben matices importantes, pero no una exención del cumplimiento del CRA.
Microempresas, pymes y empresas emergentes. Al fijar la multa, la autoridad debe considerar el tamaño del operador, incluido si es microempresa, pyme o empresa emergente. Eso afecta a la proporcionalidad, no a la existencia del deber subyacente.
Fabricantes micro y pequeños. Existe un alivio estrecho para dos incumplimientos de plazo de alerta temprana de 24 horas. No elimina el deber de notificación completo, los informes finales ni ninguna otra obligación CRA.
Administradores de comunidades de software de código abierto. Estos administradores quedan fuera de la mayoría de los tramos de multas administrativas, pero su régimen sigue siendo real: necesitan una política de ciberseguridad y deben cooperar con las autoridades de vigilancia del mercado ante una solicitud motivada. Una empresa que comercializa software de código abierto dentro de su propio producto comercial suele ser fabricante de ese producto, no administradora de la comunidad.
Preguntas frecuentes
¿Cuál es la multa máxima del CRA?
El tramo más alto de multa del CRA es de 15 000 000 EUR o, para las empresas, el 2,5 % del volumen de negocios mundial total anual del ejercicio anterior, lo que sea mayor. Ese tramo cubre el incumplimiento de los requisitos esenciales de ciberseguridad y de las obligaciones centrales del fabricante.
¿Puede haber aplicación antes del 11 de diciembre de 2027?
Sí, en lo que respecta a la notificación de incidentes graves. El régimen completo del CRA es aplicable a partir del 11 de diciembre de 2027, pero las obligaciones de notificación de vulnerabilidades explotadas activamente e incidentes graves se aplican desde el 11 de septiembre de 2026. Los productos ya comercializados también quedan cubiertos por ese deber de notificación a partir de esa fecha.
¿Se garantiza siempre un aviso antes de una multa?
No. La vigilancia del mercado suele comenzar con solicitudes de información, evaluación y pasos de acción correctora, pero el CRA no garantiza un aviso previo a cada multa o medida sobre el producto. La respuesta de la autoridad depende del riesgo, del incumplimiento, de la cooperación del operador y del régimen sancionador nacional.
¿Puede una autoridad ordenar una recuperación sin haber impuesto una multa?
Sí. Las medidas sobre el producto y las multas administrativas son herramientas separadas. Cuando se cumplen las condiciones, la autoridad de vigilancia del mercado puede exigir acciones correctoras, retirada, recuperación o restricciones a la comercialización para abordar un riesgo de ciberseguridad significativo. Una recuperación busca controlar el riesgo, no solo castigar.
¿Las pymes están exentas de las sanciones del CRA?
No en general. El tamaño del operador es un factor de proporcionalidad al fijar la multa. El CRA también da a los fabricantes micro y pequeños una relajación estrecha para dos plazos concretos de alerta temprana de 24 horas, y los administradores de comunidades de software de código abierto quedan fuera de la mayoría de los tramos de multas administrativas. Eso no elimina el resto del paquete de obligaciones del CRA.