Sanciones CRA: multas, retiradas y aplicación

Las sanciones CRA pueden alcanzar 15 000 000 EUR o el 2,5 % de la facturación mundial anual, lo que sea mayor para las empresas. El Reglamento de Ciberresiliencia da a las autoridades de vigilancia del mercado dos tipos de palanca: multas administrativas y medidas sobre el producto como la acción correctora, la retirada, la recuperación o las restricciones a la comercialización.

Esta página explica qué significan esas facultades en la práctica y qué pruebas debe tener listas un operador económico antes de que una autoridad las pida.

Resumen

  • El CRA tiene tres tramos de multa. El tramo superior cubre los requisitos esenciales de ciberseguridad y las obligaciones centrales del fabricante.
  • El importe fijo en euros no siempre es el techo. Para las empresas, se aplica el porcentaje sobre la facturación cuando sea superior al importe fijo.
  • Las multas son solo una herramienta de aplicación. La autoridad también puede exigir acciones correctoras, retirada, recuperación o restricciones a la comercialización.
  • La vigilancia del mercado empieza por las pruebas. La documentación técnica, la Declaración UE de Conformidad, las pruebas de SBOM, los registros de gestión de vulnerabilidades y los registros del periodo de soporte son lo que la autoridad usa para contrastar la afirmación de conformidad.
  • El tamaño del operador importa, pero no exime. La autoridad debe tener en cuenta el tamaño, incluidas microempresas, pymes y empresas emergentes, al fijar la multa.
€15M / 2,5 %
Tramo superior de multa
El importe que sea mayor
11 sep 2026
Empieza la notificación
Deber de notificar incidentes graves
11 dic 2027
Régimen completo
Multas y medidas sobre el producto
4 medidas
Medidas sobre el producto
Acción correctora, retirada, recuperación, restricción

Los cuatro anclajes de aplicación: la multa máxima, la fecha temprana de inicio de la notificación, la fecha de aplicación completa y las medidas sobre el producto que pueden adoptar las autoridades de vigilancia del mercado.

Qué multas administrativas pueden aplicarse

El Reglamento fija los máximos a escala de la UE para las multas administrativas. Los Estados miembros detallan el régimen sancionador, pero esas reglas deben mantenerse dentro del marco del CRA y las sanciones deben ser efectivas, proporcionadas y disuasorias.

Categoría de incumplimiento Qué la activa Multa administrativa máxima
Deberes centrales de seguridad del producto Requisitos esenciales de ciberseguridad y deberes centrales del fabricante, incluida la gestión de vulnerabilidades, actualizaciones de seguridad, evidencia del periodo de soporte y notificación obligatoria 15 000 000 EUR o, para las empresas, el 2,5 % del volumen de negocios mundial total anual del ejercicio anterior, lo que sea mayor
Acceso al mercado y conformidad Comprobaciones de importadores y distribuidores, marcado CE, declaraciones, evaluación de conformidad, cooperación con organismos notificados y obligaciones de vigilancia del mercado 10 000 000 EUR o, para las empresas, el 2 % del volumen de negocios mundial total anual, lo que sea mayor
Información engañosa Información incorrecta, incompleta o engañosa facilitada a organismos notificados o a autoridades de vigilancia del mercado 5 000 000 EUR o, para las empresas, el 1 % del volumen de negocios mundial total anual, lo que sea mayor

La multa máxima es la primera que un fabricante debe entender. Cubre la sustancia de seguridad del producto y las obligaciones operativas del fabricante: evaluación del riesgo de ciberseguridad, gestión de vulnerabilidades, actualizaciones de seguridad, divulgación del periodo de soporte y notificación de incidentes graves o de vulnerabilidades explotadas activamente. La documentación técnica, la Declaración UE de Conformidad y el marcado CE se sitúan en el tramo intermedio, que cubre el acceso al mercado y los deberes de conformidad.

¿Qué incumplimientos pesan más?

El CRA no ordena cada caso posible. Fija marcos legales. En la práctica, la mayor exposición aparece cuando falla la sustancia de la ciberseguridad del producto, la veracidad de la afirmación de conformidad o la capacidad de la autoridad para evaluar el riesgo.

Patrón Por qué importa Área legal probable
Producto introducido en el mercado de la UE sin cumplir los requisitos esenciales del Anexo I La afirmación de seguridad del producto es errónea desde el origen Multa máxima
Sin proceso eficaz de gestión de vulnerabilidades durante el periodo de soporte La gestión de vulnerabilidades no opera durante el periodo de soporte Multa máxima
No notificar un incidente grave o una vulnerabilidad explotada activamente cuando aplica la notificación obligatoria El deber de notificación empieza antes del régimen completo Multa máxima
Ruta de conformidad equivocada para un producto importante o crítico La Declaración de Conformidad descansa sobre una ruta de evaluación errónea Multa máxima o intermedia, según la obligación incumplida
Declaración UE de Conformidad, marcado CE o datos del operador ausentes o no válidos La documentación de acceso al mercado es defectuosa Multa intermedia
Información engañosa a un organismo notificado o a una autoridad de vigilancia del mercado La autoridad no puede confiar en la información facilitada Multa por información engañosa, y peor si concurren otros incumplimientos

La forma más segura de leer los tramos no es "qué multa nos pondrán" sino "qué pruebas podemos producir". Una Declaración UE de Conformidad firmada sin expediente técnico, pruebas de SBOM, registros de gestión de vulnerabilidades y justificación de la ruta de evaluación de la conformidad es una posición de aplicación frágil.

Cómo se decide el importe

El importe de la multa no es un cálculo mecánico de porcentaje. Al fijarlo, la autoridad debe considerar la infracción, si el operador tiene multas previas por hechos similares y el tamaño del operador.

Factor Significado práctico
Naturaleza, gravedad y duración de la infracción y sus consecuencias Una brecha documental breve no es lo mismo que un producto comercializado con una debilidad de diseño explotable.
Si ya se impusieron multas al mismo operador por infracciones similares La conducta reiterada en varios Estados miembros puede agravar el resultado.
Tamaño del operador económico y cuota de mercado Microempresas, pymes y empresas emergentes deben tenerse en cuenta al fijar la multa.

Eso no significa que los operadores pequeños puedan ignorar la norma. Significa que la sanción debe ser proporcionada. Un fabricante pequeño sigue necesitando una ruta de conformidad real, documentación técnica, un proceso de gestión de vulnerabilidades y capacidad de notificación cuando los deberes apliquen.

Vigilancia del mercado más allá de las multas

Las multas no son el único riesgo. La aplicación del CRA se inserta en el marco europeo de vigilancia del mercado, incluido el Regulation (EU) 2019/1020. El CRA añade después el procedimiento nacional para productos con elementos digitales que presenten un riesgo de ciberseguridad significativo.

Si la autoridad evalúa un producto y detecta incumplimiento, puede exigir al operador económico pertinente que adopte acciones correctoras adecuadas, ponga el producto en conformidad, lo retire del mercado o lo recupere en un plazo razonable. Si el operador no adopta acciones correctoras suficientes, la autoridad puede pasar a restringir o prohibir la comercialización.

Medida Qué significa operativamente
Acción correctora Corregir el incumplimiento, actualizar la documentación, remediar vulnerabilidades, actualizar instrucciones o modificar el producto antes de seguir vendiéndolo.
Retirada Dejar de poner el producto a disposición en el mercado. Suele afectar al stock no vendido y a los canales de distribución.
Recuperación Recuperar o remediar productos ya suministrados a los usuarios cuando el riesgo lo justifique.
Restricción o prohibición Limitar o bloquear la disponibilidad del producto en el mercado nacional, con posibles consecuencias en toda la UE mediante coordinación.

La conformidad formal no es un escudo. Un producto puede satisfacer la documentación y aun así presentar un riesgo de ciberseguridad significativo, en cuyo caso la autoridad puede exigir medidas adicionales para abordar el riesgo conforme al Artículo 57. El papel formal no basta si el producto sigue siendo peligroso.

¿Qué puede atraer la atención de las autoridades?

El CRA no publica una lista fija de detonantes. La vigilancia del mercado puede ser proactiva o reactiva. Estas son las situaciones que con más probabilidad ponen un producto en el radar de una autoridad:

Detonante Qué pedirá probablemente la autoridad
Vulnerabilidad explotada activamente o incidente grave Pruebas de notificación, triage de vulnerabilidades, versiones afectadas, comunicaciones a clientes y cronología de remediación.
Reclamación de un competidor, cliente o investigador Expediente técnico, registros de gestión de vulnerabilidades, pruebas de evaluación de la conformidad y razonamiento de seguridad del producto.
Muestreo de producto o campaña sectorial Declaración UE de Conformidad, información de usuario, marcado CE, pruebas de SBOM y pruebas de ensayo.
Duda de un importador o distribuidor Identidad del fabricante, datos del importador, Declaración de Conformidad, información del periodo de soporte y registros de trazabilidad.
Afirmaciones públicas incoherentes Pruebas de que el marketing, las declaraciones sobre el periodo de soporte, los compromisos de actualizaciones de seguridad y el expediente técnico coinciden.

El riesgo de aplicación es mayor cuando la empresa no puede explicar por qué el producto está en el ámbito, qué rol ocupa, qué ruta de conformidad siguió, qué pruebas sustentan la Declaración de Conformidad y cómo se gestionan las vulnerabilidades durante el periodo de soporte.

Cómo es una solicitud de la autoridad

Una solicitud de vigilancia del mercado suele ser primero un problema de pruebas, antes que de litigio. El contenido exacto depende del Estado miembro, del producto y del riesgo, pero un expediente CRA preparado debe permitir recuperar estos elementos:

Área de pruebas Ejemplos
Identidad y ámbito del producto Modelo, versión, finalidad prevista, versiones de software o firmware, solución de tratamiento de datos a distancia, clase de producto.
Afirmación de conformidad Declaración UE de Conformidad, normas aplicables, módulo de evaluación de la conformidad, certificado del organismo notificado cuando proceda.
Documentación técnica Expediente técnico del Anexo VII, evaluación del riesgo de ciberseguridad, arquitectura, ensayos y controles de producción.
Pruebas de SBOM SBOM vigente, alcance de componentes, método de generación, proceso de actualización, gestión de SBOM de proveedores.
Gestión de vulnerabilidades Política de CVD, contacto de seguridad, registros de triage, registros de remediación y proceso de actualización de seguridad.
Notificación obligatoria Registros de decisión sobre incidentes graves y vulnerabilidades explotadas activamente, registros de notificación a ENISA y CSIRT cuando proceda.
Periodo de soporte Periodo de soporte divulgado, fecha de fin del soporte, disponibilidad de actualizaciones y registros de notificación a clientes.

La prueba práctica es sencilla: si la autoridad pide hoy el expediente, ¿puede el equipo producir pruebas coherentes sin reconstruirlas de memoria?

Qué tener listo antes de una solicitud

Use esta lista antes del primer plazo de aplicación:

Área Estado preparado
Ámbito y rol Puede explicar por qué aplica el CRA, qué rol del Artículo 3 ocupa y si concurre alguna exclusión del Artículo 2.
Clasificación del producto Sabe si el producto es por defecto, importante de clase I, importante de clase II o crítico.
Ruta de conformidad Puede justificar el módulo A, B+C, H u otra ruta permitida.
Expediente técnico Las pruebas del Anexo VII existen, están versionadas y se corresponden con el producto vendido.
Declaración y marcado CE La Declaración de Conformidad está firmada, es exacta y está alineada con el expediente de pruebas.
SBOM El SBOM se genera, se mantiene y está vinculado a las versiones comercializadas.
Gestión de vulnerabilidades La entrada, el triage, la remediación, la divulgación y la entrega de actualizaciones están operativos.
Notificación La toma de decisiones y el escalado están listos antes del 11 de septiembre de 2026.
Comunicaciones Las comunicaciones con clientes, distribuidores, importadores y autoridades están documentadas.

Pymes, fabricantes micro y pequeños y administradores de código abierto

Los operadores más pequeños reciben matices importantes, pero no una exención del cumplimiento del CRA.

Microempresas, pymes y empresas emergentes. Al fijar la multa, la autoridad debe considerar el tamaño del operador, incluido si es microempresa, pyme o empresa emergente. Eso afecta a la proporcionalidad, no a la existencia del deber subyacente.

Fabricantes micro y pequeños. Existe un alivio estrecho para dos incumplimientos de plazo de alerta temprana de 24 horas. No elimina el deber de notificación completo, los informes finales ni ninguna otra obligación CRA.

Administradores de comunidades de software de código abierto. Estos administradores quedan fuera de la mayoría de los tramos de multas administrativas, pero su régimen sigue siendo real: necesitan una política de ciberseguridad y deben cooperar con las autoridades de vigilancia del mercado ante una solicitud motivada. Una empresa que comercializa software de código abierto dentro de su propio producto comercial suele ser fabricante de ese producto, no administradora de la comunidad.

Preguntas frecuentes

¿Cuál es la multa máxima del CRA?

El tramo más alto de multa del CRA es de 15 000 000 EUR o, para las empresas, el 2,5 % del volumen de negocios mundial total anual del ejercicio anterior, lo que sea mayor. Ese tramo cubre el incumplimiento de los requisitos esenciales de ciberseguridad y de las obligaciones centrales del fabricante.

¿Puede haber aplicación antes del 11 de diciembre de 2027?

Sí, en lo que respecta a la notificación de incidentes graves. El régimen completo del CRA es aplicable a partir del 11 de diciembre de 2027, pero las obligaciones de notificación de vulnerabilidades explotadas activamente e incidentes graves se aplican desde el 11 de septiembre de 2026. Los productos ya comercializados también quedan cubiertos por ese deber de notificación a partir de esa fecha.

¿Se garantiza siempre un aviso antes de una multa?

No. La vigilancia del mercado suele comenzar con solicitudes de información, evaluación y pasos de acción correctora, pero el CRA no garantiza un aviso previo a cada multa o medida sobre el producto. La respuesta de la autoridad depende del riesgo, del incumplimiento, de la cooperación del operador y del régimen sancionador nacional.

¿Puede una autoridad ordenar una recuperación sin haber impuesto una multa?

Sí. Las medidas sobre el producto y las multas administrativas son herramientas separadas. Cuando se cumplen las condiciones, la autoridad de vigilancia del mercado puede exigir acciones correctoras, retirada, recuperación o restricciones a la comercialización para abordar un riesgo de ciberseguridad significativo. Una recuperación busca controlar el riesgo, no solo castigar.

¿Las pymes están exentas de las sanciones del CRA?

No en general. El tamaño del operador es un factor de proporcionalidad al fijar la multa. El CRA también da a los fabricantes micro y pequeños una relajación estrecha para dos plazos concretos de alerta temprana de 24 horas, y los administradores de comunidades de software de código abierto quedan fuera de la mayoría de los tramos de multas administrativas. Eso no elimina el resto del paquete de obligaciones del CRA.