Las sanciones CRA pueden llegar a 15 000 000 EUR o al 2,5 % de la facturación mundial anual, lo que sea mayor para las empresas. El Reglamento de Ciberresiliencia da a las autoridades de vigilancia del mercado dos tipos de palanca: multas administrativas y medidas sobre el producto, como acciones correctoras, retirada, recuperación o restricciones de comercialización.
Esta página explica qué significan esas facultades en la práctica y qué pruebas debe tener listas un operador económico antes de que una autoridad las pida.
Resumen
- El CRA tiene tres tramos de multa. El tramo superior cubre los requisitos esenciales de ciberseguridad del Anexo I y las obligaciones del fabricante de los artículos 13 y 14.
- El importe fijo no siempre es el límite. Para las empresas, se aplica el porcentaje sobre facturación cuando sea superior.
- Las multas son solo una herramienta. La autoridad también puede exigir acciones correctoras, retirada, recuperación o restricciones de disponibilidad.
- La vigilancia empieza por las pruebas. Expediente técnico, Declaración UE de Conformidad, SBOM, registros de gestión de vulnerabilidades y periodo de soporte son lo que permite comprobar la conformidad.
- El tamaño importa, pero no exime. La autoridad debe tener en cuenta microempresas, pymes y start-ups al fijar la multa.
Los cuatro anclajes de aplicación: multa máxima, fecha temprana de notificación, fecha de aplicación completa y medidas sobre productos.
¿Cuáles son los tramos de sanción del CRA?
El Reglamento fija máximos a escala de la UE para las multas administrativas. Los Estados miembros detallan el régimen sancionador, pero dentro del marco CRA. Las sanciones deben ser efectivas, proporcionadas y disuasorias.
| Tramo | Infracción que lo activa | Multa administrativa máxima |
|---|---|---|
| Tramo 1 | Incumplimiento de los requisitos esenciales del Anexo I o de las obligaciones del fabricante en los artículos 13 y 14 | 15 000 000 EUR o 2,5 % de la facturación mundial anual, lo que sea mayor |
| Tramo 2 | Incumplimiento de obligaciones listadas de operadores económicos, evaluación de conformidad, organismos notificados y vigilancia de mercado, incluidos artículos 18 a 23, 28, 30 a 33, 39, 41, 47, 49 y 53 | 10 000 000 EUR o 2 % de la facturación mundial anual, lo que sea mayor |
| Tramo 3 | Información incorrecta, incompleta o engañosa a organismos notificados o autoridades de vigilancia del mercado | 5 000 000 EUR o 1 % de la facturación mundial anual, lo que sea mayor |
El tramo superior es el que primero debe entender un fabricante. Cubre tanto la seguridad del producto en el Anexo I como las obligaciones operativas: evaluación de riesgos, gestión de vulnerabilidades, actualizaciones de seguridad, expediente técnico, Declaración UE de Conformidad, marcado CE, periodo de soporte y notificación del artículo 14.
¿Qué incumplimientos pesan más?
El CRA no ordena cada caso posible. Fija marcos legales. En la práctica, el mayor riesgo aparece cuando falla la seguridad real del producto, la veracidad de la conformidad declarada o la capacidad de la autoridad para evaluar el riesgo.
| Patrón | Por qué importa | Área probable |
|---|---|---|
| Producto en el mercado sin cumplir el Anexo I | La afirmación de seguridad es falsa desde el origen | Tramo 1 |
| Sin proceso eficaz de gestión de vulnerabilidades durante el soporte | No funcionan el Anexo I parte II ni el artículo 13 | Tramo 1 |
| No notificar una vulnerabilidad explotada activamente o un incidente grave | La obligación de notificar empieza antes del régimen completo | Tramo 1 |
| Ruta de conformidad equivocada para un producto importante o crítico | La declaración descansa sobre una evaluación incorrecta | Tramo 1 o 2 |
| Declaración UE, marcado CE o datos del operador ausentes o inválidos | La documentación de acceso al mercado falla | Tramo 2 |
| Información engañosa a una autoridad o a un organismo notificado | La autoridad no puede confiar en lo recibido | Tramo 3, y quizá otros incumplimientos |
La pregunta útil no es "qué multa nos pondrán", sino "qué pruebas podemos producir". Una Declaración UE de Conformidad firmada sin expediente técnico, SBOM, registros de vulnerabilidades y justificación de la ruta de conformidad es una posición débil.
Cómo se decide el importe
La multa no es un cálculo automático. La autoridad debe valorar la infracción, si hay multas previas por hechos similares y el tamaño del operador.
| Factor | Significado práctico |
|---|---|
| Naturaleza, gravedad, duración y consecuencias | Una brecha documental breve no equivale a un producto vendido con una debilidad explotable. |
| Multas previas por infracciones similares | La repetición en varios Estados miembros puede agravar el resultado. |
| Tamaño y cuota de mercado | Microempresas, pymes y start-ups cuentan al fijar la proporcionalidad. |
Eso no permite ignorar la norma. Un fabricante pequeño también necesita ruta de conformidad real, expediente técnico, gestión de vulnerabilidades y capacidad de notificación cuando aplican.
Vigilancia de mercado más allá de las multas
La aplicación del CRA se apoya en el marco de vigilancia de mercado de la UE, incluida la Regulación (UE) 2019/1020. El CRA añade el procedimiento específico para productos con elementos digitales que presenten un riesgo de ciberseguridad significativo.
Si la autoridad evalúa un producto y detecta incumplimiento, puede exigir al operador acciones correctoras, puesta en conformidad, retirada del mercado o recuperación dentro de un plazo razonable. Si la respuesta no basta, puede restringir o prohibir la disponibilidad.
| Medida | Qué significa operativamente |
|---|---|
| Acción correctora | Corregir el incumplimiento, actualizar documentación, remediar vulnerabilidades o modificar el producto. |
| Retirada | Dejar de poner el producto a disposición en el mercado, normalmente stock y canales de distribución. |
| Recuperación | Recuperar o remediar productos ya suministrados cuando el riesgo lo justifique. |
| Restricción o prohibición | Limitar o bloquear la disponibilidad en el mercado nacional, con posible coordinación europea. |
El artículo 57 también cuenta: un producto puede parecer formalmente conforme y aun así presentar un riesgo de ciberseguridad significativo. La documentación no basta si el producto sigue siendo peligroso.
Qué puede atraer atención
La vigilancia puede ser proactiva o reactiva. Estas situaciones suelen activar preguntas:
| Activador | Qué puede pedir la autoridad |
|---|---|
| Vulnerabilidad explotada activamente o incidente grave | Pruebas de artículo 14, triage, versiones afectadas, comunicaciones y remediación. |
| Queja de cliente, competidor o investigador | Expediente técnico, gestión de vulnerabilidades, evaluación de conformidad y razonamiento de seguridad. |
| Muestreo de producto o campaña sectorial | Declaración UE, información de usuario, marcado CE, SBOM y pruebas. |
| Duda de importador o distribuidor | Identidad del fabricante, datos del importador, declaración, soporte y trazabilidad. |
| Afirmaciones públicas incoherentes | Pruebas de que marketing, soporte, actualizaciones y expediente técnico coinciden. |
El riesgo sube cuando la empresa no puede explicar por qué el CRA aplica, qué rol ocupa, qué ruta de conformidad siguió y cómo gestiona vulnerabilidades durante el soporte.
Qué debe estar preparado
Una petición de vigilancia de mercado es primero un problema de pruebas. Un expediente CRA listo debería permitir recuperar:
| Área | Ejemplos |
|---|---|
| Identidad y ámbito del producto | Modelo, versión, finalidad prevista, software o firmware, procesamiento remoto y clase de producto. |
| Afirmación de conformidad | Declaración UE, normas aplicadas, módulo de evaluación, certificado del organismo notificado. |
| Expediente técnico | Anexo VII, evaluación de riesgos de ciberseguridad, arquitectura, pruebas y controles de producción. |
| SBOM | SBOM vigente, alcance de componentes, método de generación, actualización y SBOM de proveedores. |
| Gestión de vulnerabilidades | Política CVD, contacto de seguridad, triage, remediación y actualizaciones. |
| Notificación artículo 14 | Registros de decisión, informes a ENISA y CSIRT si aplican. |
| Periodo de soporte | Periodo publicado, fecha de fin de soporte, disponibilidad de actualizaciones y comunicaciones a clientes. |
La prueba práctica es sencilla: si la autoridad pide el expediente hoy, ¿puede el equipo entregarlo sin reconstruirlo de memoria?
Pymes, micro y pequeñas empresas, y stewards de código abierto
Los operadores pequeños reciben matices importantes, no una exención general.
Microempresas, pymes y start-ups. Al fijar la multa, la autoridad debe considerar el tamaño. Eso afecta a la proporcionalidad, no a la existencia de la obligación.
Fabricantes micro y pequeños. El artículo 64(10)(a) exime a fabricantes que sean microempresas o pequeñas empresas de multas administrativas por incumplir las alertas tempranas de 24 horas de los artículos 14(2)(a) y 14(4)(a). Es una exención estrecha: cubre esos plazos, no toda la obligación de notificar ni el resto del CRA.
Stewards de software de código abierto. El artículo 64(10)(b) exime a los open-source software stewards de las multas de los apartados 3 a 9. El régimen sigue existiendo: el artículo 24 exige una política de ciberseguridad y cooperación con autoridades cuando haya una solicitud motivada. Una empresa que incorpora código abierto a su producto comercial suele ser fabricante de ese producto, no steward.
Preguntas frecuentes
¿Cuál es la multa máxima del CRA?
El tramo máximo es de 15 000 000 EUR o, para empresas, el 2,5 % de la facturación mundial anual total del ejercicio anterior, lo que sea mayor. Cubre el incumplimiento del Anexo I y de las obligaciones de los artículos 13 y 14.
¿Puede haber aplicación antes del 11 de diciembre de 2027?
Sí, para las notificaciones del artículo 14. El régimen completo aplica desde el 11 de diciembre de 2027, pero la notificación de vulnerabilidades explotadas activamente e incidentes graves aplica desde el 11 de septiembre de 2026, también para productos ya en el mercado.
¿Siempre hay un aviso antes de una multa?
No. La vigilancia suele empezar con solicitudes de información, evaluación y medidas correctoras, pero el CRA no garantiza un aviso previo a cada multa o medida sobre producto. Depende del riesgo, del incumplimiento, de la cooperación y de las reglas nacionales.