El incumplimiento del CRA conlleva multas de hasta 15 000 000 EUR, o el 2,5 % del volumen de negocio total anual mundial, si esta cuantía fuese superior. Ese es el tramo más alto de sanción del artículo 64(2), aplicable al incumplimiento de los requisitos esenciales del anexo I y de las obligaciones de los artículos 13 y 14. La obligación de SBOM está recogida en el anexo I. Dos fechas marcan tu calendario. La obligación de notificación de vulnerabilidades del artículo 14 pasa a ser obligatoria el 11 de septiembre de 2026. La aplicación plena llega el 11 de diciembre de 2027. Los productos introducidos en el mercado de la UE después de esa fecha sin un SBOM conforme no podrán llevar marcado CE y no podrán venderse legalmente.
Resumen
- 11 de septiembre de 2026: la notificación de vulnerabilidades e incidentes a ENISA del artículo 14 pasa a ser obligatoria para los fabricantes
- 11 de diciembre de 2027: comienza la aplicación plena del CRA, incluida la obligación de SBOM del anexo I
- Sanción máxima: 15 000 000 EUR o el 2,5 % del volumen de negocio total anual mundial (la cuantía que sea superior), artículo 64(2)
- Conservación: el SBOM debe conservarse durante un mínimo de diez años a partir de la introducción en el mercado del producto con elementos digitales (artículo 13(13))
Plazos de cumplimiento del SBOM en el CRA
El CRA tiene un calendario de aplicación por fases. Dos fechas afectan directamente al cumplimiento del SBOM:
| Fecha | Hito |
|---|---|
| 11 de septiembre de 2026 | Las obligaciones de notificación de vulnerabilidades entran en vigor. Los fabricantes deben notificar las vulnerabilidades aprovechadas activamente en un plazo de veinticuatro horas. |
| 11 de diciembre de 2027 | Aplicación plena. Todos los productos con elementos digitales deben cumplir los requisitos del CRA, incluidos los SBOM completos. |
Los productos introducidos en el mercado de la UE después de diciembre de 2027 que carezcan de un SBOM conforme no podrán llevar marcado CE y no podrán venderse legalmente en la UE. Para el calendario por fases más amplio, que incluye los organismos notificados, las normas armonizadas y la notificación del artículo 14, consulta el calendario de implantación del CRA.
Cadencia de notificación del artículo 14
Las «veinticuatro horas» son solo el primer paso. El artículo 14 establece una cadencia de notificación escalonada al CSIRT coordinador y a ENISA de forma simultánea, a través de la plataforma única de notificación del artículo 16.
| Paso | Plazo | Artículo | Desencadenante |
|---|---|---|---|
| Notificación de alerta temprana | En un plazo de 24 h | Art. 14(2)(a) | Vulnerabilidad aprovechada activamente |
| Notificación de la vulnerabilidad | En un plazo de 72 h | Art. 14(2)(b) | Vulnerabilidad aprovechada activamente |
| Informe final | A más tardar 14 días tras la medida correctora | Art. 14(2)(c) | Vulnerabilidad aprovechada activamente |
| Notificación de alerta temprana | En un plazo de 24 h | Art. 14(4)(a) | Incidente grave |
| Notificación del incidente | En un plazo de 72 h | Art. 14(4)(b) | Incidente grave |
| Informe final | En el plazo de 1 mes tras la notificación del incidente | Art. 14(4)(c) | Incidente grave |
El artículo 14 se aplica desde el 11 de septiembre de 2026. Si tu producto tiene una vulnerabilidad aprovechada activamente después de esa fecha, debes enviar una notificación de alerta temprana al CSIRT coordinador y a ENISA en un plazo de veinticuatro horas, una notificación más completa en setenta y dos horas y un informe final en catorce días. Esto exige que la infraestructura de monitorización de vulnerabilidades ya esté en marcha antes de esa fecha. El SBOM es la base de esa monitorización: no puedes rastrear lo que no has documentado.
¿Qué ocurre si no cumples?
El incumplimiento del CRA conlleva consecuencias tanto económicas como comerciales. Las autoridades de vigilancia del mercado de cada Estado miembro de la UE aplicarán estas sanciones.
| Económicas | Comerciales |
|---|---|
| Multas de hasta 15 000 000 EUR o el 2,5 % del volumen de negocio total anual mundial (Art. 64(2)) | Retirada del producto del mercado de la UE |
| Los incumplimientos escalonados de notificación pueden dar lugar a sanciones independientes bajo el Art. 64(2) y 64(3) | Prohibición de comercialización: los productos no conformes no pueden llevar marcado CE |
| Información falsa o incompleta a las autoridades: hasta 5 000 000 EUR / 1% (Art. 64(4)) | Impacto en la cadena de suministro: los clientes pueden no poder usar tu producto en su propio cumplimiento del CRA |
Exposición a sanciones por tipo de operador
El artículo 64 establece límites máximos de multa distintos según la obligación incumplida y el operador responsable. La obligación de SBOM está en el anexo I, por lo que un SBOM ausente o no conforme recae en el tramo del artículo 64(2) para los fabricantes.
| Operador | Obligación incumplida | Artículo | Sanción máxima |
|---|---|---|---|
| Fabricante | Requisitos esenciales del anexo I (incl. SBOM) u obligaciones de los artículos 13 y 14 | Art. 64(2) | 15 000 000 EUR o el 2,5 % del volumen de negocio total anual mundial |
| Importador | Obligaciones del importador del artículo 19 (verificación, etiquetado, documentación) | Art. 64(3) | 10 000 000 EUR o el 2 % del volumen de negocio total anual mundial |
| Importador que actúa como fabricante | Escalada del artículo 22: la marca propia o el producto modificado activa el régimen completo del fabricante | Art. 64(2) | 15 000 000 EUR o el 2,5 % del volumen de negocio total anual mundial |
| Distribuidor | Obligaciones del distribuidor del artículo 20 (verificación, cooperación con la vigilancia) | Art. 64(3) | 10 000 000 EUR o el 2 % del volumen de negocio total anual mundial |
| Todos los operadores | Presentación de información incorrecta, incompleta o engañosa a las autoridades | Art. 64(4) | 5 000 000 EUR o el 1 % del volumen de negocio total anual mundial |
El artículo 22 traslada a un importador al régimen completo del fabricante cuando pone su propia marca en un producto de terceros o modifica el software antes de la reventa. La exposición a sanciones pasa de 10 000 000 EUR / 2 % a 15 000 000 EUR / 2,5 %, y se aplican todas las obligaciones del artículo 13, incluido el requisito de SBOM del anexo I.
Al fijar la cuantía de la multa, las autoridades deben tener debidamente en cuenta tres factores conforme al artículo 64(5):
| Factor | Impacto |
|---|---|
| La naturaleza, la gravedad y la duración de la infracción y de sus consecuencias | Mayor gravedad y duración = multa más elevada |
| Si ya se han impuesto multas administrativas al mismo operador económico por una infracción similar | Reincidencia = multa más elevada |
| El tamaño del operador económico, en particular por lo que respecta a las microempresas y las pequeñas y medianas empresas | Operador más pequeño = multa proporcionalmente menor |
Los fabricantes que se consideren microempresas o pequeñas empresas están exentos de las multas administrativas por incumplimiento de los plazos de los artículos 14(2)(a) y 14(4)(a). Los administradores de comunidad de programas informáticos de código abierto están exentos de las infracciones contempladas en los apartados 3 a 9 del artículo 64. Las propias obligaciones del anexo I siguen aplicándose; solo se elimina la consecuencia de la multa administrativa en esas situaciones concretas.
Preguntas frecuentes
¿Cuál es la sanción máxima bajo el CRA?
El artículo 64(2) fija el máximo en 15 000 000 EUR o el 2,5 % del volumen de negocio total anual mundial, la cuantía que sea superior. Para las grandes empresas, el cálculo sobre el volumen de negocio puede superar con creces el límite fijo. El techo de 15 000 000 EUR solo se aplica cuando el 2,5 % del volumen de negocio es inferior a esa cifra.
¿Puede sancionarse a una empresa antes del plazo de diciembre de 2027?
Los productos introducidos en el mercado después del 11 de diciembre de 2027 deben cumplir plenamente. Pero la obligación de notificación de vulnerabilidades del artículo 14 entra en vigor el 11 de septiembre de 2026. Las autoridades pueden hacer cumplir esa obligación desde esa fecha. Una empresa que ignore una vulnerabilidad aprovechada activamente confirmada después de septiembre de 2026 ya está expuesta.
¿Las multas del CRA se aplican por producto o por empresa?
Las multas se evalúan por infracción, no por unidad vendida. Una línea de productos no conforme constituye una sola infracción, pero el cálculo de la sanción tiene en cuenta la escala del incumplimiento, el número de unidades en circulación y cualquier beneficio económico obtenido. El incumplimiento sistemático en varias líneas de productos se trataría habitualmente como infracciones separadas.
¿Qué autoridad aplica el CRA en cada Estado miembro de la UE?
El CRA no designa un único organismo ejecutor a escala de la UE. Cada Estado miembro designa su propia autoridad de vigilancia del mercado. El BSI alemán, la ANSSI francesa, la ACN italiana y el CERT Polska polaco son los organismos nacionales que se espera que asuman un papel protagonista. La Red de Cumplimiento de Productos de la UE (EU Product Compliance Network) coordina la aplicación transfronteriza cuando los problemas afectan a varios mercados.
¿Qué desencadena una investigación de vigilancia del mercado bajo el CRA?
Los desencadenantes habituales incluyen reclamaciones de competidores, incidentes de seguridad notificados por clientes, muestreo aleatorio de productos por parte de las autoridades, marcas en la inspección de importaciones y vulnerabilidades sin parche divulgadas públicamente. Las autoridades también realizan campañas sectoriales proactivas dirigidas a categorías de productos de alto riesgo.
¿Cuánto tiempo debe conservarse un SBOM tras retirar un producto del mercado?
El expediente técnico, que incluye el SBOM, debe conservarse durante un mínimo de diez años a partir de la introducción en el mercado del producto con elementos digitales, o durante el período de soporte si este plazo fuera más largo (artículo 13(13) del CRA). El SBOM debe mantenerse actualizado durante todo el período de soporte activo, que el CRA fija en un mínimo de 5 años.