Is appointing an authorised representative mandatory under the CRA?

No. Article 18(1) of Regulation (EU) 2024/2847 reads, verbatim: 'A manufacturer may, by a written mandate, appoint an authorised representative.' This is permissive, not mandatory. The CRA does not impose AR appointment as a condition for placing products on the EU market, even for manufacturers established outside the Union. This differs from MDR Article 11 and RED Article 5, both of which require an AR for non-EU manufacturers. If a CRA product is also covered by MDR or RED, the AR requirement under those instruments still applies.

Why would a non-EU manufacturer still appoint an AR under the CRA?

Several practical reasons. A single EU-established legal contact point reduces friction with market surveillance authorities, who prefer correspondence with an entity in their jurisdiction and language. The AR can hold the Declaration of Conformity and Annex VII technical documentation locally for the 10-year retention period under Article 18(3)(a). Many non-EU manufacturers already use an MDR or RED AR and find it operationally simpler to extend that arrangement to CRA scope. Finally, a clearly named EU AR can shorten authority response cycles when a reasoned request arrives under Article 18(3)(b).

What can and cannot be delegated to a CRA authorised representative?

Article 18(2) explicitly excludes the obligations in Article 13(1) to (11), Article 13(12) first subparagraph, and Article 13(14) from the AR mandate. In plain terms: the substantive cybersecurity obligations (essential requirements, vulnerability handling, conformity assessment) cannot be passed to the AR. Article 18(3) sets the maximum scope of what an AR can do: hold the DoC and technical documentation for 10+ years, provide information and documentation to authorities on reasoned request, and cooperate on actions taken to eliminate risks. The manufacturer always remains the entity legally responsible for the substantive cybersecurity duties.

What is the difference between a CRA authorised representative and an EU importer?

They are independent roles. An importer is, by Article 3 definition, an EU-established person who places a product bearing a non-EU manufacturer's name or trademark on the EU market. Importers carry their own Article 19 obligations (conformity verification, document retention for 10 years, authority cooperation, vulnerability notification) regardless of whether an AR exists. An AR, when appointed, takes on the Article 18(3) tasks listed in the mandate. They are not substitutes: the importer role is triggered by the commercial supply route, the AR role by a written mandate. One EU entity may hold both, with separate paperwork.

Can my EU importer or distributor act as my authorised representative?

Yes. The CRA does not forbid one EU-established entity from holding both a commercial importer or distributor role and an AR mandate. The functions remain legally distinct: the importer carries Article 19 obligations from the commercial supply relationship, the AR carries Article 18(3) duties from a written mandate. To combine them, you need a separate written AR mandate that explicitly covers Article 18(3), professional indemnity sufficient for both roles, and a clear contractual line between the two functions.

Is the AR liable for product defects, or only for documentation duties?

The AR is responsible only for the duties listed in the written mandate, which under the CRA are bounded by Article 18(3): document custody, authority responsiveness, and cooperation on corrective action. Article 18(2) explicitly excludes the substantive Article 13 obligations from the mandate. Product defect liability and the underlying cybersecurity obligations remain with the manufacturer. National law in some Member States may extend AR exposure further, so the mandate should be drafted carefully.

Is a CRA authorised representative the same as an MDR or RED authorised representative?

The AR concept is shared across EU product regulations, but the regimes are not identical. MDR Article 11 makes AR appointment mandatory for non-EU manufacturers and imposes broader medical-specific duties including vigilance reporting. RED Article 5 also makes AR appointment mandatory for non-EU manufacturers. CRA Article 18(1) makes it optional. The Article 18(3) duties are narrower and centred on documentation, authority requests, and corrective-action cooperation. An incumbent MDR or RED AR can be a strong starting point, but the mandate must be re-papered for CRA scope and Article 18(2) non-delegation rules.

Does the AR sign the EU Declaration of Conformity?

No. The EU Declaration of Conformity is drawn up and signed by the manufacturer under Article 28. The AR, when appointed, holds the signed DoC and the technical documentation at the disposal of market surveillance authorities under Article 18(3)(a), but the act of declaring conformity is a manufacturer responsibility that Article 18(2) keeps out of the AR mandate.

Can I change my AR after appointment?

Yes. The mandate is a contract between the manufacturer and the AR, and either party can terminate subject to its terms. On change, the new AR takes over custody of the technical documentation and Declaration of Conformity, and the manufacturer should update the contact information communicated to market surveillance authorities. Plan for an explicit handover step in the mandate template.

Representante autorizado del Reglamento de Ciberresiliencia (artículo 18)

Resumen

Cinco claves del artículo 18 del Reglamento de Ciberresiliencia antes de decidir si designas a un representante autorizado.

Base jurídica: El artículo 18, apartado 1, del Reglamento (UE) 2024/2847 (el Reglamento de Ciberresiliencia) es permisivo: «El fabricante podrá designar a un representante autorizado mediante mandato escrito.» La designación es opcional. No existe ninguna cláusula que la exija a los fabricantes establecidos fuera de la UE (a diferencia del artículo 11 del MDR o del artículo 5 de la RED).
Por qué designarlo igualmente: Un único punto de contacto jurídico establecido en la Unión ante las autoridades de vigilancia del mercado, custodia de la documentación por una entidad dentro de la jurisdicción correspondiente y paridad operativa con los acuerdos MDR/RED que muchos fabricantes establecidos fuera de la UE ya mantienen. Conveniencia práctica, no obligación legal.
Qué puede hacer el representante autorizado: El artículo 18, apartado 3, fija el alcance máximo: mantener la declaración UE de conformidad y la documentación técnica a disposición de las autoridades durante al menos diez años (o durante el período de soporte si este plazo fuera más largo); facilitar información a las autoridades de vigilancia del mercado previa solicitud motivada; cooperar en cualquier acción destinada a eliminar los riesgos.
Qué permanece en el fabricante: El artículo 18, apartado 2, excluye del mandato las obligaciones del artículo 13, apartados 1 a 11, apartado 12, párrafo primero, y apartado 14. Los requisitos esenciales de ciberseguridad, la gestión de vulnerabilidades y la evaluación de la conformidad no pueden delegarse en el representante autorizado.
Importador del artículo 19: Si el producto de un fabricante establecido fuera de la UE se introduce en el mercado de la Unión a través de una entidad comercial establecida en la Unión, dicha entidad es el importador por definición (art. 3, punto 14) y asume las obligaciones del artículo 19 con independencia de cualquier designación de representante autorizado.
Dónde encajamos nosotros: CRA Evidence es la plataforma de evidencias para la custodia documental del artículo 18, apartado 3, la respuesta a las autoridades y el registro de acciones correctoras, utilizada directamente por fabricantes, por firmas de representante autorizado o por ambos. También estamos formando una red de socios de firmas de representante autorizado establecidas en la Unión; hoy no asumimos mandatos de representación.

¿Te conviene designar un representante autorizado?

La designación del representante autorizado es opcional según el artículo 18, apartado 1, del Reglamento de Ciberresiliencia. Es una decisión operativa, no legal: ¿los beneficios prácticos de tener un punto de contacto jurídico establecido en la Unión compensan el coste del mandato? Los factores siguientes cubren los argumentos habituales.

Factor

A favor de designar

A favor de no designar

Presencia del fabricante en la UE

El fabricante está establecido fuera de la Unión y no tiene ninguna oficina en la UE que pueda gestionar de forma creíble la correspondencia con las autoridades de vigilancia del mercado.

El fabricante está establecido en la Unión o tiene una filial en la UE que ya gestiona la correspondencia regulatoria.

Otros instrumentos de la UE

El producto también queda cubierto por el MDR o la RED, que sí exigen un representante autorizado a los fabricantes establecidos fuera de la UE. Reutilizar la misma firma para el alcance del Reglamento de Ciberresiliencia es operativamente más sencillo.

El producto solo entra en el ámbito del Reglamento de Ciberresiliencia y no existe ninguna obligación paralela de representante autorizado bajo el MDR o la RED.

Correspondencia con las autoridades

Quieres que la correspondencia con las autoridades de vigilancia del mercado pase por un contacto local en la UE, en el idioma y la franja horaria del Estado miembro correspondiente.

No tienes problema en responder directamente desde la sede del fabricante a las solicitudes motivadas previstas en el artículo 18, apartado 3, letra b).

Custodia documental

Quieres que la conservación durante diez años de la declaración UE de conformidad y de la documentación técnica esté en manos de un custodio establecido en la Unión.

Ya operas una plataforma de evidencias interna que mantiene la documentación accesible a las autoridades previa solicitud.

Ruta del importador

Tienes varios importadores o distribuidores en la UE y quieres un único representante autorizado nombrado en todo el canal, en lugar de fragmentar la responsabilidad.

Tienes un único importador de confianza en la UE que ya gestiona las verificaciones del artículo 19 y la conservación documental.

Ninguno de estos factores crea una obligación legal. El Reglamento de Ciberresiliencia no penaliza la ausencia de representante autorizado. Son palancas operativas; la mayoría de los fabricantes establecidos fuera de la UE en sectores regulados acaban designándolo porque la simplificación operativa compensa el coste del mandato.

¿Has decidido que designar un representante autorizado es lo correcto? Estamos formando una red de socios de firmas de representante autorizado establecidas en la Unión con experiencia en MDR, RED y RoHS. Dinos tu producto y el Estado miembro y te haremos la presentación cuando firmemos un encaje →

De qué responde el representante autorizado, artículo 18, apartado 3

El alcance del mandato lo fija el fabricante por escrito, pero debe cubrir al menos las tres funciones siguientes. Son las que las autoridades de vigilancia del mercado revisarán primero.

Art. 18, ap. 3, letra a)

Mantener a disposición de las autoridades la declaración UE de conformidad y la documentación técnica del anexo VII durante diez años.

mantener la declaración UE de conformidad a que se refiere el artículo 28 y la documentación técnica a que se refiere el artículo 31 a disposición de las autoridades de vigilancia del mercado durante un mínimo de diez años a partir de la introducción en el mercado del producto con elementos digitales, o durante el período de soporte si este plazo fuera más largo

Art. 18, ap. 3, letra b)

Facilitar documentación e información a las autoridades previa solicitud motivada.

en respuesta a una solicitud motivada de una autoridad de vigilancia del mercado, facilitar a dicha autoridad toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales

Art. 18, ap. 3, letra c)

Cooperar con las autoridades en las acciones correctoras y la eliminación de riesgos.

cooperar con las autoridades de vigilancia del mercado, a petición de estas, en cualquier acción destinada a eliminar los riesgos planteados por un producto con elementos digitales objeto del mandato del representante autorizado

Representante autorizado e importador: papeles independientes

El representante autorizado del artículo 18 y el importador del artículo 19 son papeles separados con desencadenantes distintos. El representante autorizado existe cuando un fabricante decide designarlo; el importador existe por el hecho comercial de que una persona establecida en la Unión introduce en el mercado el producto de un fabricante no establecido en la UE. Ninguno sustituye al otro en ninguna dirección.

Representante autorizado · art. 18

Importador en la UE · art. 19

Desencadenante

Opcional. El fabricante podrá designar un representante autorizado mediante mandato escrito (art. 18, apartado 1).

Condición por definición. Toda persona establecida en la Unión que introduce en el mercado un producto que lleva el nombre o la marca de un fabricante establecido fuera de la UE es el importador (art. 3, punto 14).

Se origina por

Mandato escrito del fabricante a una persona física o jurídica establecida en la Unión.

El canal de suministro comercial. Sin designación ni mandato.

Alcance máximo

Mantener la declaración UE de conformidad y la documentación técnica durante al menos diez años; facilitarlas previa solicitud motivada de las autoridades de vigilancia del mercado; cooperar en las acciones correctoras (art. 18, apartado 3). El artículo 18, apartado 2, excluye las obligaciones sustantivas del artículo 13.

Verificar la evaluación de la conformidad, el marcado CE, la declaración UE de conformidad y las instrucciones para el usuario; conservar la documentación durante al menos diez años; cooperar con las autoridades; notificar las sospechas de no conformidad y las vulnerabilidades de las que se tenga conocimiento (art. 19, apartados 1 a 8).

¿Sustituye al otro?

No. Designar un representante autorizado no exime de las obligaciones del importador a quien introduzca el producto en el mercado de la Unión.

No. Las obligaciones del importador del artículo 19 son independientes. Ni crean ni eliminan la designación de representante autorizado.

¿Puede ser la misma entidad?

Sí. Una misma firma establecida en la Unión puede asumir el mandato de representante autorizado y el papel de importador, con mandatos escritos separados y un seguro de responsabilidad civil que cubra ambos.

Implicación práctica: la decisión de designar un representante autorizado es independiente de quién importa el producto. Un importador en la UE no libera al fabricante de ninguna obligación de ciberseguridad, y un representante autorizado no libera al importador de ninguna obligación del artículo 19. Si quieres que un único socio en la UE asuma ambos papeles, está permitido; necesitas un mandato escrito de representación distinto del contrato comercial de suministro y un seguro que cubra ambas funciones.

Qué buscar al designar un representante autorizado

Si tu mapa de proveedores incluye firmas con experiencia en MDR, RED o RoHS, ese es un buen punto de partida. Las verificaciones específicas del Reglamento de Ciberresiliencia que aparecen a continuación son las que separan un representante autorizado solvente de otro que tendrá problemas en cuanto llegue la primera carta de las autoridades.

Domicilio: Persona jurídica establecida en la Unión en un Estado miembro, con domicilio social y un punto de contacto local.
Seguro: Seguro de responsabilidad civil profesional con cobertura ampliada explícitamente al alcance del Reglamento de Ciberresiliencia y a las clasificaciones de productos del anexo III.
Experiencia sectorial: Trayectoria demostrable bajo el MDR, el acto delegado de ciberseguridad de la RED o la RoHS, que son las firmas que hoy están reorientándose con credibilidad al trabajo del Reglamento de Ciberresiliencia.
Custodia documental: Plataforma que cumple la obligación de conservación durante diez años, con una pista de auditoría inalterable y exportaciones listas para las autoridades.
Rendición de cuentas: Una persona física nombrada que rinde cuentas ante las autoridades, no un buzón genérico del departamento jurídico.
Idioma: Capacidad para gestionar la cooperación en acciones correctoras prevista en el artículo 18, apartado 3, letra c), en el idioma de la autoridad del Estado miembro correspondiente.

¿Sabes lo que buscas pero no por dónde empezar? Sáltate la fase de búsqueda en frío. Solicita una presentación con un representante autorizado cuando arranque nuestra red de socios →

Cómo CRA Evidence respalda el artículo 18

Tanto si el fabricante mantiene la custodia documental internamente, como si la entrega a un representante autorizado externo o reparte el trabajo con un importador establecido en la Unión, las tareas operativas son las mismas: mantener un expediente técnico completo, entregarlo a las autoridades previa solicitud motivada y registrar las acciones correctoras. CRA Evidence es la plataforma que sostiene ese trabajo, con o sin representante autorizado.

Art. 18, ap. 3, letra a)

Mantener la declaración UE de conformidad y la documentación técnica del anexo VII durante al menos diez años

Paquetes del anexo VII, declaraciones UE de conformidad firmadas y los SBOM, VEX y evaluaciones de riesgo subyacentes, almacenados con una política firme de conservación durante diez años y un registro de auditoría inalterable.

Exportación de expediente técnico que empaqueta el anexo VII en un ZIP legible por máquina con manifiesto.
Certificados de cumplimiento que emiten declaraciones UE de conformidad en PDF multilingües (módulos A / B+C / H / EUCC); inmutables una vez emitidos.
Firma de artefactos (Sigstore con o sin clave) que escribe las firmas en un registro de transparencia para no repudio.
Conservación durante diez años de SBOM, documentos, eventos de auditoría y registros de vulnerabilidades, sin borrado anticipado al cambiar de plan.

Art. 18, ap. 3, letra b)

Facilitarlo todo a la autoridad de vigilancia del mercado previa solicitud motivada

Cuando una autoridad escribe, el representante autorizado dispone de una solicitud numerada, un plazo y un paquete de evidencias en un clic. Sin buscar en discos ni faltar documentos.

Servicio de solicitudes de autoridades que recibe peticiones de las autoridades de vigilancia del mercado con seguimiento AUTH-AAAA-NNNN, plazos y detección de vencimientos.
Montaje del paquete de respuesta que comprime en ZIP el manifiesto, la información de producto, las verificaciones de cadena de suministro, la pista de auditoría y un README listos para enviar.
Vista unificada de evidencias que normaliza SBOM, HBOM, VEX, documentos, certificados e instrucciones de uso del anexo II en un único índice consultable.
Portal de proveedores que concede acceso externo con tokens delimitados y trazabilidad de auditoría a autoridades o contrapartes de la cadena de suministro.

Art. 18, ap. 3, letra c)

Cooperar en las acciones correctoras y la eliminación de riesgos

La gestión de vulnerabilidades, los VEX y los registros de acciones correctoras se escriben en la misma base de evidencias con pista de auditoría, de modo que el representante autorizado puede mostrar a las autoridades qué se hizo, cuándo y por quién.

Ciclo de vida de la solicitud de autoridades: recibida → acusada → en_curso → respondida → cerrada, con registro del método de respuesta, la referencia y la lista de documentos.
Automatización de VEX (CycloneDX, CSAF, OpenVEX) que registra las decisiones de explotabilidad por hallazgo.
Flujo de notificación a ENISA para los plazos de 24 h / 72 h / 14 días del artículo 14 (en desarrollo activo).
Pista de auditoría que registra cada cambio de versión, cambio documental y aprobación, con la trazabilidad completa de las acciones correctoras.

Si designas a un representante autorizado, el mandato está con él. En cualquier caso, las evidencias se gestionan en CRA Evidence. Mira cómo funciona en la plataforma una transferencia del artículo 18, gratis durante 14 días y sin tarjeta.

Pruébalo en CRA Evidence ¿Necesitas ayuda para encontrar un representante autorizado?

Artículos 18 y 19, texto íntegro

Del Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales. Reproducido a título informativo; prevalece el texto consolidado de EUR-Lex.

Artículo 18 · Representantes autorizados

1. El fabricante podrá designar a un representante autorizado mediante mandato escrito.

2. Las obligaciones establecidas en el artículo 13, apartados 1 a 11, apartado 12, párrafo primero, y apartado 14 no formarán parte del mandato del representante autorizado.

3. El representante autorizado efectuará las tareas especificadas en el mandato recibido del fabricante. El representante autorizado proporcionará copia del mandato a las autoridades de vigilancia del mercado a petición de estas. El mandato permitirá al representante autorizado realizar como mínimo las tareas siguientes:

a) mantener la declaración UE de conformidad a que se refiere el artículo 28 y la documentación técnica a que se refiere el artículo 31 a disposición de las autoridades de vigilancia del mercado durante un mínimo de diez años a partir de la introducción en el mercado del producto con elementos digitales, o durante el período de soporte si este plazo fuera más largo;

b) en respuesta a una solicitud motivada de una autoridad de vigilancia del mercado, facilitar a dicha autoridad toda la información y documentación necesarias para demostrar la conformidad del producto con elementos digitales;

c) cooperar con las autoridades de vigilancia del mercado, a petición de estas, en cualquier acción destinada a eliminar los riesgos planteados por un producto con elementos digitales objeto del mandato del representante autorizado.

Fuente · EUR-Lex CELEX 32024R2847, artículo 18 (texto literal)

Artículo 19 · Obligaciones de los importadores (con independencia de la designación de representante autorizado)

1. Los importadores solo introducirán en el mercado productos con elementos digitales que cumplan los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte I, y siempre que los procesos establecidos por el fabricante cumplan los requisitos esenciales de ciberseguridad establecidos en el anexo I, parte II.

2. Antes de introducir en el mercado un producto con elementos digitales, los importadores se asegurarán de que:

a) el fabricante ha llevado a cabo los procedimientos de evaluación de la conformidad adecuados a que se refiere el artículo 32;

b) el fabricante ha redactado la documentación técnica;

c) el producto con elementos digitales lleva el marcado CE contemplado en el artículo 30 y va acompañado de la declaración UE de conformidad a que se refiere el artículo 13, apartado 20, y de la información y las instrucciones para el usuario especificadas en el anexo II, en una lengua fácilmente comprensible para los usuarios y las autoridades de vigilancia del mercado;

d) el fabricante ha cumplido los requisitos establecidos en el artículo 13, apartados 15, 16 y 19.

Los apartados siguientes del artículo 19 (apartados 3 a 8) regulan la gestión de la no conformidad, la identificación del importador en el producto, las medidas correctoras y la notificación de vulnerabilidades, la conservación documental durante diez años, la respuesta a las solicitudes motivadas de las autoridades de vigilancia del mercado y el deber de informar a las autoridades y a los usuarios cuando el fabricante cesa su actividad. Estas obligaciones se aplican a quien actúe como importador en la Unión, con independencia de cualquier designación de representante autorizado del artículo 18.

Fuente · EUR-Lex CELEX 32024R2847, artículo 19 (texto literal, apartados 1 y 2; 3 a 8 resumidos)

Preguntas frecuentes

¿Es obligatorio designar un representante autorizado en el Reglamento de Ciberresiliencia?

No. El artículo 18, apartado 1, del Reglamento (UE) 2024/2847 dice, literalmente: «El fabricante podrá designar a un representante autorizado mediante mandato escrito.» Es permisivo. El Reglamento de Ciberresiliencia no impone la designación de representante autorizado como condición para introducir productos en el mercado de la Unión, ni siquiera a los fabricantes establecidos fuera de la UE. Esto difiere del artículo 11 del MDR y del artículo 5 de la RED, que sí lo exigen a los fabricantes establecidos fuera de la UE. Si un producto del Reglamento de Ciberresiliencia también queda cubierto por el MDR o la RED, la obligación de representante autorizado de esos instrumentos sigue aplicándose.

¿Por qué un fabricante establecido fuera de la UE designaría igualmente un representante autorizado en el Reglamento de Ciberresiliencia?

Por varios motivos prácticos. Un único punto de contacto jurídico establecido en la Unión reduce la fricción con las autoridades de vigilancia del mercado, que prefieren tratar con una entidad en su jurisdicción e idioma. El representante autorizado puede mantener localmente la declaración UE de conformidad y la documentación técnica durante el plazo de diez años del artículo 18, apartado 3, letra a). Muchos fabricantes establecidos fuera de la UE ya tienen representante autorizado para MDR o RED y les resulta operativamente más sencillo extender ese acuerdo al alcance del Reglamento de Ciberresiliencia. Por último, un representante autorizado en la UE claramente identificado puede acortar los tiempos de respuesta cuando llega una solicitud motivada al amparo del artículo 18, apartado 3, letra b).

¿Qué puede y qué no puede delegarse en el representante autorizado del Reglamento de Ciberresiliencia?

El artículo 18, apartado 2, excluye expresamente del mandato del representante autorizado las obligaciones del artículo 13, apartados 1 a 11, apartado 12, párrafo primero, y apartado 14. Las obligaciones sustantivas de ciberseguridad (requisitos esenciales, gestión de vulnerabilidades y evaluación de la conformidad) no pueden trasladarse al representante autorizado. El artículo 18, apartado 3, fija el alcance máximo de lo que el representante autorizado puede hacer: mantener la declaración UE de conformidad y la documentación técnica durante al menos diez años, facilitar información y documentación a las autoridades previa solicitud motivada y cooperar en cualquier acción destinada a eliminar los riesgos. El fabricante sigue siendo siempre la entidad legalmente responsable de las obligaciones sustantivas de ciberseguridad.

¿Qué diferencia hay entre el representante autorizado del Reglamento de Ciberresiliencia y un importador en la UE?

Son papeles independientes. Por la definición del artículo 3, un importador es la persona establecida en la Unión que introduce en el mercado un producto que lleva el nombre o la marca de un fabricante establecido fuera de la UE. Los importadores asumen sus propias obligaciones del artículo 19 con independencia de que exista un representante autorizado. El representante autorizado, cuando se designa, asume las tareas del artículo 18, apartado 3, recogidas en el mandato. No se sustituyen: el papel del importador lo activa el canal comercial de suministro y el del representante autorizado, un mandato escrito. Una misma entidad de la UE puede asumir ambos, con documentación separada.

¿Puede mi importador o distribuidor en la UE actuar como representante autorizado?

Sí. El Reglamento de Ciberresiliencia no prohíbe que una misma entidad establecida en la Unión asuma simultáneamente el papel comercial de importador o distribuidor y el mandato de representante autorizado. Las funciones siguen siendo jurídicamente distintas: el importador asume las obligaciones del artículo 19 derivadas de la relación comercial de suministro y el representante autorizado, las del artículo 18, apartado 3, derivadas de un mandato escrito. Para combinarlos necesitas un mandato escrito de representación distinto que cubra expresamente el artículo 18, apartado 3, un seguro de responsabilidad civil profesional suficiente para ambos papeles y una línea contractual clara entre las dos funciones.

¿Responde el representante autorizado de los defectos del producto o solo de las obligaciones documentales?

El representante autorizado solo responde de las funciones recogidas en el mandato escrito, que en el Reglamento de Ciberresiliencia se limitan al artículo 18, apartado 3: custodia documental, capacidad de respuesta a las autoridades y cooperación en las acciones correctoras. El artículo 18, apartado 2, excluye expresamente del mandato las obligaciones sustantivas del artículo 13. La responsabilidad por defectos del producto y las obligaciones de ciberseguridad subyacentes permanecen en el fabricante. La normativa nacional de algunos Estados miembros puede ampliar la exposición del representante autorizado, así que conviene redactar el mandato con cuidado.

¿Es lo mismo un representante autorizado del Reglamento de Ciberresiliencia que uno del MDR o de la RED?

El concepto de representante autorizado es común a varias normas europeas de producto, pero los regímenes no son idénticos. El artículo 11 del MDR exige la designación a los fabricantes establecidos fuera de la UE e impone funciones más amplias propias del sector sanitario, incluida la vigilancia. El artículo 5 de la RED también la exige a los fabricantes establecidos fuera de la UE. El artículo 18, apartado 1, del Reglamento de Ciberresiliencia la deja como opcional. Las funciones del artículo 18, apartado 3, son más estrechas y se centran en documentación, solicitudes de las autoridades y cooperación en acciones correctoras. Una firma con experiencia previa en MDR o RED es un buen punto de partida, pero el mandato debe rehacerse para ajustarse al alcance del Reglamento de Ciberresiliencia y a las reglas de indelegabilidad del artículo 18, apartado 2.

¿El representante autorizado firma la declaración UE de conformidad?

No. La declaración UE de conformidad la elabora y la firma el fabricante conforme al artículo 28. El representante autorizado, cuando se designa, mantiene la declaración UE de conformidad firmada y la documentación técnica a disposición de las autoridades de vigilancia del mercado conforme al artículo 18, apartado 3, letra a), pero el acto de declarar la conformidad es responsabilidad del fabricante y el artículo 18, apartado 2, lo deja fuera del mandato del representante autorizado.

¿Puedo cambiar de representante autorizado tras la designación?

Sí. El mandato es un contrato entre el fabricante y el representante autorizado y cualquiera de las partes puede resolverlo en sus términos. Al producirse el cambio, el nuevo representante autorizado asume la custodia de la documentación técnica y de la declaración UE de conformidad, y el fabricante debe actualizar la información de contacto comunicada a las autoridades de vigilancia del mercado. Conviene prever un paso explícito de traspaso en la plantilla del mandato.