CRA för spanska tillverkare: INCIBE-CERT, CCN och ENAC

Landöversikt för spanska tillverkare under CRA: rapportering troligen via INCIBE-CERT, CCN/ENAC-uppdelningen, språkkrav och nationell finansiering.

CRA Evidence Team Publicerad 1 januari 2026 Uppdaterad 11 juni 2026
CRA-landguide för spanska tillverkare med den nationella institutionella kedjan: CSIRT för sårbarhetsrapporter, anmält organ för överensstämmelseintygen och marknadskontrollmyndighet för tillsyn
I denna artikel

Spanska tillverkare möter samma CRA-skyldigheter som alla andra EU-tillverkare. Den här landguiden handlar om Spanien: hur sårbarhets- och incidentrapporter dirigeras via INCIBE-CERT, hur bedömningsorgan för överensstämmelse designeras under den spanska uppdelningen (CCN anmäler, ENAC ackrediterar), vad de spanskspråkiga skyldigheterna faktiskt kräver och vad som fortfarande är tillgängligt från nationella finansieringsprogram när återhämtningsfönstret stänger. För den fullständiga tillverkarobligationsuppsättningen, se tillverkarklusterguiden.

Sammanfattning

  • CRA, cyberresiliensförordningen, är en EU-förordning med direkt verkan. Det finns inga spanskspecifika undantag för produkttillverkare.
  • INCIBE-CERT är det mottagande spanska CSIRT för CRA-sårbarhets- och incidentrapporter när din huvudsakliga etablering finns i Spanien.
  • CCN (Centro Criptológico Nacional) anmäler spanska organ för bedömning av överensstämmelse till Europeiska kommissionen. ENAC ackrediterar dem som det tekniska steget före den anmälan.
  • SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) inom Ministerio para la Transformación Digital y de la Función Pública (MTDFP) är positionerat som den spanska CRA-marknadskontrollmyndigheten. Det nationella formella ramverket gäller från 11 juni 2026. Kontrollera den slutliga BOE-designationen innan du gör någon formell inlämning.
  • Spanska (kastilianska) krävs för användarriktat produktinformation som säljs på den spanska marknaden. Autonomiregionernas samofficiella språk (katalanska, galiciska, baskiska) är inte CRA-obligatoriska.
  • CDTI har aktiva 2026-innovationslinjer som kan finansiera FoU i anslutning till CRA-arbete. Kit Digital-utlysningarna stängde i oktober 2025. Plan de Recuperación-projekt måste vara genomförda senast 31 augusti 2026 och är inte ett planeringsinstrument för 11 december 2027-fristen.

När den här guiden gäller dig

Du är rätt läsare om din tillverkares "huvudsakliga etablering i unionen" är i Spanien. Det innebär den plats där beslut rörande cybersäkerheten för dina produkter med digitala element i huvudsak fattas. Ett spanskt registrerat försäljningsbolag med teknikteam utomlands är inte huvudetableringen. Om ditt teknikteam, din SDLC-styrning och de personer som godkänner utgivning av säkerhetsuppdateringar sitter i Spanien, är den här guiden för dig.

Om din huvudsakliga etablering finns på annan plats i EU och du bara levererar till Spanien, dirigeras dina CRA-rapporter via CSIRT för det land där din huvudetablering är, inte INCIBE-CERT. Den spanskspråkiga skyldigheten för användarriktat information gäller ändå för varje produkt som placeras på den spanska marknaden.

INCIBE-CERT: den spanska CSIRT-vägen

CRA-notifieringar dirigeras via det CSIRT som utsetts som koordinator för den medlemsstat där tillverkaren har sin huvudsakliga etablering i unionen. För en tillverkare vars huvudetablering är i Spanien är det CSIRT INCIBE-CERT.

INCIBE-CERT publicerar spanskspråkiga sårbarhetsrådgivningar och driver incidenthanteringsströmmen för konsumentprodukter. CCN-CERT täcker offentlig sektor och klassificerade system och är inte CRA-vägen för kommersiella tillverkare som placerar produkter på den öppna marknaden.

Den tekniska kanalen för 24h/72h/14d-rapportkadenset är den gemensamma rapporteringsplattformen (ENISA), som öppnar 11 september 2026. En spansk tillverkare lämnar in via den plattformen med INCIBE-CERT som mottagande koordinator. CSIRT-designationen är dirigeringen. Plattformen är transporten.

Anmälda organ: CCN designerar, ENAC ackrediterar

För produkter av viktig klass I där ingen harmoniserad standard tillämpas, produkter av viktig klass II och kritiska produkter kräver bedömning av överensstämmelse ett anmält organ (modul B+C eller modul H).

Den spanska institutionella uppdelningen är:

  • CCN (Centro Criptológico Nacional) agerar som anmälande myndighet och designerar formellt spanska organ för bedömning av överensstämmelse till Europeiska kommissionen under CRA.
  • ENAC (Entidad Nacional de Acreditación) är det spanska nationella ackrediteringsorganet och bedömer den tekniska kompetensen hos en kandidat innan CCN anmäler den.

CRA-ramverket för anmälda organ gäller från 11 juni 2026, varefter designerade organ kan börja utfärda CRA-certifikat för bedömning av överensstämmelse. Nu när ramverksdatumet 11 juni 2026 har passerat bör du verifiera det slutliga BOE-utpekandet innan någon formell anmälan.

Du kan som spansk tillverkare använda vilket EU-anmält organ som helst, inte bara spanskdesignerade. Att välja ett spanskdesignerat organ är en inköpspreferens (spanskspråkig bedömning, revisionslogistik i landet) och inte ett CRA-krav.

Marknadskontroll: SETID inom MTDFP

Det spanska utkastet till Real Decreto utser SETID inom MTDFP till marknadskontrollmyndighet för CRA-produkter i Spanien. Den beteckningen är preliminär tills den slutliga texten publiceras i BOE.

INCIBE stöder den tekniska sidan som föredraget laboratorium. Utkastet ger däremot inte INCIBE offentliga beslutsbefogenheter för CRA-marknadskontroll. Kontrollera den slutliga BOE-texten före någon formell inlämning.

Spanskspråkiga krav i praktiken

CRA kräver att användarriktat produktinformation ska vara på ett språk som användare och den lokala marknadskontrollmyndigheten lätt förstår. För produkter som placeras på den spanska marknaden är det spanska (kastilianska).

Måste vara på spanska:

  • Bruksanvisningar och produktinformation som medföljer produkten.
  • Tillverkarens kontaktuppgifter (namn, adress, e-post eller annan digital kontakt) överallt där de visas, inklusive på produkten, förpackningen eller medföljande dokument.
  • Uppgifter om supportperiodens slut som visas vid köptillfället.

Kan vara flerspråkig:

  • Produktetiketten och CE-märkningen.
  • Text på förpackningen.
  • Onlinedokumentation, förutsatt att en svensk version är åtkomlig.

Engelska godtas normalt för:

  • Intern teknisk dokumentation. Marknadskontrollmyndigheter kan begära en spansk översättning om de gör en motiverad begäran, så planera för det även om du inte översätter proaktivt.

Katalanska, galiciska och baskiska är samofficiella språk i respektive autonomiregion. CRA kräver inte översättning till samofficiella språk. Specifika regionala upphandlingskontrakt eller sektorsregulatorer (till exempel vissa offentliga upphandlingar) kan lägga till egna språkklausuler, separat från CRA.

Försäljning gränsöverskridande från Spanien

Du som spansk tillverkare och säljer till Portugal, Frankrike, Italien eller något annat EU-land följer samma enskilda routingregel: dina rapporter går ändå till INCIBE-CERT, eftersom routing följer huvudetablering, inte leveransdestination per försändelse. Du lämnar inte in till det portugisiska, franska eller italienska CSIRT.

Språkskyldigheten sprider sig per marknad. En produkt som levereras till den franska marknaden behöver franskspråkigt användarriktat innehåll. En produkt som levereras till den portugisiska marknaden behöver portugisiskt innehåll. Det enda spanskspråkiga paketet täcker inte de marknaderna.

Varje mottagande medlemsstats marknadskontrollmyndighet kan också begära din tekniska dokumentation på ett språk som den myndigheten lätt förstår. Om din leverans löper brett över EU, förvänta dig begäranden på minst ett allmänt använt arbetsspråk och behandla tidig översättning av de mest efterfrågade avsnitten av teknisk dokumentation som en praktisk försäkring.

Nationella finansieringsprogram

Finansieringsbilden har förändrats när återhämtnings- och motståndskraftsfönstret stänger. Var noggrann med vad som är öppet innan du planerar ett belopp mot något av dessa.

  • CDTI (Centro para el Desarrollo Tecnológico Industrial) har aktiva 2026-linjer: NEOTEC (tidiga teknikstartups), Línea Directa de Innovación (LIC) och Misiones Ciencia e Innovación (stora samarbetande FoU-konsortier). CRA-drivet arbete passar in när vinkeln är äkta FoU och innovation, inte ren implementering eller efterlevnad. CDTI planerar att mobilisera över 1,8 miljarder euro inom sina 2026-linjer.
  • Activa Ciberseguridad är ett litet voucherprogram (ungefär 2 140 euro per stödmottagare) för industriella SMF, drivet av SGIPYME med autonomiregionerna och EOI. Användbart för en inledande cybersäkerhetsdiagnos eller en plan-de-ciberseguridad, inte för den fullständiga CRA-verktygsinvesteringen.
  • Kit Digital befinner sig i en övergångsfas. Alla Kit Digital-utlysningar stängde i oktober 2025. Orden TDF/39/2026 (BOE, 28 januari 2026) tillåter omfördelning av återstående medel, men den 25 maj 2026 finns inget öppet ansökningsfönster. Kontrollera kitdigital.red.es/convocatorias innan du räknar med det.
  • Plan de Recuperación, Transformación y Resiliencia (PRTR) befinner sig i sitt avslutningsfönster. Alla återhämtnings- och motståndskraftsprojekt måste vara genomförda senast 31 augusti 2026, med Spaniens slutliga betalningsbegäranden till kommissionen senast 30 september 2026. PRTR är därför inte ett realistiskt planeringsinstrument för CRA-efterlevnadsfristen den 11 december 2027. Det 162 miljoner euro stora RETECH-initiativet via INCIBE är i sin slutliga utbetalningsfas.

För ny efterlevnadsinvestering daterad mot 11 december 2027-skyldighetsdatumet är den realistiska offentliga finansieringsbilden i Spanien CDTI:s innovationslinjer plus eventuella sektorsspecifika program via autonomiregionerna. Återhämtnings- och motståndskraftsfinansierade program ingår inte i den bilden från 2027 och framåt.

Vanliga frågor

Vilket spanskt CSIRT tar emot mina CRA-sårbarhetsrapporter?

INCIBE-CERT, när tillverkarens huvudsakliga etablering är i Spanien. CRA definierar huvudsaklig etablering som den plats där beslut rörande cybersäkerheten för produkter med digitala element i huvudsak fattas. CCN-CERT fungerar inte som CRA-koordinator för kommersiella tillverkare. Rapporter lämnas in via den gemensamma rapporteringsplattformen (ENISA) från 11 september 2026, med INCIBE-CERT som mottagande koordinator.

Vem designerar spanska anmälda organ, ENAC eller CCN?

CCN (Centro Criptológico Nacional) är den anmälande myndigheten som formellt designerar spanska CRA-anmälda organ till Europeiska kommissionen. ENAC ackrediterar kandidatorganen som det tekniska steget före den anmälan. Båda är involverade, med tydligt åtskilda roller. Du kan som spansk tillverkare ändå använda vilket EU-anmält organ som helst för CRA-bedömning av överensstämmelse. Den spanska kedjan är relevant för upphandling, inte som ett CRA-krav.

Täcker min ENS- eller LINCE-certifiering CRA-bedömningen av överensstämmelse?

Nej, ingendera ersätter CRA-bedömningen av överensstämmelse, även om båda kan ge underlag som stödjer den. ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) är ett organisatoriskt säkerhetsramverk för offentliga sektorns informationssystem och deras leverantörer, inte en produktcertifiering. LINCE är CCN:s lättviktiga produktutvärdering som styr inkludering i CPSTIC-katalogen för spansk offentlig upphandling. LINCE har harmoniserats på EU-nivå via FITCEM EN 17640:2022, bredvid de franska CSPN- och tyska BSZ-metoderna, så dess utdata kan ingå i din CRA-tekniska dokumentation som stödjande bevis. CRA:s egna bedömningsvägar för överensstämmelse (modul A självbedömning, modul B+C typundersökning, modul H fullständig kvalitetssäkring) är en separat kedja. Har du ENS- eller LINCE-certifiering, behandla den som underlag till din CRA-fil, inte som en ersättning för bedömningen av överensstämmelse.

Vilken spansk myndighet är CRA:s marknadskontrollmyndighet?

SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) inom Ministerio para la Transformación Digital y de la Función Pública (MTDFP) är i det spanska utkastet utsedd till CRA-marknadskontrollmyndighet. CRA-ramverket för nationella behöriga myndigheter gäller från 11 juni 2026, och Spaniens officiella BOE-designation kan fortfarande vara under färdigställande när du läser detta. Kontrollera den slutliga designationen innan du gör någon formell inlämning. INCIBE stöder som föredraget tekniskt laboratorium, utan offentliga beslutsbefogenheter för marknadskontroll.

När publicerar Spanien sin nationella CRA-genomförandelag i BOE?

Cyberresiliensförordningen är en EU-förordning med direkt verkan, så Spanien behöver inte transponera den till nationell lag för att de materiella skyldigheterna ska gälla från 11 december 2027. Det Spanien behöver publicera före 11 juni 2026 är ett genomförandeinstrument (vanligtvis ett Real Decreto eller Orden Ministerial) som formellt designerar CRA-marknadskontrollmyndigheten, den anmälande myndigheten för organ för bedömning av överensstämmelse och den nationella gemensamma kontaktpunkten. Samma eller ett uppföljande instrument förväntas fastställa den spanska bötesskalan inom CRA:s EU-nivåtak, definiera tillsynsförfarandet och klargöra samordningen med befintlig spansk cybersäkerhetslagstiftning. Ramverksdatumet 11 juni 2026 har nu passerat. Verifiera den slutliga BOE-texten innan du förlitar dig på utkast till utpekanden och behandla tidigare branschhänvisningar som preliminära tills texten är publicerad.

Behöver jag översätta allt till katalanska, galiciska eller baskiska?

CRA kräver användarinformation på ett språk som lätt förstås i den leveransmedlemsstaten. För Spanien är det spanska (kastilianska). Autonomiregionernas samofficiella språk krävs inte av CRA. Specifika regionala upphandlingskontrakt eller sektorsregulatorer kan lägga till egna språkklausuler, separat från CRA.

Kan CDTI eller Kit Digital betala för min CRA-efterlevnadsverktygslåda?

CDTI: när arbetet är äkta FoU och innovation (nya detektionsmetoder, SBOM-analysverktyg, pipelines för hantering av sårbarheter), ja. CDTI:s 2026-plan mobiliserar över 1,8 miljarder euro inom NEOTEC, LIC, Misiones och andra linjer. Rent efterlevnadsarbete (revisioner, avgifter för bedömning av överensstämmelse, uppbyggnad av interna processer) är svårare att passa in, eftersom CDTI är innovationsfinansiering. Kit Digital: utlysningar stängde oktober 2025, inget öppet fönster den 25 maj 2026. Orden TDF/39/2026 tillåter omfördelning av återstående medel men öppnar inte nya ansökningsomgångar. Plan de Recuperación befinner sig i sitt avslutningsfönster med projektgenomförande senast 31 augusti 2026, så det kan inte finansiera arbete planerat mot 11 december 2027-fristen.

Jag levererar från Spanien till andra EU-länder. Var rapporterar jag incidenter?

Via INCIBE-CERT, oavsett vilka EU-länder du levererar till. CRA kopplar rapportdirigeringen till huvudetablering, inte till leveransdestination per försändelse. Språkskyldigheten sprider sig per marknad: franskspråkigt produktinnehåll för produkter levererade till Frankrike, portugisiskt för produkter levererade till Portugal och så vidare. Förbered åtminstone de mest efterfrågade avsnitten av teknisk dokumentation på ett allmänt använt arbetsspråk för att absorbera gränsöverskridande motiverade begäranden.

För spanska tillverkare som förbereder sig för 11 december 2027

  1. Bekräfta dina tillverkarskyldigheter med hjälp av tillverkarklusterguiden.
  2. Kontrollera att din huvudsakliga etablering är i Spanien och dokumentera motiveringen. Det är platsen för cybersäkerhetsbeslut, inte det registrerade kontoret, som avgör.
  3. Kartlägg ditt CRA-rapporteringsflöde till INCIBE-CERT som mottagande CSIRT, med en testad inlämning till den gemensamma rapporteringsplattformen (ENISA) när den öppnar 11 september 2026.
  4. Om din bedömningsväg för överensstämmelse kräver ett anmält organ, ta in ENAC-ackrediterade och CCN-anmälda organ som hemalternativet, plus minst ett gränsöverskridande alternativ för motståndskraft.
  5. Översätt bruksanvisningar och produktinformation till spanska. Lägg till marknadsspecifika översättningar för övriga EU-länder du levererar till.
  6. Se över CDTI-linjer (NEOTEC, LIC, Misiones) mot FoU-inriktat CRA-arbete. Planera inte mot Kit Digital eller Plan de Recuperación för 2027-efterlevnadsinvestering, eftersom båda befinner sig i avslutningsfönster.
  7. Kontrollera den slutliga BOE-designationen igen när den publiceras och uppdatera din kontaktkarta för SETID, CCN, ENAC och INCIBE-CERT före någon formell inlämning.
  8. Läs frågeformuläret för granskning av leverantörsdue diligence för ramverket för komponentdue diligence på tillverkarsidan.

Den här artikeln är enbart avsedd för informationsändamål och utgör inte juridisk rådgivning. Konsultera kvalificerat juridiskt ombud för specifik CRA-efterlevnadsvägledning.

CRA Spanien Sårbarhetshantering
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Tidlösa guider om de krav, processer och roller som anges i EU:s cyberresiliensförordning (CRA).

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Europeisk cybersäkerhetscertifiering (EUCC)

Hur EUCC-certifieringssystemet fungerar och när det kan stödja CRA-överensstämmelse.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
Visa hela guiden för CRA-efterlevnad