Todas las obligaciones del Reglamento (UE) 2024/2847 — trazables al artículo, con explicaciones en lenguaje claro.
Los productos con elementos digitales solo pueden comercializarse en el mercado de la UE si cumplen los requisitos esenciales de ciberseguridad establecidos en la Parte I del Anexo I, siempre que estén correctamente instalados, mantenidos y utilizados para su fin previsto y se hayan instalado las actualizaciones de seguridad necesarias.
Los productos con elementos digitales solo pueden comercializarse en el mercado de la UE si los procesos establecidos por el fabricante cumplen los requisitos esenciales de ciberseguridad de la Parte II del Anexo I, que cubren la identificación, gestión y divulgación de vulnerabilidades durante todo el período de asistencia.
Los productos cuya funcionalidad principal corresponde a una categoría del Anexo III son «productos importantes con elementos digitales» y deben someterse a procedimientos de evaluación de conformidad más estrictos. Los productos importantes de clase I pueden utilizar la autoevaluación del módulo A únicamente si se aplican normas armonizadas o especificaciones comunes; de lo contrario se requiere un organismo notificado. La clase II siempre requiere un organismo notificado.
Los productos cuya funcionalidad principal corresponde al Anexo IV (dispositivos de hardware con cajas de seguridad, pasarelas de contadores inteligentes y tarjetas inteligentes/elementos seguros) son «productos críticos con elementos digitales». Una vez que la Comisión adopte el acto delegado pertinente, deberán obtener un certificado europeo de ciberseguridad en el nivel de garantía «sustancial» o superior. Hasta entonces, se requiere una evaluación de conformidad según el módulo B+C o H.
Los fabricantes deben diseñar, desarrollar y producir productos con elementos digitales de modo que ofrezcan un nivel adecuado de ciberseguridad en función de los riesgos. La seguridad debe abordarse durante todo el ciclo de vida del producto, desde el diseño hasta la retirada del servicio.
Antes de poner en el mercado un producto con elementos digitales, los fabricantes deben llevar a cabo una evaluación de los riesgos de ciberseguridad asociados al producto. La evaluación debe orientar el diseño, el desarrollo y la producción del producto, y debe documentarse como parte del expediente técnico.
Los fabricantes deben elaborar documentación técnica que contenga toda la información necesaria para demostrar que el producto cumple los requisitos esenciales del RCA. La documentación debe mantenerse actualizada y conservarse durante diez años desde la puesta en el mercado (o durante la vida útil prevista del producto si fuera mayor).
Los fabricantes deben demostrar la conformidad mediante el procedimiento adecuado a su clase de producto. Los productos por defecto pueden autocertificarse (Módulo A). Los productos de clase I importante pueden autocertificarse si se aplican normas armonizadas; en caso contrario, debe intervenir un organismo notificado. Los productos de clase II importante y los productos críticos siempre requieren un organismo notificado.
Cuando un componente de software incorporado en un producto con elementos digitales no ha sido desarrollado por el fabricante, este debe ejercer la diligencia debida apropiada para garantizar que dicho componente no compromete la seguridad del producto. Debe elaborarse y mantenerse una lista de materiales de software (SBOM) como parte de la documentación técnica.
Al poner en el mercado un producto con elementos digitales, los fabricantes deben garantizar que el producto no contiene ninguna vulnerabilidad explotable conocida. Esta obligación se aplica en el momento de la distribución y en cada actualización posterior que se publique.
Los fabricantes deben establecer una política de divulgación coordinada de vulnerabilidades (CVD) y hacerla públicamente accesible. La política debe incluir un punto de contacto para notificar vulnerabilidades y describir cómo el fabricante gestionará los informes, incluidos los plazos de acuse de recibo y el proceso de coordinación de la divulgación con los investigadores.
Los fabricantes deben declarar el período de asistencia técnica de su producto y poner esa información a disposición de los usuarios antes de la compra. El período de asistencia técnica debe ser de al menos cinco años, salvo que la vida útil prevista del producto sea menor. La fecha de finalización del período de asistencia técnica debe figurar en la documentación del producto y en el punto de venta.
Los fabricantes deben proporcionar actualizaciones de seguridad de forma gratuita durante al menos cinco años (o la vida útil prevista si fuera menor). Las actualizaciones deben entregarse con prontitud, de forma separada a las actualizaciones funcionales, y la fecha de finalización del período de asistencia técnica debe divulgarse.
Los fabricantes deben contar con procesos para identificar, analizar y abordar las vulnerabilidades de sus productos durante todo el período de asistencia técnica. El Anexo I Parte II especifica requisitos detallados que incluyen la asignación de CVE, la puntuación CVSS, la divulgación coordinada y la remediación oportuna.
Los fabricantes deben elaborar una declaración UE de conformidad de conformidad con el artículo 28 y el Anexo V, declarando que el producto cumple todos los requisitos aplicables del RCA. La declaración UE de conformidad debe mantenerse actualizada y ponerse a disposición de las autoridades de vigilancia del mercado y, cuando proceda, de los usuarios.
Los fabricantes deben colocar el marcado CE en sus productos antes de ponerlos en el mercado de la UE, como evidencia de que el producto cumple todos los requisitos aplicables del RCA. El marcado CE debe ser visible, legible e indeleble, y no debe colocarse antes de que se haya elaborado la declaración UE de conformidad.
Los fabricantes deben garantizar que cada producto con elementos digitales lleve un tipo, número de lote, número de serie u otro elemento que permita su identificación. Para los productos de software puro, el número de versión cumple este propósito.
Los fabricantes deben indicar su nombre, nombre comercial registrado o marca, y dirección postal en el producto o su embalaje. También debe indicarse una dirección de contacto electrónico (sitio web o correo electrónico) cuando esté disponible. Esto permite que las autoridades de vigilancia del mercado, los importadores, los distribuidores y los usuarios puedan ponerse en contacto con el fabricante.
Los fabricantes deben acompañar el producto con la información e instrucciones enumeradas en el Anexo II, en un idioma fácilmente comprensible para los usuarios. Esta información incluye la identidad del producto, las capacidades de seguridad, el punto de contacto para notificar vulnerabilidades, la fecha de finalización del período de asistencia técnica y orientaciones para el uso seguro.
Cuando un fabricante tenga motivos para considerar que un producto puesto en el mercado no cumple los requisitos del RCA, debe adoptar inmediatamente las medidas correctoras necesarias, incluida la retirada o la recuperación del mercado si fuera necesario. Los fabricantes también deben cooperar con las autoridades de vigilancia del mercado y proporcionar toda la información y documentación solicitadas.
Los fabricantes deben notificar a ENISA a través de la plataforma de notificación única cualquier vulnerabilidad activamente explotada en su producto en el plazo de 24 horas (alerta temprana) y 72 horas (notificación). El informe final debe presentarse en un plazo de 14 días. Esta obligación se aplica a partir del 11 de septiembre de 2026.
En el plazo de 72 horas desde el conocimiento de una vulnerabilidad activamente explotada en un producto, los fabricantes deben presentar a ENISA una notificación detallada de la vulnerabilidad a través de la plataforma de notificación única. Esta notificación sigue a la alerta temprana de 24 horas (OBL-ART14-01) y debe incluir datos técnicos sobre la vulnerabilidad y el producto afectado.
En el plazo de 14 días desde el conocimiento de una vulnerabilidad activamente explotada, los fabricantes deben presentar a ENISA un informe final que contenga una descripción completa de la vulnerabilidad, las medidas correctoras adoptadas y si la vulnerabilidad ha sido divulgada públicamente o se ha asignado un CVE.
Cuando una vulnerabilidad es activamente explotada, los fabricantes deben notificar a los usuarios afectados sin demora injustificada. La notificación debe incluir información suficiente para que los usuarios puedan adoptar medidas de protección, incluyendo las medidas de mitigación disponibles antes de que se publique un parche.
Un fabricante puede designar un representante autorizado (AR) mediante mandato escrito. El mandato debe permitir al AR realizar al menos tres tareas mínimas legales: conservar la declaración UE de conformidad y la documentación técnica disponibles para la vigilancia del mercado durante al menos 10 años; facilitar información de conformidad cuando se solicite; y cooperar en medidas correctoras. Las obligaciones esenciales de diseño y producción no pueden delegarse.
Antes de poner en el mercado de la UE un producto con elementos digitales, los importadores deben verificar que el fabricante ha llevado a cabo la evaluación de la conformidad adecuada, ha elaborado la documentación técnica, ha colocado el marcado CE y ha puesto a disposición la declaración UE de conformidad o la declaración de prestaciones.
Cuando un importador considere o tenga motivos para creer que un producto con elementos digitales no cumple los requisitos esenciales de ciberseguridad, no debe ponerlo en el mercado hasta que se alcance la conformidad.
Los importadores deben indicar su nombre, nombre comercial registrado o marca, dirección postal y, cuando esté disponible, su sitio web o dirección de correo electrónico, en el producto, en su embalaje o en un documento adjunto.
Mientras un producto con elementos digitales esté bajo la responsabilidad del importador, este debe garantizar que las condiciones de almacenamiento y transporte no pongan en riesgo su conformidad con los requisitos esenciales de ciberseguridad.
Si un importador tiene conocimiento de que un producto que ha puesto en el mercado no cumple los requisitos, debe adoptar inmediatamente las medidas correctoras necesarias, incluida la retirada o la recuperación del mercado si fuera necesario. Cuando el producto represente un riesgo de ciberseguridad significativo, el importador debe notificarlo inmediatamente a la autoridad competente nacional pertinente.
Los importadores deben conservar una copia de la declaración UE de conformidad o de la declaración de prestaciones durante 10 años tras la puesta en el mercado del producto, y garantizar que la documentación técnica pueda ponerse a disposición de las autoridades de vigilancia del mercado cuando se solicite.
A petición motivada de una autoridad competente, los importadores deben proporcionar toda la información y documentación —en papel o formato electrónico— necesaria para demostrar la conformidad de un producto con elementos digitales. También deben cooperar en cualquier acción correctora requerida.
Al poner a disposición en el mercado un producto con elementos digitales, los distribuidores deben actuar con la debida diligencia y verificar que el producto lleva el marcado CE, va acompañado de la documentación e información requeridas, y que el fabricante y el importador (en su caso) han cumplido sus obligaciones de etiquetado e identificación.
Cuando un distribuidor considere o tenga motivos para creer que un producto no cumple los requisitos esenciales del RCA, no debe ponerlo a disposición en el mercado hasta que se alcance la conformidad, y debe notificar al fabricante y, cuando proceda, a la autoridad de vigilancia del mercado.
Los distribuidores deben garantizar que, mientras un producto con elementos digitales esté bajo su responsabilidad, las condiciones de almacenamiento y transporte no pongan en riesgo su conformidad con los requisitos esenciales de ciberseguridad.
Si un distribuidor tiene conocimiento de que un producto que ha puesto a disposición en el mercado no cumple los requisitos, debe adoptar inmediatamente las medidas correctoras necesarias, incluida la retirada o la recuperación del mercado si fuera necesario. Cuando el producto represente un riesgo de ciberseguridad significativo, debe notificar inmediatamente a la autoridad nacional de vigilancia del mercado pertinente.
A petición motivada de una autoridad competente, los distribuidores deben proporcionar toda la información y documentación necesaria para demostrar la conformidad de un producto, y cooperar en cualquier acción correctora requerida por dicha autoridad.
Un importador o distribuidor se considera fabricante —y por tanto está sujeto a la totalidad de los artículos 13 y 14— si comercializa un producto con elementos digitales con su propio nombre o marca comercial, o si realiza una modificación sustancial de un producto ya comercializado.
Cualquier persona física o jurídica —distinta del fabricante, importador o distribuidor originales— que realice una modificación sustancial de un producto y lo ponga a disposición en el mercado se considera fabricante. Dicha persona queda sujeta a los artículos 13 y 14, ya sea para la parte del producto afectada o, si la modificación afecta a la ciberseguridad del producto en su conjunto, para la totalidad del producto.
Todos los operadores económicos deben ser capaces, cuando las autoridades de vigilancia del mercado lo soliciten, de identificar (a) cualquier operador económico que les haya suministrado un producto y (b) cualquier operador económico al que hayan suministrado un producto. Los registros deben conservarse durante 10 años a partir de cada transacción.
Los administradores de software de código abierto deben establecer y documentar una política de ciberseguridad que fomente el desarrollo de un producto seguro y permita la gestión eficaz de las vulnerabilidades en los componentes de software de código abierto que administran.
Los administradores de software de código abierto deben notificar al CSIRT pertinente designado como coordinador, sin demora injustificada, cualquier vulnerabilidad activamente explotada contenida en sus componentes de software de código abierto, así como cualquier incidente grave que afecte a la seguridad de dichos componentes.
Los administradores de software de código abierto deben cooperar con las autoridades de vigilancia del mercado cuando se les solicite y proporcionar toda la información necesaria para el desempeño de sus tareas de supervisión.
A petición de las autoridades de vigilancia del mercado, los administradores de software de código abierto deben elaborar y mantener actualizada la documentación técnica de los componentes de software de código abierto que administran, en la medida suficiente para permitir la evaluación de la conformidad en materia de ciberseguridad.
Los fabricantes deben elaborar una declaración UE de conformidad (DoC UE) que siga la estructura modelo del Anexo V y contenga todos los elementos especificados. La DoC UE declara que el producto cumple los requisitos esenciales de ciberseguridad aplicables. Puede adjuntarse una versión simplificada (Anexo VI) al producto siempre que la DoC completa sea accesible en línea. La DoC debe actualizarse cuando se produzcan cambios relevantes.
Los fabricantes deben elaborar documentación técnica antes de comercializar un producto y actualizarla continuamente (al menos durante el período de asistencia). La documentación debe contener todos los elementos enumerados en el Anexo VII, demostrando cómo el producto y los procesos del fabricante cumplen los requisitos esenciales de ciberseguridad del Anexo I. Debe permanecer accesible a las autoridades de vigilancia del mercado durante al menos 10 años o el período de asistencia.
Los fabricantes deben realizar una evaluación de conformidad antes de la comercialización, demostrando que el producto y los procesos cumplen el Anexo I. El procedimiento depende de la clasificación: módulo A para productos estándar, evaluación por terceros para productos importantes de clase I sin normas armonizadas, y organismo notificado obligatorio para clase II y productos críticos.
