Art. 3(18)Un distribuidor es cualquier persona física o jurídica en la cadena de suministro, distinta del fabricante o importador, que pone a disposición un producto con elementos digitales en el mercado de la Unión sin alterar sus propiedades.
11 de diciembre de 2024 — El CRA entra en vigor
El reglamento tiene efecto legal. Los productos comercializados desde esta fecha deben cumplir con el CRA una vez alcanzadas las fechas de aplicación.
11 de septiembre de 2026 — Se aplican las obligaciones de notificación de vulnerabilidades
La notificación de vulnerabilidades e incidentes a ENISA conforme al art. 14 se vuelve obligatoria. Este es el primer plazo firme. Los fabricantes deben tener sus procesos de notificación en marcha antes de esta fecha.
11 de junio de 2027 — Notificación de organismos de evaluación de la conformidad
Los Estados miembros deben notificar a la Comisión los organismos de evaluación de la conformidad.
11 de diciembre de 2027 — Se aplica el reglamento completo
Todos los requisitos del CRA se aplican a todos los productos en su ámbito de aplicación. Ningún nuevo producto no conforme podrá comercializarse en el mercado de la UE.
Al poner a disposición en el mercado un producto con elementos digitales, los distribuidores deben actuar con la debida diligencia y verificar que el producto lleva el marcado CE, va acompañado de la documentación e información requeridas, y que el fabricante y el importador (en su caso) han cumplido sus obligaciones de etiquetado e identificación.
Cuando un distribuidor considere o tenga motivos para creer que un producto no cumple los requisitos esenciales del RCA, no debe ponerlo a disposición en el mercado hasta que se alcance la conformidad, y debe notificar al fabricante y, cuando proceda, a la autoridad de vigilancia del mercado.
Los distribuidores deben garantizar que, mientras un producto con elementos digitales esté bajo su responsabilidad, las condiciones de almacenamiento y transporte no pongan en riesgo su conformidad con los requisitos esenciales de ciberseguridad.
Si un distribuidor tiene conocimiento de que un producto que ha puesto a disposición en el mercado no cumple los requisitos, debe adoptar inmediatamente las medidas correctoras necesarias, incluida la retirada o la recuperación del mercado si fuera necesario. Cuando el producto represente un riesgo de ciberseguridad significativo, debe notificar inmediatamente a la autoridad nacional de vigilancia del mercado pertinente.
A petición motivada de una autoridad competente, los distribuidores deben proporcionar toda la información y documentación necesaria para demostrar la conformidad de un producto, y cooperar en cualquier acción correctora requerida por dicha autoridad.
Un importador o distribuidor se considera fabricante —y por tanto está sujeto a la totalidad de los artículos 13 y 14— si comercializa un producto con elementos digitales con su propio nombre o marca comercial, o si realiza una modificación sustancial de un producto ya comercializado.
Cualquier persona física o jurídica —distinta del fabricante, importador o distribuidor originales— que realice una modificación sustancial de un producto y lo ponga a disposición en el mercado se considera fabricante. Dicha persona queda sujeta a los artículos 13 y 14, ya sea para la parte del producto afectada o, si la modificación afecta a la ciberseguridad del producto en su conjunto, para la totalidad del producto.
Todos los operadores económicos deben ser capaces, cuando las autoridades de vigilancia del mercado lo soliciten, de identificar (a) cualquier operador económico que les haya suministrado un producto y (b) cualquier operador económico al que hayan suministrado un producto. Los registros deben conservarse durante 10 años a partir de cada transacción.
Explore la biblioteca completa de obligaciones, comprenda su papel o consulte el calendario.