Art. 3(17)Un importador es cualquier persona física o jurídica establecida en la Unión que comercializa un producto con elementos digitales que lleva el nombre o la marca de una persona física o jurídica establecida fuera de la Unión.
11 de diciembre de 2024 — El CRA entra en vigor
El reglamento tiene efecto legal. Los productos comercializados desde esta fecha deben cumplir con el CRA una vez alcanzadas las fechas de aplicación.
11 de septiembre de 2026 — Se aplican las obligaciones de notificación de vulnerabilidades
La notificación de vulnerabilidades e incidentes a ENISA conforme al art. 14 se vuelve obligatoria. Este es el primer plazo firme. Los fabricantes deben tener sus procesos de notificación en marcha antes de esta fecha.
11 de junio de 2027 — Notificación de organismos de evaluación de la conformidad
Los Estados miembros deben notificar a la Comisión los organismos de evaluación de la conformidad.
11 de diciembre de 2027 — Se aplica el reglamento completo
Todos los requisitos del CRA se aplican a todos los productos en su ámbito de aplicación. Ningún nuevo producto no conforme podrá comercializarse en el mercado de la UE.
Antes de poner en el mercado de la UE un producto con elementos digitales, los importadores deben verificar que el fabricante ha llevado a cabo la evaluación de la conformidad adecuada, ha elaborado la documentación técnica, ha colocado el marcado CE y ha puesto a disposición la declaración UE de conformidad o la declaración de prestaciones.
Cuando un importador considere o tenga motivos para creer que un producto con elementos digitales no cumple los requisitos esenciales de ciberseguridad, no debe ponerlo en el mercado hasta que se alcance la conformidad.
Los importadores deben indicar su nombre, nombre comercial registrado o marca, dirección postal y, cuando esté disponible, su sitio web o dirección de correo electrónico, en el producto, en su embalaje o en un documento adjunto.
Mientras un producto con elementos digitales esté bajo la responsabilidad del importador, este debe garantizar que las condiciones de almacenamiento y transporte no pongan en riesgo su conformidad con los requisitos esenciales de ciberseguridad.
Si un importador tiene conocimiento de que un producto que ha puesto en el mercado no cumple los requisitos, debe adoptar inmediatamente las medidas correctoras necesarias, incluida la retirada o la recuperación del mercado si fuera necesario. Cuando el producto represente un riesgo de ciberseguridad significativo, el importador debe notificarlo inmediatamente a la autoridad competente nacional pertinente.
Los importadores deben conservar una copia de la declaración UE de conformidad o de la declaración de prestaciones durante 10 años tras la puesta en el mercado del producto, y garantizar que la documentación técnica pueda ponerse a disposición de las autoridades de vigilancia del mercado cuando se solicite.
A petición motivada de una autoridad competente, los importadores deben proporcionar toda la información y documentación —en papel o formato electrónico— necesaria para demostrar la conformidad de un producto con elementos digitales. También deben cooperar en cualquier acción correctora requerida.
Un importador o distribuidor se considera fabricante —y por tanto está sujeto a la totalidad de los artículos 13 y 14— si comercializa un producto con elementos digitales con su propio nombre o marca comercial, o si realiza una modificación sustancial de un producto ya comercializado.
Cualquier persona física o jurídica —distinta del fabricante, importador o distribuidor originales— que realice una modificación sustancial de un producto y lo ponga a disposición en el mercado se considera fabricante. Dicha persona queda sujeta a los artículos 13 y 14, ya sea para la parte del producto afectada o, si la modificación afecta a la ciberseguridad del producto en su conjunto, para la totalidad del producto.
Todos los operadores económicos deben ser capaces, cuando las autoridades de vigilancia del mercado lo soliciten, de identificar (a) cualquier operador económico que les haya suministrado un producto y (b) cualquier operador económico al que hayan suministrado un producto. Los registros deben conservarse durante 10 años a partir de cada transacción.
Explore la biblioteca completa de obligaciones, comprenda su papel o consulte el calendario.