Art. 3(13)Un fabricante es cualquier persona física o jurídica que desarrolla o fabrica productos con elementos digitales, o los tiene diseñados o fabricados, y los comercializa bajo su propio nombre o marca.
11 de diciembre de 2024 — El CRA entra en vigor
El reglamento tiene efecto legal. Los productos comercializados desde esta fecha deben cumplir con el CRA una vez alcanzadas las fechas de aplicación.
11 de septiembre de 2026 — Se aplican las obligaciones de notificación de vulnerabilidades
La notificación de vulnerabilidades e incidentes a ENISA conforme al art. 14 se vuelve obligatoria. Este es el primer plazo firme. Los fabricantes deben tener sus procesos de notificación en marcha antes de esta fecha.
11 de junio de 2027 — Notificación de organismos de evaluación de la conformidad
Los Estados miembros deben notificar a la Comisión los organismos de evaluación de la conformidad.
11 de diciembre de 2027 — Se aplica el reglamento completo
Todos los requisitos del CRA se aplican a todos los productos en su ámbito de aplicación. Ningún nuevo producto no conforme podrá comercializarse en el mercado de la UE.
Los fabricantes deben diseñar, desarrollar y producir productos con elementos digitales de modo que ofrezcan un nivel adecuado de ciberseguridad en función de los riesgos. La seguridad debe abordarse durante todo el ciclo de vida del producto, desde el diseño hasta la retirada del servicio.
Antes de poner en el mercado un producto con elementos digitales, los fabricantes deben llevar a cabo una evaluación de los riesgos de ciberseguridad asociados al producto. La evaluación debe orientar el diseño, el desarrollo y la producción del producto, y debe documentarse como parte del expediente técnico.
Los fabricantes deben elaborar documentación técnica que contenga toda la información necesaria para demostrar que el producto cumple los requisitos esenciales del RCA. La documentación debe mantenerse actualizada y conservarse durante diez años desde la puesta en el mercado (o durante la vida útil prevista del producto si fuera mayor).
Los fabricantes deben demostrar la conformidad mediante el procedimiento adecuado a su clase de producto. Los productos por defecto pueden autocertificarse (Módulo A). Los productos de clase I importante pueden autocertificarse si se aplican normas armonizadas; en caso contrario, debe intervenir un organismo notificado. Los productos de clase II importante y los productos críticos siempre requieren un organismo notificado.
Cuando un componente de software incorporado en un producto con elementos digitales no ha sido desarrollado por el fabricante, este debe ejercer la diligencia debida apropiada para garantizar que dicho componente no compromete la seguridad del producto. Debe elaborarse y mantenerse una lista de materiales de software (SBOM) como parte de la documentación técnica.
Al poner en el mercado un producto con elementos digitales, los fabricantes deben garantizar que el producto no contiene ninguna vulnerabilidad explotable conocida. Esta obligación se aplica en el momento de la distribución y en cada actualización posterior que se publique.
Los fabricantes deben establecer una política de divulgación coordinada de vulnerabilidades (CVD) y hacerla públicamente accesible. La política debe incluir un punto de contacto para notificar vulnerabilidades y describir cómo el fabricante gestionará los informes, incluidos los plazos de acuse de recibo y el proceso de coordinación de la divulgación con los investigadores.
Los fabricantes deben declarar el período de asistencia técnica de su producto y poner esa información a disposición de los usuarios antes de la compra. El período de asistencia técnica debe ser de al menos cinco años, salvo que la vida útil prevista del producto sea menor. La fecha de finalización del período de asistencia técnica debe figurar en la documentación del producto y en el punto de venta.
Los fabricantes deben proporcionar actualizaciones de seguridad de forma gratuita durante al menos cinco años (o la vida útil prevista si fuera menor). Las actualizaciones deben entregarse con prontitud, de forma separada a las actualizaciones funcionales, y la fecha de finalización del período de asistencia técnica debe divulgarse.
Los fabricantes deben contar con procesos para identificar, analizar y abordar las vulnerabilidades de sus productos durante todo el período de asistencia técnica. El Anexo I Parte II especifica requisitos detallados que incluyen la asignación de CVE, la puntuación CVSS, la divulgación coordinada y la remediación oportuna.
Los fabricantes deben elaborar una declaración UE de conformidad de conformidad con el artículo 28 y el Anexo V, declarando que el producto cumple todos los requisitos aplicables del RCA. La declaración UE de conformidad debe mantenerse actualizada y ponerse a disposición de las autoridades de vigilancia del mercado y, cuando proceda, de los usuarios.
Los fabricantes deben colocar el marcado CE en sus productos antes de ponerlos en el mercado de la UE, como evidencia de que el producto cumple todos los requisitos aplicables del RCA. El marcado CE debe ser visible, legible e indeleble, y no debe colocarse antes de que se haya elaborado la declaración UE de conformidad.
Los fabricantes deben garantizar que cada producto con elementos digitales lleve un tipo, número de lote, número de serie u otro elemento que permita su identificación. Para los productos de software puro, el número de versión cumple este propósito.
Los fabricantes deben indicar su nombre, nombre comercial registrado o marca, y dirección postal en el producto o su embalaje. También debe indicarse una dirección de contacto electrónico (sitio web o correo electrónico) cuando esté disponible. Esto permite que las autoridades de vigilancia del mercado, los importadores, los distribuidores y los usuarios puedan ponerse en contacto con el fabricante.
Los fabricantes deben acompañar el producto con la información e instrucciones enumeradas en el Anexo II, en un idioma fácilmente comprensible para los usuarios. Esta información incluye la identidad del producto, las capacidades de seguridad, el punto de contacto para notificar vulnerabilidades, la fecha de finalización del período de asistencia técnica y orientaciones para el uso seguro.
Cuando un fabricante tenga motivos para considerar que un producto puesto en el mercado no cumple los requisitos del RCA, debe adoptar inmediatamente las medidas correctoras necesarias, incluida la retirada o la recuperación del mercado si fuera necesario. Los fabricantes también deben cooperar con las autoridades de vigilancia del mercado y proporcionar toda la información y documentación solicitadas.
Los fabricantes deben notificar a ENISA a través de la plataforma de notificación única cualquier vulnerabilidad activamente explotada en su producto en el plazo de 24 horas (alerta temprana) y 72 horas (notificación). El informe final debe presentarse en un plazo de 14 días. Esta obligación se aplica a partir del 11 de septiembre de 2026.
En el plazo de 72 horas desde el conocimiento de una vulnerabilidad activamente explotada en un producto, los fabricantes deben presentar a ENISA una notificación detallada de la vulnerabilidad a través de la plataforma de notificación única. Esta notificación sigue a la alerta temprana de 24 horas (OBL-ART14-01) y debe incluir datos técnicos sobre la vulnerabilidad y el producto afectado.
En el plazo de 14 días desde el conocimiento de una vulnerabilidad activamente explotada, los fabricantes deben presentar a ENISA un informe final que contenga una descripción completa de la vulnerabilidad, las medidas correctoras adoptadas y si la vulnerabilidad ha sido divulgada públicamente o se ha asignado un CVE.
Cuando una vulnerabilidad es activamente explotada, los fabricantes deben notificar a los usuarios afectados sin demora injustificada. La notificación debe incluir información suficiente para que los usuarios puedan adoptar medidas de protección, incluyendo las medidas de mitigación disponibles antes de que se publique un parche.
Un fabricante puede designar un representante autorizado (AR) mediante mandato escrito. El mandato debe permitir al AR realizar al menos tres tareas mínimas legales: conservar la declaración UE de conformidad y la documentación técnica disponibles para la vigilancia del mercado durante al menos 10 años; facilitar información de conformidad cuando se solicite; y cooperar en medidas correctoras. Las obligaciones esenciales de diseño y producción no pueden delegarse.
Cualquier persona física o jurídica —distinta del fabricante, importador o distribuidor originales— que realice una modificación sustancial de un producto y lo ponga a disposición en el mercado se considera fabricante. Dicha persona queda sujeta a los artículos 13 y 14, ya sea para la parte del producto afectada o, si la modificación afecta a la ciberseguridad del producto en su conjunto, para la totalidad del producto.
Todos los operadores económicos deben ser capaces, cuando las autoridades de vigilancia del mercado lo soliciten, de identificar (a) cualquier operador económico que les haya suministrado un producto y (b) cualquier operador económico al que hayan suministrado un producto. Los registros deben conservarse durante 10 años a partir de cada transacción.
Los fabricantes deben elaborar una declaración UE de conformidad (DoC UE) que siga la estructura modelo del Anexo V y contenga todos los elementos especificados. La DoC UE declara que el producto cumple los requisitos esenciales de ciberseguridad aplicables. Puede adjuntarse una versión simplificada (Anexo VI) al producto siempre que la DoC completa sea accesible en línea. La DoC debe actualizarse cuando se produzcan cambios relevantes.
Los fabricantes deben elaborar documentación técnica antes de comercializar un producto y actualizarla continuamente (al menos durante el período de asistencia). La documentación debe contener todos los elementos enumerados en el Anexo VII, demostrando cómo el producto y los procesos del fabricante cumplen los requisitos esenciales de ciberseguridad del Anexo I. Debe permanecer accesible a las autoridades de vigilancia del mercado durante al menos 10 años o el período de asistencia.
Los fabricantes deben realizar una evaluación de conformidad antes de la comercialización, demostrando que el producto y los procesos cumplen el Anexo I. El procedimiento depende de la clasificación: módulo A para productos estándar, evaluación por terceros para productos importantes de clase I sin normas armonizadas, y organismo notificado obligatorio para clase II y productos críticos.
Los productos con elementos digitales solo pueden comercializarse en el mercado de la UE si cumplen los requisitos esenciales de ciberseguridad establecidos en la Parte I del Anexo I, siempre que estén correctamente instalados, mantenidos y utilizados para su fin previsto y se hayan instalado las actualizaciones de seguridad necesarias.
Los productos con elementos digitales solo pueden comercializarse en el mercado de la UE si los procesos establecidos por el fabricante cumplen los requisitos esenciales de ciberseguridad de la Parte II del Anexo I, que cubren la identificación, gestión y divulgación de vulnerabilidades durante todo el período de asistencia.
Los productos cuya funcionalidad principal corresponde a una categoría del Anexo III son «productos importantes con elementos digitales» y deben someterse a procedimientos de evaluación de conformidad más estrictos. Los productos importantes de clase I pueden utilizar la autoevaluación del módulo A únicamente si se aplican normas armonizadas o especificaciones comunes; de lo contrario se requiere un organismo notificado. La clase II siempre requiere un organismo notificado.
Los productos cuya funcionalidad principal corresponde al Anexo IV (dispositivos de hardware con cajas de seguridad, pasarelas de contadores inteligentes y tarjetas inteligentes/elementos seguros) son «productos críticos con elementos digitales». Una vez que la Comisión adopte el acto delegado pertinente, deberán obtener un certificado europeo de ciberseguridad en el nivel de garantía «sustancial» o superior. Hasta entonces, se requiere una evaluación de conformidad según el módulo B+C o H.
Explore la biblioteca completa de obligaciones, comprenda su papel o consulte el calendario.