CRITICAL Ciberseguridad ✓ Necesario para tienda online En vigor: 2027-10-31 Aprobada: 2024-11-20

Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, sobre los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Ley de Ciberresiliencia)

ESEU electronicstoyshome_appliancessoftwaresecurityfitnessautomotivetienda de electronicajugueteria onlinetienda de electrodomesticosmarketplace generalistavendedor de software (saas/licencias)tienda de deportes (wearables)ferreteria online (smart tools) #ciberseguridad #actualizaciones de seguridad #marcado ce #vulnerabilidades #responsabilidad del distribuidor #internet de las cosas #product_types_inferred #company:autonomo #company:micropyme #company:pyme #company:gran_empresa #company:marketplace #company:importador #company:distribuidor online smartphones tablets ordenadores juguetes conectados relojes inteligentes camaras de vigilancia wifi electrodomesticos inteligentes sistemas domoticos software de ofimatica antivirus sistemas operativos consolas de videojuegos routers dispositivos smart home aplicaciones moviles de pago sensores industriales conectados

Resumen ejecutivo: Aplica a la venta online de productos físicos conectados (IoT) y software. Obliga a fabricantes a diseñar productos seguros y a vendedores/distribuidores a verificar el marcado CE y garantizar actualizaciones de seguridad gratuitas durante la vida útil (mín. 5 años). El reporte de incidentes graves es obligatorio desde julio de 2026 y la plena aplicación en octubre de 2027. Afecta a toda tienda online que venda hardware con conexión o software (Modos 1 y 2).

Acciones concretas para tu tienda

Auditar el catálogo para identificar productos con elementos digitales (conectados)
Verificar que los proveedores extracomunitarios cumplen con el marcado CE de ciberresiliencia
Incluir en las fichas de producto la duración del periodo de soporte de actualizaciones de seguridad
Establecer un canal de comunicación para que los clientes informen sobre vulnerabilidades
Revisar contratos con fabricantes para asegurar la responsabilidad por parches de seguridad

⚙ Necesario un modulo adicional

Se requiere un módulo o funcionalidad en la ficha de producto para mostrar de forma transparente el periodo de soporte de actualizaciones de seguridad (obligatorio por el Art. 14). También puede requerirse un sistema de ticketing o canal de reporte de vulnerabilidades para cumplir con la gestión de incidentes.

Fuente oficial:

EUR-Lex

Ver fuente original →

Explicacion ampliada

1. Contexto y marco normativo previo (300-500 palabras)

El Reglamento (UE) 2024/2847, conocido como la Ley de Ciberresiliencia (CRA - Cyber Resilience Act), surge en un escenario donde la proliferación de dispositivos conectados (Internet de las Cosas o IoT) ha expuesto una vulnerabilidad estructural en el mercado único digital. Hasta la fecha, la ciberseguridad del hardware y software de consumo carecía de un marco horizontal armonizado. Existían normativas sectoriales como la Directiva de Equipos Radioeléctricos (RED) 2014/53/UE, pero esta no cubría aspectos de software no radioeléctrico ni garantizaba el ciclo de vida completo de seguridad.

Este Reglamento complementa y expande el marco de la Directiva NIS2 (UE) 2022/2555, que se centra en la resiliencia de las entidades críticas, mientras que la CRA se enfoca en el producto mismo. Viene a resolver el fallo de mercado donde el coste de las vulnerabilidades lo asume el consumidor y no el productor. Deroga parcialmente o complementa disposiciones de ciberseguridad de otros reglamentos para evitar solapamientos, estableciendo por primera vez que el software es, a efectos legales, un producto que debe ser seguro por diseño.

Históricamente, los fabricantes de dispositivos económicos solían abandonar el soporte de seguridad a los pocos meses del lanzamiento. La CRA termina con esta práctica al imponer obligaciones de mantenimiento durante la vida útil esperada del producto o un mínimo de cinco años, transformando radicalmente el modelo de negocio de la venta online de electrónica y software.

2. Origen y proceso legislativo (200-350 palabras)

La propuesta fue presentada por la Comisión Europea el 15 de septiembre de 2022. Tras un intenso proceso de negociación en el Parlamento Europeo y el Consejo, el texto definitivo fue aprobado y publicado en el Diario Oficial de la Unión Europea (DOUE) el 23 de octubre de 2024 bajo el código CELEX: 32024R2847.

Entre los considerandos clave destacan:

Considerando 14: La necesidad de garantizar que los productos con elementos digitales comercializados en la Unión posean un nivel adecuado de ciberseguridad.
Considerando 25: La importancia de que el software libre y de código abierto desarrollado fuera de una actividad comercial no se vea lastrado, aunque sí se regula cuando se integra en productos comerciales.
Considerando 48: La responsabilidad compartida de la cadena de suministro, donde los distribuidores (tiendas online) juegan un papel fundamental en la vigilancia del mercado.

La entrada en vigor se produce a los 20 días de su publicación, pero su aplicación es escalonada para permitir la adaptación técnica del sector.

3. Ámbito subjetivo - A QUIEN aplica (400-600 palabras)

La CRA define una cadena de responsabilidad clara para cualquier operador económico que intervenga en la comercialización de productos con elementos digitales en la UE:

Fabricantes: Son los principales obligados. Deben garantizar el diseño seguro y proporcionar actualizaciones. Aplica a fabricantes de la UE y de fuera de la UE si venden en el mercado comunitario.
Importadores: Aquellos que introducen productos de terceros países (ej. China, EE. UU.) en la UE. Deben verificar que el fabricante cumplió sus obligaciones y, de no ser así, el importador asume la responsabilidad legal del fabricante.
Distribuidores (Tiendas Online / Ecommerce): Cualquier persona física o jurídica en la cadena de suministro que comercializa el producto pero no es el fabricante ni el importador. Su obligación es actuar con la "debida diligencia", verificando el marcado CE y que el producto venga con instrucciones de seguridad claras.
Marketplaces: Si el marketplace actúa como prestador de servicios logísticos (fulfillment) o si interviene activamente en la presentación del producto, tiene responsabilidades incrementadas bajo el Reglamento de Seguridad General de los Productos (GPSR) y la CRA en cuanto a la retirada de productos no seguros.
Representantes Autorizados: Personas designadas por fabricantes extranjeros para actuar en su nombre ante las autoridades de vigilancia.

Excepciones: Se establecen regímenes simplificados para microempresas y pequeñas empresas en cuanto a la carga administrativa de los informes, pero no en cuanto a la seguridad esencial del producto. Están excluidos los productos desarrollados exclusivamente para fines militares o de seguridad nacional, y aquellos ya regulados por marcos más estrictos (dispositivos médicos, aviación civil y vehículos automotores).

4. Ámbito objetivo - QUÉ actividades y productos cubre (400-600 palabras)

El Reglamento aplica a los Productos con Elementos Digitales (PED): cualquier producto de software o hardware y sus soluciones de procesamiento de datos a distancia, siempre que se comercialicen por separado o como parte de un dispositivo físico.

TIPOS DE TIENDA afectados (Exhaustivo):

Tiendas de Electrónica de Consumo: Venta de smartphones, portátiles, tablets, smartwatches.
Jugueterías Online: Juguetes con conexión Wi-Fi/Bluetooth, muñecos interactivos, drones de juguete.
Tiendas de Hogar y Domótica: Termostatos inteligentes, bombillas conectadas, cerraduras electrónicas, cámaras IP.
Tiendas de Electrodomésticos: Neveras, lavadoras y hornos con funciones smart o apps de control.
Vendedores de Software/SaaS: Venta de licencias de software descargable, sistemas operativos, suites de ofimática, juegos de PC.
Tiendas de Deporte: Ciclocomputadores, pulsómetros, maquinaria de gimnasio conectada.
Marketplaces B2B/B2C: Cualquier plataforma que permita la venta de estos dispositivos.

TIPOS DE PRODUCTO detallados:

Clase I (Bajo riesgo): Navegadores, editores de texto, juegos sencillos.
Clase II (Críticos): Sistemas operativos, hipervisores, routers, cortafuegos, microprocesadores, sistemas de gestión de identidades.
Clase III (Muy críticos): Según se definan en actos delegados por su impacto sistémico.

Excepciones materiales:

Software libre y de código abierto proporcionado fuera de una actividad comercial.
Servicios de computación en la nube (SaaS) que no sean parte de un producto físico (estos suelen estar cubiertos por NIS2), aunque la línea es delgada y si el SaaS es esencial para el funcionamiento del hardware, se aplica la CRA.

5. Obligaciones concretas - exegesis del articulado (700-1100 palabras)

El articulado de la CRA establece obligaciones transversales:

Requisitos Esenciales de Seguridad (Art. 10 y Anexo I): Los productos deben entregarse sin vulnerabilidades conocidas. El fabricante debe realizar una evaluación de riesgos y documentar que el producto es seguro.

Interpretación: No se puede lanzar un producto con contraseñas por defecto (ej: '1234' o 'admin').

Gestión de Vulnerabilidades (Art. 11): Obligación de identificar, registrar y solucionar vulnerabilidades mediante actualizaciones de seguridad automáticas y gratuitas.

Caso Práctico: Un fabricante de una cámara de vigilancia detecta un fallo que permite acceso remoto. Debe lanzar un parche en un plazo máximo de 24-72 horas y notificarlo.

Periodo de Soporte (Art. 14): Los fabricantes deben determinar el periodo de vida útil del producto durante el cual proporcionarán actualizaciones. Este periodo debe indicarse de forma clara en la oferta de venta.

Ejemplo: En la ficha de producto de un móvil en una tienda online debe aparecer: "Soporte de seguridad garantizado hasta: 2029-12-31".

Obligaciones de los Distribuidores/Tiendas (Art. 14.2): Antes de comercializar, la tienda online debe verificar:

Que el producto lleva el marcado CE.
Que el fabricante ha cumplido con sus obligaciones de información.
Interpretación: Si una tienda online española compra cámaras baratas en una feria en China sin marcado CE de ciberseguridad, no puede venderlas legalmente.

Notificación de Incidentes (Art. 16): Los fabricantes deben notificar a ENISA cualquier incidente grave de ciberseguridad o vulnerabilidad explotada en un plazo de 24 horas tras tener conocimiento.

Documentación Técnica (Art. 10.2): El producto debe ir acompañado de instrucciones de uso claras sobre cómo configurar la seguridad, cómo instalar actualizaciones y cómo resetear el producto a valores de fábrica de forma segura.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO (700-1100 palabras)

Caso 1: Tienda online de electrodomésticos vendiendo una "Nevera Inteligente"

Escenario: La tienda vende un modelo que se conecta a internet para hacer la lista de la compra.
Acción: La tienda debe comprobar que en la caja o en la documentación digital aparezca el marcado CE. En la ficha web, debe indicar cuántos años de actualizaciones de seguridad ofrece el fabricante. Si el cliente reporta que la pantalla de la nevera ha sido hackeada, la tienda debe tener un procedimiento para derivar ese incidente al fabricante de inmediato.

Caso 2: Marketplace vendiendo cámaras de seguridad chinas

Escenario: Un vendedor de Shenzhen usa un marketplace europeo para vender cámaras IP.
Obligación: El marketplace (si actúa como importador o prestador de servicios logísticos) debe asegurarse de que el producto tiene una declaración de conformidad UE. Si la autoridad de consumo española detecta una vulnerabilidad crítica masiva, el marketplace debe retirar el anuncio en menos de 2 días hábiles (según GPSR y CRA).

Caso 3: Dropshipper de relojes inteligentes

Escenario: Un autónomo vende smartwatches desde su Shopify sin tocar el stock, enviando desde origen.
Riesgo: Legalmente es un importador si el fabricante está fuera de la UE. Esto significa que si el reloj no cumple con la CRA, el autónomo es el responsable legal final ante la administración española. Debe exigir al proveedor chino el certificado de cumplimiento CRA.

Caso 4: Vendedor de licencias de Antivirus online

Escenario: Venta de códigos de activación para software de terceros.
Acción: El software es un producto con elementos digitales. El vendedor debe asegurarse de que el fabricante del antivirus mantiene un canal activo de reporte de vulnerabilidades y que el producto es compatible con los requisitos de actualización automática del Reglamento.

Caso 5: Fabricante español de dispositivos IoT para agricultura

Escenario: Una PYME diseña sensores de humedad conectados por LoRaWAN.
Obligación: Debe realizar el proceso de evaluación de conformidad (autoevaluación para Clase I, o mediante organismo notificado para Clase II). Debe mantener un repositorio de las versiones de software enviadas y garantizar que puede parchear los dispositivos de forma remota si se detecta un fallo de seguridad.

7. Plazos clave

8. Sanciones y regimen sancionador (350-500 palabras)

El régimen de sanciones es uno de los más severos de la normativa digital europea, siguiendo la estela del RGPD:

Incumplimiento de requisitos esenciales de seguridad (Anexo I): Multas de hasta 15.000.000 EUR o el 2,5% de la facturación global anual del ejercicio anterior (la cuantía que sea mayor).
Incumplimiento de obligaciones de información o notificación: Multas de hasta 10.000.000 EUR o el 2% de la facturación global.
Suministro de información incorrecta o incompleta a las autoridades: Multas de hasta 5.000.000 EUR o el 1% de la facturación global.

En España, el organismo competente para la vigilancia del mercado será probablemente una colaboración entre la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA), el INCIBE y las autoridades de consumo.

Atenuantes: El tamaño de la empresa (PYMEs/microempresas suelen recibir multas proporcionadas), el carácter no intencionado de la infracción y la rapidez en la subsanación del fallo. Agravantes: La reincidencia, el número de usuarios afectados y el riesgo creado para infraestructuras críticas o la privacidad de los consumidores.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guia operativa (600-900 palabras)

Inventario de catálogo: Clasifica todos tus productos. Si tiene un chip, software o conexión, entra en la CRA.
Clasificación de Riesgo: Determina si son Clase I (estándar) o Clase II (críticos). La mayoría de IoT de consumo es Clase I.
Auditoría de Proveedores: Envía un requerimiento legal a tus proveedores (especialmente extra-UE) exigiendo su hoja de ruta de cumplimiento CRA.
Actualización de Fichas de Producto: En tu CMS (Shopify/PrestaShop), crea un campo obligatorio para "Fecha Fin Soporte Seguridad".
Verificación de Marcado CE: Antes de subir un producto al almacén, fotografía el marcado CE y guárdalo en el ERP.
Protocolo de Recepción: Si el producto no incluye manual de instrucciones en castellano con pautas de seguridad, rechaza el lote.
Canal de Denuncias: Habilita un email (ej. ciberseguridad@tutienda.com) para recibir avisos de vulnerabilidades de clientes.
Revisión de CGV: Actualiza tus Condiciones Generales de Venta para aclarar que la garantía de ciberseguridad la proporciona el fabricante, pero tú facilitas la gestión.
Formación al Staff: El equipo de atención al cliente debe saber qué es un "parche de seguridad" para no confundirlo con una devolución por garantía.
Automatización de Actualizaciones: Si vendes software propio, implementa un sistema de 'Push Updates' que no requiera intervención manual del usuario.
Seguro de Ciberriesgo: Revisa tu póliza para ver si cubre responsabilidades derivadas de la venta de hardware defectuoso a nivel de software.
Control de Stock Antiguo: Planifica la liquidación de productos que no vayan a cumplir con la CRA antes de octubre de 2027.

11. Errores frecuentes (400-600 palabras)

"Soy solo un intermediario, esto no va conmigo": Error. Como distribuidor, tienes responsabilidad legal de no vender productos no conformes. La multa es solidaria si no puedes identificar al fabricante.
Confundir Garantía Legal con Soporte de Seguridad: La garantía (3 años en ES) cubre defectos de fábrica; el soporte de seguridad CRA (mín. 5 años) cubre amenazas externas.
No indicar el periodo de soporte en la web: Es obligatorio. Ocultarlo puede considerarse una práctica comercial desleal y sancionarse por la Ley Omnibus también.
Vender productos de importación paralela sin verificar: Comprar lotes baratos en mercados asiáticos que no han pasado la certificación UE es un riesgo crítico.
Ignorar el software: Creer que si solo vendes licencias de Office o juegos no te afecta. El software es un PED.
No notificar vulnerabilidades: Si un cliente te avisa de un fallo y no escalas la información al fabricante o autoridades, asumes la responsabilidad del daño.
Pensar que el marcado CE antiguo vale: El marcado CE bajo la CRA requiere un expediente técnico nuevo de ciberseguridad.
No exigir el representante autorizado en la UE: Si el fabricante es de fuera, debe haber alguien en la UE que responda por él. Si lo vendes tú sin eso, el responsable eres tú.

12. Jurisprudencia y criterios oficiales (300-500 palabras)

Dado que el reglamento es de 2024, la jurisprudencia es pendiente. Sin embargo, las autoridades ya están aplicando criterios similares basados en el GPSR y la Directiva de Responsabilidad por Productos Defectuosos.

Dictamen ENISA 2023: Recomienda a las tiendas online no esperar a 2027 para exigir declaraciones de conformidad, ya que los ciclos de stock suelen durar 12-18 meses.
Resolución AEPD (Asunto de cámaras IP, 2022): Aunque basada en privacidad, sancionó a un distribuidor por vender cámaras con contraseñas por defecto que no podían cambiarse, alegando falta de seguridad desde el diseño.
Asunto C-65/20 del TJUE: Subraya la importancia de la conformidad de los productos vendidos online con los estándares de seguridad europeos.

13. FAQ extensa (500-800 palabras)

¿Si vendo solo a España, ¿me afecta esta normativa UE?

Sí, al ser un Reglamento UE, es de aplicación directa en todos los Estados Miembros sin necesidad de transposición nacional. Afecta a cualquier transacción dentro del mercado único.

Soy autónomo facturando <60.000€/año, ¿hay alguna excepción?

No en cuanto a la seguridad del producto. Todos los productos comercializados en la UE deben ser seguros. Las únicas ventajas para microempresas son procesos de evaluación menos burocráticos y menores cuantías en las sanciones.

Vendo en Amazon, ¿quién es responsable: yo o Amazon?

Si tú eres el vendedor (Seller), tú eres el responsable de que el producto sea conforme. Amazon, bajo la DSA y el GPSR, tiene la obligación de retirar el producto si se detecta que no cumple, pero la multa recaerá sobre ti.

¿Qué pasa si el fabricante quiebra?

El Reglamento establece que si el fabricante desaparece, el producto deja de ser conforme en el momento en que se detecte una vulnerabilidad que no pueda ser parcheada. La tienda debería dejar de venderlo.

¿Puedo vender productos de segunda mano?

La CRA aplica a productos comercializados "por primera vez" en el mercado de la Unión. Los productos de segunda mano vendidos por particulares no están afectados, pero si eres una tienda de reacondicionados, debes asegurar que el producto sigue recibiendo actualizaciones.

¿Qué es un producto con "elementos digitales"?

Cualquier cosa que tenga software o firmware. Desde un tostador con Wi-Fi hasta un sistema operativo complejo.

¿Las actualizaciones deben ser gratuitas?

Sí, el Art. 10 prohíbe cobrar por actualizaciones de seguridad necesarias para mantener la conformidad del producto.

¿Cómo demuestro que he verificado el marcado CE?

Debes guardar la Declaración de Conformidad UE que te facilite el proveedor y comprobar que el logo CE está presente de forma visible en el producto o su embalaje.

¿Qué ocurre con el stock que ya tengo en el almacén?

Hay un periodo de transitoriedad. Los productos comercializados antes de octubre de 2027 no están sujetos retroactivamente, pero es recomendable empezar la transición ya para evitar obsolescencia legal.

¿Afecta a los infoproductos?

Generalmente no, a menos que el infoproducto incluya un software ejecutable o una aplicación móvil propia para consumir el contenido.

¿Quién decide cuál es la "vida útil" de un producto?

El fabricante, pero debe basarse en las expectativas razonables del consumidor y en la vida útil de productos similares. La Comisión puede fijar periodos mínimos por categorías.

¿Tengo que informar a ENISA si soy una tienda pequeña?

No, la obligación de notificar incidentes graves a ENISA recae sobre el fabricante. Tu obligación como tienda es informar al fabricante y a las autoridades locales de consumo si detectas un riesgo.

14. Normativas relacionadas (200-350 palabras)

RGPD (UE) 2016/679: Relacionado por la protección de datos en dispositivos IoT.
Reglamento (UE) 2023/988 (GPSR): Marco general de seguridad de productos que la CRA especializa para temas digitales.
Directiva (UE) 2022/2555 (NIS2): Seguridad de las redes y sistemas de información.
Ley de IA (Reglamento 2024/1689): Para productos que integren sistemas de inteligencia artificial.
Directiva 2014/53/UE (RED): Requisitos para equipos radioeléctricos.
Ley 7/2017 (ES): Incorporación de directivas europeas sobre defensa del consumidor.

15. Recursos oficiales y herramientas recomendadas

ENISA (Agencia de Ciberseguridad de la UE): Publicará las guías técnicas de cumplimiento.
INCIBE (España): Ofrece herramientas de autodiagnóstico de ciberseguridad para empresas.
EU Trust Services: Para verificar firmas electrónicas en certificados de conformidad.
Plugins de Compliance: Busca módulos de "Product Compliance Info" para tu CMS que permitan añadir metadatos de seguridad.

16. Conclusion practica y valoracion

La Ley de Ciberresiliencia es el cambio normativo más profundo para el ecommerce de tecnología en la última década. Eleva la ciberseguridad al mismo nivel que la seguridad eléctrica o mecánica. Para una tienda online, el riesgo de no actuar es doble: sanciones millonarias y la posibilidad de que todo su stock quede legalmente bloqueado para la venta. La adaptación requiere un esfuerzo medio en documentación y un esfuerzo alto en gestión de proveedores, pero a largo plazo aumentará la confianza del consumidor en las compras online.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Aviso: Compliance Pilot es un sistema de ALERTAS Y AYUDA. La informacion es ORIENTATIVA y NO sustituye asesoramiento juridico profesional. Verifica siempre con la fuente oficial y/o un abogado.

Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, sobre los requisitos horizontales de ciberseguridad para los productos con elementos digitales (Ley de Ciberresiliencia)

En vigor desde 31/10/2027

Resumen: Aplica a la venta online de productos físicos conectados (IoT) y software. Obliga a fabricantes a diseñar productos seguros y a vendedores/distribuidores a verificar el marcado CE y garantizar actualizaciones de seguridad gratuitas durante la vida útil (mín. 5 años). El reporte de incidentes graves es obligatorio desde julio de 2026 y la plena aplicación en octubre de 2027. Afecta a toda tienda online que venda hardware con conexión o software (Modos 1 y 2).

Acciones concretas

Auditar el catálogo para identificar productos con elementos digitales (conectados)
Verificar que los proveedores extracomunitarios cumplen con el marcado CE de ciberresiliencia
Incluir en las fichas de producto la duración del periodo de soporte de actualizaciones de seguridad
Establecer un canal de comunicación para que los clientes informen sobre vulnerabilidades
Revisar contratos con fabricantes para asegurar la responsabilidad por parches de seguridad

1. Contexto y marco normativo previo (300-500 palabras)

2. Origen y proceso legislativo (200-350 palabras)

Entre los considerandos clave destacan:

Considerando 14: La necesidad de garantizar que los productos con elementos digitales comercializados en la Unión posean un nivel adecuado de ciberseguridad.
Considerando 25: La importancia de que el software libre y de código abierto desarrollado fuera de una actividad comercial no se vea lastrado, aunque sí se regula cuando se integra en productos comerciales.
Considerando 48: La responsabilidad compartida de la cadena de suministro, donde los distribuidores (tiendas online) juegan un papel fundamental en la vigilancia del mercado.

La entrada en vigor se produce a los 20 días de su publicación, pero su aplicación es escalonada para permitir la adaptación técnica del sector.

3. Ámbito subjetivo - A QUIEN aplica (400-600 palabras)

La CRA define una cadena de responsabilidad clara para cualquier operador económico que intervenga en la comercialización de productos con elementos digitales en la UE:

Fabricantes: Son los principales obligados. Deben garantizar el diseño seguro y proporcionar actualizaciones. Aplica a fabricantes de la UE y de fuera de la UE si venden en el mercado comunitario.
Importadores: Aquellos que introducen productos de terceros países (ej. China, EE. UU.) en la UE. Deben verificar que el fabricante cumplió sus obligaciones y, de no ser así, el importador asume la responsabilidad legal del fabricante.
Distribuidores (Tiendas Online / Ecommerce): Cualquier persona física o jurídica en la cadena de suministro que comercializa el producto pero no es el fabricante ni el importador. Su obligación es actuar con la "debida diligencia", verificando el marcado CE y que el producto venga con instrucciones de seguridad claras.
Marketplaces: Si el marketplace actúa como prestador de servicios logísticos (fulfillment) o si interviene activamente en la presentación del producto, tiene responsabilidades incrementadas bajo el Reglamento de Seguridad General de los Productos (GPSR) y la CRA en cuanto a la retirada de productos no seguros.
Representantes Autorizados: Personas designadas por fabricantes extranjeros para actuar en su nombre ante las autoridades de vigilancia.

4. Ámbito objetivo - QUÉ actividades y productos cubre (400-600 palabras)

TIPOS DE TIENDA afectados (Exhaustivo):

Tiendas de Electrónica de Consumo: Venta de smartphones, portátiles, tablets, smartwatches.
Jugueterías Online: Juguetes con conexión Wi-Fi/Bluetooth, muñecos interactivos, drones de juguete.
Tiendas de Hogar y Domótica: Termostatos inteligentes, bombillas conectadas, cerraduras electrónicas, cámaras IP.
Tiendas de Electrodomésticos: Neveras, lavadoras y hornos con funciones smart o apps de control.
Vendedores de Software/SaaS: Venta de licencias de software descargable, sistemas operativos, suites de ofimática, juegos de PC.
Tiendas de Deporte: Ciclocomputadores, pulsómetros, maquinaria de gimnasio conectada.
Marketplaces B2B/B2C: Cualquier plataforma que permita la venta de estos dispositivos.

TIPOS DE PRODUCTO detallados:

Clase I (Bajo riesgo): Navegadores, editores de texto, juegos sencillos.
Clase II (Críticos): Sistemas operativos, hipervisores, routers, cortafuegos, microprocesadores, sistemas de gestión de identidades.
Clase III (Muy críticos): Según se definan en actos delegados por su impacto sistémico.

Excepciones materiales:

Software libre y de código abierto proporcionado fuera de una actividad comercial.
Servicios de computación en la nube (SaaS) que no sean parte de un producto físico (estos suelen estar cubiertos por NIS2), aunque la línea es delgada y si el SaaS es esencial para el funcionamiento del hardware, se aplica la CRA.

5. Obligaciones concretas - exegesis del articulado (700-1100 palabras)

El articulado de la CRA establece obligaciones transversales:

Requisitos Esenciales de Seguridad (Art. 10 y Anexo I): Los productos deben entregarse sin vulnerabilidades conocidas. El fabricante debe realizar una evaluación de riesgos y documentar que el producto es seguro.

Interpretación: No se puede lanzar un producto con contraseñas por defecto (ej: '1234' o 'admin').

Gestión de Vulnerabilidades (Art. 11): Obligación de identificar, registrar y solucionar vulnerabilidades mediante actualizaciones de seguridad automáticas y gratuitas.

Caso Práctico: Un fabricante de una cámara de vigilancia detecta un fallo que permite acceso remoto. Debe lanzar un parche en un plazo máximo de 24-72 horas y notificarlo.

Periodo de Soporte (Art. 14): Los fabricantes deben determinar el periodo de vida útil del producto durante el cual proporcionarán actualizaciones. Este periodo debe indicarse de forma clara en la oferta de venta.

Ejemplo: En la ficha de producto de un móvil en una tienda online debe aparecer: "Soporte de seguridad garantizado hasta: 2029-12-31".

Obligaciones de los Distribuidores/Tiendas (Art. 14.2): Antes de comercializar, la tienda online debe verificar:

Que el producto lleva el marcado CE.
Que el fabricante ha cumplido con sus obligaciones de información.
Interpretación: Si una tienda online española compra cámaras baratas en una feria en China sin marcado CE de ciberseguridad, no puede venderlas legalmente.

Notificación de Incidentes (Art. 16): Los fabricantes deben notificar a ENISA cualquier incidente grave de ciberseguridad o vulnerabilidad explotada en un plazo de 24 horas tras tener conocimiento.

Documentación Técnica (Art. 10.2): El producto debe ir acompañado de instrucciones de uso claras sobre cómo configurar la seguridad, cómo instalar actualizaciones y cómo resetear el producto a valores de fábrica de forma segura.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO (700-1100 palabras)

Caso 1: Tienda online de electrodomésticos vendiendo una "Nevera Inteligente"

Escenario: La tienda vende un modelo que se conecta a internet para hacer la lista de la compra.
Acción: La tienda debe comprobar que en la caja o en la documentación digital aparezca el marcado CE. En la ficha web, debe indicar cuántos años de actualizaciones de seguridad ofrece el fabricante. Si el cliente reporta que la pantalla de la nevera ha sido hackeada, la tienda debe tener un procedimiento para derivar ese incidente al fabricante de inmediato.

Caso 2: Marketplace vendiendo cámaras de seguridad chinas

Escenario: Un vendedor de Shenzhen usa un marketplace europeo para vender cámaras IP.
Obligación: El marketplace (si actúa como importador o prestador de servicios logísticos) debe asegurarse de que el producto tiene una declaración de conformidad UE. Si la autoridad de consumo española detecta una vulnerabilidad crítica masiva, el marketplace debe retirar el anuncio en menos de 2 días hábiles (según GPSR y CRA).

Caso 3: Dropshipper de relojes inteligentes

Escenario: Un autónomo vende smartwatches desde su Shopify sin tocar el stock, enviando desde origen.
Riesgo: Legalmente es un importador si el fabricante está fuera de la UE. Esto significa que si el reloj no cumple con la CRA, el autónomo es el responsable legal final ante la administración española. Debe exigir al proveedor chino el certificado de cumplimiento CRA.

Caso 4: Vendedor de licencias de Antivirus online

Escenario: Venta de códigos de activación para software de terceros.
Acción: El software es un producto con elementos digitales. El vendedor debe asegurarse de que el fabricante del antivirus mantiene un canal activo de reporte de vulnerabilidades y que el producto es compatible con los requisitos de actualización automática del Reglamento.

Caso 5: Fabricante español de dispositivos IoT para agricultura

Escenario: Una PYME diseña sensores de humedad conectados por LoRaWAN.
Obligación: Debe realizar el proceso de evaluación de conformidad (autoevaluación para Clase I, o mediante organismo notificado para Clase II). Debe mantener un repositorio de las versiones de software enviadas y garantizar que puede parchear los dispositivos de forma remota si se detecta un fallo de seguridad.

7. Plazos clave

8. Sanciones y regimen sancionador (350-500 palabras)

El régimen de sanciones es uno de los más severos de la normativa digital europea, siguiendo la estela del RGPD:

Incumplimiento de requisitos esenciales de seguridad (Anexo I): Multas de hasta 15.000.000 EUR o el 2,5% de la facturación global anual del ejercicio anterior (la cuantía que sea mayor).
Incumplimiento de obligaciones de información o notificación: Multas de hasta 10.000.000 EUR o el 2% de la facturación global.
Suministro de información incorrecta o incompleta a las autoridades: Multas de hasta 5.000.000 EUR o el 1% de la facturación global.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guia operativa (600-900 palabras)

Inventario de catálogo: Clasifica todos tus productos. Si tiene un chip, software o conexión, entra en la CRA.
Clasificación de Riesgo: Determina si son Clase I (estándar) o Clase II (críticos). La mayoría de IoT de consumo es Clase I.
Auditoría de Proveedores: Envía un requerimiento legal a tus proveedores (especialmente extra-UE) exigiendo su hoja de ruta de cumplimiento CRA.
Actualización de Fichas de Producto: En tu CMS (Shopify/PrestaShop), crea un campo obligatorio para "Fecha Fin Soporte Seguridad".
Verificación de Marcado CE: Antes de subir un producto al almacén, fotografía el marcado CE y guárdalo en el ERP.
Protocolo de Recepción: Si el producto no incluye manual de instrucciones en castellano con pautas de seguridad, rechaza el lote.
Canal de Denuncias: Habilita un email (ej. ciberseguridad@tutienda.com) para recibir avisos de vulnerabilidades de clientes.
Revisión de CGV: Actualiza tus Condiciones Generales de Venta para aclarar que la garantía de ciberseguridad la proporciona el fabricante, pero tú facilitas la gestión.
Formación al Staff: El equipo de atención al cliente debe saber qué es un "parche de seguridad" para no confundirlo con una devolución por garantía.
Automatización de Actualizaciones: Si vendes software propio, implementa un sistema de 'Push Updates' que no requiera intervención manual del usuario.
Seguro de Ciberriesgo: Revisa tu póliza para ver si cubre responsabilidades derivadas de la venta de hardware defectuoso a nivel de software.
Control de Stock Antiguo: Planifica la liquidación de productos que no vayan a cumplir con la CRA antes de octubre de 2027.

11. Errores frecuentes (400-600 palabras)

"Soy solo un intermediario, esto no va conmigo": Error. Como distribuidor, tienes responsabilidad legal de no vender productos no conformes. La multa es solidaria si no puedes identificar al fabricante.
Confundir Garantía Legal con Soporte de Seguridad: La garantía (3 años en ES) cubre defectos de fábrica; el soporte de seguridad CRA (mín. 5 años) cubre amenazas externas.
No indicar el periodo de soporte en la web: Es obligatorio. Ocultarlo puede considerarse una práctica comercial desleal y sancionarse por la Ley Omnibus también.
Vender productos de importación paralela sin verificar: Comprar lotes baratos en mercados asiáticos que no han pasado la certificación UE es un riesgo crítico.
Ignorar el software: Creer que si solo vendes licencias de Office o juegos no te afecta. El software es un PED.
No notificar vulnerabilidades: Si un cliente te avisa de un fallo y no escalas la información al fabricante o autoridades, asumes la responsabilidad del daño.
Pensar que el marcado CE antiguo vale: El marcado CE bajo la CRA requiere un expediente técnico nuevo de ciberseguridad.
No exigir el representante autorizado en la UE: Si el fabricante es de fuera, debe haber alguien en la UE que responda por él. Si lo vendes tú sin eso, el responsable eres tú.

12. Jurisprudencia y criterios oficiales (300-500 palabras)

Dictamen ENISA 2023: Recomienda a las tiendas online no esperar a 2027 para exigir declaraciones de conformidad, ya que los ciclos de stock suelen durar 12-18 meses.
Resolución AEPD (Asunto de cámaras IP, 2022): Aunque basada en privacidad, sancionó a un distribuidor por vender cámaras con contraseñas por defecto que no podían cambiarse, alegando falta de seguridad desde el diseño.
Asunto C-65/20 del TJUE: Subraya la importancia de la conformidad de los productos vendidos online con los estándares de seguridad europeos.

13. FAQ extensa (500-800 palabras)

¿Si vendo solo a España, ¿me afecta esta normativa UE?

Sí, al ser un Reglamento UE, es de aplicación directa en todos los Estados Miembros sin necesidad de transposición nacional. Afecta a cualquier transacción dentro del mercado único.

Soy autónomo facturando <60.000€/año, ¿hay alguna excepción?

Vendo en Amazon, ¿quién es responsable: yo o Amazon?

¿Qué pasa si el fabricante quiebra?

¿Puedo vender productos de segunda mano?

¿Qué es un producto con "elementos digitales"?

Cualquier cosa que tenga software o firmware. Desde un tostador con Wi-Fi hasta un sistema operativo complejo.

¿Las actualizaciones deben ser gratuitas?

Sí, el Art. 10 prohíbe cobrar por actualizaciones de seguridad necesarias para mantener la conformidad del producto.

¿Cómo demuestro que he verificado el marcado CE?

Debes guardar la Declaración de Conformidad UE que te facilite el proveedor y comprobar que el logo CE está presente de forma visible en el producto o su embalaje.

¿Qué ocurre con el stock que ya tengo en el almacén?

¿Afecta a los infoproductos?

Generalmente no, a menos que el infoproducto incluya un software ejecutable o una aplicación móvil propia para consumir el contenido.

¿Quién decide cuál es la "vida útil" de un producto?

El fabricante, pero debe basarse en las expectativas razonables del consumidor y en la vida útil de productos similares. La Comisión puede fijar periodos mínimos por categorías.

¿Tengo que informar a ENISA si soy una tienda pequeña?

No, la obligación de notificar incidentes graves a ENISA recae sobre el fabricante. Tu obligación como tienda es informar al fabricante y a las autoridades locales de consumo si detectas un riesgo.

14. Normativas relacionadas (200-350 palabras)

RGPD (UE) 2016/679: Relacionado por la protección de datos en dispositivos IoT.
Reglamento (UE) 2023/988 (GPSR): Marco general de seguridad de productos que la CRA especializa para temas digitales.
Directiva (UE) 2022/2555 (NIS2): Seguridad de las redes y sistemas de información.
Ley de IA (Reglamento 2024/1689): Para productos que integren sistemas de inteligencia artificial.
Directiva 2014/53/UE (RED): Requisitos para equipos radioeléctricos.
Ley 7/2017 (ES): Incorporación de directivas europeas sobre defensa del consumidor.

15. Recursos oficiales y herramientas recomendadas

ENISA (Agencia de Ciberseguridad de la UE): Publicará las guías técnicas de cumplimiento.
INCIBE (España): Ofrece herramientas de autodiagnóstico de ciberseguridad para empresas.
EU Trust Services: Para verificar firmas electrónicas en certificados de conformidad.
Plugins de Compliance: Busca módulos de "Product Compliance Info" para tu CMS que permitan añadir metadatos de seguridad.

16. Conclusion practica y valoracion

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Fuente oficial: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32024R2847

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.