¿Quién impone las multas en España?

Las autoridades de vigilancia del mercado de cada Estado miembro. En España, la autoridad competente dependerá de la transposición y asignación de competencias que haga el legislador español. Organismos como la AESIA, la CNMC o las comunidades autónomas podrían tener competencias.

¿Las multas se aplican por producto o por empresa?

El Art. 64 impone multas al "infractor" — el operador económico. La multa considera la infracción en su conjunto. Múltiples productos no conformes pueden resultar en una multa mayor, pero cada producto es una infracción potencial independiente.

¿El Art. 64.10 exime a las pymes?

El Art. 64.10 exime a microempresas y pequeñas empresas de multas por plazos del Art. 14.2(a) (early warning 24h). El resto de multas sí aplican. El Art. 64.5(c) obliga a considerar el tamaño, pero no exime.

¿Qué pasa además de la multa?

El Art. 64.9 permite combinar multas con medidas correctivas (Art. 58): retirada del mercado, prohibición de comercialización, publicación de la sanción.

¿Cuándo pueden empezar a multar?

Desde el 11 de diciembre de 2027 para las obligaciones generales. Desde el 11 de septiembre de 2026 para las obligaciones del Art. 14 (notificación de vulnerabilidades).

¿Es una suscripción?

No. Pago único. La licencia incluye 30 días de edición y 10 regeneraciones. El PDF descargado es tuyo para siempre.

¿Puedo pedir la devolución?

Conforme al Art. 16.m de la Directiva (UE) 2011/83 sobre derechos de los consumidores, al activar la licencia das consentimiento expreso para la generación inmediata del contenido digital, renunciando al plazo de desistimiento de 14 días. Solo se aceptan devoluciones por fallo técnico reproducible.

¿Y si la normativa cambia?

Si la normativa cambia durante la vigencia de tu licencia, puedes regenerar el documento con la versión actualizada del generador sin coste adicional.

El Artículo 64 del Reglamento (UE) 2024/2847 establece tres niveles de sanción administrativa. El más alto: hasta 15 millones de euros o el 2,5% de la facturación mundial anual, lo que sea mayor. Se aplica al incumplimiento de los requisitos esenciales de ciberseguridad del Anexo I y las obligaciones del fabricante de los Artículos 13 y 14. La documentación técnica del Art. 31 es tu primera línea de defensa.

El régimen sancionador del CRA se estructura en tres niveles progresivos. Art. 64.2: hasta €15M o 2,5% por incumplir Anexo I + Arts. 13 y 14. Art. 64.3: hasta €10M o 2% por incumplir obligaciones documentales (Art. 31), declaración de conformidad (Art. 28), marcado CE (Art. 30) y representante autorizado (Art. 18). Art. 64.4: hasta €5M o 1% por suministrar información incorrecta o engañosa a autoridades. Las multas las imponen las autoridades de vigilancia del mercado de cada Estado miembro. CRACheck genera la documentación técnica conforme al Art. 31 y Anexo VII por 149 €. 15-25 minutos. 100% en tu navegador.

Generar dossier CRA — 149 €Gratis: clasificar tu producto

149 € pago único · 8 documentos ZIP · 15-25 minutos · Browser-side

Los tres niveles de multa

€15M / 2,5%

Nivel máximo de multa: incumplimiento Anexo I + Arts. 13 y 14 (Art. 64.2).

€10M / 2%

Segundo nivel: incumplimiento obligaciones documentales Art. 31, Art. 28, Art. 30 (Art. 64.3).

€5M / 1%

Tercer nivel: información incorrecta o engañosa a autoridades (Art. 64.4).

Cómo mitigar el riesgo sancionador

La documentación es tu primera línea de defensa.

Audita el ámbito

Identifica qué productos con elementos digitales de tu catálogo entran en el ámbito del CRA.

Clasifica cada producto

Usa el checker de CRACheck para determinar Default, Important o Critical.

Documenta

Genera la documentación técnica Anexo VII para cada producto. 15-25 min cada uno.

Evaluación de conformidad

Módulo A para Default, B+C o H para Important/Critical.

Archiva

Conserva documentación 10 años (Art. 13.13).

Monitoriza

Actualiza la documentación ante cambios en el producto o nuevas vulnerabilidades.

Misconceptions sobre las multas CRA

❌

ENFORCEMENT

No van a multar hasta que haya casos precedentes

El Reglamento (UE) 2024/2847 se aplica plenamente desde el 11 de diciembre de 2027. Las autoridades de vigilancia del mercado de cada Estado miembro tendrán potestad sancionadora desde esa fecha. No es razonable asumir inacción.

❌

PROPORCIONALIDAD

Las multas máximas son para las multinacionales, a mi empresa no le pondrán €15M

El Art. 64.5(c) obliga a considerar el tamaño de la empresa. Pero "considerar" no significa "eximir". Una multa proporcional al tamaño de una pyme sigue siendo potencialmente devastadora. Y el Art. 64.2 dice "hasta" €15M o 2,5%: es el techo, no el suelo.

❌

DOCUMENTACIÓN

Si me pillan sin documentación, pago la multa y ya

El Art. 64.9 permite imponer multas además de otras medidas correctivas o restrictivas. Eso incluye retirada del mercado, prohibición de venta y publicación de la sanción. No es solo dinero: es tu producto fuera del mercado europeo.

8 documentos: tu primera línea de defensa

Si la autoridad de vigilancia solicita tu documentación Anexo VII y puedes proporcionarla, la investigación suele terminar ahí.

Product Classifier

Clasificación del producto según Art. 7 + Anexo III: Default, Important Class I, Important Class II o Critical.

Technical Documentation

Documentación técnica completa con las 8 secciones del Anexo VII conforme al Art. 31.

Risk Assessment

Evaluación de riesgos de ciberseguridad conforme al Art. 13.2 y Anexo I, Parte I.

User Information

Información e instrucciones para el usuario conforme al Anexo II.

Declaration of Conformity

Declaración UE de conformidad conforme al Art. 28 y Anexo V.

CVD Policy

Política de divulgación coordinada de vulnerabilidades conforme al Anexo I, Parte II, punto 5.

Notification Template

Plantilla de notificación a ENISA conforme al Art. 14 (early warning 24h, notificación 72h, informe final 14 días).

Obligations Calendar

Calendario con fechas clave: 11 sept 2026 (Art. 14), 11 dic 2027 (aplicación completa), periodo de soporte (Art. 13.8).

Mira antes de comprar — Descargar dossier de muestra (PDF, empresa ficticia) — Estructura real, artículos reales, formato real. Datos ficticios.

Generado en tu navegador. Ningún dato sale de tu máquina.

€15 millones o 149 €

🧾 MULTA POTENCIAL + RETIRADA DEL MERCADO

€50.000–€15.000.000

Multa + pérdida de ingresos UE + daño reputacional.

✓ Última verificación regulatoria: 1 mayo 2026 · Sin cambios sustantivos detectados · Ver historial