El Artículo 13.8 del Reglamento (UE) 2024/2847 establece un periodo mínimo de soporte de 5 años para productos con elementos digitales. Durante ese periodo, debes gestionar vulnerabilidades, proveer actualizaciones de seguridad gratuitas y mantener operativa la distribución segura de parches. El Anexo VII, sección 4 exige documentar los criterios usados para determinar el periodo. CRACheck te ayuda a documentarlo.

El periodo de soporte es una de las obligaciones más exigentes del CRA en términos operativos. El Art. 13.8 exige que el fabricante determine el periodo considerando: tiempo esperado de uso del producto, expectativas razonables del usuario, naturaleza del producto, ley de la UE aplicable, periodos de soporte de productos similares y disponibilidad del entorno operativo. El mínimo es 5 años, pero si el producto tiene un uso esperado superior, el periodo debe ser mayor. Durante el soporte, las actualizaciones de seguridad deben ser gratuitas (Anexo I, Parte II, punto 8), distribuidas de forma segura (Parte II, punto 7) y cada actualización debe permanecer disponible al menos 10 años tras su publicación (Art. 13.9). CRACheck genera el calendario de obligaciones y documenta los criterios del periodo de soporte. 149 €. 15-25 minutos.

Generar dossier CRA — 149 €Gratis: clasificar tu producto

149 € pago único · 8 documentos ZIP · 15-25 minutos · Browser-side

Cifras clave del soporte

5 años

Periodo mínimo de soporte. Puede ser mayor según el uso esperado del producto (Art. 13.8).

10 años

Cada actualización de seguridad publicada debe seguir disponible mínimo 10 años (Art. 13.9).

Gratuitas

Las actualizaciones de seguridad deben ser gratuitas durante el soporte (Anexo I, Parte II, punto 8).

Cómo definir y documentar tu periodo de soporte

El periodo de soporte no es una garantía. Es un compromiso de actualizaciones respaldado por el Reglamento.

Determina los criterios

Tiempo esperado de uso, expectativas del usuario, naturaleza del producto. Art. 13.8 lista los factores a considerar.

Documenta en Anexo VII sección 4

CRACheck genera la sección 4 del Anexo VII con los criterios y la duración declarada.

Implementa la política CVD

Política de divulgación coordinada de vulnerabilidades activa durante todo el soporte.

Prepara infraestructura de distribución

OTA, servidor de actualizaciones, mecanismo de notificación al usuario.

Define proceso de notificación ENISA

Art. 14: early warning 24h, notificación 72h, informe final 14 días.

Genera el dossier CRACheck

8 documentos incluyendo calendario de obligaciones y periodo de soporte documentado.

Errores con el periodo de soporte

❌

DURACIÓN

Con 2-3 años de soporte es suficiente, como siempre hemos hecho

El Art. 13.8 del Reglamento (UE) 2024/2847 establece un mínimo de 5 años. Si el producto tiene un uso esperado mayor (equipos industriales, infraestructura de red, equipos de seguridad), el periodo debe ser proporcionalmente mayor. Los 2-3 años habituales no cumplen el Reglamento.

❌

COSTE

Proveer actualizaciones de seguridad durante 5 años es inviable para mi empresa

El Anexo I, Parte II, punto 8 obliga a que las actualizaciones de seguridad sean gratuitas para el usuario. El coste lo asume el fabricante. Esto implica planificación desde la fase de diseño: ¿tiene tu producto mecanismo de actualización OTA seguro? Ignorarlo no es una opción legal.

❌

DOCUMENTACIÓN

No necesito justificar por qué he elegido 5 años como periodo de soporte

El Anexo VII, sección 4 exige incluir en la documentación técnica "relevant information that was taken into account to determine the support period". La autoridad puede verificar que los criterios son razonables y proporcionales.

8 documentos con periodo de soporte documentado

El periodo de soporte se documenta en la sección 4 del Anexo VII, en la información al usuario (Anexo II) y en el calendario de obligaciones.

Product Classifier

Clasificación del producto según Anexo III: Default, Important Class I/II o Critical.

Technical Documentation

Documentación técnica completa con las 8 secciones del Anexo VII conforme al Art. 31.

Risk Assessment

Evaluación de riesgos de ciberseguridad conforme al Art. 13.2 y Anexo I, Parte I.

User Information

Información e instrucciones para el usuario conforme al Anexo II.

Declaration of Conformity

Declaración UE de conformidad conforme al Art. 28 y Anexo V.

CVD Policy

Política de divulgación coordinada de vulnerabilidades (Anexo I, Parte II, punto 5).

Notification Template

Plantilla notificación ENISA Art. 14 (24h/72h/14 días).

Obligations Calendar

Calendario: sept 2026 (Art. 14), dic 2027 (aplicación completa), soporte 5 años (Art. 13.8).

Mira antes de comprar — Descargar dossier de muestra (PDF, empresa ficticia) — Estructura real, artículos reales, formato real. Datos ficticios.

Generado en tu navegador. Ningún dato sale de tu máquina.

Documentar el soporte vs. improvisar

🧾 CONSULTORÍA LIFECYCLE MANAGEMENT

€10.000–€25.000

Estrategia + documentación. 2-4 meses.

✓ CRACHECK

149 €

8 documentos con periodo de soporte documentado. 15 min.

Documentación vs. infraestructura de actualizaciones

● CAPA 1

Lo que CRACheck hace

Documenta los criterios del periodo de soporte y genera el calendario de obligaciones. Consistente en los 8 documentos.

∅ CAPA 2

Lo que CRACheck NO hace

No implementa la infraestructura de actualizaciones OTA. No gestiona tu SBOM operativo. No opera el proceso de notificación a ENISA.

Nosotros documentamos el compromiso. Tú entregas las actualizaciones.

Régimen sancionador — Artículo 64 del Reglamento (UE) 2024/2847

El Art. 64 establece tres niveles de multas administrativas.

🇪🇺

Incumplimiento requisitos esenciales Anexo I + Art. 13 + Art. 14

€15M / 2,5%

Art. 64.2.

🇪🇺

Incumplimiento Art. 31 + Art. 28 + Art. 30 + Art. 18

€10M / 2%

Art. 64.3.

🇪🇺

Información incorrecta a autoridades

€5M / 1%

Art. 64.4.

Incumplir las actualizaciones de seguridad es incumplimiento del Anexo I Parte II → Art. 64.2 (€15M / 2,5%).

Alternativas

Alternativa	Coste	Qué obtienes
Consultoría lifecycle management	€10.000–€25.000	Estrategia + documentación. 2-4 meses.
Declarar periodo mínimo sin justificar	0 €	Riesgo de incumplimiento Art. 13.8 si inconsistente con uso esperado.
No declarar periodo	0 € ahora	Anexo II exige la comunicación. Incumplimiento directo.
CRACheck	149 €	8 docs con periodo documentado. 15 min.

¿Productos con diferentes ciclos de vida?

Smart plug (3-5 años), gateway industrial (10+ años), router (5-7 años) — cada uno necesita su propio periodo documentado. Volumen: €99/producto (10-pack).

Solicitar precio por volumen

Respuesta en un día laborable.

Qué garantiza CRACheck y qué no

CRACheck genera un documento estructurado según el Art. 31 y Anexo VII del Reglamento (UE) 2024/2847 a partir de la información que tú introduces. La veracidad, precisión y completitud de esa información es tu responsabilidad como fabricante.

Garantizamos que la estructura del documento sigue el Art. 31 y Anexo VII del Reglamento (UE) 2024/2847 y que las referencias legales citadas son correctas en la fecha de la última verificación. No garantizamos que un documento concreto sea aceptado por una autoridad de vigilancia del mercado en un caso específico.

CRACheck no es asesoramiento jurídico. Para situaciones específicas, consulta con un abogado o consultoría regulatoria especializada.

Preguntas frecuentes — periodo de soporte

¿Puedo fijar un periodo inferior a 5 años si mi producto tiene vida corta?

El Art. 13.8 establece 5 años como mínimo. Solo se justifica un periodo inferior si la vida esperada del producto es inferior. Un dispositivo desechable de un solo uso podría justificarlo, pero la mayoría de productos conectados no.

¿Qué pasa cuando termina el periodo de soporte?

Dejas de estar obligado a proveer actualizaciones. Pero el Anexo II requiere informar al usuario de que el soporte ha terminado.

¿Las actualizaciones de funcionalidad también deben ser gratuitas?

No necesariamente. El Anexo I, Parte II, punto 8 exige que las actualizaciones de seguridad sean gratuitas. Las actualizaciones de funcionalidad pueden tener otro modelo comercial.

¿Cómo se computa el inicio del periodo?

El Art. 13.8 se refiere al tiempo durante el cual el producto "se espera que esté en uso". El inicio práctico es la puesta en mercado del producto (primera venta).

¿El periodo de soporte se suma a la garantía comercial?

Son conceptos distintos. La garantía cubre defectos. El soporte CRA cubre actualizaciones de seguridad. Pueden coincidir pero son obligaciones independientes.

¿Es una suscripción?

No. Pago único. La licencia incluye 30 días de edición y 10 regeneraciones. El PDF descargado es tuyo para siempre.

¿Puedo pedir la devolución?

Conforme al Art. 16.m de la Directiva (UE) 2011/83 sobre derechos de los consumidores, al activar la licencia das consentimiento expreso para la generación inmediata del contenido digital, renunciando al plazo de desistimiento de 14 días. Solo se aceptan devoluciones por fallo técnico reproducible.

¿Y si la normativa cambia?

Si la normativa cambia durante la vigencia de tu licencia, puedes regenerar el documento con la versión actualizada del generador sin coste adicional.

Fuentes legales oficiales

Reglamento (UE) 2024/2847 — Cyber Resilience Act — texto completo

⚠️ Aviso importante: CRACheck es una herramienta de auto-evaluación documental, no asesoramiento jurídico ni auditoría de terceros. El documento conforme al Artículo 31 y Anexo VII del Reglamento (UE) 2024/2847 se genera a partir de los datos que tú introduces. La veracidad de los datos es tu responsabilidad. CRACheck no sustituye una auditoría de terceros ni un dictamen profesional cualificado.