CRA pyme española IoT: obligaciones y documentación

Cifras clave para tu pyme

Art. 33

El CRA prevé medidas de apoyo para pymes y microempresas. La obligación documental es la misma.

149 €

Un dossier completo de 8 documentos. Precio asumible para una pyme.

5 años

Periodo mínimo de soporte del producto en el que debes gestionar vulnerabilidades (Art. 13.8).

Cómo cumplir el CRA siendo una pyme

No necesitas departamento legal. Necesitas CRACheck y los datos de tu producto.

Verifica si tu producto IoT entra en el ámbito del CRA

Art. 2.1: conexión lógica o física a un dispositivo o red. Un sensor con Zigbee, un controlador con WiFi, una pasarela con Ethernet: todos dentro.

Clasifica tu dispositivo

Usa el checker gratuito. Muchos dispositivos IoT genéricos son productos Default (Módulo A de autoevaluación). Algunos caen en Anexo III Class I.

Introduce los datos técnicos de tu producto

CRACheck te guía: arquitectura, componentes, protocolos, tratamiento de datos, medidas de seguridad implementadas.

Genera la evaluación de riesgos

El generador construye el análisis conforme al Art. 13.2 basándose en la finalidad prevista, el entorno operativo y los activos a proteger.

Obtén la documentación técnica Anexo VII

Las 8 secciones obligatorias, con los datos de tu producto IoT.

Archiva y prepara la declaración de conformidad

Con el dossier listo, puedes afrontar el marcado CE (Art. 30) de tu dispositivo IoT.

Errores que cometen las pymes españolas con el CRA

❌

TAMAÑO

El CRA es para grandes empresas, a mi pyme no le afecta

El Art. 2.1 del Reglamento (UE) 2024/2847 se aplica a todo producto con elementos digitales comercializado en la UE. El tamaño de la empresa es irrelevante para el ámbito de aplicación. El Art. 33 prevé apoyo para pymes, y el Art. 64.10 exime a microempresas y pequeñas empresas de multas por plazos del Art. 14.2(a), pero la obligación de documentación técnica del Art. 31 no tiene exención por tamaño.

❌

IoT

Mi sensor solo envía datos, no es un "producto con elementos digitales"

El Art. 3(1) define producto con elementos digitales como cualquier producto software o hardware y sus soluciones de procesamiento de datos remoto, cuya finalidad prevista incluya una conexión lógica o física. Un sensor que transmite datos por BLE, WiFi, LoRa o Zigbee tiene una conexión lógica a una red. Es un producto con elementos digitales.

❌

COSTE

No puedo permitirme el compliance, ya veré cuando multen a alguien

El Art. 64.2 contempla multas de hasta €15M o 2,5% de la facturación mundial. Para una pyme, incluso la multa mínima del Art. 64.4 (€5M o 1%) puede ser existencial. La documentación técnica conforme al Art. 31 y Anexo VII con CRACheck cuesta 149 €. El riesgo de no tenerla es desproporcionado.

Qué contiene tu dossier CRA: 8 documentos

Adaptados a producto IoT: arquitectura, protocolos, conectividad.

Product Classifier

Clasificación del producto según Art. 7 + Anexo III: Default, Important Class I, Important Class II o Critical.

Technical Documentation

Documentación técnica completa con las 8 secciones del Anexo VII conforme al Art. 31.

Risk Assessment

Evaluación de riesgos de ciberseguridad conforme al Art. 13.2 y Anexo I, Parte I.

User Information

Información e instrucciones para el usuario conforme al Anexo II.

Declaration of Conformity

Declaración UE de conformidad conforme al Art. 28 y Anexo V.

CVD Policy

Política de divulgación coordinada de vulnerabilidades conforme al Anexo I, Parte II, punto 5.

Notification Template

Plantilla de notificación a ENISA conforme al Art. 14 (early warning 24h, notificación 72h, informe final 14 días).

Obligations Calendar

Calendario con fechas clave: 11 sept 2026 (Art. 14), 11 dic 2027 (aplicación completa), periodo de soporte (Art. 13.8).

Mira antes de comprar — Descargar dossier de muestra (PDF, empresa ficticia) — Estructura real, artículos reales, formato real. Datos ficticios.

Generado en tu navegador. Ningún dato sale de tu máquina.

Consultoría vs. CRACheck para una pyme

🧾 CONSULTORÍA CIBERSEGURIDAD IoT PARA PYME

€8.000–€20.000

2-6 meses. Presupuesto inasumible para la mayoría de pymes españolas.

✓ CRACHECK

149 €

8 documentos. 15 minutos. Presupuesto de pyme.

Documentación vs. ingeniería de seguridad

● CAPA 1

Lo que CRACheck hace

Genera la documentación técnica Anexo VII de tu dispositivo IoT. 8 documentos PDF. 15 minutos. 149 €. Es la obligación documental del fabricante bajo el Art. 31.

∅ CAPA 2

Lo que CRACheck NO hace

No diseña la ciberseguridad de tu producto (Anexo I, Parte I). No implementa secure by default, cifrado o mecanismos de autenticación. No realiza tests de penetración. Eso es trabajo de tu equipo de ingeniería.

Nosotros documentamos. Tú construyes la seguridad.

Régimen sancionador — Artículo 64 del Reglamento (UE) 2024/2847

El Art. 64 establece tres niveles de multas administrativas.

🇪🇺

Incumplimiento requisitos esenciales ciberseguridad (Anexo I) + obligaciones fabricante (Art. 13) + notificación vulnerabilidades (Art. 14)

€15M / 2,5%

Art. 64.2 del Reglamento (UE) 2024/2847. La cifra mayor entre ambas.

🇪🇺

Incumplimiento obligaciones documentales (Art. 31), declaración de conformidad (Art. 28), marcado CE (Art. 30), representante autorizado (Art. 18)

€10M / 2%

Art. 64.3.

🇪🇺

Información incorrecta, incompleta o engañosa a organismos notificados o autoridades de vigilancia

€5M / 1%

Art. 64.4.

Art. 64.10: las multas del Art. 64.2 por plazos del Art. 14.2(a) no aplican a microempresas y pequeñas empresas. El resto de multas sí aplican.

Alternativas

Alternativa	Coste	Qué obtienes
Consultoría ciberseguridad IoT	€8.000–€20.000	Auditoría completa + documentación. 2-6 meses.
Intentar cumplir con plantillas genéricas	Gratis + tiempo	Sin adaptación a IoT. Sin evaluación de riesgos.
No hacer nada	0 € ahora	Hasta €15M o 2,5% de multa (Art. 64.2)
CRACheck	149 €	8 documentos, 15 min, adaptado a tu producto IoT

¿Tu pyme fabrica varios dispositivos IoT?

Si fabricas una gama de sensores, controladores o pasarelas, cada producto necesita documentación técnica Anexo VII independiente. Escríbenos para un pack por volumen adaptado a pymes.

Solicitar precio por volumen

Respuesta en un día laborable.

Qué garantiza CRACheck y qué no

CRACheck genera un documento estructurado según el Art. 31 y Anexo VII del Reglamento (UE) 2024/2847 a partir de la información que tú introduces. La veracidad, precisión y completitud de esa información es tu responsabilidad como fabricante.

Garantizamos que la estructura del documento sigue el Art. 31 y Anexo VII del Reglamento (UE) 2024/2847 y que las referencias legales citadas son correctas en la fecha de la última verificación. No garantizamos que un documento concreto sea aceptado por una autoridad de vigilancia del mercado en un caso específico.

CRACheck no es asesoramiento jurídico. Para situaciones específicas, consulta con un abogado o consultoría regulatoria especializada.

Preguntas frecuentes — pyme IoT

¿El CRA afecta a mi pyme aunque tenga menos de 10 empleados?

Sí. El Art. 2.1 del Reglamento (UE) 2024/2847 no tiene umbral de tamaño. El Art. 33 prevé que los Estados miembros organicen formación y canales específicos para pymes, y el Art. 64.10 exime a microempresas y pequeñas empresas de ciertas multas por plazos de notificación, pero la obligación documental del Art. 31 se aplica a todo fabricante.

¿Un sensor con Bluetooth o Zigbee entra en el ámbito del CRA?

Sí. El Art. 2.1 cubre productos cuya finalidad prevista incluya una conexión lógica o física directa o indirecta a un dispositivo o red. Bluetooth, Zigbee, WiFi, LoRa, NB-IoT: todas son conexiones lógicas o físicas a una red.

¿Mi producto IoT es Default o Important?

Depende de su funcionalidad. El Anexo III lista los productos Important Class I y II. Si tu sensor no tiene funciones de seguridad de red, no gestiona acceso privilegiado y no es un smart home con funciones de seguridad (cerraduras, cámaras, alarmas), es probable que sea Default. Usa el checker gratuito de CRACheck.

¿Puedo usar la autoevaluación (Módulo A) para mi producto IoT?

Si tu producto es Default, sí: Art. 32.1(a) permite el Módulo A (control interno). Si es Important Class I sin normas armonizadas aplicadas, necesitas Módulo B+C o H (Art. 32.2). Si es Important Class II, siempre organismo notificado (Art. 32.3).

¿Qué pasa con las actualizaciones de seguridad de mi dispositivo IoT?

El Art. 13.8 obliga a un periodo de soporte mínimo de 5 años durante el cual debes gestionar vulnerabilidades y proveer actualizaciones de seguridad conforme al Anexo I, Parte II. Esto incluye distribución segura de actualizaciones (Parte II, punto 7) y actualizaciones gratuitas (Parte II, punto 8).

¿Es una suscripción?

No. Pago único. La licencia incluye 30 días de edición y 10 regeneraciones. El PDF descargado es tuyo para siempre.

¿Puedo pedir la devolución?

Conforme al Art. 16.m de la Directiva (UE) 2011/83 sobre derechos de los consumidores, al activar la licencia das consentimiento expreso para la generación inmediata del contenido digital, renunciando al plazo de desistimiento de 14 días. Solo se aceptan devoluciones por fallo técnico reproducible.

¿Y si la normativa cambia?

Si la normativa cambia durante la vigencia de tu licencia, puedes regenerar el documento con la versión actualizada del generador sin coste adicional.

Fuentes legales oficiales

Reglamento (UE) 2024/2847 — Cyber Resilience Act — texto completo

⚠️ Aviso importante: CRACheck es una herramienta de auto-evaluación documental, no asesoramiento jurídico ni auditoría de terceros. El documento conforme al Artículo 31 y Anexo VII del Reglamento (UE) 2024/2847 se genera a partir de los datos que tú introduces. La veracidad de los datos es tu responsabilidad. CRACheck no sustituye una auditoría de terceros ni un dictamen profesional cualificado.