8 documentos PDF en tu ZIP

Cada documento cubre una obligación específica del Reglamento (UE) 2024/2847. Cada uno cita los artículos exactos que fundamentan su contenido.

⚖

Clasificador de Producto y Ámbito

Conforme a los Arts. 2, 7 y 8 y Anexos III/IV. Determina si tu producto entra en el CRA, su categoría (Default, Clase I, Clase II o Crítico) y el procedimiento de conformidad aplicable.

📄

Documentación Técnica — Anexo VII

El documento central. Cubre los 8 puntos del Anexo VII conforme al Art. 31: descripción general, diseño y desarrollo, evaluación de riesgos, periodo de soporte, estándares y ensayos.

🛡

Evaluación de Riesgos de Ciberseguridad

Conforme al Art. 13.2-4 y Anexo I. Mapeo de los 13 requisitos de propiedades del producto (Parte I) y los 8 requisitos de gestión de vulnerabilidades (Parte II).

✅

Declaración UE de Conformidad

Conforme al Art. 28 y Anexo V. Documento firmado por el fabricante declarando que el producto cumple los requisitos esenciales del Anexo I. Base para el marcado CE (Art. 30).

📖

Información e Instrucciones al Usuario

Conforme al Anexo II: 9 puntos obligatorios que deben acompañar al producto. Incluye punto de contacto único, política CVD, periodo de soporte, comisionado seguro y descomisionado.

🔒

Política de Divulgación Coordinada de Vulnerabilidades

Conforme al Anexo I, Parte II, punto 5. Política CVD estructurada: proceso de recepción, triaje, remediación, divulgación y registro. Obligatoria para todo fabricante.

🚨

Plantilla de Notificación Art. 14

Las 3 fases obligatorias: early warning (24h), notificación (72h) e informe final (14 días). Para vulnerabilidades activamente explotadas e incidentes severos. Obligatorio desde septiembre 2026.

📅

Calendario de Obligaciones + Multas

Todas las fechas clave del CRA organizadas cronológicamente: notificación de organismos (jun 2026), obligación de reporte (sep 2026), aplicación plena (dic 2027). Con régimen sancionador del Art. 64.

Mira antes de comprar — Descargar dossier de muestra (PDF, empresa ficticia) — Estructura real, artículos reales, formato real. Datos ficticios.

Para qué casos funciona CRACheck

El Reglamento (UE) 2024/2847 se aplica horizontalmente a todos los productos con elementos digitales. CRACheck genera la documentación técnica para las cuatro categorías. Mira en cuál estás antes de comprar.

EN SCOPE

Productos con elementos digitales — Default, Clase I, Clase II y Críticos

CRACheck genera la documentación técnica conforme al Anexo VII para cualquier producto con elementos digitales que se ponga en el mercado UE. Aplica a fabricantes (Art. 13), importadores (Art. 19), distribuidores (Art. 20) y representantes autorizados (Art. 18).

Software comercial (aplicaciones, SaaS con procesamiento remoto, apps móviles)
Dispositivos IoT (smart home, wearables, sensores industriales, monitores infantiles)
Hardware conectado (routers, switches, modems, cámaras IP, cerraduras inteligentes)
Sistemas operativos, hipervisores, gestores de arranque
Componentes de seguridad (firewalls, IDS/IPS, gestores de contraseñas, VPN)
Microcontroladores y microprocesadores con funcionalidad de seguridad
Juguetes conectados, dispositivos de salud personal (no médicos)
Cualquier producto hardware o software con conexión directa o indirecta a red

EXENTO

Productos excluidos del ámbito de aplicación

Estas categorías están fuera del alcance del CRA porque ya están reguladas por otra legislación sectorial de la UE. No necesitan documentación CRA.

Dispositivos médicos y diagnósticos in vitro (Reglamentos 2017/745 y 2017/746)
Vehículos y sus componentes (Reglamento 2019/2144)
Productos certificados en aviación civil (Reglamento 2018/1139)
Equipos marítimos (Directiva 2014/90/UE)
Productos desarrollados exclusivamente para defensa o seguridad nacional (Art. 2.7)
FOSS no comercial: software libre sin actividad comercial (Art. 2, Considerando 18)
Piezas de repuesto idénticas para productos previos al CRA (Art. 2.6)

REQUIERE ATENCIÓN EXTRA

Productos que además necesitan evaluación de conformidad por terceros

Estos productos entran en el CRA pero su procedimiento de evaluación de conformidad requiere intervención de un organismo notificado. CRACheck genera la documentación base; la evaluación por terceros es un paso separado.

Productos Importantes Clase II (Anexo III): firewalls, IDS/IPS, hipervisores, microprocesadores tamper-resistant — evaluación obligatoria por terceros (Art. 32.3)
Productos Críticos (Anexo IV): HSM, smart meter gateways, smartcards, secure elements — posible certificación europea obligatoria (Art. 8)
Productos Importantes Clase I sin estándares armonizados aplicados — evaluación por terceros requerida (Art. 32.2)

¿Dudas sobre tu caso? Haz primero el test gratuito. Si CRACheck no es la herramienta adecuada para tu producto, te lo decimos antes de comprar.

Quién compra CRACheck

Fabricantes (Art. 13), importadores (Art. 19), distribuidores (Art. 20) y responsables de compliance de productos con elementos digitales que se comercializan en la UE.

💻Empresa de software europea con una aplicación SaaS, app móvil o herramienta de escritorio que tiene conexión directa o indirecta a red. 5-50 empleados, CTO técnico pero sin experiencia regulatoria. Diciembre de 2027 es su deadline. No tienen 15.000 € para una consultoría externa.

⚙Fabricante de dispositivos IoT (smart home, wearables, sensores industriales, sistemas de alarma, cámaras IP) que vende en el mercado UE. Necesita documentación técnica Anexo VII + evaluación de riesgos Anexo I + declaración de conformidad + política CVD antes de poner el marcado CE.

🌍Fabricante fuera de la UE (USA, UK, China, India, Corea, Taiwán) que vende hardware o software conectado a compradores europeos. Su importador UE le pide documentación CRA conforme al Art. 19. 149 € frente a perder un canal de distribución europeo.

📦Importador UE: empresa que introduce en el mercado europeo productos con elementos digitales fabricados en terceros países. Art. 19: antes de comercializar, debe verificar que existe documentación técnica y que el producto lleva marcado CE.

📊CISO, Compliance Officer o Legal interno de empresa mediana-grande con 5-30 productos digitales en el mercado. Necesita documentar todos antes de diciembre 2027. Para este perfil los packs de 10 o 30 licencias son la solución: desde 79 €/producto.

💼Consultor de ciberseguridad o despacho que quiere ofrecer “CRA compliance” como servicio a sus clientes. Compra CRACheck como herramienta interna y factura el servicio. Pack 30 a 79 €/producto, factura 2.000-5.000 € por cliente.

Qué pasa sin documentación técnica

El Art. 64 del Reglamento (UE) 2024/2847 establece tres tramos de sanciones administrativas. Además, las autoridades de vigilancia del mercado pueden ordenar la retirada, prohibición o recall del producto.

🛡 Incumplimiento de requisitos esenciales (Anexo I) y obligaciones del fabricante (Arts. 13, 14)

Hasta 15.000.000 € o el 2,5% de la facturación global anual, lo que sea mayor. Cubre: producto sin requisitos esenciales de ciberseguridad, ausencia de evaluación de riesgos, falta de actualizaciones de seguridad, no notificar vulnerabilidades explotadas ni incidentes severos al CSIRT y ENISA. Para pymes y startups: se aplica el menor de los dos importes. Art. 64.2 del Reglamento (UE) 2024/2847.

📄 Incumplimiento de otras obligaciones (Arts. 18-23, 28, 31, 32)

Hasta 10.000.000 € o el 2% de la facturación global anual, lo que sea mayor. Incluye: falta de documentación técnica (Art. 31), declaración de conformidad ausente o incorrecta (Art. 28), uso indebido del marcado CE (Art. 30), incumplimiento de importadores y distribuidores, procedimientos de conformidad no realizados. Art. 64.3 del Reglamento (UE) 2024/2847.

⚠ Información falsa a autoridades u organismos notificados

Hasta 5.000.000 € o el 1% de la facturación global anual, lo que sea mayor. Se activa cuando el operador económico proporciona información incorrecta, incompleta o engañosa a las autoridades de vigilancia del mercado o a los organismos notificados en respuesta a una solicitud. Art. 64.4 del Reglamento (UE) 2024/2847. Además de las multas: retirada del producto del mercado, prohibición de comercialización y recall obligatorio.

CRACheck frente a las alternativas

Compara los cuatro modelos disponibles en el mercado para documentar productos con elementos digitales conforme al Reglamento (UE) 2024/2847.

Criterio	Consultoría tradicional	SaaS de compliance	Plantillas genéricas	CRACheck
Precio	3.000 – 30.000 € por producto	300 – 1.500 €/mes	0 – 500 €	149 € por producto (pago único)
Tiempo de entrega	4 – 12 semanas	Configuración: 2 – 4 semanas	Variable (tú lo haces todo)	30 minutos
Documentos generados	Variable según alcance	Variable según plan	1 – 3 plantillas	8 documentos PDF en ZIP (~40 páginas)
Cobertura articular	Personalizada	Parcial (enfoque en SBOM/CI)	Superficial	Arts. 2, 7, 13, 14, 28, 31 + Anexos I, II, III, IV, V, VII
Datos en navegador	Tus datos van al consultor	Tus datos van a sus servidores	Local (manual)	100% browser-side · Cero datos al servidor
Modelo comercial	Encargo por proyecto	Suscripción mensual recurrente	Sin compromiso	Pago único sin renovación ni suscripción
Base legal citada	Varía	Varía	No	Art. 31 + Anexo VII del Reglamento (UE) 2024/2847

Rangos de precios de consultoría basados en tarifas de mercado para servicios de ciberseguridad y cumplimiento CRA. Rangos SaaS basados en precios públicos de plataformas de compliance (segmento 300-1.500 €/mes). No se citan marcas específicas.

Por qué CRACheck es estructuralmente distinto

No es que sea más barato. Es que el modelo es otro.

AUTO-EVALUACIÓN GUIADA

El fabricante evalúa, CRACheck estructura

El Reglamento (UE) 2024/2847 establece que la responsabilidad de la documentación técnica es del fabricante (Art. 13.12). CRACheck invierte el modelo de las consultorías: tú, como fabricante, evalúas tu propio producto requisito por requisito, guiado por las preguntas del generador que mapean los 21 puntos del Anexo I. CRACheck estructura tu evaluación en 8 documentos profesionales conformes al Anexo VII.

BROWSER-SIDE

Los datos de tu producto no salen de tu navegador

CRACheck es JavaScript ejecutándose en tu equipo. No hay servidor que procese los datos de tu producto, no hay base de datos, no hay almacenamiento. La generación de los 8 PDF ocurre localmente y descargas el ZIP directamente. Puedes desconectarte del wifi después de cargar la página y el generador sigue funcionando. RGPD nativo por diseño.

PORTABILIDAD

Los PDF descargados son tuyos, sin suscripción

Los 8 documentos que descargas no dependen de ninguna suscripción activa. En tres años siguen siendo válidos sin pagar un euro más. Las plataformas SaaS de compliance te fuerzan a renovar para mantener acceso a tus reports. Aquí, el ZIP es un paquete portátil que sobrevive a tu relación comercial con nosotros.

Elige tu licencia CRACheck

Sin documentación técnica conforme al Anexo VII, tu producto no puede llevar marcado CE ni comercializarse legalmente en la UE a partir de diciembre de 2027. Una licencia por producto. Pago único. Sin suscripción.

1 PRODUCTO

149 €

/ producto

✔ 8 documentos PDF en ZIP (~40 pág.)

✔ Doc. Técnica completa Anexo VII

✔ Evaluación de riesgos Anexo I

✔ Declaración UE de Conformidad

✔ 10 regeneraciones · 30 días

Comprar licencia →

PACK 10 — MÁS POPULAR

990 €

99 € / producto

Ahorras 500 € (34% dto.)

✔ 10 licencias individuales

✔ 8 documentos × 10 productos = 80 PDF

✔ Ideal para empresas con cartera de productos

✔ Para consultores que facturan CRA compliance

✔ 10 regen. por licencia · 30 días cada una

Comprar Pack 10 →

PACK 30

2.370 €

79 € / producto

Ahorras 2.100 € (47% dto.)

✔ 30 licencias individuales

✔ 8 documentos × 30 productos = 240 PDF

✔ Para grandes carteras, grupos empresariales

✔ El coste más bajo por producto del mercado

✔ 10 regen. por licencia · 30 días cada una

Comprar Pack 30 →

✔ Doc 1: Clasificador de Producto — Art. 2 + Anexos III/IV

✔ Doc 5: Declaración UE de Conformidad — Anexo V

✔ Doc 2: Documentación Técnica — Anexo VII (8 puntos)

✔ Doc 6: Política CVD — Anexo I, Parte II

✔ Doc 3: Evaluación de Riesgos — Anexo I (21 requisitos)

✔ Doc 7: Notificación Art. 14 — 3 fases (24h/72h/14d)

✔ Doc 4: Información al Usuario — Anexo II (9 puntos)

✔ Doc 8: Calendario de Obligaciones + Multas Art. 64

Pago único · PDF tuyo para siempre · 100% en tu navegador · Sin suscripción
¿Más de 30 productos o necesitas facturación corporativa? hello@solidwaretools.com

Lo que CRACheck garantiza y lo que no

Honestidad comercial sobre el alcance del producto y cómo funcionan los reembolsos de contenido digital descargable.

Garantías y responsabilidad

CRACheck genera un conjunto de documentos estructurados conforme al Art. 31 y al Anexo VII del Reglamento (UE) 2024/2847, a partir de la información que tú, como fabricante del producto con elementos digitales, introduces. La veracidad, precisión y completitud de esa información es responsabilidad tuya como fabricante.

Garantizamos que la estructura de los documentos sigue el Anexo VII y que las referencias legales citadas (artículos, anexos, obligaciones) son correctas a fecha de la última verificación. No garantizamos que un dossier concreto sea aceptado por una autoridad de vigilancia del mercado en un caso específico ni por un organismo notificado en un procedimiento de evaluación de conformidad.

CRACheck no es asesoramiento jurídico. Para situaciones específicas (inspección abierta, procedimiento sancionador iniciado, evaluación de conformidad de terceros), consulta con un abogado o consultoría regulatoria especializada en ciberseguridad.

Política de devoluciones

CRACheck es contenido digital que se entrega mediante descarga del ZIP con los 8 documentos PDF generados en tu navegador. Conforme al Art. 16.m de la Directiva (UE) 2011/83 sobre derechos de los consumidores, el derecho de desistimiento no aplica al contenido digital cuya ejecución ha comenzado con el consentimiento expreso del comprador. La generación del ZIP constituye el acto de entrega del producto.

Reembolso por fallo técnico: si el software falla (error en el generador, PDF que no se descarga, bug reproducible), reembolsamos íntegramente aportando captura del error a hello@solidwaretools.com en los 14 días siguientes a la compra.

Sin reembolso por cambio de opinión una vez activada la licencia y generado el ZIP, conforme al Art. 16.m citado.

Preguntas frecuentes

¿Qué es el Cyber Resilience Act?▼

El Cyber Resilience Act es el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, sobre requisitos horizontales de ciberseguridad para productos con elementos digitales. Es la primera ley de la UE que establece requisitos de ciberseguridad obligatorios para todos los productos hardware y software conectados. Entró en vigor el 10 de diciembre de 2024, con aplicación escalonada: obligaciones de reporte desde el 11 de septiembre de 2026 y aplicación plena desde el 11 de diciembre de 2027.

¿Mi producto está afectado por el CRA?▼

El Reglamento (UE) 2024/2847 se aplica a todos los productos con elementos digitales que se pongan a disposición en el mercado de la UE, cuyo uso previsto o razonablemente previsible incluya una conexión directa o indirecta, lógica o física, a un dispositivo o red (Art. 2.1). Esto incluye software, hardware conectado, dispositivos IoT, componentes y sus soluciones de procesamiento remoto de datos. Están excluidos: dispositivos médicos, vehículos, aviación, equipos marítimos, productos de defensa y FOSS no comercial.

¿Qué es un producto con elementos digitales?▼

Según el Art. 3.1 del Reglamento (UE) 2024/2847, un producto con elementos digitales es cualquier producto de software o hardware y sus soluciones de procesamiento remoto de datos, incluidos los componentes de software o hardware que se comercialicen por separado. El alcance es enorme: desde una app móvil hasta un router, desde un sistema operativo hasta un juguete conectado, desde un sensor industrial IoT hasta un firmware de microcontrolador.

¿Cuándo tengo que cumplir?▼

Las obligaciones de reporte de vulnerabilidades e incidentes (Art. 14) se aplican desde el 11 de septiembre de 2026. El resto del Reglamento, incluidos los requisitos esenciales de ciberseguridad del Anexo I y la documentación técnica del Anexo VII, se aplica desde el 11 de diciembre de 2027 conforme al Art. 71 del Reglamento (UE) 2024/2847. A partir de esa fecha, el cumplimiento con el CRA es una condición legal previa para poner productos en el mercado UE y para fijar el marcado CE.

¿Qué es la documentación técnica del Anexo VII?▼

El Anexo VII del Reglamento (UE) 2024/2847 detalla los 8 bloques de información que debe contener la documentación técnica: descripción general del producto, descripción del diseño, desarrollo, producción y procesos de gestión de vulnerabilidades (incluyendo SBOM y política CVD), evaluación de riesgos de ciberseguridad, información del periodo de soporte, estándares armonizados aplicados, informes de ensayos y la declaración UE de conformidad. El Art. 31 establece la obligación del fabricante de elaborar y mantener esta documentación antes de comercializar el producto.

¿CRACheck sustituye a un organismo notificado?▼

No. CRACheck genera la documentación técnica que el fabricante debe elaborar conforme al Art. 31 del Reglamento (UE) 2024/2847. Para los productos de la categoría Default (~90% del mercado), el fabricante puede realizar la auto-evaluación interna conforme al Módulo A (Art. 32.1). Para los productos Importantes Clase II y Críticos que requieren evaluación por terceros (Arts. 32.3 y 8), la documentación generada es un prerequisito que el organismo notificado revisará.

¿Mis datos están seguros?▼

Sí. Todo el procesamiento ocurre al 100% en tu navegador. Ningún dato de tu empresa, de tu producto, de sus características técnicas ni de tu evaluación de riesgos se transmite a ningún servidor de SolidwareTools ni de terceros. Puedes desconectarte de internet después de cargar la página y el generador sigue funcionando. Al cerrar la pestaña, la información desaparece. RGPD nativo por diseño, no por declaración.

¿Funciona si opero desde fuera de la UE?▼

Sí. El CRA se aplica a cualquier fabricante que ponga productos con elementos digitales a disposición en el mercado UE, independientemente de su país de origen (Art. 2.1). Si vendes software o hardware conectado a compradores europeos, o si un importador UE comercializa tus productos en Europa, necesitas cumplir. Los importadores están obligados a verificar que exista documentación técnica antes de poner el producto en el mercado (Art. 19.2).

¿Qué pasa con el software open-source?▼

El FOSS que no se comercializa en el contexto de una actividad comercial está excluido del CRA (Considerandos 17-18). Si el software se monetiza, se usa para procesar datos personales o el fabricante acepta donaciones que exceden los costes, se considera actividad comercial y entra en el CRA. Los “open-source software stewards” (Art. 24) tienen un régimen regulatorio ligero: deben tener política de ciberseguridad documentada y cooperar con las autoridades, pero no necesitan marcado CE ni están sujetos a multas (Art. 64.10).

¿Hay suscripción o cuotas?▼

No. Cada herramienta es un pago único por producto con elementos digitales. Sin cuotas mensuales, sin renovaciones automáticas, sin compromiso. Los 8 documentos PDF descargados son permanentes y tuyos para siempre. Cada licencia cubre un producto con una ventana de edición de 30 días y hasta 10 regeneraciones para corregir datos o actualizar detalles. Pasado ese plazo la licencia se cierra, pero los PDF que ya descargaste siguen siendo válidos indefinidamente.

¿Puedo pedir la devolución?▼

Los productos digitales se rigen por el Art. 16.m de la Directiva (UE) 2011/83 sobre derechos de los consumidores. Al activar la licencia en el generador y confirmar expresamente la generación de los documentos, el comprador da su consentimiento al carácter de contenido digital descargable y renuncia al derecho de desistimiento. Sin devoluciones por cambio de opinión una vez activada la licencia. Sí se aceptan reembolsos por fallos técnicos reproducibles (error en el generador, PDF que no se descarga, bug verificable) enviando captura del error a hello@solidwaretools.com dentro de los 14 días naturales siguientes a la compra.

¿Y si la normativa cambia?▼

Si el Reglamento (UE) 2024/2847 o sus actos delegados cambian durante la vigencia de tu licencia (30 días), puedes regenerar los documentos con la versión actualizada del generador sin coste adicional. Las actualizaciones del generador son gratuitas y la última versión está siempre disponible con la misma clave de licencia. Si la normativa cambia después de tu ventana de edición, los documentos ya descargados reflejan la versión vigente en el momento de su generación.

Documentación técnica completa para tu producto con elementos digitales conforme al Anexo VII del Cyber Resilience Act.