Conformità CRA Multi-Ruolo: Quando Sei Fabbricante, Importatore e Distributore

Come gestire gli obblighi CRA quando la tua organizzazione detiene più ruoli di operatore economico. Guida pratica per aziende che fabbricano alcuni prodotti e ne importano altri.

Team CRA Evidence Pubblicato 10 febbraio 2026 Aggiornato 25 febbraio 2026
Conformità CRA Multi-Ruolo: Quando Sei Fabbricante, Importatore e Distributore
In questo articolo

La tua azienda produce sensori intelligenti in Germania. Importi anche prodotti complementari da un fornitore taiwanese e distribuisci il software di un altro vendor. Secondo il CRA, sei simultaneamente fabbricante, importatore e distributore.

Questa guida spiega come gestire la conformità quando detieni più ruoli di operatore economico.

Sintesi

  • Molte aziende detengono più ruoli CRA nel loro portfolio prodotti
  • Ogni ruolo ha obblighi distinti, devi rispettarli tutti
  • Il ruolo è determinato per prodotto, non per organizzazione
  • Alcuni obblighi si sovrappongono (bene), alcuni confliggono (gestibile)
  • Un'infrastruttura di conformità unificata può servire più ruoli efficientemente

Info: La maggior parte delle aziende che operano nell'UE sono multi-ruolo senza saperlo. Se fabbricate alcuni prodotti e ne importate altri, avete obblighi sotto ENTRAMBI i ruoli.

Suggerimento: Mappate ogni prodotto al suo ruolo CRA specifico (fabbricante, importatore, distributore) per evitare lacune di conformita.

Flusso degli attori della catena di fornitura CRA: Produttore, Importatore, Distributore, Utente Finale

Comprendere i Ruoli degli Operatori Economici CRA

Il CRA definisce quattro ruoli principali per l'immissione di prodotti sul mercato UE:

Fabbricante

L'entità che progetta e produce il prodotto, o lo fa progettare/produrre e lo commercializza con il proprio nome o marchio.

Obblighi chiave:

  • Valutazione di conformità
  • Documentazione tecnica
  • Marcatura CE
  • Gestione delle vulnerabilità
  • Periodo di supporto di 5 anni

Importatore

Un'entità stabilita nell'UE che immette sul mercato UE un prodotto da un paese terzo.

Obblighi chiave:

  • Verificare la conformità del fabbricante (DoC, marcatura CE, documentazione)
  • Assicurare l'identificazione e la tracciabilità del prodotto
  • Conservare la documentazione per 10 anni
  • Segnalare la non conformità

Distributore

Un'entità nella catena di fornitura che rende disponibile un prodotto sul mercato (né fabbricante né importatore).

Obblighi chiave:

  • Verificare la presenza della marcatura CE e della documentazione richiesta
  • Assicurare che stoccaggio/trasporto non influiscano sulla conformità
  • Segnalare la non conformità
  • Cooperare con la vigilanza del mercato

Steward di Software Open Source

Una persona giuridica (non fisica) che fornisce sistematicamente supporto per OSS destinato all'uso commerciale.

Obblighi chiave:

  • Politica di cybersecurity
  • Divulgazione coordinata delle vulnerabilità
  • Cooperazione con la vigilanza del mercato

Perché il Multi-Ruolo È Comune

Scenario 1: Integrazione Verticale

Fabbrichi il tuo prodotto principale ma acquisti componenti:

LA TUA AZIENDA:
├── Fabbricante di: Hub Casa Connessa (progettato internamente)
├── Importatore di: Alimentatori (dalla Cina)
└── Distributore di: Prese intelligenti compatibili (prodotto partner UE)

Scenario 2: Diversificazione del Portfolio

Espandi le offerte attraverso l'approvvigionamento:

LA TUA AZIENDA (Automazione Industriale):
├── Fabbricante di: Controller PLC (design originale)
├── Fabbricante di: Sensori (white-label, tuo marchio)
├── Importatore di: Pannelli HMI (fornitore coreano)
└── Distributore di: Software industriale (vendor tedesco)

Scenario 3: Operazioni Regionali

Filiale UE di un'azienda non-UE:

LA TUA AZIENDA (filiale UE):
├── Importatore di: Tutti i prodotti della casa madre
├── Distributore di: Prodotti partner per il mercato UE
└── Fabbricante di: Configurazioni specifiche UE

Determinazione del Ruolo per Prodotto

Principio critico: Il ruolo CRA è determinato prodotto per prodotto, non a livello di organizzazione.

Per ogni prodotto nel tuo portfolio, chiedi:

  1. Lo hai progettato e/o ci hai messo il tuo marchio? → Fabbricante
  2. Sei il primo a immetterlo sul mercato UE da fuori UE? → Importatore
  3. Lo rendi disponibile ma non lo hai importato o fabbricato? → Distributore

Matrice Decisionale

Origine Prodotto Tuo Marchio Tuo Ruolo
Progettato/prodotto da te Tuo marchio Fabbricante
Prodotto da altri Tuo marchio (white-label) Fabbricante
Prodotto fuori UE Marchio originale Importatore
Prodotto in UE da altri Marchio originale Distributore
Modificato significativamente da te Qualsiasi Fabbricante

Mappatura degli Obblighi per Ruolo

Ecco cosa richiede ogni ruolo:

Documentazione di Conformità

Documento Fabbricante Importatore Distributore
Fascicolo tecnico Creare Verificare che esista Non richiesto
Dichiarazione di Conformità UE Creare e firmare Verificare Verificare presente
SBOM Creare Può richiedere Non richiesto
Valutazione dei rischi Condurre Verificare condotta Non richiesto
Istruzioni per l'utente Fornire Verificare presenti Non richiesto

Immissione sul Mercato

Requisito Fabbricante Importatore Distributore
Marcatura CE Apporre Verificare presente Verificare presente
Identificazione prodotto Applicare Verificare/aggiungere contatto Verificare
Info tracciabilità Mantenere Mantenere Mantenere
Conservazione documenti 10 anni 10 anni Periodo ragionevole

Obblighi Post-Mercato

Obbligo Fabbricante Importatore Distributore
Gestione vulnerabilità Processo completo Segnalare al fabbricante Segnalare a monte
Aggiornamenti sicurezza Sviluppare e fornire Assicurare fornibili Non direttamente
Segnalazione ENISA Sì (24h/72h) Segnalare al fabbricante Non direttamente
Notifica clienti Può assistere Non direttamente
Azione non conformità Ritirare/richiamare Ritirare/richiamare Fermare distribuzione

Gestire Più Ruoli: Approccio Unificato

Infrastruttura Condivisa

Alcune capacità di conformità servono più ruoli:

INFRASTRUTTURA DI CONFORMITÀ CONDIVISA

┌─────────────────────────────────────────────────┐
│           SISTEMA DI CONFORMITÀ UNIFICATO       │
├─────────────────────────────────────────────────┤
│  Gestione Documentale                           │
│  - Fascicoli tecnici (ruolo fabbricante)        │
│  - Registri di verifica (ruolo importatore)     │
│  - Registri di distribuzione (ruolo distrib.)   │
├─────────────────────────────────────────────────┤
│  Sistema di Tracciabilità                       │
│  - Tutti i ruoli richiedono tracciabilità      │
│  - Sistema unico, dati diversi per ruolo       │
├─────────────────────────────────────────────────┤
│  Gestione Vulnerabilità                         │
│  - Ricezione: Serve tutti i ruoli              │
│  - Risposta: Differenziata per ruolo           │
├─────────────────────────────────────────────────┤
│  Gestione Non Conformità                        │
│  - Rilevamento: Tutti i ruoli                  │
│  - Risposta: Azioni specifiche per ruolo       │
└─────────────────────────────────────────────────┘

Processi Specifici per Ruolo

Alcuni processi devono essere differenziati per ruolo:

Prodotti fabbricati:

  • Valutazione di conformità completa
  • Creazione e manutenzione SBOM
  • Sviluppo e distribuzione aggiornamenti
  • Segnalazione ENISA (diretta)

Prodotti importati:

  • Workflow di verifica fornitore
  • Richiesta/verifica documentazione
  • Pass-through per segnalazioni vulnerabilità
  • Coordinamento segnalazione ENISA con il fabbricante

Prodotti distribuiti:

  • Verifica semplificata (CE, documenti presenti)
  • Monitoraggio condizioni di stoccaggio
  • Segnalare problemi a monte

Opzioni di Struttura Organizzativa

Opzione 1: Team Basati sul Ruolo

Dipartimento Conformità
├── Team Conformità Produzione
   └── Gestisce: Tutti gli obblighi fabbricante
├── Team Conformità Importazione
   └── Gestisce: Verifica fornitori, documenti importazione
└── Team Conformità Distribuzione
    └── Gestisce: Relazioni partner, registri distribuzione

Opzione 2: Team Basati sul Prodotto

Dipartimento Conformità
├── Team Linea Prodotti A (sensori)
│   └── Gestisce: Tutti i ruoli per prodotti sensori
├── Team Linea Prodotti B (controller)
│   └── Gestisce: Tutti i ruoli per prodotti controller
└── Servizi Condivisi
    └── Gestione documentale, strumenti SBOM, formazione

Opzione 3: Ibrido (Raccomandato per la Maggior Parte)

Dipartimento Conformità
├── Conformità Core
│   └── Condiviso: Gestione doc., ricezione vuln., formazione
├── Conformità Fabbricazione
│   └── Valutazione conformità, fascicoli tecnici, aggiornamenti
└── Conformità Fornitori/Partner
    └── Verifica importazione, relazioni distributori

Workflow Pratici

Introduzione Nuovo Prodotto

Quando aggiungi un prodotto al tuo portfolio:

WORKFLOW CONFORMITÀ NUOVO PRODOTTO

1. DETERMINAZIONE DEL RUOLO
   - Dove è progettato/fabbricato?
   - Di chi è il marchio?
   - Come raggiunge il mercato UE?
   → Determinare: Fabbricante / Importatore / Distributore

2. ONBOARDING SPECIFICO PER RUOLO

   Se FABBRICANTE:
   [ ] Condurre valutazione dei rischi
   [ ] Creare documentazione tecnica
   [ ] Completare valutazione di conformità
   [ ] Preparare SBOM
   [ ] Stabilire meccanismo di aggiornamento
   [ ] Impostare gestione vulnerabilità

   Se IMPORTATORE:
   [ ] Richiedere documentazione fabbricante
   [ ] Verificare DoC e marcatura CE
   [ ] Verificare disponibilità SBOM
   [ ] Confermare contatto vulnerabilità
   [ ] Impostare monitoraggio fornitore
   [ ] Aggiungere propria identificazione

   Se DISTRIBUTORE:
   [ ] Verificare presenza marcatura CE
   [ ] Verificare che documentazione accompagni il prodotto
   [ ] Stabilire controlli stoccaggio/trasporto
   [ ] Impostare canale segnalazione problemi

3. INSERIRE NEL SISTEMA DI CONFORMITÀ
   [ ] Registrare prodotto con ruolo determinato
   [ ] Caricare documentazione pertinente
   [ ] Impostare calendari di revisione/monitoraggio
   [ ] Assegnare team/persona responsabile

Risposta alle Vulnerabilità per Ruolo

Quando viene scoperta una vulnerabilità che colpisce i tuoi prodotti:

Per Prodotti Fabbricati:

Vulnerabilità → Tuo Team Sicurezza → Valutare → Sviluppare Patch
                                          ↓
                                    Rilasciare Aggiornamento
                                          ↓
                                    Notificare Clienti
                                          ↓
                              Segnalazione ENISA (se sfruttata)

Per Prodotti Importati:

Vulnerabilità → Inoltrare al Fabbricante → Tracciare Risposta
                         ↓
                  Ricevere Aggiornamento
                         ↓
              Assicurare che Clienti UE Ricevano
                         ↓
         Supportare Segnalazione ENISA (se necessario)

Per Prodotti Distribuiti:

Vulnerabilità → Notificare a Monte (Fabbricante/Importatore)
                         ↓
            Sospendere Distribuzione (se grave)
                         ↓
              Riprendere Una Volta Risolto

Gestione Non Conformità

Quando scopri che un prodotto non è conforme:

Ruolo Tuo Obbligo
Fabbricante Rendere conforme OPPURE ritirare/richiamare
Importatore Collaborare col fabbricante OPPURE non immettere sul mercato
Distributore Fermare distribuzione, notificare fabbricante/importatore

Tutti i ruoli: Notificare le autorità di vigilanza del mercato se il prodotto presenta rischio grave.

Sfide Comuni Multi-Ruolo

Sfida 1: Tempistiche Conflittuali

Problema: I tuoi prodotti fabbricati hanno una finestra CVD di 90 giorni, ma il tuo fornitore (i cui prodotti importi) insiste su 120 giorni.

Soluzione: Policy separate per ruolo. La tua policy CVD si applica ai prodotti che fabbrichi. Per i prodotti importati, lavori entro le tempistiche del fornitore assicurandoti che rispettino i minimi CRA.

Sfida 2: Inconsistenza Documentale

Problema: Standard di documentazione diversi tra ruoli (i tuoi fascicoli tecnici vs. documentazione fornitore vs. documenti prodotti distribuiti).

Soluzione:

  • Mantenere sistema di gestione documentale unificato
  • Creare template e checklist specifici per ruolo
  • Non forzare la documentazione fornitore nel tuo template fabbricante

Sfida 3: Confusione sulle Responsabilità

Problema: Incertezza interna su chi gestisce cosa quando si applicano più ruoli.

Soluzione:

  • Registro prodotti chiaro con assegnazioni di ruolo
  • Matrice RACI per le attività di conformità
  • Percorsi di escalation per casi limite

Sfida 4: Non Cooperazione del Fornitore

Problema: Sei importatore, ma il tuo fornitore non fornisce documentazione.

Soluzione:

  • Questo è un blocco. Senza documentazione adeguata, non puoi legalmente importare.
  • O ottieni la documentazione o trovi un fornitore diverso.
  • Ecco perché la due diligence sui fornitori è importante.

Considerazioni sui Costi

Efficienza Attraverso l'Unificazione

Le aziende multi-ruolo possono ottenere economie di scala:

Capacità Costo Ruolo Singolo Costo Condiviso Multi-Ruolo
Sistema gestione documentale €X €X (stesso per 1-3 ruoli)
Ricezione vulnerabilità €Y €Y (stesso per 1-3 ruoli)
Formazione conformità €Z per ruolo €Z × 1,5 (sovrapposizione)
Competenza tecnica Team completo per ruolo Condiviso + specialisti

Costi Specifici per Ruolo

Alcuni costi scalano con il numero di ruoli:

  • Fabbricante: Valutazione di conformità per prodotto (non condivisibile)
  • Importatore: Verifica fornitore per fornitore (non condivisibile)
  • Distributore: Gestione partner per partner (non condivisibile)

Checklist Conformità Multi-Ruolo 

CHECKLIST CONFORMITÀ MULTI-RUOLO

FONDAZIONE:
[ ] Portfolio prodotti catalogato
[ ] Ogni prodotto assegnato a un ruolo CRA
[ ] Determinazione del ruolo documentata
[ ] Sistema di conformità unico selezionato
[ ] Responsabilità assegnate per ruolo

PER RUOLO:

PRODOTTI FABBRICATI:
[ ] Fascicoli tecnici completi
[ ] Valutazioni di conformità fatte
[ ] SBOM creati e mantenuti
[ ] Meccanismo di aggiornamento stabilito
[ ] Policy CVD pubblicata
[ ] Capacità di segnalazione ENISA

PRODOTTI IMPORTATI:
[ ] Fornitori verificati (per ciascuno)
[ ] Documentazione ottenuta e verificata
[ ] Copie DoC archiviate
[ ] Tracciabilità stabilita
[ ] Tue informazioni di contatto aggiunte ai prodotti
[ ] Monitoraggio fornitori in atto

PRODOTTI DISTRIBUITI:
[ ] Marcatura CE verificata (tutti i prodotti)
[ ] Documentazione richiesta presente
[ ] Condizioni di stoccaggio appropriate
[ ] Canale di segnalazione verso fabbricante/importatore
[ ] Registri di distribuzione mantenuti

CAPACITÀ UNIFICATE:
[ ] Gestione documentale per tutti i ruoli
[ ] Sistema di tracciabilità operativo
[ ] Procedura di risposta non conformità
[ ] Formazione completata (specifica per ruolo)
[ ] Pronto per cooperazione vigilanza del mercato

CASI LIMITE:
[ ] Prodotti white-label identificati (→ fabbricante)
[ ] Prodotti modificati sostanzialmente identificati (→ fabbricante)
[ ] Prodotti filiale paese terzo identificati (→ importatore)

Quando i Ruoli Cambiano

Il tuo ruolo può cambiare nel tempo:

Distributore → Importatore

Trigger: Il tuo fornitore UE chiude; inizi a importare direttamente dal loro fabbricante.

Azione:

  • Verifica importatore completa per il prodotto
  • Stabilire relazione diretta col fornitore
  • Aggiornare la documentazione

Importatore → Fabbricante

Trigger: Inizi a mettere il tuo marchio sul prodotto importato.

Azione:

  • Completare obblighi fabbricante (valutazione conformità, fascicolo tecnico, SBOM, ecc.)
  • Il tuo fornitore è ora solo quello, un fornitore, non il fabbricante
  • Tu detieni la conformità

Qualsiasi Ruolo → Uscita

Trigger: Smetti di vendere un prodotto.

Azione:

  • La conservazione documenti continua (10 anni per fabbricante/importatore)
  • Gli obblighi di supporto continuano per il fabbricante (minimo 5 anni dall'ultima unità)
  • Comunicazione chiara ai clienti

Come CRA Evidence Aiuta

CRA Evidence supporta le organizzazioni multi-ruolo:

  • Registro prodotti per ruolo: Traccia il ruolo CRA di ogni prodotto
  • Workflow specifici per ruolo: Checklist e processi diversi per ruolo
  • Documentazione unificata: Sistema unico per tutti i fascicoli tecnici, registri di verifica
  • Gestione fornitori: Traccia e verifica fornitori per prodotti importati
  • Coordinamento vulnerabilità: Instrada problemi ai gestori appropriati per ruolo

Gestisci la tua conformità multi-ruolo su craevidence.com.

Guide Correlate

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultare un consulente legale qualificato.

CRA Produttori Importatori Distributori
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni