Conformità CRA Multi-Ruolo: Quando Sei Fabbricante, Importatore e Distributore

La tua azienda produce sensori intelligenti in Germania. Importi anche prodotti complementari da un fornitore taiwanese e distribuisci il software di un altro vendor. Secondo il CRA, sei simultaneamente fabbricante, importatore e distributore.

Questa guida spiega come gestire la conformità quando detieni più ruoli di operatore economico.

Comprendere i Ruoli degli Operatori Economici CRA

Il CRA definisce quattro ruoli principali per l'immissione di prodotti sul mercato UE:

Fabbricante

L'entità che progetta e produce il prodotto, o lo fa progettare/produrre e lo commercializza con il proprio nome o marchio.

Obblighi chiave:

• Valutazione di conformità
• Documentazione tecnica
• Marcatura CE
• Gestione delle vulnerabilità
• Periodo di supporto di 5 anni

Importatore

Un'entità stabilita nell'UE che immette sul mercato UE un prodotto da un paese terzo.

Obblighi chiave:

• Verificare la conformità del fabbricante (DoC, marcatura CE, documentazione)
• Assicurare l'identificazione e la tracciabilità del prodotto
• Conservare la documentazione per 10 anni
• Segnalare la non conformità

Distributore

Un'entità nella catena di fornitura che rende disponibile un prodotto sul mercato (né fabbricante né importatore).

Obblighi chiave:

• Verificare la presenza della marcatura CE e della documentazione richiesta
• Assicurare che stoccaggio/trasporto non influiscano sulla conformità
• Segnalare la non conformità
• Cooperare con la vigilanza del mercato

Steward di Software Open Source

Una persona giuridica (non fisica) che fornisce sistematicamente supporto per OSS destinato all'uso commerciale.

Obblighi chiave:

• Politica di cybersecurity
• Divulgazione coordinata delle vulnerabilità
• Cooperazione con la vigilanza del mercato

Perché il Multi-Ruolo È Comune

Scenario 1: Integrazione Verticale

Fabbrichi il tuo prodotto principale ma acquisti componenti:

LA TUA AZIENDA:
├── Fabbricante di: Hub Casa Connessa (progettato internamente)
├── Importatore di: Alimentatori (dalla Cina)
└── Distributore di: Prese intelligenti compatibili (prodotto partner UE)

Scenario 2: Diversificazione del Portfolio

Espandi le offerte attraverso l'approvvigionamento:

LA TUA AZIENDA (Automazione Industriale):
├── Fabbricante di: Controller PLC (design originale)
├── Fabbricante di: Sensori (white-label, tuo marchio)
├── Importatore di: Pannelli HMI (fornitore coreano)
└── Distributore di: Software industriale (vendor tedesco)

Scenario 3: Operazioni Regionali

Filiale UE di un'azienda non-UE:

LA TUA AZIENDA (filiale UE):
├── Importatore di: Tutti i prodotti della casa madre
├── Distributore di: Prodotti partner per il mercato UE
└── Fabbricante di: Configurazioni specifiche UE

Determinazione del Ruolo per Prodotto

Principio critico: Il ruolo CRA è determinato prodotto per prodotto, non a livello di organizzazione.

Per ogni prodotto nel tuo portfolio, chiedi:

1. Lo hai progettato e/o ci hai messo il tuo marchio? → Fabbricante
2. Sei il primo a immetterlo sul mercato UE da fuori UE? → Importatore
3. Lo rendi disponibile ma non lo hai importato o fabbricato? → Distributore

Matrice Decisionale

Mappatura degli Obblighi per Ruolo

Ecco cosa richiede ogni ruolo:

Documentazione di Conformità

Immissione sul Mercato

Obblighi Post-Mercato

Gestire Più Ruoli: Approccio Unificato

Infrastruttura Condivisa

Alcune capacità di conformità servono più ruoli:

INFRASTRUTTURA DI CONFORMITÀ CONDIVISA

┌─────────────────────────────────────────────────┐
│           SISTEMA DI CONFORMITÀ UNIFICATO       │
├─────────────────────────────────────────────────┤
│  Gestione Documentale                           │
│  - Fascicoli tecnici (ruolo fabbricante)        │
│  - Registri di verifica (ruolo importatore)     │
│  - Registri di distribuzione (ruolo distrib.)   │
├─────────────────────────────────────────────────┤
│  Sistema di Tracciabilità                       │
│  - Tutti i ruoli richiedono tracciabilità      │
│  - Sistema unico, dati diversi per ruolo       │
├─────────────────────────────────────────────────┤
│  Gestione Vulnerabilità                         │
│  - Ricezione: Serve tutti i ruoli              │
│  - Risposta: Differenziata per ruolo           │
├─────────────────────────────────────────────────┤
│  Gestione Non Conformità                        │
│  - Rilevamento: Tutti i ruoli                  │
│  - Risposta: Azioni specifiche per ruolo       │
└─────────────────────────────────────────────────┘

Processi Specifici per Ruolo

Alcuni processi devono essere differenziati per ruolo:

Prodotti fabbricati:

• Valutazione di conformità completa
• Creazione e manutenzione SBOM
• Sviluppo e distribuzione aggiornamenti
• Segnalazione ENISA (diretta)

Prodotti importati:

• Workflow di verifica fornitore
• Richiesta/verifica documentazione
• Pass-through per segnalazioni vulnerabilità
• Coordinamento segnalazione ENISA con il fabbricante

Prodotti distribuiti:

• Verifica semplificata (CE, documenti presenti)
• Monitoraggio condizioni di stoccaggio
• Segnalare problemi a monte

Opzioni di Struttura Organizzativa

Opzione 1: Team Basati sul Ruolo

Dipartimento Conformità
├── Team Conformità Produzione
│   └── Gestisce: Tutti gli obblighi fabbricante
├── Team Conformità Importazione
│   └── Gestisce: Verifica fornitori, documenti importazione
└── Team Conformità Distribuzione
    └── Gestisce: Relazioni partner, registri distribuzione

Opzione 2: Team Basati sul Prodotto

Dipartimento Conformità
├── Team Linea Prodotti A (sensori)
│   └── Gestisce: Tutti i ruoli per prodotti sensori
├── Team Linea Prodotti B (controller)
│   └── Gestisce: Tutti i ruoli per prodotti controller
└── Servizi Condivisi
    └── Gestione documentale, strumenti SBOM, formazione

Opzione 3: Ibrido (Raccomandato per la Maggior Parte)

Dipartimento Conformità
├── Conformità Core
│   └── Condiviso: Gestione doc., ricezione vuln., formazione
├── Conformità Fabbricazione
│   └── Valutazione conformità, fascicoli tecnici, aggiornamenti
└── Conformità Fornitori/Partner
    └── Verifica importazione, relazioni distributori

Workflow Pratici

Introduzione Nuovo Prodotto

Quando aggiungi un prodotto al tuo portfolio:

WORKFLOW CONFORMITÀ NUOVO PRODOTTO

1. DETERMINAZIONE DEL RUOLO
   - Dove è progettato/fabbricato?
   - Di chi è il marchio?
   - Come raggiunge il mercato UE?
   → Determinare: Fabbricante / Importatore / Distributore

2. ONBOARDING SPECIFICO PER RUOLO

   Se FABBRICANTE:
   [ ] Condurre valutazione dei rischi
   [ ] Creare documentazione tecnica
   [ ] Completare valutazione di conformità
   [ ] Preparare SBOM
   [ ] Stabilire meccanismo di aggiornamento
   [ ] Impostare gestione vulnerabilità

   Se IMPORTATORE:
   [ ] Richiedere documentazione fabbricante
   [ ] Verificare DoC e marcatura CE
   [ ] Verificare disponibilità SBOM
   [ ] Confermare contatto vulnerabilità
   [ ] Impostare monitoraggio fornitore
   [ ] Aggiungere propria identificazione

   Se DISTRIBUTORE:
   [ ] Verificare presenza marcatura CE
   [ ] Verificare che documentazione accompagni il prodotto
   [ ] Stabilire controlli stoccaggio/trasporto
   [ ] Impostare canale segnalazione problemi

3. INSERIRE NEL SISTEMA DI CONFORMITÀ
   [ ] Registrare prodotto con ruolo determinato
   [ ] Caricare documentazione pertinente
   [ ] Impostare calendari di revisione/monitoraggio
   [ ] Assegnare team/persona responsabile

Risposta alle Vulnerabilità per Ruolo

Quando viene scoperta una vulnerabilità che colpisce i tuoi prodotti:

Per Prodotti Fabbricati:

Vulnerabilità → Tuo Team Sicurezza → Valutare → Sviluppare Patch
                                          ↓
                                    Rilasciare Aggiornamento
                                          ↓
                                    Notificare Clienti
                                          ↓
                              Segnalazione ENISA (se sfruttata)

Per Prodotti Importati:

Vulnerabilità → Inoltrare al Fabbricante → Tracciare Risposta
                         ↓
                  Ricevere Aggiornamento
                         ↓
              Assicurare che Clienti UE Ricevano
                         ↓
         Supportare Segnalazione ENISA (se necessario)

Per Prodotti Distribuiti:

Vulnerabilità → Notificare a Monte (Fabbricante/Importatore)
                         ↓
            Sospendere Distribuzione (se grave)
                         ↓
              Riprendere Una Volta Risolto

Gestione Non Conformità

Quando scopri che un prodotto non è conforme:

Tutti i ruoli: Notificare le autorità di vigilanza del mercato se il prodotto presenta rischio grave.

Sfide Comuni Multi-Ruolo

Sfida 1: Tempistiche Conflittuali

Problema: I tuoi prodotti fabbricati hanno una finestra CVD di 90 giorni, ma il tuo fornitore (i cui prodotti importi) insiste su 120 giorni.

Soluzione: Policy separate per ruolo. La tua policy CVD si applica ai prodotti che fabbrichi. Per i prodotti importati, lavori entro le tempistiche del fornitore assicurandoti che rispettino i minimi CRA.

Sfida 2: Inconsistenza Documentale

Problema: Standard di documentazione diversi tra ruoli (i tuoi fascicoli tecnici vs. documentazione fornitore vs. documenti prodotti distribuiti).

Soluzione:

• Mantenere sistema di gestione documentale unificato
• Creare template e checklist specifici per ruolo
• Non forzare la documentazione fornitore nel tuo template fabbricante

Sfida 3: Confusione sulle Responsabilità

Problema: Incertezza interna su chi gestisce cosa quando si applicano più ruoli.

Soluzione:

• Registro prodotti chiaro con assegnazioni di ruolo
• Matrice RACI per le attività di conformità
• Percorsi di escalation per casi limite

Sfida 4: Non Cooperazione del Fornitore

Problema: Sei importatore, ma il tuo fornitore non fornisce documentazione.

Soluzione:

• Questo è un blocco. Senza documentazione adeguata, non puoi legalmente importare.
• O ottieni la documentazione o trovi un fornitore diverso.
• Ecco perché la due diligence sui fornitori è importante.

Considerazioni sui Costi

Efficienza Attraverso l'Unificazione

Le aziende multi-ruolo possono ottenere economie di scala:

Costi Specifici per Ruolo

Alcuni costi scalano con il numero di ruoli:

• Fabbricante: Valutazione di conformità per prodotto (non condivisibile)
• Importatore: Verifica fornitore per fornitore (non condivisibile)
• Distributore: Gestione partner per partner (non condivisibile)

Checklist Conformità Multi-Ruolo

CHECKLIST CONFORMITÀ MULTI-RUOLO

FONDAZIONE:
[ ] Portfolio prodotti catalogato
[ ] Ogni prodotto assegnato a un ruolo CRA
[ ] Determinazione del ruolo documentata
[ ] Sistema di conformità unico selezionato
[ ] Responsabilità assegnate per ruolo

PER RUOLO:

PRODOTTI FABBRICATI:
[ ] Fascicoli tecnici completi
[ ] Valutazioni di conformità fatte
[ ] SBOM creati e mantenuti
[ ] Meccanismo di aggiornamento stabilito
[ ] Policy CVD pubblicata
[ ] Capacità di segnalazione ENISA

PRODOTTI IMPORTATI:
[ ] Fornitori verificati (per ciascuno)
[ ] Documentazione ottenuta e verificata
[ ] Copie DoC archiviate
[ ] Tracciabilità stabilita
[ ] Tue informazioni di contatto aggiunte ai prodotti
[ ] Monitoraggio fornitori in atto

PRODOTTI DISTRIBUITI:
[ ] Marcatura CE verificata (tutti i prodotti)
[ ] Documentazione richiesta presente
[ ] Condizioni di stoccaggio appropriate
[ ] Canale di segnalazione verso fabbricante/importatore
[ ] Registri di distribuzione mantenuti

CAPACITÀ UNIFICATE:
[ ] Gestione documentale per tutti i ruoli
[ ] Sistema di tracciabilità operativo
[ ] Procedura di risposta non conformità
[ ] Formazione completata (specifica per ruolo)
[ ] Pronto per cooperazione vigilanza del mercato

CASI LIMITE:
[ ] Prodotti white-label identificati (→ fabbricante)
[ ] Prodotti modificati sostanzialmente identificati (→ fabbricante)
[ ] Prodotti filiale paese terzo identificati (→ importatore)

Quando i Ruoli Cambiano

Il tuo ruolo può cambiare nel tempo:

Distributore → Importatore

Trigger: Il tuo fornitore UE chiude; inizi a importare direttamente dal loro fabbricante.

Azione:

• Verifica importatore completa per il prodotto
• Stabilire relazione diretta col fornitore
• Aggiornare la documentazione

Importatore → Fabbricante

Trigger: Inizi a mettere il tuo marchio sul prodotto importato.

Azione:

• Completare obblighi fabbricante (valutazione conformità, fascicolo tecnico, SBOM, ecc.)
• Il tuo fornitore è ora solo quello, un fornitore, non il fabbricante
• Tu detieni la conformità

Qualsiasi Ruolo → Uscita

Trigger: Smetti di vendere un prodotto.

Azione:

• La conservazione documenti continua (10 anni per fabbricante/importatore)
• Gli obblighi di supporto continuano per il fabbricante (minimo 5 anni dall'ultima unità)
• Comunicazione chiara ai clienti

Come CRA Evidence Aiuta

CRA Evidence supporta le organizzazioni multi-ruolo:

• Registro prodotti per ruolo: Traccia il ruolo CRA di ogni prodotto
• Workflow specifici per ruolo: Checklist e processi diversi per ruolo
• Documentazione unificata: Sistema unico per tutti i fascicoli tecnici, registri di verifica
• Gestione fornitori: Traccia e verifica fornitori per prodotti importati
• Coordinamento vulnerabilità: Instrada problemi ai gestori appropriati per ruolo

Gestisci la tua conformità multi-ruolo su app.craevidence.com.

Guide Correlate

• Obblighi degli Importatori CRA: Cosa Verificare Prima di Immettere Prodotti sul Mercato UE
• Checklist Distributore CRA: 5 Passi di Verifica per Ogni Prodotto
• Quando gli Importatori Diventano Fabbricanti sotto il CRA: Escalation del Ruolo
• Classificazione Prodotti CRA: Il Vostro Prodotto e Default, Important o Critical?

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultare un consulente legale qualificato.