Conformità CRA multi-ruolo: fabbricante, importatore, distributore
Playbook CRA per le aziende che fabbricano, importano e distribuiscono: mappatura dei ruoli, accumulo obblighi, instradamento vulnerabilità e conflitti.
In questo articolo
- Sintesi
- Come le aziende multi-ruolo falliscono in modo diverso
- Il piano degli obblighi multi-ruolo
- Opzioni di struttura organizzativa
- Esempio di ripartizione dei costi
- Scenari di scadenze in conflitto
- Fan-out delle notifiche di vulnerabilità
- Triage delle richieste delle autorità tra i ruoli
- Esposizione alle sanzioni in caso di multi-ruolo
- Topologia multi-Stato membro in un contesto multi-ruolo
- Quando la stessa persona giuridica è AR, importatore e fabbricante
- Quando i ruoli cambiano nel ciclo di vita
- Continuità operativa quando l'organizzazione multi-ruolo cessa
- Domande frequenti
La sua azienda produce sensori intelligenti in Germania, importa dispositivi complementari da un fornitore taiwanese e distribuisce il software di un altro vendor. Il CRA la classifica simultaneamente come fabbricante, importatore e distributore. Le guide per singolo ruolo coprono ciascun insieme di obblighi in isolamento. Questa pagina è quello di cui i team di conformità multi-ruolo hanno effettivamente bisogno: il livello operativo in cui i ruoli si sovrappongono, entrano in conflitto e si contaminano a vicenda. Per gli obblighi per ruolo, segua i collegamenti al cluster fabbricante, al cluster importatore e al cluster distributore.
Sintesi
- Il ruolo si determina per prodotto, non per organizzazione. Un'azienda multi-ruolo ha un insieme di obblighi diverso per ogni linea di prodotti. Prima di tutto mappa ogni prodotto.
- Alcune infrastrutture di conformità si consolidano tra i ruoli, altre no. Un archivio documentale unico, una ricezione centralizzata delle vulnerabilità e uno strumento SBOM unico funzionano trasversalmente. Una singola politica di segnalazione, una singola policy di conservazione e una singola policy CVD non funzionano.
- L'esposizione alle sanzioni si cumula. Un singolo incidente può attivare la sanzione di livello fabbricante per un prodotto e la sanzione di livello importatore o distributore per un altro. Le aziende multi-ruolo modellano l'esposizione a doppio livello.
- Una topologia multi-Stato membro amplifica tutto. Quando si fabbrica in uno Stato membro, si importa in un secondo e si distribuisce in un terzo, si ha a che fare con tre diverse autorità di vigilanza del mercato, tre lingue nazionali diverse per le informazioni agli utenti e tre percorsi paralleli di notifica quando emerge una vulnerabilità.
Come le aziende multi-ruolo falliscono in modo diverso
Le aziende mono-ruolo falliscono sugli obblighi del proprio ruolo unico. Le aziende multi-ruolo falliscono alle giunture tra i ruoli. Tre modalità di fallimento ricorrono.
Conformità a cervello diviso. Ogni team di ruolo opera con il proprio manuale senza una mappa prodotto-ruolo condivisa. Le vendite vendono il prodotto white-label con il vostro marchio lunedì. Il team fabbricante non riceve mai la comunicazione del rebrand. La valutazione della conformità per il prodotto ribattezzato non viene mai eseguita. Tre mesi dopo, un'autorità di vigilanza del mercato richiede la catena di evidenze del fabbricante per un'unità venduta con il vostro marchio ma documentata come prodotto importato da terzi. La posizione legale è indifendibile.
Collisione di policy. Le policy di due ruoli vengono applicate allo stesso prodotto perché il ruolo non è stato fissato. La vostra policy CVD prevede 90 giorni. La policy del vostro fornitore ne prevede 120. Senza un'assegnazione chiara del ruolo per prodotto, il team di engineering applica la policy collegata al ruolo che ritiene abbiate, non quello che il CRA assegna a quel prodotto.
Ridondanza degli audit sui fornitori. Come importatore, si effettua la verifica pre-mercato su un prodotto del fornitore. Come fabbricante con lo stesso fornitore come vendor di componenti, si esegue la due diligence sui componenti per lo stesso fornitore. Stesso fornitore, due fascicoli di evidenze, due budget, due colloqui. L'audit può essere consolidato, ma solo se la mappa ruolo-per-prodotto è abbastanza esplicita da rendere la rivendicazione a doppio uso difendibile.
Il piano degli obblighi multi-ruolo
Alcune infrastrutture di conformità si consolidano tra i ruoli. Altre restano separate per ruolo. La tabella seguente è il livello operativo di cui le aziende multi-ruolo hanno bisogno prima di investire in strumenti, processi o struttura organizzativa.
| Infrastruttura | Si consolida tra i ruoli | Resta separata per ruolo |
|---|---|---|
| Archivio documentale | Sì. Un sistema di archiviazione con cartelle per prodotto funziona. | La struttura delle cartelle deve indicare il/i ruolo/i attribuiti a ciascun prodotto. |
| Ricezione delle vulnerabilità | Sì. Una casella di posta, una coda di ticket può ricevere segnalazioni su tutte le linee di prodotti. | Le regole di instradamento differiscono. I prodotti fabbricati vengono escalati al team di engineering. I prodotti importati vengono escalati al fornitore e alla verifica lato importatore. |
| Strumenti SBOM | Sì. Lo stesso generatore funziona sia per il firmware prodotto internamente sia per gli SBOM ricevuti dal fornitore. | L'autorità sullo SBOM differisce: la propria per i prodotti fabbricati, quella del fornitore per i prodotti importati. |
| Policy di divulgazione coordinata delle vulnerabilità | No. | I prodotti fabbricati seguono la propria policy CVD. Per i prodotti importati si applica la policy del fabbricante originale, e il proprio ruolo è verificare che esista e sia raggiungibile. |
| Orologio di segnalazione | No. | I prodotti fabbricati usano il runbook di segnalazione del fabbricante. L'escalation di importatore e distributore resta nel canale della vigilanza del mercato. |
| Punto di contatto unico per le segnalazioni di vulnerabilità | No. | Il contatto del fabbricante è presente sui prodotti che si fabbricano. Chi riceve sui prodotti importati vede il contatto del fabbricante originale, verificato all'intake, e instrada verso quel contatto. |
| Conservazione dei documenti | No. | La conservazione è configurata in base al ruolo del prodotto e al fascicolo di evidenze. Non applicare una regola di archiviazione unica a ogni cartella. |
| Livello della sanzione | No. | La sanzione di livello fabbricante si applica quando il prodotto in violazione è uno di quelli che si fabbrica. Il livello importatore o distributore si applica negli altri casi. |
| Catena di evidenze della valutazione della conformità | No. | La propria per i prodotti fabbricati. Quella del fabbricante originale per i prodotti importati e distribuiti. L'importatore detiene un puntatore. Il distributore detiene una verifica di presenza. |
L'infrastruttura che si consolida è il vantaggio di efficienza multi-ruolo. L'infrastruttura che resta separata per ruolo è dove i team di conformità inciampano se assumono che una sola policy possa servire ogni prodotto.
Opzioni di struttura organizzativa
Tre schemi funzionano per un'organizzazione di conformità multi-ruolo. Si scelga quello che corrisponde al proprio portfolio.
Opzione 1: team per ruolo. Team separati per attività di fabbricante, importatore e distributore. La scelta migliore quando ogni ruolo ha volumi consistenti.
Dipartimento Conformità
├─ Team Conformità Produzione → tutti gli obblighi del fabbricante
├─ Team Conformità Importazione → verifica fornitori, documenti import
└─ Team Conformità Distribuzione → relazioni partner, registri distribuzione
Opzione 2: team per prodotto. Un team per linea di prodotti, che gestisce ogni ruolo per i prodotti di quella linea. La scelta migliore quando le linee di prodotti sono ristrette e i ruoli per linea sono misti.
Dipartimento Conformità
├─ Team Linea Prodotti A (sensori) → tutti i ruoli per i prodotti sensore
├─ Team Linea Prodotti B (controller) → tutti i ruoli per i prodotti controller
└─ Servizi Condivisi → gestione documentale, strumenti SBOM, formazione
Opzione 3: ibrido (raccomandato per la maggior parte). Servizi core condivisi più team specializzati per ruolo. Archivio documentale unico e ricezione vulnerabilità unica, ma team separati per fabbricante e per fornitori o partner.
Dipartimento Conformità
├─ Conformità Core → gestione doc, ricezione vuln, formazione
├─ Conformità Fabbricazione → valutazione conformità, fascicoli tecnici, aggiornamenti
└─ Conformità Fornitori/Partner → verifica importazione, relazioni distributori
Esempio di ripartizione dei costi
Una suddivisione pratica del budget per un'azienda multi-ruolo con 5 prodotti fabbricati, 10 importati e 15 distribuiti.
BUDGET CONFORMITÀ MULTI-RUOLO (annuale)
INFRASTRUTTURA CONDIVISA (40% del budget):
Sistema gestione conformità: $25.000
Gestione documentale: $10.000
Programma di formazione: $15.000
Ricezione vulnerabilità: $10.000
SUBTOTALE $60.000
RUOLO FABBRICANTE (35% del budget):
Valutazione conformità (5 prodotti): $25.000
Strumenti SBOM: $8.000
Infrastruttura di aggiornamento: $15.000
Manutenzione fascicolo tecnico: $5.000
SUBTOTALE $53.000
RUOLO IMPORTATORE (20% del budget):
Verifica fornitori (10 prodotti): $20.000
Richieste documentazione: $5.000
Monitoraggio fornitori: $5.000
SUBTOTALE $30.000
RUOLO DISTRIBUTORE (5% del budget):
Verifica partner: $5.000
Tenuta dei registri: $2.500
SUBTOTALE $7.500
TOTALE $150.500
Il 40% del core condiviso è il vantaggio di efficienza multi-ruolo. La quota del 35% del fabbricante cresce nettamente se un prodotto importato entra nello status di fabbricante perché si inizia a marchiarlo o a modificarlo sostanzialmente.
Scenari di scadenze in conflitto
Le aziende multi-ruolo incontrano conflitti di scadenze che le aziende mono-ruolo non vedono mai.
Finestre CVD in conflitto. I prodotti fabbricati seguono una finestra CVD di 90 giorni. Il fornitore (i cui prodotti si importa) insiste su 120 giorni. Soluzione: policy separate per ruolo. La policy CVD si applica solo ai prodotti che si fabbrica. Per i prodotti importati, la policy del fabbricante è quella che conta. Il ruolo è verificare che esista, sia raggiungibile e sia coerente con il minimo CRA.
Disallineamento degli standard documentali. Il template del fascicolo tecnico del fabbricante segue lo standard interno. La documentazione del fornitore è strutturata sul proprio regime nazionale di origine. Soluzione: mantenere template separati per ruolo. Non forzare la documentazione del fornitore dentro il template del fabbricante, altrimenti si perde la verificabilità quando un'autorità di vigilanza del mercato chiede la fonte originale.
Non cooperazione del fornitore. Si è importatori, ma il fornitore non fornisce la documentazione necessaria per la verifica pre-mercato. Soluzione: l'accordo è rotto. Senza documentazione, non si può legalmente immettere il prodotto sul mercato UE. Si blocchi la spedizione, si formalizzi la richiesta di documentazione per iscritto e, se il fornitore continua a rifiutare, si cambi fornitore.
Cascata del periodo di supporto. Come fabbricante, ci si impegna per un periodo di supporto di 7 anni per il proprio prodotto. La stessa linea di prodotti include un componente OEM ribattezzato che si è anche importato (si è quindi sia fabbricante di una variante sia importatore di un'altra). L'OEM si impegna solo per 5 anni sulla variante importata. I clienti possono vedere entrambe le varianti sullo stesso scaffale. Soluzione: comunicare chiaramente il periodo di supporto per variante al momento della vendita. Non lasciare che il marketing dichiari un'unica copertura per entrambe le varianti.
Confine di accesso alla piattaforma SRP di ENISA. La piattaforma unica di segnalazione di ENISA è il canale di segnalazione lato fabbricante. Le aziende multi-ruolo configurano l'accesso SRP per il proprio ruolo di fabbricante. Per i prodotti che si limita a importare o distribuire, è il fabbricante originale a segnalare tramite SRP. Il proprio ruolo è informare quel fabbricante e, dove esiste un rischio cyber significativo, informare direttamente la vigilanza del mercato, non segnalare a ENISA per conto del fabbricante originale.
Fan-out delle notifiche di vulnerabilità
Viene segnalata una vulnerabilità. Riguarda tre coorti di prodotti nel portfolio: prodotti fabbricati, prodotti importati e prodotti distribuiti. Cosa scatta, dove, in quale ordine e chi firma.
| Coorte | Notifica primaria | Notifica secondaria | Chi firma |
|---|---|---|---|
| Prodotti fabbricati | Piattaforma unica di segnalazione ENISA (flusso di segnalazione del fabbricante) | CSIRT coordinatore per la vulnerabilità, CSIRT e vigilanza del mercato per l'incidente grave, più gli utenti interessati | Responsabile conformità fabbricante |
| Prodotti importati | Il fabbricante originale, senza indebito ritardo | Vigilanza del mercato di ogni Stato membro di fornitura in presenza di rischio cyber significativo | Responsabile conformità importatore |
| Prodotti distribuiti | Il fabbricante originale, senza indebito ritardo | Vigilanza del mercato di ogni Stato membro di fornitura in presenza di rischio cyber significativo | Responsabile conformità distributore |
Per un evento a incidente singolo e coorte multipla, le notifiche corrono in parallelo, non in sequenza. La notifica sul flusso del fabbricante ha un orologio regolatorio. Le notifiche di importatore e distributore operano sullo standard «senza indebito ritardo». Non si lasci che l'orologio lato fabbricante prevalga sull'escalation di importatore e distributore, perché i doveri di importatore e distributore esistono indipendentemente.
Per la cadenza per coorte, le soglie di escalation e i flussi di segnalazione specifici per ruolo, le sezioni flusso di segnalazione del fabbricante, cascata di cessazione operativa dell'importatore e consapevolezza delle vulnerabilità del distributore nel set di cluster sono i riferimenti canonici.
Triage delle richieste delle autorità tra i ruoli
Un'autorità di vigilanza del mercato emette una richiesta motivata. Ruoli diversi producono fascicoli di evidenze diversi in risposta.
| Ruolo del prodotto | Cosa si aspetta l'autorità | Dove si trovano le evidenze |
|---|---|---|
| Fabbricato dalla propria organizzazione | Catena di evidenze completa: documentazione tecnica, percorso di valutazione della conformità, dichiarazione UE di conformità, impegno sul periodo di supporto, registro della gestione delle vulnerabilità | Team conformità fabbricante, sistema di gestione documentale |
| Importato dalla propria organizzazione | Registro di verifica dell'importatore (verifica marcatura CE, dati del fabbricante, puntatore alla dichiarazione di conformità), puntatore alla documentazione tecnica del fabbricante, registro di conservazione della dichiarazione di conformità | Team conformità importatore, sistema di gestione documentale |
| Distribuito dalla propria organizzazione | Set documentale usato per la verifica all'intake (riferimento dichiarazione di conformità, informazioni per gli utenti, punti di contatto nella catena di fornitura), prova della verifica basata sulla presenza | Team conformità distributore, registri di intake |
Si costruisca la mappa evidenze-per-ruolo per ogni prodotto prima che un'autorità di vigilanza del mercato la richieda. Il giorno in cui arriva una richiesta motivata, la domanda non è «dove sono le evidenze». La domanda è «quale fascicolo di evidenze corrisponde al ruolo che questo prodotto detiene in questa data». Un team multi-ruolo che non ha pre-costruito la mappa brucerà un'intera giornata lavorativa a ricostruire la catena di evidenze sbagliata.
Esposizione alle sanzioni in caso di multi-ruolo
Un singolo incidente di vulnerabilità può attivare più di un livello di sanzione quando il codice vulnerabile è presente in prodotti che ricoprono ruoli diversi.
| Ruolo del prodotto in violazione | Livello di sanzione | Massimale |
|---|---|---|
| Fabbricato dalla propria organizzazione | Livello fabbricante | 15 milioni di EUR o 2,5% del fatturato mondiale annuo |
| Importato dalla propria organizzazione | Livello importatore | 10 milioni di EUR o 2% del fatturato mondiale annuo |
| Distribuito dalla propria organizzazione | Livello distributore | 10 milioni di EUR o 2% del fatturato mondiale annuo |
I livelli si applicano per violazione, non per prodotto. Un'azienda multi-ruolo che esegue lo stesso componente vulnerabile su linee di prodotti fabbricati e importati, e non notifica, è esposta al livello fabbricante per la coorte fabbricata e al livello importatore per la coorte importata, in parallelo. I modelli assicurativi e la gestione del rischio a livello di consiglio di amministrazione devono tenere conto di entrambi i massimali, non solo del più elevato.
La mitigazione è operativa, non contrattuale. La mappa evidenze-per-ruolo più il fan-out delle notifiche per ruolo fornisce un registro difendibile di quali prodotti sono stati notificati, quando e in base al protocollo di quale ruolo. Senza quel registro, un'autorità può chiedere all'azienda di provare quale ruolo si applicava a ciascun prodotto prima che venga valutato il livello della sanzione.
Topologia multi-Stato membro in un contesto multi-ruolo
Quando un'organizzazione multi-ruolo opera oltre i confini degli Stati membri, la mappa ruolo-per-prodotto acquisisce un secondo asse: quali contatti delle autorità nazionali pre-configurare per ruolo e in quale lingua ciascuno Stato membro di fornitura si aspetta le informazioni per gli utenti.
Si consideri un gruppo UE che fabbrica sensori in Germania, importa controller da un fornitore taiwanese tramite la propria entità francese e distribuisce il software di un vendor belga tramite la propria divisione commerciale italiana.
| Coorte di prodotti | Ruolo | Contatti autorità da pre-configurare | Lingua delle informazioni per gli utenti |
|---|---|---|---|
| Sensori fabbricati | Fabbricante | CSIRT coordinatore e autorità di vigilanza del mercato competente per il flusso di segnalazione del fabbricante, più contatti di vigilanza del mercato in ogni Stato membro in cui il prodotto è reso disponibile | Tedesco per le informazioni agli utenti del mercato tedesco, più lingua per Stato membro per le spedizioni verso altri mercati |
| Controller importati | Importatore | Autorità di vigilanza del mercato di ogni Stato membro in cui si immette il prodotto sul mercato | Francese, più lingua per Stato membro per le forniture successive |
| Software distribuito | Distributore | Autorità di vigilanza del mercato di ogni Stato membro in cui si rende disponibile il prodotto, più il percorso verso la catena di autorità primaria del fabbricante per l'escalation a monte | Italiano, più lingua per Stato membro in linea con i luoghi in cui si rende disponibile il prodotto |
Una vulnerabilità che colpisce tutte e tre le coorti attiva notifiche parallele a tre diverse autorità nazionali di vigilanza del mercato contemporaneamente, ciascuna nella lingua nazionale appropriata. Il CRA non prevede un canale unico per tutte le autorità degli Stati membri per un'organizzazione multi-ruolo. Si costruisca la rubrica dei contatti MSA per coorte adesso. La prima volta che la si cerca non deve essere durante un incidente.
Quando la stessa persona giuridica è AR, importatore e fabbricante
Il regime del rappresentante autorizzato è permissivo, non obbligatorio. Un fabbricante extra-UE può nominare un'entità stabilita nell'UE come proprio rappresentante autorizzato in forza di un mandato scritto. Nulla nel CRA impedisce a quella stessa entità UE di essere anche importatore dei prodotti di un altro vendor extra-UE, o fabbricante di una propria linea di prodotti.
Questa è la sovrapposizione multi-ruolo più concentrata del CRA. Tre elementi devono restare separati anche se si trovano sotto lo stesso tetto aziendale:
I mandati sono per vendor. Ogni relazione di rappresentanza autorizzata è documentata da un mandato scritto. Se si agisce come AR per il vendor extra-UE A e come importatore per il vendor extra-UE B, il registro AR copre solo il vendor A. I prodotti del vendor B operano sul regime dell'importatore, senza sovrapposizione di mandato.
I limiti di responsabilità differiscono per ruolo. L'AR detiene la documentazione e coopera con la vigilanza del mercato per conto del fabbricante rappresentato, ma non immette prodotti sul mercato. L'importatore effettua i quattro controlli pre-mercato, immette il prodotto sul mercato e conserva la dichiarazione UE di conformità per 10 anni o per il periodo di supporto. Il fabbricante detiene l'insieme completo degli obblighi di progettazione e ingegnerizzazione. Sono tre superfici di responsabilità diverse, tutte concentrate sotto una sola persona giuridica. I registri devono supportare la separazione dei ruoli per prodotto.
L'instradamento della cessazione è per ruolo. Se il vendor A, per il quale si è AR, cessa le attività, si verifichi il mandato scritto e si preservino la documentazione AR e il fascicolo di cooperazione. La notifica di cessazione prevista dalla legge spetta al fabbricante, salvo che si attivi anche un trigger specifico di un altro ruolo. Se il vendor B (per il quale si è importatori) cessa le attività, scatta il dovere di notifica dell'importatore in merito alla cessazione: si informino la vigilanza del mercato e gli utenti della cessazione del fabbricante. La propria linea di fabbricante, se dovesse cessare, attiva la notifica di auto-cessazione del fabbricante con il proprio percorso di comunicazione ai clienti. I tre trigger non si consolidano in un unico instradamento.
Il minimo pratico: una mappa per prodotto con il tag di ruolo attribuito a ogni prodotto rende difendibile la separazione AR/importatore/fabbricante. Senza quella mappa, un audit sui prodotti del vendor A si riverserà nei registri di importatore e fabbricante, generando costi evitabili di discovery delle evidenze.
Quando i ruoli cambiano nel ciclo di vita
Le aziende multi-ruolo vedono i ruoli dei prodotti cambiare nel corso del loro ciclo di vita. Cinque eventi ricorrono.
Distributore a importatore. Il fornitore UE chiude e si inizia a importare direttamente dal fabbricante extra-UE. Azioni: verifica completa dell'importatore sul prodotto, relazione diretta con il fornitore, aggiornamento di tutta la documentazione di importazione.
Importatore a fabbricante. Si inizia a immettere il prodotto importato con il proprio marchio. Azioni: completare l'insieme di obblighi del fabbricante (valutazione della conformità, fascicolo tecnico, SBOM, gestione delle vulnerabilità, impegno sul periodo di supporto). Il fornitore diventa un contract manufacturer in termini commerciali, non il fabbricante CRA. La proprietà della conformità passa a chi immette il prodotto.
Distributore a modificatore del bundle. Si inizia a preinstallare firmware personalizzato su un prodotto precedentemente distribuito invariato. Azioni: gli obblighi del fabbricante si applicano tramite il ponte del rebrand per il prodotto modificato o, quando la modifica incide sulla cibersicurezza dell'intero prodotto, per il prodotto nella sua interezza.
Fabbricante a distributore. Si smette di marchiare una linea di prodotti e la si trasferisce all'OEM con il marchio OEM. Azioni: il fabbricante originale riacquista il ruolo di fabbricante da quel momento. Si diventa distributore del prodotto a marchio OEM. Gli obblighi di conservazione e supporto lato fabbricante continuano per le unità già immesse con il proprio marchio.
Qualsiasi ruolo a uscita. Si smette di vendere un prodotto. Azioni: la conservazione dei documenti prosegue (fabbricante e importatore detengono la conservazione decennale o per il periodo di supporto). Gli obblighi di supporto del fabbricante proseguono per almeno 5 anni dall'ultima unità immessa sul mercato, o per il periodo di supporto se più lungo. Se il fabbricante sta anche cessando le attività, il dovere di notifica percorre la catena tramite qualsiasi importatore e distributore.
Continuità operativa quando l'organizzazione multi-ruolo cessa
Il CRA prevede una sola notifica di auto-cessazione prevista dalla legge: quella del fabbricante. Quando un fabbricante cessa le attività e non può più conformarsi, deve informare le autorità di vigilanza del mercato competenti e gli utenti dei prodotti già immessi sul mercato, prima che la cessazione abbia effetto. Non esiste una notifica equivalente di auto-cessazione per i ruoli di importatore o distributore. I doveri di cessazione di importatore e distributore nel CRA scattano solo quando il fabbricante di un prodotto che gestiscono cessa le attività, non quando è l'importatore o il distributore stesso a cessare.
Per un'organizzazione multi-ruolo che chiude, questo significa:
| Coorte detenuta dall'entità che cessa | Cosa richiede il CRA | Lavoro di continuità operativa |
|---|---|---|
| Prodotti fabbricati | Notifica di auto-cessazione prevista dalla legge alle autorità di vigilanza del mercato e, con ogni mezzo disponibile, agli utenti. Comunicare eventuali accordi di supporto successivi, se esistenti. | Documentare la notifica, la data, i destinatari e le implicazioni sul periodo di supporto. Conservare il fascicolo tecnico e la dichiarazione di conformità al minimo di conservazione (10 anni o il periodo di supporto). |
| Prodotti importati | Nessuna notifica di auto-cessazione prevista dalla legge sul lato importatore. La dichiarazione di conformità e il puntatore alla documentazione tecnica erano già nel fascicolo all'intake e restano nell'archivio. | Pianificare la continuità dei registri. Identificare quale entità eredita la conservazione della dichiarazione di conformità lato importatore. Comunicare i cambiamenti di canale alle controparti commerciali. |
| Prodotti distribuiti | Nessuna notifica di auto-cessazione prevista dalla legge sul lato distributore. | Cessare di rendere disponibili i prodotti. Comunicare alle controparti commerciali che devono rifornirsi altrove. Nessuna notifica agli utenti prevista dalla legge è richiesta al distributore per l'atto di cessare la distribuzione. |
| Mandati AR detenuti per fabbricanti extra-UE | Nessuna notifica di auto-cessazione prevista dalla legge per l'AR. La documentazione del mandato continua a esistere e il ruolo dell'AR è la custodia della documentazione e la cooperazione. | Coordinarsi con ciascun fabbricante rappresentato per trasferire il mandato AR a un successore o chiuderlo correttamente. Conservare il fascicolo documentale. |
Si tratti la notifica di auto-cessazione del fabbricante come l'evento regolato. Si trattino le transizioni di importatore, distributore e AR come pianificazione operativa della continuità dei registri, non come flussi di notifica aggiuntivi previsti dalla legge. Le aziende multi-ruolo che confondono i quattro casi, assumendo che importatore e distributore abbiano un proprio dovere di notifica di auto-cessazione, costruiscono un runbook eccessivo e rischiano di ritardare l'unica notifica prevista dalla legge che conta davvero.
Domande frequenti
Cosa fa il CRA quando una stessa azienda è sia fabbricante sia importatore?
Il CRA applica gli obblighi di ruolo per prodotto, non per organizzazione. Se si fabbrica un prodotto e se ne importa un altro, si detengono gli obblighi del fabbricante sul primo e gli obblighi dell'importatore sul secondo, in parallelo. Se lo stesso prodotto viene immesso con il proprio marchio o viene sostanzialmente modificato dopo l'importazione, si applica il ponte del rebrand e si diventa fabbricante di quel prodotto specifico. Il confine è prodotto per prodotto, non azienda per azienda.
Posso subappaltare un ruolo CRA a un'altra azienda?
Si possono esternalizzare le attività. Non si può esternalizzare il ruolo giuridico. L'azienda che immette il prodotto sul mercato con il proprio nome, lo importa nell'Unione o lo rende disponibile a valle resta titolare del ruolo e dei relativi obblighi. Una società di servizi di conformità terza può eseguire test di valutazione della conformità, audit sui fornitori o manutenzione documentale su contratto, ma la responsabilità regolamentare rimane in capo all'operatore economico.
Come si combinano gli obblighi di segnalazione quando si detengono più ruoli?
Il flusso di segnalazione lato fabbricante (piattaforma unica di segnalazione ENISA, CSIRT coordinatore, utenti interessati) è il canale regolatorio primario. I doveri di importatore e distributore operano in parallelo come escalation: informare il fabbricante delle vulnerabilità senza indebito ritardo e informare la vigilanza del mercato di ogni Stato membro di fornitura se il prodotto presenta un rischio cyber significativo. Un'azienda multi-ruolo gestisce entrambi i flussi in parallelo, firmandoli con responsabili di ruolo diversi e con percorsi di evidenze separati.
Quando dovrebbe un'azienda multi-ruolo suddividersi in filiali giuridiche separate?
La decisione è solitamente innescata dalla modellazione dell'esposizione alle sanzioni, non dalla complessità operativa. Quando il massimale di livello fabbricante (15 milioni di EUR o 2,5% del fatturato mondiale) applicato alla propria linea di prodotti fabbricati supera di gran lunga i ricavi da importatore e distributore, suddividere l'attività di fabbricante in una filiale separata può proteggere i ricavi da importatore e distributore da un incidente lato fabbricante. La suddivisione vale anche quando la ridondanza degli audit sui fornitori o il carico amministrativo delle segnalazioni diventa una voce misurabile di costo piuttosto che una nota a piè di pagina sulla conformità. Il CRA non impone alcuna struttura legale: attribuisce gli obblighi di ruolo alla persona giuridica che immette il prodotto sul mercato.
L'iscrizione alla piattaforma SRP di ENISA copre tutti i miei ruoli?
La piattaforma unica di segnalazione è il canale di segnalazione del fabbricante. Un'azienda multi-ruolo si iscrive alla SRP per il proprio ruolo di fabbricante e usa la piattaforma per i prodotti che fabbrica. Per i prodotti che si limita a importare o distribuire, è il fabbricante originale a segnalare tramite SRP. Il ruolo su quei prodotti è informare il fabbricante delle vulnerabilità e notificare direttamente le autorità di vigilanza del mercato quando è presente un rischio cyber significativo nei prodotti che si ha immesso sul mercato o reso disponibili.
Un unico audit sul fornitore può servire sia la due diligence dell'importatore sia quella del fabbricante sui componenti?
Sì, quando l'audit è progettato per un doppio scopo e la mappa ruolo-per-prodotto è esplicita. Lo scopo dell'audit deve coprire sia i requisiti di verifica pre-mercato dell'importatore per i prodotti finiti sia i requisiti di due diligence sui componenti del fabbricante per i componenti integrati nel proprio prodotto. Si documenti il doppio scopo nello statuto dell'audit. Una singola visita al fornitore che produce due fascicoli di evidenze specifici per ruolo è accettabile. Un fascicolo unico che confonde i due ruoli è più difficile da difendere quando un'autorità di vigilanza del mercato chiede quale evidenza di ruolo viene mostrata.
Un unico punto di contatto può servire i ruoli di fabbricante, importatore e distributore?
Una casella di posta unica può ricevere segnalazioni di vulnerabilità per tutti i ruoli, ma l'instradamento deve essere suddiviso per ruolo a valle. Il punto di contatto unico lato fabbricante deve essere non automatizzato e consentire agli utenti di scegliere il mezzo di comunicazione preferito. Per i prodotti importati e distribuiti, chi segnala si aspetta il contatto del fabbricante originale. Un'azienda multi-ruolo che pubblica una casella di posta unica deve assicurarsi che, dietro quella casella, le segnalazioni siano etichettate con il ruolo del prodotto e instradate al responsabile corretto entro lo stesso giorno lavorativo. Confondere le code senza instradamento interno significa che le segnalazioni lato fabbricante finiscono in un flusso di ticket stile distributore, il che viola lo standard di assenza di indebito ritardo.
Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, si consulti un consulente legale qualificato.
Articoli correlati
Il CRA si applica al tuo prodotto?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.