Prodotti White-Label e OEM sotto il CRA: Chi è il Produttore?

Vendete tablet sotto il vostro marchio, ma una fabbrica in Asia li produce. Sotto il CRA, voi siete il produttore, con tutti gli obblighi che questo comporta. Comprendere la conformità dei prodotti white-label è essenziale prima di mettere il vostro logo sull'hardware di qualcun altro.

Questa guida copre gli obblighi CRA per gli accordi white-label, OEM e private-label.

Comprendere il White-Label sotto il CRA

La Regola Fondamentale

L'articolo 3 del CRA definisce "produttore" come:

"qualsiasi persona fisica o giuridica che fabbrica un prodotto con elementi digitali o fa progettare o fabbricare tale prodotto e lo commercializza con il proprio nome o marchio"

La frase chiave è "lo commercializza con il proprio nome o marchio".

Se il vostro marchio è sul prodotto, siete il produttore, anche se non avete mai toccato un saldatore o scritto una riga di codice.

Chiarimento della Terminologia

Termini diversi, stesso risultato CRA:

La distinzione che conta: Quale marchio è sul prodotto?

Cosa Significa Questo in Pratica

Siete un Produttore, Quindi...

Come produttore white-label sotto il CRA, dovete:

Prima dell'Immissione sul Mercato:

1. Condurre la valutazione di conformità (Modulo A, B+C, o H)
2. Preparare la documentazione tecnica (Allegato VII)
3. Assicurarsi che il prodotto soddisfi i requisiti essenziali dell'Allegato I
4. Firmare la Dichiarazione UE di Conformità
5. Apporre la marcatura CE
6. Creare/mantenere lo SBOM

Durante il Periodo di Supporto:

1. Gestire le segnalazioni di vulnerabilità
2. Fornire aggiornamenti di sicurezza per 5+ anni
3. Segnalare a ENISA (in caso di sfruttamento attivo)
4. Notificare ai clienti i problemi di sicurezza
5. Mantenere la documentazione

In Modo Continuativo:

1. Sorveglianza post-mercato
2. Cooperazione con le autorità
3. Risposta in caso di non conformità

Il Vostro Fornitore Diventa il Vostro Fornitore

Il produttore effettivo (fabbrica, ODM, ecc.) è ora il vostro fornitore, non il produttore legale ai fini del CRA. Questo cambia la relazione:

PRIMA DEL CRA:
Fabbrica ODM → "Produttore" (prodotto loro, conformità loro)
     ↓
Il Vostro Marchio → "Rivenditore/Distributore"

SOTTO IL CRA:
Fabbrica ODM → "Fornitore" (costruisce secondo specifiche)
     ↓
Il Vostro Marchio → "Produttore" (prodotto vostro, conformità vostra)

Il Gap di Conformità White-Label

Molti accordi white-label non erano progettati per questo. Problemi comuni:

Gap 1: Nessun Accesso alla Documentazione Tecnica

Il vostro ODM ha il fascicolo tecnico, ma ora siete voi a doverlo mantenere.

Problema:

• La fabbrica considera i design proprietari
• La documentazione può essere incompleta
• Potrebbe non soddisfare i requisiti di formato CRA

Soluzione:

• Negoziare l'accesso alla documentazione nel contratto
• Richiedere fascicolo tecnico conforme all'Allegato VII
• Verificare prima di firmare l'accordo

Gap 2: Gestione Vulnerabilità Non Definita

Chi gestisce i problemi di sicurezza quando il vostro prodotto marchiato ha una vulnerabilità?

Problema:

• La fabbrica scopre una vulnerabilità, ve lo dice?
• Il cliente segnala a voi, la fabbrica può correggere?
• Tempistiche disallineate

Soluzione:

• Definire la risposta alle vulnerabilità nel contratto
• Stabilire le tempistiche di notifica
• Concordare le responsabilità di sviluppo degli aggiornamenti
• Chiarire la segnalazione ENISA (obbligo vostro)

Gap 3: Mismatch del Periodo di Supporto

Avete promesso supporto di 5 anni, ma il vostro rapporto con il fornitore è di 2 anni.

Problema:

• La fabbrica discontinua il prodotto
• La fabbrica fallisce
• Nessuna fonte per aggiornamenti dopo la fine del contratto

Soluzione:

• Negoziare la durata del periodo di supporto nel contratto
• Accordi di escrow per il codice sorgente
• Pianificazione di contingenza per cambi di fornitore
• Considerare la qualificazione di fornitori multipli

Gap 4: Nessuno SBOM

Avete bisogno di uno SBOM. Il vostro fornitore non ne ha mai creato uno.

Problema:

• Non potete fornire lo SBOM a regolatori o clienti
• Non potete tracciare le vulnerabilità nei componenti
• Non potete dimostrare la trasparenza della supply chain

Soluzione:

• Richiedere lo SBOM nell'approvvigionamento
• Specificare il formato (CycloneDX, SPDX)
• Definire la frequenza di aggiornamento

Strutturare Accordi White-Label per il CRA

Termini Contrattuali Essenziali

Il vostro accordo white-label/OEM dovrebbe includere:

1. Riconoscimento di Conformità CRA

Il Fornitore riconosce che l'Acquirente immetterà il Prodotto
sul mercato UE sotto il marchio dell'Acquirente e che l'Acquirente
sarà considerato il "produttore" ai sensi del Regolamento (UE)
2024/2847 (Cyber Resilience Act). Il Fornitore accetta di
supportare gli obblighi di conformità dell'Acquirente come
stabilito nel presente Accordo.

2. Documentazione Tecnica

Il Fornitore fornirà all'Acquirente:
(a) Documentazione tecnica completa che soddisfi i
    requisiti dell'Allegato VII del Regolamento (UE) 2024/2847
(b) Tutta la documentazione necessaria affinché l'Acquirente possa:
    - Condurre la valutazione di conformità
    - Preparare la Dichiarazione UE di Conformità
    - Rispondere alle richieste di sorveglianza del mercato
(c) Aggiornamenti alla documentazione entro [10] giorni da qualsiasi
    modifica che influenzi lo stato di conformità

Il Fornitore concede all'Acquirente una licenza perpetua e
irrevocabile per utilizzare tale documentazione a fini di conformità.

3. Fornitura SBOM

Il Fornitore fornirà:
(a) Software Bill of Materials in formato [CycloneDX/SPDX]
(b) SBOM aggiornato entro [5] giorni da ogni rilascio
    firmware/software
(c) SBOM che includa tutti i componenti di terze parti con:
    - Nome e versione del componente
    - Informazioni sul fornitore
    - Informazioni sulla licenza
    - Vulnerabilità note al momento della consegna

4. Gestione Vulnerabilità

Notifica Vulnerabilità:
Il Fornitore notificherà l'Acquirente entro [24 ore] dalla
conoscenza di qualsiasi vulnerabilità di sicurezza nel Prodotto,
indipendentemente dalla fonte di scoperta.

Sviluppo Patch:
Alla notifica di una vulnerabilità, il Fornitore dovrà:
(a) Confermare la ricezione entro [24 ore]
(b) Fornire una valutazione della severità entro [72 ore]
(c) Consegnare la patch entro:
    - [7 giorni] per severità Critica
    - [30 giorni] per severità Alta
    - [90 giorni] per severità Media/Bassa

L'Acquirente mantiene l'autorità finale sulle comunicazioni
ai clienti e sui tempi di rilascio degli aggiornamenti.

5. Impegno Periodo di Supporto

Il Fornitore si impegna a:
(a) Fornire aggiornamenti di sicurezza per il Prodotto per un
    periodo minimo di [5 anni] dalla data di prima
    consegna all'Acquirente
(b) Mantenere la capacità di produrre aggiornamenti per
    tutto questo periodo
(c) Fornire [90 giorni] di preavviso prima di qualsiasi
    discontinuazione pianificata
(d) [Escrow del codice sorgente / assistenza alla transizione] se
    il Fornitore non può adempiere a questo impegno

6. Supporto alla Conformità

Il Fornitore dovrà:
(a) Supportare le attività di valutazione di conformità dell'Acquirente
(b) Fornire rapporti di test, certificati ed evidenze
    ragionevolmente richiesti
(c) Permettere all'Acquirente o all'Organismo Notificato designato
    dall'Acquirente di verificare le strutture di produzione
(d) Mantenere controlli di qualità coerenti con il
    tipo di prodotto valutato

7. Gestione Sottocomponenti

Il Fornitore dovrà:
(a) Fornire l'elenco di tutti i fornitori di sottocomponenti
(b) Trasferire i requisiti CRA pertinenti ai sottocomponenti
(c) Notificare l'Acquirente di qualsiasi modifica ai sottocomponenti
    che influenzi la sicurezza o la conformità
(d) Mantenere i registri di qualificazione dei fornitori
    di sottocomponenti

Allocazione dei Rischi

Workflow Pratico

Prima di Firmare l'Accordo White-Label

DUE DILIGENCE PRE-ACCORDO

1. VALUTAZIONE TECNICA
   [ ] Esaminare l'architettura del prodotto
   [ ] Valutare le funzionalità di sicurezza rispetto all'Allegato I
   [ ] Identificare i gap che richiedono remediation
   [ ] Valutare la capacità del meccanismo di aggiornamento

2. VALUTAZIONE DOCUMENTAZIONE
   [ ] Richiedere documentazione tecnica di esempio
   [ ] Verificare la completezza rispetto all'Allegato VII
   [ ] Esaminare la disponibilità e qualità dello SBOM
   [ ] Valutare la documentazione della valutazione dei rischi

3. CAPACITÀ DEL FORNITORE
   [ ] Valutare le pratiche di sviluppo sicuro
   [ ] Esaminare lo storico di gestione vulnerabilità
   [ ] Valutare l'infrastruttura di supporto
   [ ] Verificare la capacità di sviluppo aggiornamenti
   [ ] Verificare la stabilità finanziaria per impegno 5 anni

4. NEGOZIAZIONE CONTRATTUALE
   [ ] Includere tutti i termini specifici CRA
   [ ] Definire i deliverable documentali
   [ ] Stabilire gli SLA di risposta alle vulnerabilità
   [ ] Assicurare l'impegno sul periodo di supporto
   [ ] Affrontare l'escrow del codice sorgente

5. PIANIFICAZIONE VALUTAZIONE DI CONFORMITÀ
   [ ] Determinare la classificazione del prodotto
   [ ] Selezionare il modulo di valutazione di conformità
   [ ] Identificare l'Organismo Notificato (se richiesto)
   [ ] Pianificare la preparazione del fascicolo tecnico

Dopo la Firma: Gestione Continuativa

GESTIONE CONFORMITÀ PRODOTTI WHITE-LABEL

Mensile:
[ ] Esaminare le notifiche di vulnerabilità del fornitore
[ ] Verificare gli aggiornamenti SBOM ricevuti
[ ] Monitorare gli avvisi di sicurezza del fornitore
[ ] Verificare le capacità di consegna aggiornamenti

Trimestrale:
[ ] Revisione documentazione tecnica
[ ] Valutazione capacità del fornitore
[ ] Verifica conformità contrattuale
[ ] Tracciamento periodo di supporto

Annuale:
[ ] Audit di conformità completo
[ ] Revisione e aggiornamento contratto
[ ] Verifica salute aziendale del fornitore
[ ] Revisione completezza documentazione

Per Rilascio:
[ ] SBOM aggiornato ricevuto
[ ] Fascicolo tecnico aggiornato
[ ] Test completati
[ ] Conformità mantenuta

Scenari White-Label Comuni

Scenario 1: Semplice Rebranding

Situazione: Acquistate tablet finiti, mettete il vostro logo, vendete sotto il vostro marchio.

I vostri obblighi:

• Stato di produttore completo
• Dovete ottenere tutta la documentazione dal fornitore
• Dovete condurre la valutazione di conformità (o verificare che quella del fornitore sia valida per il vostro uso)
• Dovete gestire tutti gli obblighi post-mercato

Rischi chiave:

• La valutazione di conformità del fornitore potrebbe non essere trasferibile a voi
• Avete bisogno della vostra DoC
• Gli aggiornamenti dipendono interamente dal fornitore

Scenario 2: Prodotto ODM Personalizzato

Situazione: L'ODM progetta il prodotto secondo le vostre specifiche, voi marchiate e vendete.

I vostri obblighi:

• Stato di produttore completo
• La valutazione di conformità è definitivamente responsabilità vostra (design personalizzato)
• Il fascicolo tecnico deve riflettere le vostre personalizzazioni
• Gestione vulnerabilità per la vostra versione

Rischi chiave:

• Le personalizzazioni possono introdurre vulnerabilità
• Le vostre modifiche possono invalidare i test del fornitore
• Periodo di supporto per la versione personalizzata

Scenario 3: Versioni Multi-Marchio

Situazione: Stesso prodotto venduto sotto marchi diversi (il vostro e altri).

Obblighi di ogni proprietario di marchio:

• Ognuno è produttore per la propria versione marchiata
• Ognuno ha bisogno della propria DoC e marcatura CE
• Le vulnerabilità influenzano tutti, coordinamento necessario

Rischi chiave:

• Coordinamento della divulgazione vulnerabilità
• Chi segnala a ENISA?
• Confusione del cliente se gli aggiornamenti differiscono

Scenario 4: White-Label Parziale (Componenti)

Situazione: Progettate il prodotto complessivo, acquistate moduli componenti white-label.

I vostri obblighi:

• Siete il produttore del prodotto complessivo
• Il fornitore di componenti è il vostro fornitore
• Dovete valutare la sicurezza dei componenti
• Le vulnerabilità dei componenti sono un vostro problema

Rischi chiave:

• Il fornitore di componenti potrebbe non fornire documentazione adeguata
• Vulnerabilità nel componente = vostra responsabilità
• Fornitori di componenti multipli = tracciamento complesso

Quando il White-Label Non Funziona

Alcune situazioni rendono la conformità white-label molto difficile:

La Fabbrica Non Fornirà la Documentazione

Se il fornitore rifiuta l'accesso alla documentazione tecnica, non potete:

• Completare la valutazione di conformità
• Creare un fascicolo tecnico conforme
• Dimostrare la conformità alle autorità

Opzioni:

• Trovare un fornitore diverso
• Negoziare più duramente (la conformità non è negoziabile)
• Commissionare test indipendenti (costoso, incompleto)

Il Periodo di Supporto Non Può Essere Garantito

Se il fornitore non si impegna per il supporto di 5 anni:

Opzioni:

• Negoziare escrow del codice sorgente
• Identificare capacità di sviluppo di backup
• Accorciare il vostro periodo di supporto (ma minimo 5 anni comunque richiesti)
• Non procedere

Il Prodotto Non Soddisfa i Requisiti

Se il prodotto white-label ha gap di sicurezza fondamentali:

Opzioni:

• Richiedere al fornitore di rimediare (prima di prendere in consegna)
• Aggiungere un livello di sicurezza voi stessi (e diventare più coinvolti)
• Non procedere

Mai: Immettere un prodotto non conforme sul mercato presumendo che lo "sistemerete dopo".

Considerazioni sui Costi

La conformità CRA white-label aggiunge costi oltre all'approvvigionamento del prodotto:

Regola generale: Aggiungere 15-25% al costo del prodotto per i costi generali di conformità CRA.

Checklist Conformità White-Label

CHECKLIST CONFORMITÀ CRA WHITE-LABEL

PRE-ACCORDO:
[ ] Valutazione sicurezza prodotto completata
[ ] Capacità del fornitore verificata
[ ] Disponibilità documentazione confermata
[ ] Impegno periodo di supporto assicurato
[ ] Contratto include termini CRA

DOCUMENTAZIONE:
[ ] Fascicolo tecnico ricevuto e esaminato
[ ] SBOM ricevuto nel formato appropriato
[ ] Documentazione valutazione rischi disponibile
[ ] Rapporti di test ricevuti
[ ] Documentazione di progettazione accessibile

VALUTAZIONE DI CONFORMITÀ:
[ ] Classificazione prodotto determinata
[ ] Modulo di valutazione selezionato
[ ] Valutazione di conformità completata
[ ] DoC firmata (da voi, proprietario del marchio)
[ ] Marcatura CE applicata

GESTIONE VULNERABILITÀ:
[ ] Contatto sicurezza stabilito
[ ] Politica CVD pubblicata
[ ] Processo di notifica fornitore concordato
[ ] Capacità di test aggiornamenti
[ ] Processo di notifica clienti

CONTINUATIVO:
[ ] Aggiornamenti SBOM ricevuti
[ ] Monitoraggio vulnerabilità attivo
[ ] Relazione fornitore gestita
[ ] Periodo di supporto tracciato
[ ] Documentazione mantenuta

POST-FINE VITA:
[ ] Conservazione documentazione (10 anni)
[ ] Divulgazione vulnerabilità note (se necessario)
[ ] Transizione clienti gestita

Come Aiuta CRA Evidence

CRA Evidence supporta i produttori white-label:

• Gestione fornitori: Tracciare la conformità dei fornitori white-label
• Repository documentale: Archiviare e gestire la documentazione fornita dal fornitore
• Aggregazione SBOM: Combinare gli SBOM dei componenti
• Assemblaggio fascicolo tecnico: Strutturare la documentazione per il vostro prodotto marchiato
• Workflow vulnerabilità: Coordinare tra risposta fornitore e risposta al cliente

Gestite la vostra conformità white-label su app.craevidence.com.

Guide Correlate

• Quando gli Importatori Diventano Fabbricanti sotto il CRA: Escalation del Ruolo
• Due Diligence Fornitori CRA: Modello di Questionario e Processo di Verifica
• Valutazione di Conformita CRA: Guida alla Decisione Modulo A vs B+C vs H

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultare un consulente legale qualificato che conosca i regolamenti sui prodotti dell'UE.