Prodotti white-label e OEM sotto il CRA: guida al fabbricante

Lei vende tablet con il suo marchio. Un ODM di Shenzhen li costruisce. Sotto il CRA Lei è il fabbricante, l'ODM è il suo fornitore e l'elemento scatenante è il marchio, non la produzione. Questa pagina è il livello operativo del white-label; per l'insieme completo degli obblighi del fabbricante consulti il cluster fabbricante.

Perché il white-label è una categoria a sé

Il white-label occupa un angolo specifico della mappa dei ruoli CRA. Il confine fra white-label e i ruoli adiacenti è netto sulla carta, ma sfumato nella realtà degli acquisti.

Tre confini vengono attraversati spesso. Il primo: fra white-label (Lei è il fabbricante dal primo giorno) e modifica sostanziale (qualcuno modifica un prodotto già immesso). Il white-label scatta al momento dell'immissione; la modifica sostanziale scatta dopo l'immissione. Il secondo: fra white-label e importatore. Se appone il suo marchio sul prodotto, è uscito dal ruolo di importatore ed è entrato in quello di fabbricante, anche se importa fisicamente il dispositivo. Il terzo: fra white-label e approvvigionamento di componenti. Se immette un prodotto con il suo marchio, è il fabbricante di quel prodotto; se integra un componente in un prodotto che costruisce Lei, il manuale di due diligence sui fornitori è il suo livello operativo.

La difesa del «solo un adesivo» e ciò che conta davvero

I responsabili acquisti talvolta sostengono che apporre un adesivo del marchio su un prodotto finito non possa attivare lo status pieno di fabbricante. La tabella delle insidie del cluster importatore nomina questa esatta affermazione («È solo un adesivo con il nostro logo.») e la liquida: se l'adesivo presenta Lei come fonte del prodotto, gli obblighi del fabbricante si applicano. L'elemento scatenante è la presentazione del marchio al mercato, non la profondità della modifica.

La domanda operativa è cosa conta come «brandizzato come suo» e cosa resta nel territorio del distributore.

La regola unificante è la presentazione della fonte. Se a un'autorità di vigilanza del mercato, alla domanda «chi è il fabbricante di questo prodotto?», indicassero il suo marchio, allora è Lei il fabbricante sotto il CRA. La profondità dell'adesivo, lo sforzo di design e il livello di personalizzazione non sono il test.

Tassonomia degli scenari white-label

Sette scenari coprono il territorio operativo. Ciascuno corrisponde a una combinazione diversa di percorso CRA, profondità di due diligence sul fornitore ed esposizione contrattuale.

1. Rebranding semplice (prodotto finito, solo il suo marchio)

Acquista tablet finiti, applica il suo logo, vende con il suo marchio. White-label di default.

• Percorso CRA: fabbricante dalla prima vendita.
• Valutazione della conformità: sua. La precedente valutazione dell'OEM può alimentare il suo fascicolo tecnico, ma non si trasferisce.
• Profondità della due diligence: alta sull'OEM in quanto fornitore, in particolare su documentazione, gestione delle vulnerabilità e impegno sul periodo di supporto.
• Rischio operativo: la disponibilità dell'OEM a rilasciare aggiornamenti di sicurezza determina la sua capacità di onorare l'impegno sul periodo di supporto verso gli utenti.

2. White-label nascosto (il suo rivenditore esegue un nuovo rebranding)

Lei white-labellizza un prodotto OEM come Marchio-A e lo vende a un rivenditore. Il rivenditore rimuove il suo marchio e lo rebrandizza come Marchio-B senza informarla, poi immette le unità Marchio-B sul mercato UE.

• Percorso CRA: il rivenditore diventa il fabbricante delle unità Marchio-B. Lei resta il fabbricante delle unità Marchio-A che ha immesso. L'OEM resta fornitore di entrambi.
• Segnale operativo di scoperta: ticket di assistenza che citano Marchio-B con comportamento riconducibile a Marchio-A, oppure resi in confezione Marchio-B quando Lei non ha mai venduto a Marchio-B.
• Soluzione contrattuale: gli accordi con i rivenditori devono vietare il nuovo rebranding senza consenso scritto. Senza quella clausola, l'unico rimedio è la risoluzione.
• Perché conta: una patch che Lei rilascia per una vulnerabilità non raggiungerà le unità Marchio-B salvo che il rivenditore non la trasmetta, e il rivenditore potrebbe non avere l'infrastruttura per farlo.

3. White-label multilivello (Lei white-labellizza, il suo distributore rifà lo stesso)

L'OEM costruisce, Lei white-labellizza con il suo marchio, vende a un distributore UE, il distributore rifà il white-label con il proprio marchio.

• Percorso CRA: tre posizioni legali sovrapposte. L'OEM è fornitore, Lei è fabbricante delle unità immesse con il suo marchio, il distributore diventa fabbricante delle unità immesse con il proprio.
• Modello operativo: comune nell'automazione industriale, nell'audio/video professionale e nell'IoT B2B.
• Clausola critica: il suo contratto con il distributore deve specificare se il nuovo rebranding è ammesso e, in caso affermativo, che il distributore assume lo status di fabbricante per la variante rebrandizzata. Senza questa clausola, entrambe le parti possono finire per rivendicare lo status di distributore mentre le autorità indicano il marchio visibile su ciascuna unità.

4. Prodotti co-brandizzati (entrambi i nomi sul prodotto)

Il prodotto reca sia il suo marchio sia il marchio OEM in modo visibile all'utente finale.

• Percorso CRA: tipicamente il marchio rivolto al pubblico porta lo status di fabbricante; entrambe le parti possono essere designate come fabbricanti se entrambe si presentano come la fonte.
• Soluzione contrattuale: la designazione del fabbricante deve essere scritta nell'accordo di co-branding. Lettura di default: chi firma la dichiarazione UE di conformità è il fabbricante per quella coorte di unità.
• Rischio operativo: la visibilità condivisa del marchio può confondere gli utenti su quale parte contattare per le segnalazioni di vulnerabilità; il punto di contatto unico per il prodotto deve essere inequivocabile.

5. Private-label del retailer (Amazon Basics, Lidl Silvercrest, Tesco)

Un retailer ad alto volume commissiona a un OEM la costruzione di un prodotto con il marchio private-label del retailer. Il retailer è il proprietario del marchio white-label.

• Percorso CRA: il retailer è il fabbricante. Il volume non cambia l'analisi; la cambia la presentazione del marchio.
• Scala operativa: centinaia di SKU su più OEM è la norma. Un fascicolo tecnico per SKU, una dichiarazione UE di conformità per SKU, un orologio del periodo di supporto per SKU. Un buyer retail che tratta la conformità CRA come una questione di approvvigionamento a passaggio unico sottovaluta il carico.
• Modello contrattuale: accordi quadro pluriennali con l'OEM, clausole di allineamento del periodo di supporto (l'OEM si impegna ALMENO per la durata che il retailer promette agli utenti), escrow del codice sorgente per il firmware e trasferimento esplicito dei requisiti CRA ai sottocomponenti.

6. ODM hardware-only + il suo firmware

Lei commissiona l'hardware ODM (scheda industriale, tablet ruggedizzato, scocca di gateway IoT) e vi spedisce il suo firmware. Il substrato hardware è fornito dall'OEM; il perimetro di sicurezza è suo.

• Percorso CRA: Lei è il fabbricante del prodotto integrato. L'ODM è il suo fornitore hardware. Diverso dal semplice rebranding perché costruisce davvero qualcosa sopra il substrato.
• Forma della due diligence: poggia sul manuale ODM hardware-only (controlli di BOM, fonte del secure element, iniezione delle chiavi in fabbrica, finestra EOL della piattaforma hardware).
• Errore operativo comune: firmare un impegno di supporto pluriennale ai clienti con un ODM la cui finestra EOL hardware è più breve. Quando il silicio va in EOL, il suo obbligo di supporto non si ammorbidisce.

7. SaaS o componente di elaborazione dati remota in white-label

Il «prodotto» che i clienti vedono è il suo SaaS o la sua API con il suo marchio. L'elaborazione effettiva gira su una piattaforma OEM white-labellizzata per Lei (un cluster Kafka gestito, una piattaforma di autenticazione SaaS, un servizio gestito di gestione flotta dispositivi).

• Percorso CRA: dipende dal fatto che il SaaS stesso sia un «prodotto con elementi digitali» ai fini del CRA. Il CRA copre le «soluzioni di elaborazione dati a distanza» solo quando sono parte integrante di un prodotto immesso sul mercato. Un SaaS puro che non si integra in un prodotto immesso è tipicamente fuori ambito. Se il suo SaaS è un componente integrante di un prodotto immesso (firmware che si connette a casa, gestione flotta di dispositivi IoT), il fornitore SaaS fa parte della sua catena di fornitura e si applica il manuale per componenti di servizio cloud.
• Modello contrattuale: portafoglio di attestazioni del SaaS (SOC 2, ISO/IEC 27001, ISO/IEC 27017), accordo sul trattamento dei dati, elenco dei sub-responsabili, finestra di preavviso per la cessazione del servizio.

Personalizzazione del firmware: dove finisce il ponte del rebranding e dove inizia la clausola di chiusura

La conflazione più comune nella conformità white-label è fra il ponte del rebranding (un importatore o distributore che modifica sostanzialmente un prodotto già immesso sul mercato diventa il fabbricante del prodotto modificato) e la clausola di chiusura (qualsiasi altro terzo che modifica sostanzialmente un prodotto immesso diventa il fabbricante). Entrambi i percorsi sono nel CRA; coprono attori diversi.

Il confine, mappato sugli scenari di personalizzazione firmware che i proprietari di marchio white-label incontrano:

Due implicazioni operative. Primo, il proprietario del marchio white-label non «sfugge» nel percorso della clausola di chiusura sostenendo che la modifica sostanziale sia stata fatta da altri; se sta immettendo sul mercato il prodotto modificato con il suo marchio, la modifica rientra nel suo ambito di fabbricante. Secondo, quando un suo distributore personalizza il firmware white-label, il percorso del ponte del rebranding ricade su di lui, non su di Lei, per quelle unità specifiche. Tracci quali unità sono uscite dal suo controllo non modificate e quali sono state modificate a valle; la responsabilità del periodo di supporto per le unità modificate si sposta sul modificatore.

Per il testo letterale delle disposizioni sul ponte del rebranding e sulla clausola di chiusura, consulti la FAQ del cluster distributore, che riporta entrambe le citazioni affiancate.

Orologio del periodo di supporto per il white-label

L'orologio del periodo di supporto del CRA parte quando il fabbricante immette il prodotto sul mercato UE. Per il white-label, Lei è il fabbricante, quindi l'orologio parte quando Lei immette per la prima volta la versione rebrandizzata sul mercato UE, non quando l'OEM ha immesso per la prima volta l'originale senza marchio o ha venduto a Lei.

TEMPI DEL PERIODO DI SUPPORTO (WHITE-LABEL)

Anno 0   L'OEM immette per la prima volta la versione senza marchio sul mercato UE
         L'orologio di supporto dell'OEM parte sulla sua dichiarazione UE di conformità

Anno 0   L'OEM le spedisce il primo lotto rebrandizzato in magazzino
         (Nessun orologio CRA parte ancora su di Lei, non è sul mercato UE)

Anno 1   Lei immette le sue prime unità rebrandizzate sul mercato UE
         IL SUO orologio di supporto parte sulla SUA dichiarazione UE di conformità (5 anni minimo)

Anno 1   L'OEM continua a vendere l'originale senza marchio in parallelo
         (Ora corrono due orologi indipendenti; quello dell'OEM copre le unità OEM, il suo copre le sue)

Anno 4   L'OEM cessa la produzione
         Il suo obbligo di supporto prosegue almeno fino all'Anno 6
         (e oltre se ha immesso unità dopo l'Anno 1)

L'obbligo di clausola speculare che ne segue: il suo contratto OEM deve impegnare l'OEM a fornirle aggiornamenti di sicurezza ALMENO per la stessa durata in cui Lei si impegna verso gli utenti. Se si impegna per cinque anni con gli utenti e l'OEM si impegna per tre anni con Lei, porta un divario di due anni senza alcuna fonte di patch. Escrow del codice sorgente e qualifica di un secondo fornitore sono le due mitigazioni standard.

Quando l'OEM cessa l'attività

Un equivoco comune: quando l'OEM cessa l'attività, il CRA impone su di Lei un dovere di notifica che trasferisce alcuni degli obblighi dell'OEM.

Due chiarimenti contano. Primo, il dovere di notifica del CRA sulla cessazione del fabbricante ricade sull'importatore, non su di Lei. Quando è il proprietario del marchio white-label, è Lei il fabbricante CRA del prodotto rebrandizzato; l'OEM era il suo fornitore, non il fabbricante del suo prodotto a marchio. La disposizione sulla notifica di cessazione lato importatore non si applica a Lei in questo scenario, perché l'OEM non era il fabbricante CRA del suo prodotto a marchio. La sezione cessazione del cluster importatore illustra in dettaglio il dovere lato importatore.

Secondo, l'obbligo di supporto non si «trasferisce» dall'OEM a Lei perché era sempre stato suo. Lei si è impegnato con gli utenti al momento della prima immissione; la cessazione dell'OEM cambia la sua situazione di approvvigionamento, non l'impegno legale. Il piano pratico di ripiego è ciò che il contratto ha previsto (escrow del codice sorgente, secondo fornitore, servizi di transizione), non la disposizione sulla cessazione lato importatore.

L'unica notifica di cessazione di legge che SI applica a Lei, proprietario del marchio white-label, è il dovere di cessazione del fabbricante stesso: se LEI in quanto fabbricante cessa l'attività, deve informare le autorità di vigilanza del mercato e, con ogni mezzo disponibile, i suoi utenti.

White-label transfrontaliero

Lei si approvvigiona da un ODM asiatico, white-labellizza e immette il prodotto sul mercato UE tramite la sua filiale UE. L'elemento scatenante white-label (Lei è il fabbricante dalla prima vendita) si combina con la questione dell'assenza di stabilimento UE per la gestione delle vulnerabilità e la segnalazione degli incidenti.

Se il suo marchio white-label è detenuto da una controllante extra-UE e la filiale UE è l'entità che immette il prodotto sul mercato, sono possibili due percorsi. Percorso A: la filiale UE è il fabbricante legale, con la controllante come proprietario commerciale del marchio; lo Stato membro della filiale UE è l'autorità di riferimento. Percorso B: la controllante extra-UE è il fabbricante legale (proprietario di marchio risultante) e la filiale UE è l'importatore; la cascata di ripiego per fabbricanti extra-UE instrada la segnalazione degli incidenti via Stato membro del rappresentante autorizzato, Stato membro dell'importatore, Stato membro del distributore, Stato membro con il maggior numero di utenti.

Scelga il percorso con consapevolezza nella strutturazione legale del gruppo; non lo lasci derivare per accidente dalla proprietà del marchio. Un proprietario di marchio extra-UE senza stabilimento UE e senza un rappresentante autorizzato nominato instrada la segnalazione degli incidenti allo Stato membro dell'importatore per impostazione predefinita, il che significa che l'autorità di vigilanza del mercato della filiale UE riceve le segnalazioni, indipendentemente dal fatto che la filiale sia attrezzata per gestirle.

Provenienza dello SBOM white-label

Il manuale sui fornitori copre le clausole contrattuali sullo SBOM in astratto. Per il white-label, la realtà operativa è più netta: Lei non può generare lo SBOM dalla sua pipeline di build perché non ha scritto il codice.

Tre conseguenze operative.

Primo, lo SBOM è un deliverable contrattuale dell'OEM, non un artefatto interno. Il suo contratto deve specificare il formato (CycloneDX o SPDX), la cadenza di aggiornamento (per ogni rilascio), la profondità (dipendenze transitive, non solo dirette) e il trigger di refresh (qualsiasi cambio di versione del firmware). Senza questo, l'OEM può consegnare uno SBOM con sole dipendenze dirette che manca il 90% della superficie di rischio reale.

Secondo, l'autorità dello SBOM porta il suo marchio anche se Lei non è l'autore dei componenti. Quando lo SBOM elenca una dipendenza transitiva vulnerabile, il dovere di due diligence sui componenti ricade su di Lei. Il verbale di due diligence non può essere un copia-incolla dell'OEM; deve essere la sua decisione e la sua accettazione del rischio per ogni componente integrato. Usi il manuale di due diligence sui fornitori per i sotto-casi FOSS, cloud, hardware-only e steward open source all'interno dello SBOM dell'OEM.

Terzo, gli scenari ODM hardware-only si dividono in BOM hardware (BOM dei componenti fisici) e SBOM software (BOM del firmware che spedisce). La BOM hardware è fornita dall'OEM; lo SBOM software è suo (perché il firmware è suo). Il fascicolo tecnico deve distinguere le due, e la suddivisione del monitoraggio delle vulnerabilità deve combaciare: il monitoraggio della BOM hardware fluisce dall'OEM a Lei, il monitoraggio dello SBOM software è sua responsabilità diretta.

Clausole contrattuali di ripartizione delle responsabilità

Sette clausole contrattuali sorreggono l'accordo white-label sotto il CRA. Ciascuna si innesta su uno specifico obbligo del fabbricante che nasce con Lei, proprietario del marchio, e dipende dall'OEM per essere onorato.

1. Riconoscimento di fabbricante CRA

Il Fornitore riconosce che l'Acquirente immetterà il Prodotto
sul mercato UE con il proprio nome o marchio e che
l'Acquirente sarà considerato il «fabbricante» ai fini del
Regolamento (UE) 2024/2847 (Regolamento sulla cibersicurezza).
Il Fornitore accetta di sostenere gli obblighi di conformità
dell'Acquirente come stabilito nel presente Accordo.

2. Documentazione tecnica (Allegato VII)

Il Fornitore fornirà all'Acquirente:
(a) Documentazione tecnica completa che soddisfi i requisiti
    dell'Allegato VII del Regolamento (UE) 2024/2847
(b) Tutta la documentazione necessaria affinché l'Acquirente
    possa:
    - Condurre la valutazione della conformità
    - Preparare la dichiarazione UE di conformità
    - Rispondere alle richieste motivate dell'autorità di
      vigilanza del mercato
(c) Aggiornamenti alla documentazione entro [10] giorni
    lavorativi da qualsiasi modifica che influisca sullo
    stato di conformità

Il Fornitore concede all'Acquirente una licenza perpetua,
irrevocabile e a titolo gratuito per l'uso di tale documentazione
a fini di conformità, inclusa la produzione per qualsiasi
autorità di vigilanza del mercato in una lingua che l'autorità
comprenda.

3. Fornitura SBOM (con profondità transitiva)

Il Fornitore fornirà:
(a) Software Bill of Materials in formato [CycloneDX/SPDX]
(b) SBOM aggiornato entro [5] giorni lavorativi da ogni
    rilascio firmware che cambi componenti diretti o
    transitivi
(c) SBOM che includa le dipendenze transitive, non soltanto
    quelle dirette
(d) Identificazione dei componenti con nome, versione, fornitore,
    licenza e vulnerabilità note al momento della consegna

4. Notifica di vulnerabilità (ore, non «tempestivamente»)

Il Fornitore notificherà l'Acquirente entro [24/48] ore
dalla conoscenza di qualsiasi vulnerabilità di sicurezza
nel Prodotto o in qualsiasi componente integrato
transitivamente che:
(a) È attivamente sfruttata
(b) Ha un punteggio CVSS pari o superiore a 7,0
(c) È oggetto di divulgazione pubblica

Sviluppo della patch:
(a) Confermare la ricezione entro [24] ore
(b) Valutazione della severità entro [72] ore
(c) Consegnare la patch entro [7/30/90] giorni
    per severità Critica/Alta/Media

L'Acquirente mantiene l'autorità finale sulle comunicazioni
ai clienti e sui tempi di rilascio degli aggiornamenti.

5. Allineamento del periodo di supporto

Il Fornitore si impegna a fornire aggiornamenti di sicurezza
per il Prodotto per un periodo minimo che eguagli o superi
l'impegno sul periodo di supporto dell'Acquirente verso gli
utenti finali e, in ogni caso, per almeno [5/7/10] anni dalla
data di prima immissione sul mercato UE da parte dell'Acquirente.

Il Fornitore fornirà [90] giorni di preavviso scritto prima
di qualsiasi discontinuazione pianificata. In caso di
discontinuazione, il Fornitore rilascerà il codice sorgente
e gli artefatti di build secondo le condizioni di [escrow del
codice sorgente / assistenza alla transizione].

6. Supporto alla valutazione della conformità e diritti di audit

Il Fornitore dovrà:
(a) Sostenere le attività di valutazione della conformità
    dell'Acquirente, fornendo rapporti di prova, certificati
    ed evidenze su richiesta ragionevole
(b) Consentire all'Acquirente o all'organismo notificato
    dell'Acquirente di verificare le strutture produttive
    con [30] giorni di preavviso scritto
(c) Mantenere controlli di qualità coerenti con il tipo di
    prodotto valutato

7. Trasferimento e divulgazione sui sottocomponenti

Il Fornitore dovrà:
(a) Fornire e mantenere un elenco dei fornitori di sottocomponenti
    che contribuiscono o hanno accesso alle parti rilevanti
    per la sicurezza del Prodotto
(b) Trasferire ai sottocomponenti i requisiti CRA pertinenti
(c) Notificare l'Acquirente entro [30] giorni da qualsiasi
    modifica sostanziale all'elenco dei fornitori di sottocomponenti
(d) Mantenere i registri di qualifica dei fornitori di
    sottocomponenti per la durata del periodo di supporto
    dell'Acquirente più 10 anni

Sintesi dell'allocazione del rischio

Accordi white-label ereditati post-M&A

Lei acquisisce un marchio e scopre che metà del catalogo è in white-label senza alcuna traccia di conformità. Il CRA non concede un periodo di grazia M&A; l'entità acquirente eredita gli obblighi di fabbricante dal primo giorno per ogni prodotto attualmente sul mercato UE con il marchio acquisito.

TRIAGE WHITE-LABEL POST-M&A (90 GIORNI)

GIORNO 1-15: Inventario
[ ] Estrarre l'elenco SKU dall'ERP dell'entità acquisita
[ ] Etichettare ogni SKU come design proprio / white-label / OEM modificato
[ ] Identificare l'OEM dietro ogni SKU white-label
[ ] Verificare incrociando con lo stato di spedizione corrente (attivo vs stock EOL)

GIORNO 15-30: Analisi dei gap documentali
[ ] Per ogni SKU white-label attivo: esiste una DoC a nome dell'Acquirente?
[ ] Per ogni SKU white-label attivo: esiste un fascicolo tecnico a nome dell'Acquirente?
[ ] Per ogni SKU white-label attivo: esiste uno SBOM?
[ ] Etichettare gli SKU per severità del gap (assenza DoC > fascicolo tecnico incompleto > assenza SBOM)

GIORNO 30-60: Rimedi di Tier 1
[ ] SKU senza DoC: ritirare dal mercato UE finché la DoC non è in essere
[ ] SKU senza fascicolo tecnico: costruirlo a partire dalle evidenze OEM + propria valutazione
[ ] SKU senza SBOM: contrattualizzare con l'OEM la consegna dello SBOM; se l'OEM rifiuta o ha cessato, pianificare sostituzione o sunset

GIORNO 60-90: Decisione di gate
[ ] Ogni SKU white-label classificato: mantenere / sunset / sostituire l'OEM
[ ] Contratti OEM valutati rispetto al set di 7 clausole; gap mappati
[ ] Copertura dell'allineamento del periodo di supporto analizzata end-to-end

CONTINUATIVO:
[ ] Etichettare l'origine acquisita-via-M&A in ogni record SKU per audit
[ ] Integrare gli SKU ereditati nel normale ciclo di rilascio SBOM e monitoraggio vulnerabilità

Il triage non è un esercizio cartaceo. Le autorità che chiedono perché uno SKU white-label di 12 anni non abbia una DoC dopo l'acquisizione accetteranno «abbiamo individuato il gap nel triage di 90 giorni post-acquisizione e abbiamo ritirato lo SKU fino al rimedio» più facilmente di «stiamo ancora cercando di capire quale OEM lo abbia prodotto».

Insidie comuni

Questo articolo è fornito a scopo puramente informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, si rivolga a un consulente legale qualificato con esperienza nelle normative UE sui prodotti.