Quando gli Importatori Diventano Fabbricanti secondo il CRA: L'Escalation di Ruolo Spiegata
Una guida pratica all'escalation di ruolo secondo l'Articolo 22 del CRA. Sapere quando il rebranding o la modifica dei prodotti attiva gli obblighi completi da fabbricante.
In questo articolo
Importate un router dall'Asia. Mettete il logo della vostra azienda sulla scatola. Congratulazioni: siete ora un fabbricante secondo il CRA, con obblighi completi di valutazione della conformità.
Questo articolo copre esattamente quando gli importatori attraversano la linea nel territorio dei fabbricanti, e cosa questo significa per il vostro carico di conformità.
Sintesi
- Gli importatori diventano fabbricanti quando: (1) mettono prodotti sotto il proprio nome/marchio, o (2) effettuano modifiche sostanziali
- "Modifica sostanziale" = modifiche che influenzano la cybersecurity o la destinazione del prodotto
- L'escalation di ruolo attiva gli obblighi completi del fabbricante: articolo 13 (tutti gli obblighi del fabbricante, inclusa la valutazione dei rischi di cui all'Allegato I Parte I), articolo 14 (notifica delle vulnerabilità), articolo 31 e Allegato VII (documentazione tecnica), articolo 32 (valutazione della conformità) e articolo 28 (dichiarazione UE di conformità)
- Esenzione: Patch di sicurezza che non cambiano la funzione del prodotto
- Pianificate per questo: O mantenete lo status di importatore o preparatevi per la conformità da fabbricante
Importante: Se modificate sostanzialmente un prodotto (rebranding, cambio firmware, integrazione in un sistema piu grande), potreste essere riclassificati come fabbricante sotto il CRA con tutti gli obblighi corrispondenti.
Suggerimento: Documentate il vostro ruolo esatto nella catena di fornitura. L'ambiguita sul fatto che siate importatori o fabbricanti crea rischio di conformita.
I Due Trigger per l'Escalation di Ruolo
L'Articolo 22 del CRA stabilisce quando un importatore (o distributore) viene trattato come fabbricante:
Trigger 1: Proprio Nome o Marchio
Mettere un prodotto sul mercato sotto il proprio marchio vi rende il fabbricante, indipendentemente da chi l'ha effettivamente progettato e costruito.
Attivate questo quando:
- Il nome della vostra azienda appare come "fabbricante" sull'imballaggio
- Il vostro marchio/logo è sul prodotto
- I materiali di marketing vi presentano come la fonte del prodotto
- I clienti crederebbero ragionevolmente che avete fabbricato il prodotto
Esempi:
| Situazione | Fabbricante? | Perché |
|---|---|---|
| Importare router, vendere con marchio "AcmeTech" | Sì | Proprio marchio |
| Importare camera, aggiungere "Distribuito da AcmeTech" | No | Ruolo distributore chiaro |
| Importare dispositivo, sostituire tutto il branding fabbricante con il vostro | Sì | Proprio nome/marchio |
| Importare dispositivo, aggiungere il vostro adesivo accanto al branding originale | Possibilmente | Dipende dalla prominenza |
Trigger 2: Modifica Sostanziale
Effettuare modifiche che influenzano la destinazione prevista del prodotto o la sua conformità ai requisiti CRA.
Il test: La valutazione di conformità originale sarebbe ancora valida dopo le vostre modifiche?
Se le vostre modifiche significano che il lavoro di conformità del fabbricante originale non si applica più, avete fatto una modifica sostanziale.
Cosa Conta come "Modifica Sostanziale"?
Il CRA non fornisce un elenco esaustivo. Il principio è: modifiche che influenzano la postura di sicurezza o l'uso previsto.
Definitivamente Sostanziale
| Modifica | Perché è Sostanziale |
|---|---|
| Installazione firmware personalizzato | Cambia l'architettura di sicurezza |
| Aggiunta funzionalità gestione remota | Nuova superficie di attacco |
| Modifiche hardware che influenzano la sicurezza | Altera il profilo di rischio |
| Integrazione moduli di sicurezza di terze parti | Cambia i confini di fiducia |
| Modifica meccanismi di autenticazione | Funzione di sicurezza critica |
| Aggiunta connettività di rete a prodotto offline | Cambio fondamentale di destinazione |
| Sostituzione implementazioni crittografiche | Modifica critica per la sicurezza |
Definitivamente NON Sostanziale
| Modifica | Perché NON è Sostanziale |
|---|---|
| Applicazione patch di sicurezza (senza cambio funzione) | Esplicitamente esentato dal CRA |
| Localizzazione linguistica della documentazione | Solo cosmetico |
| Modifiche imballaggio (senza modifica prodotto) | Non una modifica del prodotto |
| Aggiunta accessori compatibili | Prodotto originale invariato |
| Modifiche cosmetiche (colore, finitura) | Nessun impatto sulla sicurezza |
| Stoccaggio/magazzinaggio | Nessuna modifica |
Zone Grigie (Valutare Attentamente)
| Modifica | Considerazioni |
|---|---|
| Modifiche di configurazione | Influisce sui default di sicurezza? |
| Software aggiuntivo preinstallato | Cambia la superficie di attacco? |
| Accessori hardware che si integrano | Influenzano le funzioni di sicurezza? |
| Adattamenti regionali | Cambiano il comportamento rilevante per la sicurezza? |
| Bundling di più prodotti | I confini di sicurezza sono chiari? |
Albero Decisionale: Sono Ancora un Importatore?
INIZIO: Immissione prodotto sul mercato UE
│
├─ Sotto il marchio del fabbricante originale?
│ │
│ ├─ SÌ → State facendo modifiche?
│ │ │
│ │ ├─ NO → Siete IMPORTATORI
│ │ │ (Si applicano obblighi standard importatore)
│ │ │
│ │ └─ SÌ → La modifica influisce su:
│ │ • Destinazione o uso previsto?
│ │ • Conformità cybersecurity?
│ │ • Architettura di sicurezza?
│ │ │
│ │ ├─ SÌ a qualsiasi → Siete FABBRICANTI
│ │ │ (Obblighi completi fabbricante)
│ │ │
│ │ └─ NO a tutti → Siete IMPORTATORI
│ │ (Documentate la vostra analisi)
│ │
│ └─ NO (vostro marchio) → Siete FABBRICANTI
│ (Obblighi completi fabbricante)
Cosa Significa lo Status di Fabbricante
Se attivate l'escalation di ruolo, ereditate l'intero set di obblighi fabbricante CRA:
Prima dell'Immissione sul Mercato
Valutazione dei rischi (Articolo 13, Allegato I Parte I):
- Condurre valutazione rischi cybersecurity per il vostro prodotto modificato
- Documentare minacce, vulnerabilità e mitigazioni
- Collegare rischi ai controlli di sicurezza
Sviluppo Sicuro:
- Anche se non avete sviluppato l'originale, dovete assicurare che il prodotto (come modificato) rispetti i principi security-by-design
- Documentare il vostro processo di modifica e le sue considerazioni di sicurezza
Documentazione tecnica (Articolo 31, Allegato VII):
- Preparare fascicolo tecnico completo includendo:
- Descrizione prodotto
- Risultati valutazione rischi
- Architettura di sicurezza (come modificata)
- SBOM (incluse le vostre modifiche)
- Prove valutazione conformità
Valutazione di conformità (Articolo 32):
- Determinare classificazione prodotto
- Completare percorso di valutazione appropriato (Modulo A, B+C, o H)
- Se il fabbricante originale ha usato valutazione di terze parti, le vostre modifiche probabilmente la invalidano
Dichiarazione UE di conformità (Articolo 28, Allegato V):
- Emettere la vostra DoC
- Siete il fabbricante responsabile
- La DoC del fabbricante originale non si applica più
Marcatura CE:
- Apporre marcatura CE sotto la vostra responsabilità
- Voi dichiarate la conformità, non il fabbricante originale
Durante il Periodo di Supporto
Gestione delle vulnerabilità (Articolo 13, Allegato I Parte II):
- Stabilire processo di gestione vulnerabilità
- Monitorare vulnerabilità (incluse nei componenti non modificati)
- Fornire aggiornamenti sicurezza per minimo 5 anni
Segnalazione degli incidenti (Articolo 14):
- Segnalare vulnerabilità attivamente sfruttate a ENISA (24h)
- Segnalare incidenti gravi (24h)
- Siete responsabili, anche per vulnerabilità nei componenti originali
Comunicazione Cliente:
- Fornire notifiche aggiornamenti sicurezza
- Mantenere canali di supporto
- Gestire fine vita responsabilmente
Scenari Pratici
Scenario 1: Elettronica White-Label
Situazione: Importate tablet generici dall'Asia e li vendete con marchio "AcmeTab".
Analisi:
- Proprio marchio: Sì → Trigger fabbricante
- Modifiche: Anche senza nessuna, il branding attiva lo status fabbricante
Risultato: Siete fabbricanti. Si applicano obblighi completi.
Scenario 2: Apparecchiature di Rete Preconfigurate
Situazione: Importate router enterprise e li preconfigurate con regole firewall e impostazioni VPN personalizzate prima di venderli ai clienti.
Analisi:
- Proprio marchio: Supponiamo no (venduto con marchio originale)
- Modifiche: Cambi di configurazione
- I cambi influenzano la sicurezza? Regole firewall personalizzate = configurazione rilevante per sicurezza
Risultato: Probabilmente modifica sostanziale. Probabilmente siete fabbricanti.
Scenario 3: Patch di Sicurezza Applicate
Situazione: Importate dispositivi IoT. Prima della vendita, applicate le ultime patch di sicurezza del fabbricante.
Analisi:
- Proprio marchio: No
- Modifiche: Solo patch di sicurezza
- Il CRA esenta esplicitamente le patch di sicurezza che non cambiano la funzione prevista
Risultato: Siete ancora importatori. Questo è lo scenario esentato.
Strategie per Restare Importatori
Se volete evitare gli obblighi da fabbricante:
1. Mantenere il Branding Originale
Mantenete nome e marchio del fabbricante visibili. La vostra azienda può essere identificata come importatore/distributore.
2. Nessuna Modifica al Prodotto
Non toccate firmware, hardware o configurazione rilevante per la sicurezza. Quello che importate è quello che vendete.
3. Documentare Tutto
Mantenete registri che mostrano:
- Il prodotto non è modificato
- Il branding del fabbricante originale è mantenuto
- Avete verificato la conformità del fabbricante
4. Lavorare con i Fabbricanti
Se avete bisogno di personalizzazione:
- Fate fare le modifiche al fabbricante
- Assicuratevi che la loro DoC copra la versione personalizzata
- Mantenete il vostro status di importatore
Domande frequenti
Il rebranding da solo attiva lo status di fabbricante anche senza modifiche?
Sì. Immettere un prodotto sul mercato UE sotto il proprio nome o marchio vi rende il fabbricante ai sensi dell'articolo 22 del CRA, indipendentemente dal fatto che modifichiate qualcos'altro. Un adesivo con il vostro logo è sufficiente per spostare il ruolo giuridico. Questo è il Trigger 1 dell'escalation di ruolo e si applica anche se l'hardware e il firmware sono identici a quelli usciti dalla fabbrica originale.
Le patch di sicurezza sono mai modifiche sostanziali?
No, quando preservano la funzione prevista del prodotto. Il CRA esenta esplicitamente gli aggiornamenti di sicurezza che correggono vulnerabilità senza alterare destinazione, comportamento o architettura. Tuttavia, se una "patch" aggiunge anche funzionalità, cambia l'autenticazione o amplia la superficie di attacco, esce dall'esenzione e conta come modifica sostanziale. Documentate che le patch provengono dal fabbricante originale e non hanno cambiato la funzionalità, così l'esenzione è difendibile in un audit.
Possiamo ricoprire contemporaneamente i ruoli di importatore e fabbricante?
Sì, ma solo con una chiara separazione a livello di prodotto. Potete rimanere importatori per gli SKU non modificati e agire come fabbricanti per gli SKU modificati o rimarchiati. Questo richiede identificatori di prodotto distinti, fascicoli tecnici separati, dichiarazioni UE di conformità separate, responsabilità separate sulla marcatura CE e percorsi di supporto separati. Mescolarli in un unico SKU collassa automaticamente nello status di fabbricante, perché il regolatore tratterà la classificazione più rischiosa come quella autorevole.
Cosa succede alla marcatura CE del fabbricante originale quando attiviamo l'escalation di ruolo?
Non copre più il vostro prodotto. Ai sensi dell'articolo 22, una volta che siete trattati come fabbricante, dovete emettere la vostra dichiarazione UE di conformità (articolo 28) e apporre la marcatura CE sotto la vostra responsabilità. La DoC e la marcatura CE del fabbricante originale si applicavano al prodotto così come lui lo ha immesso sul mercato; la vostra modifica o il vostro rebranding creano un nuovo atto di immissione sul mercato, di cui siete voi responsabili.
Il periodo di supporto di 5 anni riparte quando subentriamo come fabbricante?
Sì. Il periodo minimo di supporto ai sensi dell'articolo 13, paragrafo 8, decorre dalla data in cui voi immettete il prodotto modificato sul mercato UE, non da quando il fabbricante originale lo ha rilasciato per la prima volta. Se rimarchiate o modificate un prodotto esistente nel 2027 e lo immettete sul mercato UE, dovete almeno cinque anni di aggiornamenti di sicurezza a partire dal 2027, anche se il progetto sottostante è più vecchio. Tenetene conto nel pricing e nei contratti con i fornitori: avete bisogno che il fornitore a monte si impegni a supportarvi almeno per la durata del vostro periodo di supporto.
Abbiamo bisogno di un Organismo Notificato se il fabbricante originale ne ha usato uno?
Di solito sì, se il prodotto rientra nella classe Importante o Critica e lo avete modificato sostanzialmente. Il certificato dell'Organismo Notificato era legato al prodotto così come originariamente progettato e valutato. La modifica sostanziale invalida quella valutazione, quindi dovete rifare la valutazione della conformità tramite il Modulo A (autovalutazione, solo per prodotti di classe predefinita) oppure coinvolgere voi stessi un Organismo Notificato per il Modulo B+C o il Modulo H. Anche il rebranding senza modifica di un prodotto di Classe I/II attiva la vostra valutazione, perché siete ora il fabbricante giuridicamente responsabile.
Come CRA Evidence Aiuta
CRA Evidence supporta sia importatori che fabbricanti:
Per gli Importatori:
- Flussi di verifica fabbricanti
- Tracciamento conformità fornitori
- Storage documentazione per obblighi importatore
Per i Fabbricanti (incluso post-escalation):
- Template valutazione rischi
- Gestione fascicolo tecnico
- Gestione SBOM per prodotti modificati
- Flusso gestione vulnerabilità
- Tracciamento periodo di supporto
Comprendete il vostro ruolo con craevidence.com.
Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un consulente legale qualificato esperto in regolamentazioni prodotti UE.
Articoli correlati
Il CRA si applica al tuo prodotto?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Cyber Resilience Act dell'UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.