Quando gli Importatori Diventano Fabbricanti secondo il CRA: L'Escalation di Ruolo Spiegata

Importate un router dall'Asia. Mettete il logo della vostra azienda sulla scatola. Congratulazioni: siete ora un fabbricante secondo il CRA, con obblighi completi di valutazione della conformità.

Questo articolo copre esattamente quando gli importatori attraversano la linea nel territorio dei fabbricanti, e cosa questo significa per il vostro carico di conformità.

I Due Trigger per l'Escalation di Ruolo

L'Articolo 22 del CRA stabilisce quando un importatore (o distributore) viene trattato come fabbricante:

Trigger 1: Proprio Nome o Marchio

Mettere un prodotto sul mercato sotto il proprio marchio vi rende il fabbricante, indipendentemente da chi l'ha effettivamente progettato e costruito.

Attivate questo quando:

• Il nome della vostra azienda appare come "fabbricante" sull'imballaggio
• Il vostro marchio/logo è sul prodotto
• I materiali di marketing vi presentano come la fonte del prodotto
• I clienti crederebbero ragionevolmente che avete fabbricato il prodotto

Esempi:

Trigger 2: Modifica Sostanziale

Effettuare modifiche che influenzano la destinazione prevista del prodotto o la sua conformità ai requisiti CRA.

Il test: La valutazione di conformità originale sarebbe ancora valida dopo le vostre modifiche?

Se le vostre modifiche significano che il lavoro di conformità del fabbricante originale non si applica più, avete fatto una modifica sostanziale.

Cosa Conta come "Modifica Sostanziale"?

Il CRA non fornisce un elenco esaustivo. Il principio è: modifiche che influenzano la postura di sicurezza o l'uso previsto.

Definitivamente Sostanziale

Definitivamente NON Sostanziale

Zone Grigie (Valutare Attentamente)

Albero Decisionale: Sono Ancora un Importatore?

INIZIO: Immissione prodotto sul mercato UE
│
├─ Sotto il marchio del fabbricante originale?
│   │
│   ├─ SÌ → State facendo modifiche?
│   │         │
│   │         ├─ NO → Siete IMPORTATORI
│   │         │       (Si applicano obblighi standard importatore)
│   │         │
│   │         └─ SÌ → La modifica influisce su:
│   │                   • Destinazione o uso previsto?
│   │                   • Conformità cybersecurity?
│   │                   • Architettura di sicurezza?
│   │                   │
│   │                   ├─ SÌ a qualsiasi → Siete FABBRICANTI
│   │                   │                   (Obblighi completi fabbricante)
│   │                   │
│   │                   └─ NO a tutti → Siete IMPORTATORI
│   │                                  (Documentate la vostra analisi)
│   │
│   └─ NO (vostro marchio) → Siete FABBRICANTI
│                            (Obblighi completi fabbricante)

Cosa Significa lo Status di Fabbricante

Se attivate l'escalation di ruolo, ereditate l'intero set di obblighi fabbricante CRA:

Prima dell'Immissione sul Mercato

Valutazione dei Rischi (Articolo 13):

• Condurre valutazione rischi cybersecurity per il vostro prodotto modificato
• Documentare minacce, vulnerabilità e mitigazioni
• Collegare rischi ai controlli di sicurezza

Sviluppo Sicuro:

• Anche se non avete sviluppato l'originale, dovete assicurare che il prodotto (come modificato) rispetti i principi security-by-design
• Documentare il vostro processo di modifica e le sue considerazioni di sicurezza

Documentazione Tecnica (Allegato VII):

• Preparare fascicolo tecnico completo includendo:
  • Descrizione prodotto
  • Risultati valutazione rischi
  • Architettura di sicurezza (come modificata)
  • SBOM (incluse le vostre modifiche)
  • Prove valutazione conformità

Valutazione di Conformità:

• Determinare classificazione prodotto
• Completare percorso di valutazione appropriato (Modulo A, B+C, o H)
• Se il fabbricante originale ha usato valutazione di terze parti, le vostre modifiche probabilmente la invalidano

Dichiarazione di Conformità UE:

• Emettere la vostra DoC
• Siete il fabbricante responsabile
• La DoC del fabbricante originale non si applica più

Marcatura CE:

• Apporre marcatura CE sotto la vostra responsabilità
• Voi dichiarate la conformità, non il fabbricante originale

Durante il Periodo di Supporto

Gestione Vulnerabilità:

• Stabilire processo di gestione vulnerabilità
• Monitorare vulnerabilità (incluse nei componenti non modificati)
• Fornire aggiornamenti sicurezza per minimo 5 anni

Segnalazione Incidenti:

• Segnalare vulnerabilità attivamente sfruttate a ENISA (24h)
• Segnalare incidenti gravi (24h)
• Siete responsabili, anche per vulnerabilità nei componenti originali

Comunicazione Cliente:

• Fornire notifiche aggiornamenti sicurezza
• Mantenere canali di supporto
• Gestire fine vita responsabilmente

Scenari Pratici

Scenario 1: Elettronica White-Label

Situazione: Importate tablet generici dall'Asia e li vendete con marchio "AcmeTab".

Analisi:

• Proprio marchio: Sì → Trigger fabbricante
• Modifiche: Anche senza nessuna, il branding attiva lo status fabbricante

Risultato: Siete fabbricanti. Si applicano obblighi completi.

Scenario 2: Apparecchiature di Rete Preconfigurate

Situazione: Importate router enterprise e li preconfigurate con regole firewall e impostazioni VPN personalizzate prima di venderli ai clienti.

Analisi:

• Proprio marchio: Supponiamo no (venduto con marchio originale)
• Modifiche: Cambi di configurazione
• I cambi influenzano la sicurezza? Regole firewall personalizzate = configurazione rilevante per sicurezza

Risultato: Probabilmente modifica sostanziale. Probabilmente siete fabbricanti.

Scenario 3: Patch di Sicurezza Applicate

Situazione: Importate dispositivi IoT. Prima della vendita, applicate le ultime patch di sicurezza del fabbricante.

Analisi:

• Proprio marchio: No
• Modifiche: Solo patch di sicurezza
• Il CRA esenta esplicitamente le patch di sicurezza che non cambiano la funzione prevista

Risultato: Siete ancora importatori. Questo è lo scenario esentato.

Strategie per Restare Importatori

Se volete evitare gli obblighi da fabbricante:

1. Mantenere il Branding Originale

Mantenete nome e marchio del fabbricante visibili. La vostra azienda può essere identificata come importatore/distributore.

2. Nessuna Modifica al Prodotto

Non toccate firmware, hardware o configurazione rilevante per la sicurezza. Quello che importate è quello che vendete.

3. Documentare Tutto

Mantenete registri che mostrano:

• Il prodotto non è modificato
• Il branding del fabbricante originale è mantenuto
• Avete verificato la conformità del fabbricante

4. Lavorare con i Fabbricanti

Se avete bisogno di personalizzazione:

• Fate fare le modifiche al fabbricante
• Assicuratevi che la loro DoC copra la versione personalizzata
• Mantenete il vostro status di importatore

Come CRA Evidence Aiuta

CRA Evidence supporta sia importatori che fabbricanti:

Per gli Importatori:

• Flussi di verifica fabbricanti
• Tracciamento conformità fornitori
• Storage documentazione per obblighi importatore

Per i Fabbricanti (incluso post-escalation):

• Template valutazione rischi
• Gestione fascicolo tecnico
• Gestione SBOM per prodotti modificati
• Flusso gestione vulnerabilità
• Tracciamento periodo di supporto

Comprendete il vostro ruolo con app.craevidence.com.

Guide Correlate

• Obblighi degli Importatori CRA: Cosa Verificare Prima di Immettere Prodotti sul Mercato UE
• Prodotti White-Label e OEM sotto il CRA: Chi e il Fabbricante?
• Conformita CRA Multi-Ruolo: Quando Siete Fabbricante, Importatore e Distributore

Questo articolo è fornito solo a scopo informativo e non costituisce consulenza legale. Per una consulenza di conformità specifica, consultare un consulente legale qualificato esperto in regolamentazioni prodotti UE.