Se la Sua azienda rivende o fornisce un prodotto con elementi digitali sul mercato UE dopo il fabbricante o l'importatore, e non modifica il prodotto, la Legge sulla ciberresilienza normalmente la tratta come distributore. I distributori non ripetono la valutazione della conformità, ma devono verificare che gli artefatti visibili di conformità siano presenti prima di rendere disponibile il prodotto, fermare la vendita quando qualcosa manca o non è conforme, inoltrare a monte le informazioni sulle vulnerabilità, cooperare con la vigilanza del mercato e informare autorità e utenti se il fabbricante cessa l'attività.
Riepilogo
- È Lei il distributore? Di solito sì se rende disponibile il prodotto dopo l'importatore o un altro distributore e non ne incide sulle proprietà.
- Cosa va controllato prima della vendita o della fornitura? Marcatura CE, identificazione del prodotto, dati del fabbricante, informazioni utente, data di fine del periodo di supporto, accesso alla EU DoC, identificazione dell'importatore e documenti necessari.
- Quando bisogna fermarsi? Non renda disponibile il prodotto se il prodotto o i processi del fabbricante appaiono non conformi. Informi fabbricante e vigilanza del mercato in caso di rischio significativo di cibersicurezza.
- Cosa continua dopo la vendita? Seguito delle misure correttive, ritiro o richiamo se opportuno, informazioni sulle vulnerabilità al fabbricante e notifica alla vigilanza del mercato in caso di rischio significativo.
- Quali documenti devono essere pronti? Il distributore deve poter fornire informazioni e documenti di conformità su richiesta motivata; non esiste per i distributori una regola propria di conservazione decennale della EU DoC.
- Da quando si applicano gli obblighi? Gli obblighi principali del distributore si applicano dall'11 dicembre 2027.
Conformità del distributore in quattro numeri: sei blocchi di obblighi, sette punti da verificare prima della fornitura, la sanzione di secondo livello e la data di avvio.
Chi è un distributore ai sensi del CRA?
In pratica, il distributore CRA è l'attore della catena di fornitura che rende disponibile sul mercato dell'Unione un prodotto con elementi digitali dopo il fabbricante, l'importatore o un altro distributore, senza modificarne le proprietà. Il test ha tre parti: fa parte della catena di fornitura, non è il fabbricante o l'importatore, e rende disponibile il prodotto invariato.
Se è la prima entità UE che immette sul mercato dell'Unione un prodotto a marchio non UE, è l'importatore. Se commercializza il prodotto con il proprio nome o marchio, o modifica sostanzialmente un prodotto già immesso sul mercato, si applicano a Lei gli obblighi del fabbricante tramite il meccanismo di cambio di ruolo. Per l'insieme completo degli obblighi del fabbricante che si applica in quel caso, veda la guida del cluster fabbricante. Una regola separata copre altri terzi che non sono il fabbricante, l'importatore o il distributore. Per la matrice completa di classificazione dei ruoli, veda chi deve rispettare il CRA.
Obblighi principali del distributore
| Obbligo | Punto chiave | Fonte |
|---|---|---|
| Dovuta diligenza | Lo standard generale. Si applica a ogni atto di messa a disposizione, prima e dopo l'immissione sul mercato. | Articolo 20, paragrafo 1 |
| Verifica pre-mercato | Confermare la presenza della marcatura CE, il rispetto da parte del fabbricante degli obblighi di informazione sul prodotto, la presenza dell'identificazione dell'importatore e la consegna dei documenti necessari. | Articolo 20, paragrafo 2 |
| Rifiuto e informazione | In caso di sospetta non conformità con l'the essential cybersecurity requirements, non rendere disponibile il prodotto. In presenza di rischio significativo di cibersicurezza, informare il fabbricante e le autorità di vigilanza del mercato senza indebito ritardo. | Articolo 20, paragrafo 3 |
| Misure correttive e conoscenza delle vulnerabilità | Garantire le misure correttive, ritirare o richiamare a seconda dei casi. Informare il fabbricante delle vulnerabilità senza indebito ritardo. In presenza di rischio significativo di cibersicurezza, informare immediatamente le autorità di vigilanza del mercato di ogni Stato membro di fornitura. | Articolo 20, paragrafo 4 |
| Cooperazione con la vigilanza del mercato | Su richiesta motivata, fornire tutte le informazioni e la documentazione necessarie a dimostrare la conformità, in una lingua facilmente comprensibile per l'autorità. | Articolo 20, paragrafo 5 |
| Cessazione dell'attività del fabbricante | Informare senza indebito ritardo le autorità di vigilanza del mercato e informare gli utenti con qualsiasi mezzo disponibile. | Articolo 20, paragrafo 6 |
Distributore vs importatore
Il criterio giuridico è quale parte immetta per prima il prodotto sul mercato dell'Unione.
| Aspetto | Distributore | Importatore |
|---|---|---|
| Posizione | Chiunque nella catena di fornitura dopo l'importatore, diverso dal fabbricante | Prima entità UE che immette sul mercato dell'Unione un prodotto a marchio non UE |
| Verifica | Basata sulla presenza: CE, obblighi del fabbricante in materia di informazioni sul prodotto, identificazione dell'importatore e documenti necessari | Sostanziale: verifica pre-immissione completa dell'importatore, comprese valutazione di conformità eseguita e documentazione tecnica redatta |
| Attivatore di rifiuto | Non conformità con l'the essential cybersecurity requirements | Stessa ipotesi più il fallimento di uno qualsiasi dei controlli pre-mercato |
| Conoscenza delle vulnerabilità | Informare il fabbricante; in caso di rischio significativo informare le autorità di vigilanza del mercato di ogni Stato membro di fornitura | Stesso ambito |
| Documentazione | Nessuna conservazione pluriennale specifica; cooperazione su richiesta motivata | Conservazione della EU DoC per 10 anni o per il periodo di supporto, a seconda di quale sia più lungo |
| Livello sanzionatorio | 10 000 000 EUR o 2% | 10 000 000 EUR o 2% (stesso livello) |
Per il dettaglio dello stesso confine dal lato dell'importatore, si veda importatore vs distributore nella pagina dell'importatore. La valutazione di conformità, la EU DoC e il fascicolo tecnico sono responsabilità del fabbricante; il distributore verifica gli artefatti visibili: marcatura CE, riferimento alla DoC, informazioni utente e capacità di produrre documenti.
Cosa devono controllare i distributori prima della fornitura
Il Suo compito non è ripetere la valutazione di conformità. È confermare che gli artefatti visibili di conformità siano presenti e fermare la fornitura se qualcosa manca, è stato rimosso, è obsoleto o dà motivo di dubitare della conformità.
Esegua questa lista di controllo prima che qualsiasi unità sia resa disponibile sul mercato UE.
- CE visibile, leggibile e indelebile sul prodotto o sulla targhetta dati.
- CE solo sull'imballaggio è ammessa solo se la marcatura sul prodotto non è possibile.
- Il numero dell'organismo notificato segue la marcatura CE quando questo è intervenuto.
CE è la dichiarazione di conformità del fabbricante. Veda la guida alla valutazione di conformità.
- Tipo, lotto, numero di serie o altro identificatore di prodotto presente.
- Identificatore presente sul prodotto, sull'imballaggio o sul documento di accompagnamento, a seconda dei casi.
- Identificatore coerente con la spedizione, lo SKU o il lotto fornito.
Senza un identificatore tracciabile, richiamo e misure correttive diventano impossibili.
- Nome del fabbricante, denominazione commerciale o marchio sono presenti.
- Indirizzo postale e contatto digitale sono presenti.
- I dati compaiono anche nelle informazioni utente quando richiesto.
Servono per instradare domande, difetti e informazioni sulle vulnerabilità verso monte.
- Informazioni e istruzioni utente accompagnano il prodotto.
- La lingua è adatta agli utenti e alla vigilanza del mercato dello Stato membro di fornitura.
- Sono incluse indicazioni su configurazione sicura, supporto e segnalazione delle vulnerabilità.
Istruzioni solo in inglese non bastano per ogni mercato UE.
- La data di fine del periodo di supporto è mostrata prima dell'acquisto.
- La data include almeno il mese e l'anno.
- La EU DoC completa è inclusa oppure la DoC semplificata indica l'URL esatto della versione completa.
Mese e anno mancanti o una DoC non raggiungibile bloccano la fornitura.
- Nome, indirizzo postale e contatto digitale dell'importatore UE sono presenti quando esiste un importatore.
- L'identificazione dell'importatore non è stata rimossa o nascosta.
- Riferimento alla DoC, informazioni utente e contatti di filiera possono essere prodotti alle autorità.
Le autorità si aspettano questo set già alla prima richiesta; elementi mancanti attivano la procedura di rifiuto.
La fornitura si ferma fino alla chiusura della lacuna. Un prodotto senza informazioni utente in lingua locale, senza identificazione dell'importatore ove richiesta, senza una DoC raggiungibile o senza una data di fine supporto con mese e anno non dovrebbe essere reso disponibile.
Quando la verifica fallisce
Un controllo del distributore fallito significa che il prodotto resta fuori dal mercato finché la conformità non è ripristinata. Se il problema crea un rischio significativo di cibersicurezza, il distributore deve informare il fabbricante e la vigilanza del mercato senza indebito ritardo.
- Fermare. Non rendere disponibile il prodotto sul mercato dell'Unione finché la conformità non è ripristinata. Stoccaggio e reso al fornitore restano possibili; la vendita agli utenti finali no.
- Documentare. Registrare quale elemento della lista è fallito, se riguarda il prodotto o i processi del fabbricante, la data e il firmatario.
- Notificare a monte per iscritto. Informare il fabbricante (e l'importatore, se pertinente) della lacuna e dei documenti richiesti.
- Valutare il rischio di cibersicurezza. Il rischio significativo va alla vigilanza del mercato senza indebito ritardo. Le lacune non significative seguono il flusso di risoluzione a monte.
- Risolvere o respingere. Rendere disponibile il prodotto solo quando tutti gli elementi della lista passano. Altrimenti restituirlo al fornitore.
Dopo la fornitura: misure correttive e conoscenza delle vulnerabilità
Due doveri continuano per tutto il periodo in cui il prodotto è reso disponibile:
Se sa o ha motivo di credere che il prodotto o i processi del fabbricante non siano conformi, faccia escalation a monte e si assicuri che misure correttive, ritiro o richiamo avvengano quando appropriato. La correzione tecnica resta in capo al fabbricante, ma la fornitura successiva si ferma finché il problema non è gestito.
Quando apprende di una vulnerabilità, informi il fabbricante senza indebito ritardo. Se il prodotto presenta un rischio significativo di cibersicurezza, notifichi la vigilanza del mercato in ogni Stato membro in cui lo ha fornito. Il fabbricante gestisce separatamente il flusso di segnalazione a ENISA tramite il [flusso di segnalazione delle vulnerabilità](/cra-compliance/vulnerability-reporting).
Richieste delle autorità e cessazione dell'attività del fabbricante
Fornisca ciò che le viene chiesto, nella lingua locale. Quando un'autorità di vigilanza del mercato formula una richiesta motivata, fornisca le informazioni e i documenti necessari a dimostrare la conformità del prodotto e dei processi del fabbricante, in formato cartaceo o elettronico e in una lingua facilmente comprensibile dall'autorità. Cooperi anche alle misure adottate per eliminare i rischi di cibersicurezza presentati dai prodotti che ha fornito.
Per il distributore non vale alcun obbligo di conservazione decennale. Non esiste una regola pluriennale propria dei distributori analoga a quella dell'importatore di conservare la EU DoC per 10 anni o per il periodo di supporto. La base pratica è il set documentale elencato sopra alla voce "Importatore e set documentale": conservato mentre il distributore rende disponibile il prodotto, recuperabile su qualsiasi richiesta motivata durante tale periodo, più una coda ragionevole per coprire le richieste delle autorità dopo la commercializzazione.
Se il fabbricante cessa l'attività, informi autorità e utenti. Se il fabbricante cessa l'attività e non può più adempiere, informi senza indebito ritardo le autorità di vigilanza del mercato competenti e informi gli utenti con qualsiasi mezzo disponibile e nella misura del possibile. Gli importatori hanno lo stesso dovere di notifica alla cessazione, quindi le notifiche di distributore e importatore di solito procedono in parallelo.
Errori comuni
| Affermazione | Perché fallisce |
|---|---|
| "Il nostro fornitore è nell'UE, quindi non siamo l'importatore; questo ci rende distributori per default." | Lo status di distributore richiede anche di non incidere sulle proprietà del prodotto. Reimballaggio, rebranding, software preinstallato o modifiche di configurazione possono attivare gli obblighi del fabbricante. |
| "Non abbiamo bisogno di controllare nulla; l'importatore lo ha già fatto." | Il controllo del distributore è separato e basato sulla presenza: CE presente, informazioni sul prodotto del fabbricante presenti, identificazione dell'importatore presente e documenti necessari forniti. La verifica dell'importatore non esonera il distributore dal proprio controllo. |
| "Le informazioni utente in inglese bastano per tutta l'UE." | Le informazioni utente devono essere in una lingua facilmente comprensibile da utenti e vigilanza del mercato dello Stato membro interessato. Fornire solo la versione inglese in uno Stato membro le cui autorità e i cui utenti non lavorano in inglese fa fallire il controllo del distributore. |
| "Inoltriamo le notifiche di vulnerabilità una volta al mese insieme agli altri aggiornamenti commerciali." | Le informazioni sulle vulnerabilità devono andare al fabbricante senza indebito ritardo e i rischi significativi di cibersicurezza devono andare immediatamente alla vigilanza del mercato. La trasmissione mensile in blocco viola entrambi gli standard. |
| "La segnalazione a ENISA è compito del fabbricante, quindi ignoriamo le vulnerabilità." | Il flusso di segnalazione a ENISA è del fabbricante, ma il dovere di informare il fabbricante e il dovere di informare le autorità di vigilanza in caso di rischio significativo sono del distributore. Il silenzio viola l'obbligo post-mercato. |
| "Possiamo continuare a vendere le unità già in magazzino dopo aver scoperto una lacuna linguistica nelle informazioni utente; si fermano solo le nuove spedizioni." | L'ulteriore messa a disposizione del prodotto non conforme si ferma indipendentemente da dove si trovino fisicamente le unità. Lo stock esistente viene trattenuto, non smaltito. |
| "Togliere l'etichetta di contatto dell'importatore protegge la privacy dei nostri partner di canale." | L'identificazione dell'importatore deve restare sul prodotto, sull'imballaggio o sul documento di accompagnamento. Rimuoverla rende il prodotto non conforme per la fornitura del distributore. |
| "Non abbiamo bisogno di conservare documenti; siamo solo rivenditori." | Il distributore deve poter fornire il set documentale su richiesta motivata, nella lingua dell'autorità. Un distributore che non riesce a produrre il riferimento alla DoC, le informazioni utente o i contatti di filiera è in violazione anche quando il prodotto è conforme. |
Domande frequenti
Cos'è un distributore ai sensi del CRA?
Un anello della catena di fornitura UE che trasmette il prodotto senza alterarlo. Il ruolo è definito dalla posizione (dopo l'importatore, prima dell'utente finale) e dalla neutralità verso il prodotto (nessun rebranding, nessuna modifica software, nessuna configurazione che cambi la finalità prevista). Vi rientrano rivenditori, distributori a valore aggiunto che si limitano a creare bundle e partner di canale che si occupano solo di spedizione e fatturazione, purché lascino il prodotto così come il fabbricante lo ha immesso sul mercato. Se un importatore o distributore vende con il proprio nome o modifica sostanzialmente il prodotto, scatta l'interruttore degli obblighi del fabbricante.
Sono distributore o importatore?
Il confine è la prima immissione sul mercato. È importatore se è la prima entità UE che immette sul mercato dell'Unione un prodotto a marchio non UE. È distributore se rende disponibile il prodotto dopo l'importatore, senza incidere sulle sue proprietà. Se acquista un prodotto non UE da un'altra società UE che lo ha già importato, quell'altra società è l'importatore e Lei è il distributore. Se acquista direttamente dal fabbricante non UE e immette il prodotto sul mercato UE personalmente, è l'importatore, con il set di verifica più pesante e l'obbligo di conservazione decennale.
Sono distributore o fabbricante?
L'articolo 21 è il ponte normativo tra distributore (o importatore) e fabbricante. Ha due fattispecie, e si applicano entrambe sia agli importatori sia ai distributori:
"Un importatore o distributore è ritenuto un fabbricante ai fini del presente regolamento, ed è soggetto agli obblighi di cui agli articoli 13 e 14, quando immette sul mercato un prodotto con elementi digitali con il proprio nome o marchio commerciale o apporta una modifica sostanziale a un prodotto con elementi digitali già immesso sul mercato."
Le due fattispecie sono dunque: (a) l'immissione sul mercato del prodotto con nome o marchio commerciale proprio, oppure (b) una modifica sostanziale di un prodotto già immesso sul mercato. Rebranding in marca bianca, preinstallazione di software proprio, modifica della configurazione di sicurezza prima della rivendita, riconfezionamento che cambia la destinazione d'uso o modifica del firmware rompono il ruolo di distributore. Per importatori e distributori il passaggio è diretto: si diventa fabbricanti e si applica il regime completo del fabbricante. Per l'insieme completo degli obblighi che si applica allora, consulti la guida del cluster fabbricante.
Una regola separata e più stretta copre una persona che non è fabbricante, importatore o distributore: un riconfiguratore, integratore o modificatore terzo che prende un prodotto già immesso sul mercato, lo modifica sostanzialmente e lo mette a disposizione. Tale persona è considerata fabbricante. Ai sensi dell'articolo 22, paragrafo 2, gli obblighi del fabbricante si applicano "per la parte del prodotto con elementi digitali interessata da tale modifica sostanziale oppure, se la modifica sostanziale incide sulla cibersicurezza del prodotto con elementi digitali nel suo complesso, per l'intero prodotto". Questa disposizione non si applica se Lei è già importatore o distributore. Il meccanismo di cambio di ruolo per importatori e distributori copre il Suo caso.
Cosa deve verificare esattamente il distributore prima di rendere disponibile un prodotto?
Due controlli: presenza della marcatura CE e presenza della documentazione a monte. Il fabbricante deve aver soddisfatto identificazione del prodotto, identificazione del fabbricante, informazioni utente in una lingua dello Stato membro, data di fine del periodo di supporto con mese e anno e consegna della DoC. L'importatore deve aver soddisfatto il proprio dovere di identificazione. I documenti necessari devono essere stati forniti. Il controllo è basato sulla presenza, non è una ripetizione della valutazione di conformità.
Il distributore deve conservare la Dichiarazione UE di conformità per 10 anni?
No. L'obbligo di conservazione decennale o per il periodo di supporto della EU DoC ricade sull'importatore, non sul distributore. Il dovere documentale del distributore è fornire, su richiesta motivata di un'autorità di vigilanza del mercato, le informazioni e i documenti necessari a dimostrare la conformità, in una lingua facilmente comprensibile dall'autorità. La base pratica è il set documentale che il distributore utilizza per il proprio controllo in ingresso: riferimento alla DoC, informazioni utente nella lingua dello Stato membro di fornitura, contatti del fabbricante e dell'importatore.
Cosa fa il distributore quando viene a conoscenza di una vulnerabilità in un prodotto che ha fornito?
Informi immediatamente il fabbricante e, se il rischio è significativo, informi anche la vigilanza del mercato. Il primo dovere è la notifica a monte senza indebito ritardo. Il secondo è la notifica parallela alle autorità di vigilanza del mercato di ogni Stato membro di fornitura, con i dettagli della non conformità e di eventuali misure correttive adottate. Il flusso di segnalazione a ENISA resta del fabbricante, non del distributore.
Esistono esenzioni PMI per i distributori?
No. Gli obblighi del distributore si applicano indipendentemente dalle dimensioni. L'unica concessione CRA per le PMI sulle sanzioni amministrative riguarda i fabbricanti e i gestori di software open source. I distributori non rientrano in tale esclusione. Le autorità devono inoltre tenere conto delle dimensioni del soggetto quando determinano l'importo delle sanzioni nei singoli casi; è un fattore di commisurazione, non un'esenzione dall'obbligo.
Quando si applicano gli obblighi del distributore CRA?
Gli obblighi del distributore si applicano pienamente dall'11 dicembre 2027. A differenza dei fabbricanti, i distributori non hanno un termine separato e anticipato; il flusso di segnalazione a ENISA è dovere del fabbricante, non del distributore. Entro tale data, i distributori che rendono disponibili prodotti sul mercato dell'Unione devono avere in funzione un controllo in ingresso, un flusso di rifiuto, un flusso di conoscenza delle vulnerabilità e una capacità di produrre documenti.