Se la sua entità UE è la prima a immettere sul mercato UE un prodotto con elementi digitali a marchio extra-UE, la Legge sulla ciberresilienza normalmente la tratta come importatore. Gli importatori non eseguono l'intero programma di conformità del fabbricante, ma devono verificarlo prima dell'immissione sul mercato, rifiutare prodotti non conformi, identificarsi sul prodotto o sul materiale di accompagnamento, cooperare con la vigilanza del mercato e conservare la Dichiarazione UE di conformità.
Sintesi
- È l'importatore? Di norma è importatore quando la sua entità UE è la prima a immettere sul mercato dell'Unione un prodotto digitale a marchio extra-UE.
- Che cosa deve essere verificato prima dell'immissione sul mercato? Valutazione di conformità, documentazione tecnica, marcatura CE, Dichiarazione UE di conformità, istruzioni per l'utente, identificazione del prodotto, recapiti del fabbricante e data di fine del periodo di supporto.
- Quando deve rifiutare? Non immetta il prodotto sul mercato se il prodotto o i processi di gestione delle vulnerabilità del fabbricante non sono conformi. Informi il fabbricante e la vigilanza del mercato quando vi sia un rischio significativo per la cibersicurezza.
- Che cosa continua dopo l'immissione? Misure correttive, ritiro o richiamo, comunicazione delle vulnerabilità al fabbricante, cooperazione con la vigilanza del mercato e notifica se il fabbricante cessa le attività.
- Che cosa deve essere conservato? Conservi la Dichiarazione UE di conformità per 10 anni o per il periodo di supporto, a seconda di quale sia più lungo, e garantisca che la documentazione tecnica possa essere prodotta su richiesta.
- Da quando si applica? I principali obblighi dell'importatore si applicano dall'11 dicembre 2027.
Quattro verifiche, conservazione superiore a dieci anni, due livelli di sanzione a seconda che Lei sia davvero l'importatore: esposizione al livello importatore quando resta nel ruolo di importatore, esposizione al livello fabbricante quando l'escalation di ruolo rende applicabili gli obblighi del fabbricante.
Chi è importatore secondo il CRA?
In pratica, l'importatore CRA è l'entità stabilita nell'UE che immette per prima sul mercato dell'Unione un prodotto con elementi digitali a marchio extra-UE. Il test ha tre parti: l'entità è stabilita nell'Unione, è la prima a rendere il prodotto disponibile sul mercato dell'Unione, e il prodotto reca il nome o il marchio di una persona stabilita al di fuori dell'Unione.
Se il prodotto reca il suo nome o marchio, non agisce come importatore per quel prodotto; entra nel perimetro del fabbricante. Se un'altra entità UE ha già immesso il prodotto sul mercato, di norma è distributore. Se il fabbricante extra-UE l'ha soltanto nominata con mandato scritto e lei non immette il prodotto sul mercato, è rappresentante autorizzato. Per l'albero decisionale completo dei ruoli, veda chi deve rispettare il CRA.
Obblighi principali dell'importatore
Gli obblighi dell'importatore si raggruppano in quattro blocchi: cosa deve essere verificato prima dell'immissione sul mercato, quando l'importatore deve fermarsi, quali informazioni identificative devono comparire e cosa deve essere conservato o fornito dopo l'immissione.
| Dovere | Punto chiave |
|---|---|
| Conformità generale | Immettere sul mercato solo prodotti i cui requisiti di cibersicurezza e processi del fabbricante siano pronti per il CRA. |
| Verifica pre-immissione | Valutazione di conformità + documentazione tecnica + CE/DoC/istruzioni utente + ID prodotto, dati del fabbricante e data di fine supporto. L'importatore deve essere in grado di fornire i documenti che provano l'adempimento. |
| Dovere di rifiuto | Non immettere sul mercato se il prodotto o i processi non sono conformi. Informare il fabbricante e la vigilanza del mercato in caso di rischio significativo per la cibersicurezza. |
| Identificazione dell'importatore | Nome proprio, nome commerciale o marchio, indirizzo postale e contatto digitale sul prodotto, sull'imballaggio o sul documento di accompagnamento. |
| Misure correttive successive all'immissione | Ritiro o richiamo se del caso. Consapevolezza delle vulnerabilità: informare il fabbricante senza indebito ritardo; informare le autorità di vigilanza del mercato di ogni Stato membro di fornitura in caso di rischio significativo per la cibersicurezza. |
| Conservazione | Tenere la DoC a disposizione delle autorità per 10 anni o per il periodo di supporto, a seconda di quale sia più lungo. Garantire che la documentazione tecnica possa essere messa a disposizione su richiesta. |
| Cooperazione | Su richiesta motivata della vigilanza del mercato, fornire ogni informazione e documentazione in una lingua compresa dall'autorità. |
| Cessazione delle attività del fabbricante | Informare le autorità di vigilanza del mercato e, con ogni mezzo disponibile, gli utenti. |
Nessuno di questi obblighi prevede una soglia per le PMI. L'alleggerimento per le piccole imprese è ristretto: non elimina i doveri dell'importatore di verificare, rifiutare, identificarsi, conservare documentazione o cooperare.
Importatore vs Distributore
Il criterio legale è quale parte immette per prima il prodotto sul mercato dell'Unione.
| Aspetto | Importatore | Distributore |
|---|---|---|
| Posizione | Stabilito nell'Unione; immette sul mercato un prodotto recante il nome di una persona extra-UE | Chiunque renda il prodotto disponibile dopo l'importatore, senza incidere sulle sue proprietà |
| Verifica | Verifica pre-immissione completa, inclusi ID tipo/lotto, contatto del fabbricante e data di fine supporto | Verifica la presenza di CE, dati del fabbricante, periodo di supporto e artefatti DoC |
| Documentazione | Deve poter fornire documenti che provano la conformità; garantisce che la documentazione tecnica possa essere messa a disposizione su richiesta | Coopera con le autorità; verifica basata sulla presenza |
| Rifiuto | Fermare e informare quando prodotto o processi non sono conformi | Fermare e informare quando mancano CE, DoC o artefatti richiesti |
| Consapevolezza delle vulnerabilità | Informare il fabbricante senza indebito ritardo; informare la vigilanza del mercato in caso di rischio significativo in ogni Stato membro fornito | Stesso dovere nel proprio ambito; percorso tramite il fabbricante |
| Conservazione | DoC per 10 anni o periodo di supporto, a seconda di quale sia più lungo | Nessuna specifica; cooperare su richiesta |
| Livello di sanzione | 10 milioni di euro o 2% | 10 milioni di euro o 2% |
Denominare il ruolo «distribuzione» in un accordo privato non sposta l'obbligo di diritto pubblico. Se la sua entità immette per prima sul mercato dell'Unione un prodotto extra-UE, è l'importatore. Per il dettaglio lato distributore della stessa frontiera, consulta la guida del cluster distributore.
Le quattro verifiche pre-immissione sul mercato
1. Valutazione di conformità eseguita
Il fabbricante deve aver eseguito il percorso di valutazione appropriato alla classe del prodotto. Richieda la Dichiarazione UE di conformità che nomina il modulo di valutazione utilizzato e, ove sia stato coinvolto un organismo notificato, il numero del certificato. Il numero di identificazione a quattro cifre dell'organismo segue la marcatura CE solo per il Modulo H (garanzia qualità totale).
| Modulo | Quando |
|---|---|
| A controllo interno della produzione | Prodotti predefiniti; Classe I Importante solo quando norme, specifiche o schemi pertinenti sono applicati integralmente |
| B + C esame UE del tipo + controllo della produzione | Classe I Importante quando norme, specifiche o schemi pertinenti non sono applicati integralmente; Classe II Importante; percorsi di ripiego per prodotti Critici |
| H garanzia qualità completa | Alternativa a B+C per Classe I Importante come ripiego, Classe II Importante e percorsi di ripiego per prodotti Critici |
| Schema europeo di certificazione della cibersicurezza | Prodotti Critici quando il percorso di certificazione è stato attivato ed è disponibile uno schema applicabile; anche dove il CRA lo consente |
Consulti la guida al cluster sulla valutazione della conformità.
2. Documentazione tecnica redatta
L'importatore non è tenuto a detenere il fascicolo tecnico completo. Deve però avere evidenza che il fascicolo esiste e può essere prodotto alle autorità su richiesta. In pratica, chieda al fabbricante un indice della documentazione tecnica e un impegno scritto a produrre il fascicolo sottostante entro una finestra e in una lingua definite. Consulti la guida al cluster sulla documentazione tecnica.
3. CE, DoC UE e istruzioni utente
Tre artefatti devono accompagnare il prodotto.
| Artefatto | Vincolo |
|---|---|
| Marcatura CE | Visibile, leggibile, indelebile, sul prodotto o sulla targhetta; l'altezza della CE può essere inferiore a 5 mm, purché rimanga visibile e leggibile. Il numero di identificazione dell'organismo notificato a quattro cifre segue la marcatura solo per il Modulo H. Se non è possibile apporla sul prodotto, la CE può comparire sull'imballaggio, purché risulti anche nella dichiarazione UE di conformità. La CE solo sul cartone esterno senza essere nella DoC non è conforme. |
| DoC UE | DoC integrale con il prodotto oppure DoC semplificata che riporti l'esatto indirizzo internet della DoC integrale. Generici «requisiti di cibersicurezza» senza collegamento concreto ai requisiti essenziali sono un difetto. |
| Informazioni e istruzioni utente | In una lingua facilmente comprensibile dagli utenti e dalla vigilanza del mercato dello Stato membro interessato. Identità del fabbricante, destinazione d'uso prevista, data di fine del periodo di supporto, configurazione sicura, dismissione sicura, indirizzo per la segnalazione di vulnerabilità. |
4. ID prodotto, dettagli del fabbricante e fine del supporto
L'ultima verifica dell'importatore non è un altro certificato. È una verifica di presenza: il prodotto deve essere identificabile, il fabbricante deve essere identificabile e contattabile, e la data di fine del periodo di supporto deve essere disponibile al momento dell'acquisto.
| Dovere | Verifica dell'importatore |
|---|---|
| Tipo, lotto o numero di serie per l'identificazione del prodotto (o sull'imballaggio se il prodotto non può recarlo) | Confermare l'elemento sul prodotto o sull'imballaggio |
| Nome del fabbricante, nome commerciale o marchio, indirizzo postale, contatto digitale, riprodotti anche nelle informazioni utente | Confermare sul prodotto, sull'imballaggio o sul documento di accompagnamento |
| Data di fine del periodo di supporto specificata al momento dell'acquisto, comprensiva almeno di mese e anno | Confermare mese + anno visibili al punto vendita |
Un prodotto privo di una data di fine espressa con mese e anno non è conforme, indipendentemente dal superamento di ogni altra verifica.
Dovere adiacente da trattare come motivo di rifiuto: il punto di contatto unico deve permettere agli utenti di scegliere il mezzo di comunicazione preferito e non può essere limitato a strumenti automatizzati. Un contatto solo chatbot non è conforme. Senza un punto di contatto unico funzionante a monte, il flusso di segnalazione delle vulnerabilità è interrotto fin dal primo giorno.
La checklist informativa di prodotto in 9 punti (Allegato II)
Ogni prodotto con elementi digitali deve raggiungere l'importatore con nove specifiche informazioni. L'Allegato II del CRA fissa l'elenco e la verifica dell'importatore è una verifica di presenza: se manca anche un solo elemento, il prodotto non può essere immesso sul mercato.
Nome, denominazione commerciale registrata o marchio registrato, indirizzo postale, posta elettronica o altro contatto digitale e, ove disponibile, il sito web.
Al ricevimentoPresente sul prodotto, sull'imballaggio o sul documento di accompagnamento.
Punto di contatto unico per segnalare le vulnerabilità, con una politica di divulgazione coordinata (CVD) raggiungibile.
Al ricevimentoCanale non automatizzato, con politica di divulgazione coordinata raggiungibile.
Nome, tipo e qualsiasi altra informazione (lotto, numero di serie, modello) che consenta l'identificazione univoca del prodotto.
Al ricevimentoTipo, lotto o numero di serie visibile.
Finalità prevista, ambiente di sicurezza, funzionalità essenziali e proprietà di sicurezza.
Al ricevimentoDichiarate nelle informazioni utente.
Circostanze note o prevedibili che possono comportare rischi significativi per la cibersicurezza.
Al ricevimentoDocumentate nelle informazioni utente.
Se del caso, l'indirizzo Internet dove è accessibile la Dichiarazione UE di conformità completa.
Al ricevimentoURL funzionante, DoC completa.
Tipo di assistenza tecnica di sicurezza e data finale del periodo di assistenza.
Al ricevimentoData finale con almeno mese e anno.
Istruzioni dettagliate o un URL con uso sicuro, impatto delle modifiche, installazione degli aggiornamenti, smantellamento sicuro e disattivazione degli aggiornamenti automatici.
Al ricevimentoTutti i sotto-elementi presenti o raggiungibili tramite l'URL collegato.
Se il fabbricante mette a disposizione degli utenti la distinta base del software, l'indirizzo dove è possibile accedervi.
Al ricevimentoVerificare se l'SBOM è offerto e a quale URL.
Per il dettaglio su come il fabbricante produce ciascun elemento, veda la sezione corrispondente nella guida al cluster del fabbricante.
Verifica della Conformità del Fabbricante Extra-UE
Le assicurazioni verbali dei contatti commerciali non costituiscono prova sufficiente per la verifica dell'importatore. Inviare la richiesta di documentazione prima di firmare qualsiasi contratto di importazione.
Modello di Richiesta di Documentazione
Inviate quanto segue prima di firmare qualsiasi contratto di importazione:
OGGETTO: Richiesta Documentazione Conformità CRA
Stiamo valutando [prodotto / modello] per l'importazione nell'Unione Europea ai sensi
del Regolamento (UE) 2024/2847 (Cyber Resilience Act).
Si prega di fornire quanto segue prima di procedere con l'importazione:
1. Dichiarazione di Conformità UE (completa o semplificata), che citi i
requisiti essenziali di cibersicurezza e il modulo di valutazione della
conformità utilizzato, con il numero del certificato dell'Organismo
Notificato ove applicabile.
2. Indice della documentazione tecnica, più un impegno
scritto a fornire il fascicolo sottostante in [lingua] entro [X] giorni.
3. Conferma del periodo di supporto: almeno 5 anni o il periodo di utilizzo
previsto se inferiore, con motivazione.
4. Data di fine del periodo di supporto (mese e anno) come apparirà al punto
di acquisto.
5. Punto di contatto unico, con conferma che non è limitato a strumenti
automatizzati.
6. Politica di divulgazione coordinata delle vulnerabilità.
7. Evidenza del posizionamento della marcatura CE sul prodotto o sulla
targhetta.
8. Istruzioni per l'utente in [lingua dello Stato membro target].
Non possiamo immettere il prodotto sul mercato UE senza questa documentazione.
Finestra di risposta richiesta: [X] giorni lavorativi.
Valutazione delle Risposte
| Risposta | Azione |
|---|---|
| Documentazione completa fornita | Procedere con la revisione della verifica dell'importatore |
| Documentazione parziale, residuo "in corso" | Sospendere l'importazione; documentare la lacuna; non immettere sul mercato |
| "Siamo marcati CE ai sensi di un'altra normativa" | Insufficiente; CE ai sensi di EMC, RED o LVD non soddisfa il CRA. Richiedere DoC e documentazione tecnica specifici per il CRA. |
| "Il nostro prodotto è fuori dall'ambito del CRA" | Richiedere un'analisi dell'ambito per iscritto con classe di prodotto e base di esclusione; non importare sulla base di una dichiarazione verbale |
| "Il certificato dell'Organismo Notificato è in attesa" | La valutazione di conformità deve essere completata prima dell'immissione sul mercato; non importare |
| Punto di contatto unico limitato a un chatbot | Manca un canale di contatto non automatizzato; rifiutare |
| Data della DoC anteriore all'11 dicembre 2027, senza aggiornamento specifico CRA | Rifiutare |
| Numero dell'Organismo Notificato mancante su un prodotto di Classe II Importante o Critico | Rifiutare |
| Periodo di supporto inferiore a 5 anni senza motivazione basata sulla vita d'uso prevista | Rifiutare |
| Data di fine supporto senza mese e anno | Rifiutare |
| Istruzioni disponibili solo nella lingua nazionale del fabbricante | Rifiutare per lo Stato membro interessato |
| Rifiuto o mancata risposta | Non importare |
Segnali d'Allarme
- Testo della DoC copiato da un modello, senza una mappatura specifica del prodotto ai requisiti essenziali.
- Data della DoC anteriore all'11 dicembre 2027 senza indicazione di una versione aggiornata specifica per il CRA.
- Numero dell'Organismo Notificato mancante su un prodotto di Classe II Importante o Critico.
- Nessun punto di contatto unico per le vulnerabilità, o un contatto che non risponde al test.
- Periodo di supporto dichiarato inferiore a cinque anni senza giustificazione della vita d'uso prevista.
- Istruzioni disponibili solo nella lingua nazionale del fabbricante per un mercato target con una lingua ufficiale diversa.
Se il fabbricante non UE non ha stabilimento nell'Unione
Un fabbricante non UE che non ha lo stabilimento principale nell'Unione instrada le notifiche di vulnerabilità e incidenti attraverso una cascata di fallback. L'articolo 14, paragrafo 7 fissa l'ordine e la posizione dell'importatore conta in tale ordine. La cascata è:
"a) lo Stato membro in cui è stabilito il rappresentante autorizzato che agisce per conto del fabbricante per il maggior numero di prodotti con elementi digitali di tale fabbricante;
b) lo Stato membro in cui è stabilito l'importatore che immette sul mercato il maggior numero di prodotti con elementi digitali di tale fabbricante;
c) lo Stato membro in cui è stabilito il distributore che mette a disposizione sul mercato il maggior numero di prodotti con elementi digitali di tale fabbricante;
d) lo Stato membro in cui è situato il maggior numero di utilizzatori di prodotti con elementi digitali di tale fabbricante."
Due conseguenze pratiche per l'importatore. In primo luogo, se Lei è la maggiore presenza UE non riconducibile a un rappresentante autorizzato per questo fabbricante, il punto b) probabilmente rende il Suo Stato membro il CSIRT coordinatore per le notifiche di vulnerabilità e incidenti gravi. Confermi con il fabbricante se esiste un rappresentante autorizzato previsto dal punto a) e se il percorso attivo passa per lo Stato membro del rappresentante autorizzato o per il Suo.
In secondo luogo, il punto b) è basato sui volumi e può spostarsi tra importatori in base alle linee di prodotto. Tenga traccia dei volumi per fabbricante per Stato membro in modo che la pretesa di instradamento possa essere documentata se un CSIRT o un'autorità di vigilanza del mercato la richiede.
Quando la Verifica Fallisce: Passo per Passo
Una verifica fallita crea un dovere di fermarsi e informare. L'importatore deve tenere il prodotto fuori dal mercato UE finché il prodotto e i processi del fabbricante non siano resi conformi.
- Fermarsi. Non immettere il prodotto sul mercato UE. Le merci possono ancora entrare nei magazzini doganali o essere riesportate, ma l'immissione sul mercato è vietata fino a quando la non conformità non è risolta.
- Documentare. Registrare quale verifica preliminare ha fallito, quale evidenza era mancante o inadeguata, la data della determinazione e la sequenza di comunicazioni con il fabbricante.
- Notificare il fabbricante per iscritto. Indicare la lacuna di conformità specifica, la documentazione richiesta, la tempistica per la risposta e la conseguenza (nessuna importazione fino alla risoluzione).
- Valutare il rischio per la cybersecurity. Se il prodotto presenta un rischio significativo per la cybersecurity, informare l'autorità di sorveglianza del mercato dello Stato membro interessato e fornire tutta la documentazione disponibile.
- Risolvere o rifiutare. Procedere con l'importazione solo quando tutti e quattro i controlli sono soddisfatti e le preoccupazioni di rischio sono chiuse. Se la lacuna non può essere colmata entro la finestra dichiarata dal fabbricante, rifiutare l'importazione.
Dopo l'immissione sul mercato, il dovere dell'importatore passa a misure correttive, ritiro o richiamo ove appropriato, notifica al fabbricante delle vulnerabilità senza indebito ritardo e notifica alla vigilanza del mercato in ogni Stato membro di fornitura quando il prodotto presenta un rischio significativo per la cibersicurezza. Se il fabbricante ha cessato le attività, informi la vigilanza del mercato e, con ogni mezzo disponibile, gli utenti.
Se il fornitore cessa l'attività
Quando il fabbricante non UE cessa l'attività, l'importatore diventa il messaggero. Sorge un dovere di notifica, ma gli obblighi di assistenza del fabbricante non si trasferiscono all'importatore. L'articolo 19, paragrafo 8 ne fissa il presupposto:
"Qualora venga a conoscenza del fatto che il fabbricante di un prodotto con elementi digitali ha cessato l'attività e di conseguenza non è in grado di rispettare gli obblighi previsti dal presente regolamento, l'importatore di tale prodotto ne informa le autorità di vigilanza del mercato competenti nonché, con qualsiasi mezzo disponibile e nella misura del possibile, gli utilizzatori dei prodotti con elementi digitali immessi sul mercato."
Due soggetti devono essere informati: le autorità di vigilanza del mercato competenti e, ove possibile, gli utilizzatori dei prodotti già immessi sul mercato (con qualsiasi mezzo disponibile, nella misura del possibile). Il CRA in sé non impone all'importatore di assumersi l'assistenza di livello fabbricante, la gestione delle vulnerabilità, l'emissione di aggiornamenti di sicurezza o qualsiasi altro obbligo del fabbricante. Gli obblighi lato fabbricante terminano con il fabbricante.
La gestione dello stock è una decisione commerciale, non un obbligo di legge. L'importatore tipicamente sospende ogni ulteriore immissione dello stock interessato per limitare l'esposizione di supporto a valle, ma si tratta di gestione del rischio, non di un obbligo statutario. Se l'importatore vuole continuare a vendere, scatta l'escalation di ruolo: immettere il prodotto sul mercato con il proprio nome o marchio da quel momento in poi è il ponte di riqualificazione verso lo status di fabbricante, con tutti gli obblighi di ingegneria, valutazione di conformità e periodo di assistenza che ne derivano.
Importatore, distributore o fabbricante?
La pagina dell'importatore non deve contenere l'intera matrice dei ruoli. Usi l'albero decisionale dei ruoli CRA per la classificazione completa tra fabbricante, importatore, distributore, rappresentante autorizzato e steward open source.
Il fattore statutario di riqualificazione si trova all'articolo 3, punto 13:
"«fabbricante»: una persona fisica o giuridica che sviluppa o fabbrica prodotti con elementi digitali o che fa progettare, sviluppare o fabbricare prodotti con elementi digitali e li commercializza con il proprio nome o marchio, a titolo oneroso, di monetizzazione o gratuito"
La clausola "li commercializza con il proprio nome o marchio" è il fattore di riqualificazione. Apporre il Suo marchio UE su un prodotto OEM extra-UE La rende fabbricante dalla prima vendita in poi. Il ponte di riqualificazione instrada un importatore o distributore colpito da questo fattore direttamente nel regime del fabbricante. Una clausola residuale separata riguarda i terzi che non sono fabbricante, importatore o distributore. Se la Sua situazione La porta allo status di fabbricante, consulti la guida del cluster fabbricante per l'insieme completo degli obblighi del fabbricante.
Per il lavoro dell'importatore, il confine pratico è questo:
| Situazione | Ruolo CRA o conseguenza |
|---|---|
| Entità UE che immette per prima sul mercato dell'Unione un prodotto a marchio extra-UE | Importatore |
| Entità UE che rivende un prodotto a marchio extra-UE dopo che un'altra entità UE lo ha già immesso sul mercato | Distributore |
| Entità UE che immette il prodotto sul mercato con il proprio nome o marchio | Si applicano gli obblighi del fabbricante |
| Importatore o distributore che modifica sostanzialmente un prodotto già immesso sul mercato | Si applicano gli obblighi del fabbricante |
| Terzo che non è fabbricante, importatore o distributore e modifica sostanzialmente il prodotto rendendolo disponibile | Si applicano gli obblighi del fabbricante |
Il costo pratico del passaggio da importatore a fabbricante è elevato: la sua entità deve possedere o organizzare la documentazione tecnica, il percorso di valutazione di conformità, la Dichiarazione UE di conformità, il processo di gestione delle vulnerabilità, gli impegni sugli aggiornamenti di sicurezza e il percorso di segnalazione delle vulnerabilità. Mantenga visibile l'identità del fabbricante originale ed eviti cambiamenti rilevanti per la sicurezza se il modello dipende dal restare importatore.
Documentazione e Conservazione
Conservi la Dichiarazione UE di conformità a disposizione delle autorità di vigilanza del mercato per almeno 10 anni dopo l'immissione del prodotto sul mercato, o per il periodo di supporto se più lungo. Garantisca inoltre che la documentazione tecnica possa essere messa a disposizione su richiesta. Un prodotto con un periodo di supporto di 12 anni richiede quindi un piano di conservazione dell'importatore di 12 anni.
L'importatore conserva: la Dichiarazione UE di conformità, l'indice della documentazione tecnica e l'impegno del fabbricante a produrre il fascicolo sottostante, il proprio registro di verifica, la comunicazione con il fabbricante, registri doganali e di lotto con le date della prima immissione sul mercato, e registri di misure correttive e notifiche.
Quando la linea passa agli obblighi del fabbricante perché si vende con il proprio marchio o si modifica sostanzialmente il prodotto, si applica la regola di conservazione del fabbricante: stessa durata di 10 anni o periodo di supporto, più documentazione tecnica a proprio nome e l'intera catena probatoria della valutazione di conformità.
La conservazione digitale è accettabile. I file devono rimanere accessibili, leggibili e producibili in un termine ragionevole su richiesta dell'autorità, in una lingua da essa compresa.
Errori Comuni
| Affermazione | Perché non regge |
|---|---|
| "La marcatura CE significa che sono conformi." | La CE è solo un punto della verifica dell'importatore; Dichiarazione UE, disponibilità della documentazione tecnica, informazioni utente e fine del supporto devono comunque essere verificati. |
| "Il nostro fornitore è affidabile da anni." | La storia di conformità EMC, RED o LVD non copre gestione delle vulnerabilità CRA, periodo di supporto e percorsi di notifica. |
| "Assicurazioni verbali del contatto commerciale." | L'importatore ha bisogno di documentazione tracciabile; una promessa commerciale non sostituisce la verifica preventiva. |
| "Verificheremo dopo l'arrivo della spedizione." | La verifica deve avvenire prima dell'immissione sul mercato. Il deposito doganale è possibile; la messa a disposizione sul mercato no. |
| "È solo un adesivo con il nostro logo." | Se il prodotto è immesso sul mercato con il suo nome o marchio, si applicano gli obblighi del fabbricante. Il permesso privato non cambia il ruolo CRA. |
| "La regola di modifica ci rende fabbricanti se modifichiamo." | Per importatori e distributori, il passaggio diretto in caso di marchio proprio o modifica sostanziale è automatico. La regola residuale riguarda altri terzi. |
Segnali di procurement su specifici fornitori extra-UE. Nel 2021 il Parlamento europeo ha votato una risoluzione che limita il procurement interno delle telecamere termiche Hikvision. La risoluzione segnala un'attenzione politica verso un fornitore cinese di videosorveglianza espressamente citato, non costituisce un obbligo CRA, ma la due diligence dell'importatore sui marchi extra-UE di videosorveglianza dovrebbe trattare tali precedenti di procurement come parte del quadro di rischio più ampio, accanto alle quattro verifiche pre-mercato.
Domande Frequenti
Che cos'è un importatore ai sensi del CRA?
Un'entità UE che immette un prodotto di marchio non-UE sul mercato dell'Unione. Devono essere presenti tutti e tre gli elementi: essere stabiliti nell'Unione, essere i primi a rendere il prodotto disponibile sul mercato dell'Unione, e il prodotto reca il nome o il marchio di una persona stabilita fuori dall'Unione. Se il prodotto porta il proprio marchio, non si è l'importatore: si è il fabbricante.
Sono importatore o distributore?
La linea di demarcazione è la prima immissione sul mercato. Si è l'importatore se si è la prima entità UE a immettere sul mercato dell'Unione un prodotto di marchio non-UE. Si è il distributore se si rende il prodotto disponibile dopo l'importatore, senza modificarne le proprietà. Se si acquista un prodotto non-UE da un'altra società UE che lo ha già importato, quell'altra società è l'importatore e si è il distributore. Se si acquista direttamente dal fabbricante non-UE e si immette il prodotto sul mercato UE, si è l'importatore.
Importatore e rappresentante autorizzato: qual è la differenza?
Lavori diversi e la nomina del rappresentante autorizzato è permissiva, non obbligatoria. L'articolo 18, paragrafo 1 usa la parola "può", non "deve":
"Un fabbricante può nominare, mediante mandato scritto, un rappresentante autorizzato."
Il rappresentante autorizzato non è quindi obbligatorio per legge. Un fabbricante non UE può nominarne uno oppure no. In pratica, potrebbe essere necessario un rappresentante autorizzato o un importatore contrattualmente impegnato come contatto UE, ma è una realtà commerciale, non un obbligo del CRA.
Le descrizioni dei ruoli differiscono. Il rappresentante autorizzato è la custodia documentale per il fabbricante. L'importatore mette fisicamente il prodotto sul mercato. Il rappresentante autorizzato tiene la DoC UE e la documentazione tecnica a disposizione delle autorità di sorveglianza del mercato e coopera con tali autorità, ma non immette il prodotto sul mercato. L'importatore porta il dovere di verifica in quattro punti prima dell'immissione sul mercato. Un fabbricante non UE che nomina un rappresentante autorizzato per documentazione e cooperazione ha comunque bisogno di un importatore (o di una propria entità UE) per immettere effettivamente il prodotto sul mercato. La nomina del rappresentante autorizzato non trasferisce gli obblighi di ingegneria, valutazione dei rischi, gestione delle vulnerabilità o valutazione della conformità.
Esistono esenzioni per le PMI importatrici?
Nessuna esenzione dagli obblighi stessi. Gli obblighi dell'importatore si applicano indipendentemente dalle dimensioni. La concessione CRA per le PMI sulle sanzioni riguarda i fabbricanti, non gli importatori, e solo per le scadenze della notifica preliminare di 24 ore. La deroga sulle sanzioni per i gestori di software open source ai sensi dell'Articolo 64(10)(b) si applica ai gestori, non agli importatori. Le autorità devono tenere debito conto delle dimensioni del soggetto nel determinare l'importo delle sanzioni nei singoli casi, ma si tratta di un fattore di commisurazione, non di un'esenzione dall'obbligo.
Quando si applicano gli obblighi CRA per gli importatori?
Dall'11 dicembre 2027. Da quella data, nessun prodotto con elementi digitali può essere immesso sul mercato UE senza che l'importatore abbia eseguito la verifica preliminare. La segnalazione di vulnerabilità e incidenti inizia prima, l'11 settembre 2026, ma è un obbligo del fabbricante; il ruolo dell'importatore è verificare che il punto di contatto unico del fabbricante sia attivo e non limitato a strumenti automatizzati.
Il solo rebranding rende l'importatore un fabbricante?
Sì, in pratica. Se l'entità UE immette il prodotto sul mercato con il proprio nome o marchio, deve rispettare gli obblighi del fabbricante per quella linea. Per importatori e distributori, il passaggio diretto in caso di marchio proprio o modifica sostanziale è automatico; una regola separata riguarda altri terzi.
Le patch di sicurezza costituiscono mai una modifica sostanziale?
Non quando le patch sono emesse dal fabbricante originale e preservano la destinazione d'uso prevista, il comportamento e l'architettura di sicurezza del prodotto. Una patch che fa più che correggere una vulnerabilità, ad esempio aggiunge funzionalità, modifica l'autenticazione o espande la superficie di attacco, esce dall'esenzione.
Per quanto tempo un importatore deve conservare la Dichiarazione di Conformità UE?
Almeno 10 anni dall'immissione del prodotto sul mercato o per la durata del periodo di supporto, a seconda di quale sia più lungo. Un prodotto immesso nel 2028 con un periodo di supporto di 12 anni impone la conservazione fino al 2040. Lo stesso obbligo richiede all'importatore di garantire che la documentazione tecnica possa essere messa a disposizione su richiesta. L'archiviazione digitale è accettabile.
Cosa deve fare l'importatore se la documentazione presenta lacune?
Fermare e informare. Non immettere sul mercato fino a quando la lacuna non è colmata. Notificare il fabbricante per iscritto. Laddove il prodotto presenti un rischio significativo per la cybersicurezza, informare le autorità di sorveglianza del mercato dello Stato membro interessato. L'obbligo si estende anche ai fattori di rischio non tecnici. Le merci possono restare in deposito doganale mentre la lacuna è aperta.
Cosa accade alla marcatura CE del fabbricante originale quando l'entità UE diventa il fabbricante?
Non copre più il prodotto come immesso sul mercato dall'entità UE. L'entità UE emette la propria Dichiarazione UE di conformità e appone la CE sotto la propria responsabilità.
Il periodo di supporto di cinque anni riparte quando l'entità UE diventa il fabbricante?
Sì. Il periodo di supporto decorre dalla data in cui l'entità UE immette il prodotto ribattezzato o modificato sul mercato. Il minimo di cinque anni si applica, con l'eccezione che i prodotti la cui vita d'uso prevista è inferiore a cinque anni adottano un periodo di supporto pari alla vita d'uso prevista. Il costo ricade sulle risorse di supporto e sui contratti con i fornitori a monte.
L'entità UE ha bisogno di un organismo notificato se il fabbricante originale ne ha usato uno?
Per prodotti di Classe II Importante o Critici modificati sostanzialmente, quasi sempre sì. Il certificato originale era legato al prodotto come progettato; una modifica sostanziale lo invalida. Anche il solo cambio di marchio di un prodotto di Classe II Importante o Critico richiede una nuova Dichiarazione UE di conformità a nome dell'entità UE. Veda le guide su valutazione di conformità e classificazione del prodotto.