Il mandatario CRA, o rappresentante autorizzato, è una persona fisica o giuridica stabilita nell'UE che il fabbricante può nominare con mandato scritto per custodire i documenti di conformità, rispondere alle richieste motivate delle autorità e cooperare con la vigilanza del mercato. La nomina è facoltativa ai sensi del Cyber Resilience Act, anche per i fabbricanti extra UE. Il ruolo è utile quando il fabbricante vuole un contatto regolatorio nell'UE, ma non trasferisce ingegneria di cibersicurezza, gestione delle vulnerabilità, valutazione della conformità o obblighi dell'importatore dal fabbricante o dall'importatore.
Riepilogo
- La nomina è facoltativa. I fabbricanti CRA possono nominare un mandatario, ma il CRA non lo impone come condizione di accesso al mercato UE.
- Il mandato è limitato. Il mandatario può conservare la Dichiarazione UE di conformità e la documentazione tecnica, fornirle alle autorità su richiesta motivata e cooperare sulle azioni di riduzione dei rischi.
- I compiti centrali del fabbricante restano in capo a quest'ultimo. Cibersicurezza del prodotto, valutazione dei rischi, gestione delle vulnerabilità, redazione della documentazione tecnica, valutazione della conformità e controlli di produzione restano al fabbricante.
- Gli obblighi dell'importatore sono separati. L'importatore esiste per fatto della catena di fornitura; il mandatario esiste solo per mandato scritto. Una stessa entità UE può ricoprire entrambi i ruoli, ma la documentazione e gli obblighi sono distinti.
- L'esposizione sanzionatoria segue il dovere violato. Le violazioni degli obblighi del fabbricante ricadono nel livello sanzionatorio più alto; le violazioni del mandato del mandatario ricadono nel livello importatori/distributori.
- Le scadenze contano. Le notifiche del fabbricante iniziano l'11 settembre 2026; la maggior parte della preparazione operativa del mandatario appartiene all'avvio del regime dell'11 dicembre 2027.
- Le date contano. Le segnalazioni del fabbricante iniziano l'11 settembre 2026; la preparazione operativa rilevante per il mandatario riguarda soprattutto l'avvio del regime l'11 dicembre 2027.
Conviene nominare un mandatario?
La scelta del mandatario è una decisione operativa, non un requisito di accesso al mercato CRA. I fattori che seguono coprono il ragionamento tipico. Nessuno di essi crea un obbligo giuridico; il CRA non sanziona l'assenza di un mandatario.
| Fattore | A favore della nomina | A favore di non nominare |
|---|---|---|
| Presenza UE del fabbricante | Il fabbricante è stabilito fuori dall'Unione e non dispone di un ufficio UE che possa farsi credibilmente carico della corrispondenza con la vigilanza del mercato. | Il fabbricante è stabilito nell'UE o ha una controllata UE che gestisce già la corrispondenza regolatoria. |
| Altri strumenti UE | Il prodotto rientra anche nel Regolamento dispositivi medici (MDR), che impone un mandatario ai fabbricanti extra UE di dispositivi medici, oppure usate già un rappresentante o fornitore di compliance RED. Riutilizzare lo stesso studio per l'ambito CRA può semplificare l'operatività. | Il prodotto ricade solo nel CRA, senza obbligo parallelo di mandatario MDR e senza un accordo RED di rappresentanza già in essere. |
| Corrispondenza con le autorità | Si vuole che la corrispondenza con la vigilanza del mercato passi da un contatto UE locale, nella lingua e nel fuso orario dello Stato membro competente. | Si è in grado di gestire le risposte alle richieste motivate direttamente dalla sede del fabbricante. |
| Custodia documentale | Si vuole che la conservazione decennale della Dichiarazione UE di conformità e della documentazione tecnica sia in capo a un custode stabilito nell'UE. | Si gestisce già una piattaforma interna di evidenze che mantiene la documentazione accessibile alle autorità su richiesta. |
| Canale di importazione | Più importatori e distributori UE: si vuole un unico mandatario sul canale invece di frammentare la responsabilità. | Un unico importatore UE di fiducia che esegue già la verifica all'ingresso e la conservazione dei documenti. |
La maggior parte dei fabbricanti extra UE nei settori regolati finisce per nominare un mandatario perché la semplificazione operativa vale più della parcella del mandato, non perché il CRA lo imponga.
Cosa può coprire il mandato
Il mandato scritto trasforma il mandatario in custode documentale e in interfaccia verso le autorità. Può essere più ristretto o più ampio sul piano contrattuale, ma ai fini del CRA deve almeno consentire al mandatario di svolgere i tre compiti seguenti.
| Compito | Cosa fa il mandatario |
|---|---|
| Custodia documentale | Conservare la Dichiarazione UE di conformità e la documentazione tecnica per almeno 10 anni dopo l'immissione sul mercato, o per il periodo di supporto se più lungo. |
| Richieste delle autorità | Fornire le informazioni e la documentazione necessarie a dimostrare la conformità quando un'autorità di vigilanza del mercato presenta una richiesta motivata. |
| Cooperazione sui rischi | Cooperare con le autorità di vigilanza del mercato, su loro richiesta, nelle azioni per eliminare i rischi del prodotto. |
Il mandato stesso è a sua volta un documento controllato: il mandatario deve fornirne copia alle autorità di vigilanza del mercato su richiesta.
Cosa non può essere delegato
Il mandato scritto non può spostare il lavoro centrale del fabbricante. Questi obblighi non possono essere delegati, qualunque sia il tenore del mandato.
| Blocco escluso | Cosa copre |
|---|---|
| Obblighi di prodotto e vulnerabilità | Cibersicurezza del prodotto, valutazione dei rischi di cibersicurezza, due diligence sui componenti, determinazione del periodo di supporto, disponibilità degli aggiornamenti di sicurezza e regole sul software modificato sostanzialmente. |
| Redazione della documentazione tecnica e valutazione della conformità | La redazione della documentazione tecnica resta responsabilità del fabbricante. Il mandatario può conservare il fascicolo risultante in base al mandato, ma non può crearlo né assumere la valutazione della conformità. |
| Controlli della produzione in serie | Il fabbricante resta responsabile della conformità continuativa dei prodotti che immette sul mercato. |
La linea pratica è netta: ingegneria, valutazione dei rischi, gestione delle vulnerabilità, valutazione della conformità e controlli sulla produzione in serie restano al fabbricante. Il mandatario è custode documentale e interfaccia verso le autorità, non un fabbricante sostitutivo.
Mandatario o importatore
Il ruolo del mandatario nasce da un mandato scritto. Il ruolo dell'importatore nasce dalla rotta commerciale di fornitura quando una persona stabilita nell'UE immette sul mercato dell'Unione un prodotto di un fabbricante extra UE. Non si sostituiscono l'uno all'altro in nessuna direzione.
| Mandatario | Importatore UE | |
|---|---|---|
| Attivatore | Facoltativo. Un fabbricante può nominare un mandatario con mandato scritto. | Status per definizione. Chiunque, stabilito nell'Unione, immetta sul mercato un prodotto recante il nome o il marchio di un fabbricante extra UE è l'importatore. |
| Origine | Mandato scritto del fabbricante a una persona fisica o giuridica stabilita nell'UE. | La rotta commerciale di fornitura. Nessuna nomina, nessun mandato. |
| Portata massima | Conservare la Dichiarazione UE di conformità e la documentazione tecnica per 10 anni o più; fornirle alla vigilanza del mercato su richiesta motivata; cooperare sulle misure correttive. Gli obblighi sostanziali del fabbricante sono esclusi dal mandato. | Verificare valutazione di conformità, marcatura CE, Dichiarazione UE di conformità e istruzioni per l'utente; conservare i documenti per 10 anni o più; cooperare con le autorità; notificare in caso di sospetta non conformità e di conoscenza di vulnerabilità. |
| Sostituisce l'altro? | No. La nomina di un mandatario non rimuove gli obblighi dell'importatore in capo a chi immette il prodotto sul mercato UE. | No. Gli obblighi dell'importatore esistono in modo autonomo. Non creano né rimuovono la nomina di un mandatario. |
| Stessa entità ammessa? | Sì. Una sola società UE può tenere insieme mandato di mandatario e ruolo di importatore, con documentazione scritta e copertura assicurativa separate per entrambi. | Stessa risposta. |
Implicazione pratica: la scelta del mandatario è indipendente da chi importa il prodotto. Un importatore UE non solleva il fabbricante da alcun obbligo di cibersicurezza, e un mandatario non solleva l'importatore da alcun obbligo dell'importatore. Se si vuole un unico partner UE che indossi entrambi i cappelli, è ammesso; serve un mandato CRA scritto distinto dal contratto commerciale di fornitura, con copertura assicurativa per entrambe le funzioni.
Cosa cercare nella scelta del mandatario
Se il panorama dei fornitori include studi affermati su MDR, RED o RoHS, è un punto di partenza ragionevole. I controlli specifici CRA elencati di seguito sono quelli che distinguono un mandatario funzionante da uno che faticherà quando arriverà la prima lettera dell'autorità.
| Verifica | Buon segnale |
|---|---|
| Domicilio | Entità giuridica stabilita nell'UE in uno Stato membro, con sede registrata e punto di contatto locale. |
| Assicurazione | Responsabilità civile professionale con copertura esplicitamente estesa all'ambito CRA e alle classificazioni di prodotto dell'CRA. |
| Esperienza di settore | Comprovata esperienza su MDR, sull'atto delegato cibersicurezza della direttiva RED o sulla direttiva RoHS. Sono gli studi che oggi stanno credibilmente ampliando l'attività verso il CRA. |
| Custodia documentale | Piattaforma in grado di rispettare l'obbligo di conservazione decennale del mandato, con audit trail a prova di manomissione ed export pronti per le autorità. |
| Responsabilità | Persona fisica nominata e responsabile verso le autorità, non una casella generica del team legale. |
| Lingua | Capacità di gestire la cooperazione sulle misure correttive nella lingua dell'autorità competente dello Stato membro interessato. |
Il mandato deve specificare per esteso i compiti CRA, ribadire gli obblighi del fabbricante non delegabili, fissare termini di preavviso e di risoluzione e definire la consegna in caso di cambio del mandatario. Lo si faccia rivedere da un avvocato esperto in conformità di prodotto UE.
Errori comuni
| Affermazione | Perché fallisce |
|---|---|
| "Siamo extra UE, quindi dobbiamo nominare un mandatario." | La nomina ai sensi del CRA è facoltativa anche per i fabbricanti extra UE. MDR può imporre un mandatario ai fabbricanti extra UE di dispositivi medici; la RED ha proprie regole sugli operatori economici, ma non rende obbligatoria la nomina CRA. |
| "Il nostro importatore UE è anche il nostro mandatario; un solo contratto copre entrambi." | I ruoli sono giuridicamente distinti. Gli obblighi dell'importatore si attaccano a chi immette il prodotto sul mercato; gli obblighi del mandatario si attaccano a chi detiene il mandato scritto. Si può combinare l'entità, ma le due funzioni vanno cartolarizzate separatamente. |
| "Il mandatario firma la nostra Dichiarazione UE di conformità." | La Dichiarazione UE di conformità è redatta e firmata dal fabbricante. Il mandatario può conservarla per la vigilanza del mercato, ma la dichiarazione di conformità resta un atto del fabbricante. |
| "Abbiamo delegato al mandatario la gestione delle vulnerabilità." | La gestione delle vulnerabilità resta al fabbricante. Il mandato non può includere gli obblighi centrali del fabbricante esclusi dal mandato stesso. |
| "Abbiamo esternalizzato la segnalazione degli incidenti al mandatario." | La segnalazione è un obbligo del fabbricante. Il mandatario può supportare le comunicazioni, ma l'obbligo di segnalazione resta in capo al fabbricante. |
| "Il mandato copre tutti i nostri prodotti, per sempre." | I mandati sono scritti, limitati nel tempo e nell'ambito di prodotto. Vanno aggiornati per ogni nuova linea, per ogni modifica sostanziale e a ogni cambio di mandatario. |
| "Non ci serve un mandato CRA; basta il nostro mandato MDR." | L'ambito del mandato MDR è specifico per il settore medico e non si estende automaticamente agli obblighi CRA. Va rifatto un mandato dedicato al CRA che elenchi i compiti di custodia documentale e cooperazione con le autorità e gli obblighi del fabbricante non delegabili. |
| "Il mandatario risponde dei difetti del prodotto." | Il mandatario risponde dei compiti elencati nel mandato. La responsabilità per difetti del prodotto e gli obblighi sostanziali di cibersicurezza restano al fabbricante, fatta salva l'eventuale esposizione separata di diritto nazionale. |
Domande frequenti
La nomina di un mandatario è obbligatoria ai sensi del CRA?
No. Il CRA rende la nomina del mandatario facoltativa, anche per i fabbricanti stabiliti fuori dall'Unione. La formulazione operativa è permissiva: un fabbricante può nominare un mandatario con mandato scritto. MDR può comunque imporre un mandatario ai fabbricanti extra UE di dispositivi medici quando quel regime si applica; la RED può coinvolgere un mandatario per mandato, ma non è un obbligo di nomina CRA.
Perché un fabbricante extra UE dovrebbe comunque nominare un mandatario CRA?
Semplificazione operativa, non costrizione giuridica. Un unico contatto legale stabilito nell'UE riduce gli attriti con la vigilanza del mercato, che spesso preferisce corrispondere con un'entità della propria giurisdizione e lingua. Il mandatario può conservare localmente la Dichiarazione UE di conformità e la documentazione tecnica per il periodo di conservazione richiesto. Molti fabbricanti extra UE già si appoggiano a un mandatario MDR o a un rappresentante di compliance RED e trovano più semplice estendere l'incarico all'ambito CRA. Un mandatario UE nominato accorcia anche i tempi di risposta verso le autorità quando arriva una richiesta motivata.
Cosa si può e cosa non si può delegare a un mandatario CRA?
Gli obblighi sostanziali di cibersicurezza non si possono delegare; si possono delegare solo custodia documentale e cooperazione con le autorità. Requisiti essenziali, gestione delle vulnerabilità, valutazione della conformità e controlli sulla produzione in serie restano al fabbricante. Il mandato deve coprire almeno tre cose: conservare la Dichiarazione UE di conformità e la documentazione tecnica per 10 anni o più, oppure per il periodo di assistenza se più lungo; fornire informazioni e documentazione alle autorità su richiesta motivata; cooperare sulle azioni intraprese per eliminare i rischi.
Qual è la differenza tra un mandatario CRA e un importatore UE?
Sono ruoli indipendenti. L'importatore è una persona stabilita nell'UE che immette sul mercato dell'Unione un prodotto recante il nome o il marchio di un fabbricante extra UE e porta gli obblighi dell'importatore a prescindere dall'esistenza di un mandatario. Il mandatario, quando nominato, assume i compiti elencati nel mandato. Non sono sostituibili: il ruolo dell'importatore è attivato dalla rotta commerciale di fornitura, quello del mandatario da un mandato scritto. Una stessa entità UE può ricoprire entrambi i ruoli, con documentazione separata.
Il mio importatore o distributore può fare anche da mandatario?
Sì. Il CRA non vieta a una stessa entità UE di tenere insieme il ruolo commerciale di importatore o distributore e un mandato di mandatario. Le funzioni restano giuridicamente distinte: l'importatore o il distributore porta gli obblighi derivanti dal rapporto commerciale di fornitura, mentre il mandatario porta gli obblighi derivanti da un mandato scritto. Per combinarli serve un mandato CRA separato, una copertura assicurativa di responsabilità professionale sufficiente per entrambi i ruoli e una linea contrattuale chiara fra le funzioni.
Il mandatario risponde dei difetti del prodotto o solo dei doveri documentali?
Il mandatario risponde dei doveri di documentazione e di cooperazione previsti dal mandato; la responsabilità per difetti del prodotto e la responsabilità sostanziale di cibersicurezza restano al fabbricante. L'ambito del mandato è circoscritto a custodia documentale, prontezza di risposta verso le autorità e cooperazione sulle misure correttive. Gli obblighi sostanziali del fabbricante non possono confluire nel mandato. Il diritto nazionale di alcuni Stati membri può ampliare ulteriormente l'esposizione del mandatario, quindi il mandato va redatto con attenzione.
Un mandatario CRA è la stessa cosa di un mandatario MDR o RED?
No, i regimi si sovrappongono ma non sono intercambiabili. L'MDR rende la nomina obbligatoria per i fabbricanti extra UE di dispositivi medici e impone obblighi più ampi specifici del settore medico, inclusa la vigilanza sui dispositivi. La RED usa un proprio quadro per mandatari e operatori economici, ma non rende obbligatoria la nomina CRA. Il CRA la rende facoltativa, con obblighi più ristretti centrati su documentazione, richieste delle autorità e cooperazione sulle misure correttive. Un mandatario MDR o rappresentante di compliance RED in essere può essere un buon punto di partenza, ma il mandato va rifatto per l'ambito CRA e per le regole di non-delegabilità.
Il mandatario firma la Dichiarazione UE di conformità?
No. La Dichiarazione UE di conformità è redatta e firmata dal fabbricante. Il mandatario, quando nominato, conserva la Dichiarazione firmata e la documentazione tecnica a disposizione delle autorità di vigilanza del mercato, ma l'atto di dichiarare la conformità è una responsabilità del fabbricante tenuta fuori dal mandato.
Posso cambiare mandatario dopo la nomina?
Sì. Il mandato è un contratto fra fabbricante e mandatario, e ciascuna parte può risolverlo nei termini previsti. Al cambio, il nuovo mandatario subentra nella custodia della documentazione tecnica e della Dichiarazione UE di conformità, e il fabbricante deve aggiornare le informazioni di contatto comunicate alle autorità di vigilanza del mercato. Si preveda una fase di consegna esplicita nel modello di mandato.