Wanneer importeurs fabrikanten worden onder de CRA: rolescalatie uitgelegd

U importeert een router uit Azië. U plaatst uw bedrijfslogo op de doos. Gefeliciteerd: u bent nu een fabrikant onder de CRA, met volledige conformiteitsbeoordelingsverplichtingen.

Dit artikel behandelt precies wanneer importeurs de grens naar het fabricantengebied overschrijden, en wat dat betekent voor uw compliance-last.

Samenvatting

• Importeurs worden fabrikanten wanneer: (1) producten onder eigen naam/merk worden geplaatst, of (2) substantiële wijzigingen worden aangebracht
• "Substantiële wijziging" = wijzigingen die cybersecurity of het doel van het product beïnvloeden
• Rolescalatie triggert volledige verplichtingen van Artikel 13 en 14 (risicobeoordeling, technisch dossier, conformiteitsbeoordeling, kwetsbaarheidsbeheer)
• Uitzondering: beveiligingspatches die de productfunctie niet wijzigen
• Plan hiervoor: handhaaf importeursstatus of bereid u voor op fabricantencompliance

Belangrijk: Als u een product substantieel wijzigt (rebranding, firmware aanpassen, integreren in een groter systeem), kunt u worden herclassificeerd als fabrikant onder de CRA met alle bijbehorende verplichtingen.

De twee triggers voor rolescalatie

Artikel 22 van de CRA bepaalt wanneer een importeur (of distributeur) als fabrikant wordt behandeld:

Trigger 1: Eigen naam of merk

Een product op de markt plaatsen onder uw eigen merk maakt u de fabrikant, ongeacht wie het daadwerkelijk heeft ontworpen en gebouwd.

U triggert dit wanneer:

• Uw bedrijfsnaam als "fabrikant" op de verpakking staat
• Uw handelsmerk/logo op het product staat
• Marketingmaterialen u als de productbron presenteren
• Klanten redelijkerwijs zouden denken dat u het product heeft gemaakt

Voorbeelden:

Trigger 2: Substantiële wijziging

Wijzigingen aanbrengen die het beoogde doel van het product of de naleving van CRA-vereisten beïnvloeden.

De test: Zou de originele conformiteitsbeoordeling nog steeds geldig zijn na uw wijzigingen?

Als uw wijzigingen betekenen dat het compliancewerk van de originele fabrikant niet langer van toepassing is, heeft u een substantiële wijziging aangebracht.

Wat telt als "substantiële wijziging"?

De CRA biedt geen uitputtende lijst. Het principe is: wijzigingen die de beveiligingspositie of het beoogde gebruik beïnvloeden.

Zeker substantieel

Zeker NIET substantieel

Grijze gebieden (zorgvuldig beoordelen)

Beslisboom: ben ik nog steeds importeur?

START: Product op EU-markt plaatsen
│
├─ Onder het merk van de originele fabrikant?
│   │
│   ├─ JA → Wijzigingen aanbrengen?
│   │         │
│   │         ├─ NEE → U bent IMPORTEUR
│   │         │       (Standaard importeursverplichtingen van toepassing)
│   │         │
│   │         └─ JA → Beïnvloedt wijziging:
│   │                   • Beoogd doel of gebruik?
│   │                   • CRA-cybersecuritycompliance?
│   │                   • Beveiligingsarchitectuur?
│   │                   │
│   │                   ├─ JA op enige → U bent FABRIKANT
│   │                   │               (Volledige fabricantenverplichtingen)
│   │                   │
│   │                   └─ NEE op alle → U bent IMPORTEUR
│   │                                  (Documenteer uw analyse)
│   │
│   └─ NEE (uw merk) → U bent FABRIKANT
│                        (Volledige fabricantenverplichtingen)

Wat fabricantenstatus betekent

Als u rolescalatie triggert, erft u de volledige set CRA-fabricantenverplichtingen:

Vóór marktplaatsing

Risicobeoordeling (Artikel 13):

• Voer een cyberbeveiligingsrisicobeoordeling uit voor uw gewijzigde product
• Documenteer bedreigingen, kwetsbaarheden en mitigaties
• Koppel risico's aan beveiligingsmaatregelen

Veilige ontwikkeling:

• Hoewel u het origineel niet heeft ontwikkeld, moet u ervoor zorgen dat het product (zoals gewijzigd) voldoet aan secure-by-design-principes
• Documenteer uw wijzigingsproces en de bijbehorende beveiligingsoverwegingen

Technische documentatie (Bijlage VII):

• Stel compleet technisch dossier op inclusief:
  • Productbeschrijving
  • Resultaten van risicobeoordeling
  • Beveiligingsarchitectuur (zoals gewijzigd)
  • SBOM (inclusief uw wijzigingen)
  • Bewijs van conformiteitsbeoordeling

Conformiteitsbeoordeling:

• Productclassificatie bepalen
• Passende beoordelingsroute voltooien (Module A, B+C of H)
• Als de originele fabrikant beoordeling door derde partij gebruikte, maken uw wijzigingen die waarschijnlijk ongeldig

EU-conformiteitsverklaring:

• Uw eigen DoC afgeven
• U bent de verantwoordelijke fabrikant
• DoC van de originele fabrikant is niet langer van toepassing

CE-markering:

• CE-markering aanbrengen onder uw verantwoordelijkheid
• U verklaart conformiteit, niet de originele fabrikant

Gedurende de supportperiode

Kwetsbaarheidsbeheer:

• Kwetsbaarheidsafhandelingsproces opzetten
• Kwetsbaarheden monitoren (ook in ongewijzigde componenten)
• Beveiligingsupdates leveren gedurende minimaal 5 jaar

Incidentrapportage:

• Actief misbruikte kwetsbaarheden melden aan ENISA (24u)
• Ernstige incidenten melden (24u)
• U bent verantwoordelijk, zelfs voor kwetsbaarheden in originele componenten

Klantcommunicatie:

• Notificaties van beveiligingsupdates verzorgen
• Supportkanalen handhaven
• Einde levensduur verantwoord afhandelen

Doorlopende verplichtingen

Post-markttoezicht:

• Uw product in het veld monitoren
• Kwetsbaarheidsmeldingen bijhouden
• Geleerde lessen implementeren

Bewaring van documentatie:

• Technisch dossier 10 jaar bewaren na het laatste exemplaar op de markt
• Audittrail van wijzigingen bijhouden

Praktische scenario's

Scenario 1: White-label elektronica

Situatie: U importeert generieke tablets uit Azië en verkoopt ze onder het "AcmeTab"-merk.

Analyse:

• Eigen handelsmerk: Ja → Trigger voor fabricantenstatus
• Wijzigingen: Zelfs zonder wijzigingen triggert de branding fabricantenstatus

Resultaat: U bent fabrikant. Volledige verplichtingen zijn van toepassing.

Wat u nodig heeft:

• Risicobeoordeling voor de tablet
• Technisch dossier (werk samen met leverancier om onderliggende documentatie te verkrijgen)
• Uw eigen conformiteitsbeoordeling
• Uw eigen DoC en CE-markering
• Kwetsbaarheidsbeheersproces
• Supporttoezegging van 5+ jaar

Scenario 2: Vooraf geconfigureerde netwerkapparatuur

Situatie: U importeert enterprise-routers en configureert ze vooraf met aangepaste firewallregels en VPN-instellingen vóór verkoop aan klanten.

Analyse:

• Eigen handelsmerk: Stel van niet (verkocht onder origineel merk)
• Wijzigingen: Configuratiewijzigingen
• Beïnvloeden wijzigingen beveiliging? Aangepaste firewallregels = beveiligingsrelevante configuratie

Resultaat: Waarschijnlijk substantiële wijziging. U bent waarschijnlijk een fabrikant.

Betere aanpak: Werk samen met de originele fabrikant om "configuratieprofielen" te bieden die zij valideren, waardoor u importeur blijft.

Scenario 3: Beveiligingspatches toegepast

Situatie: U importeert IoT-apparaten. Vóór verkoop past u de nieuwste beveiligingspatches van de fabrikant toe.

Analyse:

• Eigen handelsmerk: Nee
• Wijzigingen: Alleen beveiligingspatches
• CRA sluit expliciet beveiligingspatches uit die de beoogde functie niet wijzigen

Resultaat: U bent nog steeds importeur. Dit is het uitgesloten scenario.

Documenteer: Bewaar gegevens die aantonen dat patches door de fabrikant werden geleverd en de functionaliteit niet wijzigden.

Scenario 4: Firmware-aanpassing voor klanten

Situatie: U importeert industriële controllers. Voor enterprise-klanten installeert u aangepaste firmware met extra functies.

Analyse:

• Eigen handelsmerk: Kan van toepassing zijn of niet
• Wijzigingen: Aangepaste firmware = zeker substantiële wijziging

Resultaat: U bent fabrikant voor die aangepaste exemplaren.

Opties:

• Twee trajecten handhaven: standaard (importeur) en aangepast (fabrikant)
• Samenwerken met fabrikant om aangepaste firmware officieel te laten ondersteunen
• Fabricantenstatus aanvaarden en compliance-infrastructuur opbouwen

Scenario 5: Hardware-bundeling

Situatie: U importeert beveiligingscamera's en bundelt ze met een NVR (netwerk-videorecorder) van een derde partij als "compleet systeem."

Analyse:

• Eigen handelsmerk: Als verkocht als "AcmeSecurity Systeem," ja
• Wijzigingen: Bundeling creëert een nieuw "product" als het als geïntegreerd wordt verkocht
• Beveiligingsgrenzen: NVR + camera's = ander beveiligingsprofiel dan camera's alleen

Resultaat: Waarschijnlijk fabrikant voor het gebundelde systeem.

Alternatief: Als afzonderlijke producten verkopen, duidelijk onderscheiden, met originele branding.

Strategieën om importeur te blijven

Als u fabricantenverplichtingen wilt vermijden:

1. Originele branding handhaven

Naam en handelsmerk van de fabrikant zichtbaar houden. Uw bedrijf kan als importeur/distributeur worden geïdentificeerd.

2. Geen productwijzigingen

Firmware, hardware of beveiligingsrelevante configuratie niet aanraken. Wat u importeert, is wat u verkoopt.

3. Alles documenteren

Gegevens bewaren die aantonen:

• Product is ongewijzigd
• Originele fabrikantbranding gehandhaafd
• U de compliance van de fabrikant heeft geverifieerd

4. Samenwerken met fabrikanten

Als u aanpassingen nodig heeft:

• Laat de fabrikant de wijzigingen doorvoeren
• Zorg ervoor dat hun DoC de aangepaste versie dekt
• Handhaaf uw importeursstatus

Voorbereiding op fabricantenstatus

Als rolescalatie onvermijdelijk is of strategisch gewenst:

Compliance-infrastructuur

Bouw de capaciteiten die fabrikanten nodig hebben:

Leveranciersrelaties

Zelfs als fabrikant bent u afhankelijk van originele leveranciers:

• Toegang tot technische documentatie: U heeft onderliggende details nodig
• Kwetsbaarheidsinformatie: Zij ontdekken problemen misschien eerst
• Ondersteuning van componenten: Hun support beïnvloedt uw vermogen om het product te onderhouden
• Contractuele verplichtingen: Zorg ervoor dat zij u ondersteunen voor uw supportperiode

Kostenoverwegingen

Fabricantenstatus verhoogt kosten:

Modelleer deze kosten vóórdat u besluit fabricantenstatus te triggeren.

Veelgemaakte fouten

"Het is maar een sticker"

Fout. Uw merk op het product = fabricantenstatus, ongeacht of u andere wijzigingen heeft aangebracht.

Een sticker met uw logo transformeert u van importeur naar fabrikant.

"We verbeteren de beveiliging, niet wijzigen we die"

Riskant. Zelfs "verbeteringen" kunnen substantiële wijzigingen zijn.

Als uw verbetering de beveiligingsarchitectuur, het aanvalsoppervlak of de authenticatiemechanismen wijzigt, is het substantieel.

"De fabrikant zei dat we dat mochten"

Maakt niet uit. CRA-verplichtingen volgen uit wat u doet, niet welke toestemming u heeft.

De zegen van de fabrikant draagt hun compliance niet aan u over. Als u escalatie triggert, heeft u uw eigen compliance nodig.

"We houden gewoon beide rollen"

Gecompliceerd maar mogelijk. U kunt importeur zijn voor ongewijzigde producten en fabrikant voor gewijzigde.

Dit vereist duidelijke scheiding: verschillende SKU's, verschillende documentatie, verschillende supporttrajecten.

"Onze klanten vereisen wijzigingen"

Begrijp de implicaties. Klanteneisen vrijstellen u niet van de CRA.

Als klanten aanpassing nodig hebben:

• Laat de originele fabrikant het doen
• Aanvaard fabricantenstatus en prijs dienovereenkomstig
• Weiger de aanpassing

Rolbeoordelingschecklist

ROLBEOORDELINGSCHECKLIST

Product: _______________________________________
Leverancier/Fabrikant: _________________________
Datum: _________________________________________

BRANDINGANALYSE:
[ ] Product verkocht onder het merk van de originele fabrikant?
[ ] Onze bedrijfsnaam/logo NIET als fabrikant gepresenteerd?
[ ] Klant zou de originele fabrikant als bron identificeren?

Als een antwoord NEE → FABRICANTENSTATUS WAARSCHIJNLIJK

WIJZIGINGSANALYSE:
[ ] Geen firmwarewijzigingen (behalve fabriekspatches)?
[ ] Geen hardwarewijzigingen?
[ ] Geen beveiligingsrelevante configuratiewijzigingen?
[ ] Geen aanvullende software geïnstalleerd?
[ ] Geen connectiviteitswijzigingen?
[ ] Geen authenticatie-/autorisatiewijzigingen?

Als een antwoord NEE → Beoordeel of wijziging "substantieel" is

TEST SUBSTANTIËLE WIJZIGING:
Voor elke wijziging:
- Beïnvloedt het het beoogde doel? [ ] Ja [ ] Nee
- Beïnvloedt het cybersecuritycompliance? [ ] Ja [ ] Nee
- Zou de originele conformiteitsbeoordeling nog geldig zijn? [ ] Ja [ ] Nee

Als "Ja" op eerste twee of "Nee" op derde → SUBSTANTIEEL

RESULTAAT:
[ ] IMPORTEUR — Geen triggers geïdentificeerd
[ ] FABRIKANT — Trigger(s) geïdentificeerd:
    [ ] Eigen naam/handelsmerk
    [ ] Substantiële wijziging: _________________

BIJ FABRICANTENSTATUS:
[ ] Risicobeoordelingsproces ingesteld
[ ] Opstelling technisch dossier gepland
[ ] Conformiteitsbeoordelingsroute geselecteerd
[ ] Kwetsbaarheidsbeheerscapaciteit
[ ] Supportperiodeverbeintenis (minimaal 5 jaar)
[ ] Leveranciersovereenkomsten aanwezig

Beoordeeld door: ___________________________________
Datum: _________________________________________

Hoe CRA Evidence helpt

CRA Evidence ondersteunt zowel importeurs als fabrikanten:

Voor importeurs:

• Verificatieworkflows voor fabrikanten
• Bijhouden van leverancierscompliance
• Documentatieopslag voor importeursverplichtingen

Voor fabrikanten (inclusief na escalatie):

• Risicobeoordelingssjablonen
• Beheer van technisch dossier
• SBOM-afhandeling voor gewijzigde producten
• Kwetsbaarheidsbeheersworkflow
• Registratie supportperiode

Begrijp uw rol met app.craevidence.com.

Gerelateerde gidsen:

• CRA-verplichtingen voor importeurs: verificatiegids
• White-label en OEM-producten onder de CRA: wie is de fabrikant?
• Meerdere rollen onder de CRA: wanneer u fabrikant, importeur en distributeur tegelijk bent

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.