CRA-verplichtingen voor importeurs: wat te verifiëren vóór marktplaatsing in de EU

U importeert verbonden producten naar de EU. Onder de Cyber Resilience Act heeft u persoonlijke verificatieverplichtingen vóórdat u iets op de markt plaatst. Als de documentatie van uw leverancier onvolledig is, kunt u het product niet legaal verkopen.

Deze gids behandelt precies wat u moet controleren en wat u moet doen als leveranciers tekortschieten.

Samenvatting

• Importeurs moeten vóór marktplaatsing de voltooiing van de conformiteitsbeoordeling door de fabrikant verifiëren (Artikel 19)
• Vereiste controles: CE-markering, EU-conformiteitsverklaring, beschikbaarheid technische documentatie, contactinformatie
• Als verificatie mislukt, kunt u het product niet op de markt plaatsen; informeer de fabrikant en autoriteiten
• Importeurs die producten rebranden of substantieel wijzigen, worden fabrikanten (volledige verplichtingen zijn van toepassing)
• Bewaring van documentatie: minimaal 10 jaar

Belangrijk: Importeurs moeten VÓÓR marktplaatsing in de EU verifiëren dat de fabrikant een conformiteitsbeoordeling heeft uitgevoerd. U bent medeverantwoordelijk voor niet-conforme producten.

Wat de CRA van importeurs vereist

De Cyber Resilience Act (Verordening 2024/2847) stelt importeurs aan als poortwachters voor de EU-markt. Uw rol is te verifiëren dat niet-EU-fabrikanten hun compliancehomework hebben gedaan voordat hun producten Europese consumenten bereiken.

Dit is geen stempeloefening. Artikel 19 schept persoonlijke aansprakelijkheid voor importeurs die niet-conforme producten op de markt plaatsen.

Importeur vs. distributeur: belangrijkste verschillen

Als u de eerste entiteit bent die een product van buiten de EU op de EU-markt plaatst, bent u een importeur, ongeacht wat uw contracten zeggen.

De 6-punts verificatiechecklist

Verifieer vóór het plaatsen van een product met digitale elementen op de EU-markt alle zes punten:

1. Conformiteitsbeoordeling voltooid

De fabrikant moet de passende conformiteitsbeoordeling hebben uitgevoerd:

• Module A (zelfbeoordeling): Voor "standaard" categorie producten
• Module B+C (EU-typeonderzoek): Voor "Belangrijk Klasse II" producten
• Module H (volledig kwaliteitsborging): Alternatief voor Belang­rijke/Kritische producten

Vraag bewijs: de EU-conformiteitsverklaring (DoC) die verwijst naar de gebruikte beoordelingsmodule.

2. EU-conformiteitsverklaring aanwezig

De DoC moet bevatten:

• Naam en adres fabrikant
• Productidentificatie (model, type, serienummerbereik)
• Verklaring van conformiteit met essentiële CRA-vereisten
• Verwijzing naar toegepaste geharmoniseerde normen (indien van toepassing)
• Details aangemelde instantie (indien beoordeling door derde partij)
• Handtekening, datum en functie van ondertekenaar

Rode vlag: Een DoC die alleen verwijst naar generieke "cyberbeveiligingsvereisten" zonder specifieke CRA/Bijlage I-vermeldingen.

3. CE-markering correct aangebracht

Verifieer:

• CE-markering is zichtbaar, leesbaar en onuitwisbaar
• Minimale hoogte van 5mm (of proportioneel voor kleine producten)
• Op het product of verpakking (als productgrootte dit niet toelaat)
• Geen andere markeringen die de CE-betekenis kunnen verwarren

Rode vlag: CE-markering alleen op buitenste transportdoos, niet op verkoopverpakking.

4. Technische documentatie beschikbaar

U hoeft het volledige technische dossier niet te bezitten, maar u moet bevestigen:

• Technische documentatie bestaat
• Fabrikant zal deze op verzoek aan autoriteiten verstrekken
• Documentatie dekt CRA Bijlage VII-vereisten

Vraag een samenvatting van het technisch dossier of inhoudsopgave als bewijs.

5. Contactinformatie fabrikant aanwezig

Producten moeten tonen:

• Naam fabrikant
• Geregistreerde handelsnaam of handelsmerk
• Postadres voor contact
• URL of e-mail als enkel contactpunt (voor kwetsbaarheidsmeldingen)

Deze informatie moet op het product zelf staan, of als dat onmogelijk is, op verpakking en/of begeleidende documentatie.

6. Instructies in de taal van de doelmarkt

Gebruikersinstructies en veiligheidsinformatie moeten beschikbaar zijn in de officiële taal/talen van de lidstaat/lidstaten waar u het product verkoopt.

Voor EU-brede distributie: minimaal in het Engels. Bevestig aanvullende talen voor specifieke markten.

Hoe compliance van niet-EU-fabrikanten te verifiëren

Veel importeurs ontvangen zelfverzekerde garanties van buitenlandse leveranciers. Garanties zijn geen bewijs.

Het documentatieverzoek

Stuur fabrikanten dit verzoek vóórdat u zich verbindt tot import:

ONDERWERP: Verzoek om CRA-compliancedocumentatie

Wij evalueren [Productnaam/Model] voor import naar de Europese Unie.

Onder EU-Verordening 2024/2847 (Cyber Resilience Act) moeten importeurs
de compliance van de fabrikant verifiëren vóór marktplaatsing.

Verzoek om het volgende:

1. EU-conformiteitsverklaring (ondertekend, gedateerd)
2. Inhoudsopgave of samenvatting technisch dossier
3. Bevestiging van gebruikte conformiteitsbeoordelingsmodule
4. Bevestiging van plaatsing CE-markering (foto indien mogelijk)
5. Supportperiodeverklaring (minimaal 5 jaar vereist)
6. Kwetsbaarheidsbehandelingsbeleid / beveiligingscontactpunt

Zonder deze documentatie kunnen wij niet overgaan tot import.

Gevraagde termijn: [X werkdagen]

Reacties beoordelen

Rode vlaggen in fabrieksreacties

Let op deze waarschuwingssignalen:

• Generieke DoC: Sjabloontaal niet specifiek voor het product
• Verouderde datums: DoC dateert van vóór CRA-handhaving (suggereert niet-CRA-compliance)
• Ontbrekende aangemelde instantie: Voor Belangrijk Klasse II-producten is beoordeling door derde partij verplicht
• Geen beveiligingscontact: Vereist voor alle producten met digitale elementen
• "Wachtende" compliance: Product kan niet op de markt worden geplaatst terwijl compliance in behandeling is

Wat te doen als verificatie mislukt

Als een verificatiepunt mislukt, heeft u wettelijke verplichtingen:

Stap 1: Stop

Plaats het product niet op de EU-markt. Import voor opslag/wederuitvoer kan nog mogelijk zijn, maar marktplaatsing is verboden.

Stap 2: Documenteer

Registreer de specifieke non-compliancebevinding:

• Welk verificatiepunt mislukte
• Welk bewijs ontbrak of ontoereikend was
• Datum van bepaling
• Communicatie met fabrikant

Stap 3: Notificeer fabrikant

Informeer de fabrikant schriftelijk:

• Geïdentificeerde specifieke compliance-hiaten
• Vereiste documentatie om op te lossen
• Termijn voor reactie
• Consequentie: kan niet importeren totdat opgelost

Stap 4: Beoordeel risico

Als het product een cyberbeveiligingsrisico vormt (niet alleen documentatiehiaten):

• Melding doen bij markttoezichtautoriteit in de relevante lidstaat
• Alle beschikbare documentatie verstrekken
• Samenwerken met eventueel onderzoek

Stap 5: Los op of verwerp

Ga alleen over tot import wanneer:

• Alle zes verificatiepunten zijn voldaan
• Documentatie ontvangen en beoordeeld
• Eventuele risicozorgen geadresseerd

Wanneer importeurs fabrikanten worden

Onder Artikel 22 wordt u een fabrikant (met volledige verplichtingen) wanneer u:

Trigger 1: Eigen naam of handelsmerk

Een product op de markt plaatsen onder uw merk maakt u de fabrikant, ongeacht wie het daadwerkelijk heeft gemaakt.

Voorbeelden:

• White-label router verkocht onder uw bedrijfsnaam
• OEM-apparaat met uw logo
• Product waarbij uw bedrijf als "fabrikant" op de verpakking staat

Trigger 2: Substantiële wijziging

Wijzigingen aanbrengen die het beoogde doel of CRA-compliance beïnvloeden.

Fabricantenverplichtingen (indien getriggerd)

Als u fabrikant wordt, moet u:

• Cyberbeveiligingsrisicobeoordeling uitvoeren
• Volledige technische documentatie opstellen (Bijlage VII)
• Conformiteitsbeoordeling uitvoeren (passende module)
• Uw eigen EU-conformiteitsverklaring afgeven
• CE-markering aanbrengen onder uw verantwoordelijkheid
• Kwetsbaarheidsafhandelingsproces opzetten
• Beveiligingsupdates leveren voor supportperiode (minimaal 5 jaar)
• Misbruikte kwetsbaarheden binnen 24 uur melden aan ENISA

Documentatie en bewaring

Wat bewaren

• EU-conformiteitsverklaring (kopie)
• Samenvatting technisch dossier of toegangsbevestiging
• Uw verificatiegegevens (checklist, correspondentie)
• Bewijs van communicatie met fabrikant
• Importdocumentatie (douane, verzending)

Hoe lang

10 jaar vanaf de datum waarop het laatste exemplaar op de markt werd geplaatst.

Als u een batch importeert in 2027 en het laatste exemplaar in 2029 verkoopt, eindigt de bewaring in 2039.

Formaat

Digitale opslag is acceptabel. Zorg voor:

• Bestanden zijn toegankelijk en leesbaar
• Back-upprocedures aanwezig
• Kunnen binnen redelijke tijd worden geproduceerd op verzoek van autoriteiten

Veelgemaakte fouten

"CE-markering betekent dat ze compliant zijn"

CE-markering geeft aan dat de fabrikant stelt dat ze compliant zijn. Uw taak is de onderliggende documentatie te verifiëren. Een CE-markering zonder ondersteunende documentatie is een rode vlag.

"Onze leverancier is al jaren betrouwbaar"

Vroegere betrouwbaarheid met andere regelgeving garandeert geen CRA-compliance. De CRA is nieuw en veel gevestigde fabrikanten zijn nog bezig met de implementatie van vereisten.

"Mondelinge garanties van ons verkoopcontact"

Wettelijke compliance vereist documentatie. De garantie van een verkoopvertegenwoordiger heeft geen juridisch gewicht. Haal het schriftelijk, of importeer niet.

"We verifiëren nadat de zending aankomt"

Verificatie moet plaatsvinden vóór marktplaatsing. U kunt goederen in een magazijn importeren, maar u kunt ze niet verkopen totdat de verificatie is voltooid. Late verificatie creëert voorraad- en kasstroomrisico.

"Wij zijn gewoon de distributeur"

Als u de eerste entiteit bent die buiten de EU vervaardigde goederen op de EU-markt plaatst, bent u een importeur, niet een distributeur. Distributeursverplichtingen zijn lichter, maar zijn alleen van toepassing nadat een importeur al hun verificatie heeft gedaan.

Verificatiechecklist pre-import

Gebruik deze checklist vóór elke importbeslissing:

CRA-IMPORTEUR VERIFICATIECHECKLIST

Product: _______________________________________
Fabrikant: __________________________________
Datum: _________________________________________

ONTVANGEN DOCUMENTATIE:
[ ] EU-conformiteitsverklaring
[ ] Samenvatting/inhoudsopgave technisch dossier
[ ] Bewijs conformiteitsbeoordeling (gebruikte module: _____)
[ ] Beveiligingscontact / kwetsbaarheidsbeleid
[ ] Supportperiodeverklaring

FYSIEKE VERIFICATIE:
[ ] CE-markering aanwezig en correct opgemaakt
[ ] Naam en adres fabrikant op product/verpakking
[ ] Gebruikersinstructies in de taal van de doelmarkt
[ ] Enkel contactpunt voor kwetsbaarheden

ROLBEOORDELING:
[ ] Product wordt verkocht onder het merk van de fabrikant (niet het onze)
[ ] Geen firmware- of hardwarewijzigingen gepland
[ ] Geen wijzigingen in beoogd doel of beveiligingsfuncties

BESLISSING:
[ ] DOORGAAN — Alle verificatiepunten voldaan
[ ] WACHTEN — Documentatie in afwachting (specificeer: ___________)
[ ] AFWIJZEN — Verificatie mislukt (redenen documenteren)

Geverifieerd door: ___________________________________
Datum: _________________________________________

Volgende stappen

Verificatie is de eerste stap. Zodra producten op de markt zijn, moeten importeurs:

• Communicatie van de fabrikant over kwetsbaarheden monitoren
• Samenwerken met terugroepacties of corrigerende maatregelen
• Autoriteiten informeren als fabrikant stopt met opereren
• Documentatie bewaren voor de 10-jaar bewaartermijn

CRA Evidence helpt importeurs de volledige verificatieworkflow te beheren:

• Adresboek fabrikanten: Bijhouden van leverancierscompliance
• Verificatiechecklists: Gestructureerde Artikel 19-workflow
• Documentatieopslag: Gecentraliseerde compliance-bewijzen
• Vervaldatumwaarschuwingen: Bijhouden van certificering en supportperiode

Start uw importeur verificatieworkflow op app.craevidence.com.

Gerelateerde gidsen:

• CRA-productclassificatie: is uw product Standaard, Belangrijk of Kritisch?
• CRA-distributeur verificatiechecklist: 5 stappen voor elk product
• Wanneer importeurs fabrikanten worden onder de CRA: rolescalatie uitgelegd

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.