Multi-rollen CRA: fabrikant, importeur, distributeur

CRA-draaiboek voor bedrijven die fabriceren, importeren én distribueren: rolverdeling, gestapelde plichten, kwetsbaarheidsroutering, boetes en conflictpunten.

CRA Evidence Team Gepubliceerd 10 februari 2026 Bijgewerkt 31 mei 2026
Multi-rollen CRA: fabrikant, importeur, distributeur
In dit artikel

Uw bedrijf fabriceert slimme sensoren in Duitsland, importeert aanvullende apparaten van een Taiwanese leverancier en distribueert de software van een andere leverancier. Onder de CRA bent u tegelijkertijd fabrikant, importeur en distributeur. De clusterhandleidingen voor één enkele rol behandelen elke verplichtingenset op zichzelf. Deze pagina is wat nalevingsteams met meerdere rollen daadwerkelijk nodig hebben: de operationele laag waar rollen stapelen, botsen en in elkaar overlopen. Voor de rolspecifieke verplichtingen zelf volgt u de links naar de fabricantencluster, importeurscluster en distributeurscluster.

Samenvatting

  • De rol wordt per product bepaald, niet per organisatie. Een bedrijf met meerdere rollen heeft per productlijn een andere verplichtingenset. Breng eerst elk product in kaart.
  • Een deel van de nalevingsinfrastructuur kan worden samengevoegd over rollen heen; een ander deel niet. Één documentenopslag, één kwetsbaarheidsintake en één SBOM-tool werken over rollen heen. Één meldingsklok, één bewaartermijn en één CVD-beleid niet.
  • Boeteblootstelling stapelt. Één incident kan de fabricantenboete voor het ene product activeren en de importeurs- of distributeursboete voor een ander product. Bedrijven met meerdere rollen modelleren blootstelling op twee niveaus tegelijk.
  • Een multi-rol-topologie over meerdere lidstaten versterkt alles. Wanneer u in één lidstaat fabriceert, in een tweede importeert en in een derde distribueert, hebt u te maken met drie verschillende markttoezichtautoriteiten, drie nationale talen voor gebruikersinformatie en drie parallelle meldingsroutes wanneer er een kwetsbaarheid opduikt.

Hoe bedrijven met meerdere rollen anders falen

Bedrijven met één rol falen op de verplichtingen van die ene rol. Bedrijven met meerdere rollen falen op de naad tussen rollen. Drie faalpatronen komen steeds terug.

Gesplitste nalevingsdenkwijze. Elk rolteam werkt vanuit zijn eigen draaiboek, zonder een gedeelde product-naar-rolkaart. Sales verkoopt het white-labelproduct maandag onder uw merk. Het fabricantenteam krijgt de rebranding nooit door. De conformiteitsbeoordeling voor het omgebrande product loopt nooit. Drie maanden later vraagt een markttoezichtautoriteit om de fabricantenbewijsketen voor een unit die als uw merk is verkocht maar als een geïmporteerd product van derden is gedocumenteerd. De juridische positie is onhoudbaar.

Botsend beleid. Het beleid van twee rollen wordt op hetzelfde product toegepast omdat de rol niet is vastgelegd. Uw CVD-beleid zegt 90 dagen. Het beleid van uw leverancier zegt 120 dagen. Zonder een duidelijke rolkoppeling per product gebruikt uw engineeringteam het beleid van de rol die het denkt te hebben, niet de rol die de CRA aan dat product toekent.

Dubbele leveranciersaudit. Als importeur voert u pre-markverificatie uit op het product van een leverancier. Als fabrikant met dezelfde leverancier als componentleverancier voert u componentonderzoek uit op dezelfde leverancier. Zelfde leverancier, twee bewijsdossiers, twee budgetten, twee gesprekken. De audit kan worden samengevoegd, maar alleen als uw product-naar-rolkaart expliciet genoeg is om de claim voor dubbel gebruik te onderbouwen.

De verplichtingenstapel bij meerdere rollen

Een deel van de nalevingsinfrastructuur kan worden samengevoegd over rollen heen. Een ander deel blijft rolspecifiek. De tabel hieronder is de operationele laag die bedrijven met meerdere rollen nodig hebben voordat ze investeren in tools, processen of organisatiestructuur.

Infrastructuur Samen te voegen over rollen Blijft rolspecifiek
Documentenopslag Ja. Één bestandssysteem met mappen per product werkt. De mappenstructuur moet de rol(len) aangeven die bij elk product horen.
Kwetsbaarheidsintake Ja. Één inbox, één ticketwachtrij kan meldingen ontvangen voor alle productlijnen. Routeringsregels verschillen. Fabricantenproducten escaleren naar het engineeringteam. Geïmporteerde producten escaleren naar de leverancier en naar verificatie aan importeurszijde.
SBOM-tooling Ja. Dezelfde tool werkt voor zelfgeproduceerde firmware en voor ontvangen leveranciers-SBOM's. Zeggenschap over de SBOM verschilt: van u voor gefabriceerde producten, van de leverancier voor geïmporteerde.
Gecoördineerde kwetsbaarheidsopenbaarmaking (CVD) Nee. Fabricantenproducten lopen onder uw CVD-beleid. Voor geïmporteerde producten geldt het beleid van de fabrikant; uw rol is te verifiëren dat het bestaat en bereikbaar is.
Meldingsklok Nee. Fabricantenproducten volgen het meldingsdraaiboek van de fabrikant. Importeurs- en distributeursescalatie loopt via het markttoezichtkanaal.
Centraal contactpunt voor kwetsbaarheidsmelding Nee. Het contactpunt van de fabrikant staat op uw gefabriceerde producten. Ontvangers van geïmporteerde producten zien het contactpunt van de oorspronkelijke fabrikant (dat u bij intake hebt geverifieerd) en worden daarheen doorverwezen.
Documentbewaring Nee. Bewaartermijnen worden bepaald vanuit de productrol en het bewijspakket. Pas niet één archiveringsregel toe op elke map.
Boetetier Nee. De fabricantenboete geldt wanneer het product dat de overtreding veroorzaakt er een is dat u fabriceert. De importeurs- of distributeursboete geldt in andere gevallen.
Conformiteitsbeoordelingsbewijsketen Nee. Van u voor gefabriceerde producten. Van de oorspronkelijke fabrikant voor geïmporteerde en gedistribueerde producten. De importeur bewaart een verwijzing. De distributeur voert een aanwezigheidscheck uit.

De infrastructuur die kan worden samengevoegd, is het efficiëntievoordeel van meerdere rollen. De infrastructuur die rolspecifiek blijft, is waar nalevingsteams de fout in gaan als ze ervan uitgaan dat één beleid elk product kan bedienen.

Organisatiestructuur

Drie patronen werken voor een nalevingsorganisatie met meerdere rollen. Kies het patroon dat bij uw portfolio past.

Optie 1: Rolgebaseerde teams. Aparte teams voor fabrikant-, importeurs- en distributeursactiviteiten. Het meest geschikt wanneer elk rolvolume aanzienlijk is.

Complianceafdeling
├─ Team Fabricantennaleving    → alle fabricantenverplichtingen
├─ Team Importeursnaleving     → leveranciersverificatie, importdocumenten
└─ Team Distributeursnaleving  → partnerrelaties, distributiegegevens

Optie 2: Productgebaseerde teams. Één team per productlijn, met volledige verantwoordelijkheid voor alle rollen in die lijn. Het meest geschikt wanneer productlijnen smal zijn en rollen per lijn gemengd zijn.

Complianceafdeling
├─ Team Productlijn A (sensoren)        alle rollen voor sensorproducten
├─ Team Productlijn B (controllers)     alle rollen voor controllerproducten
└─ Gedeelde diensten                    documentbeheer, SBOM-tools, training

Optie 3: Hybride (aanbevolen voor de meeste). Gedeelde kerndiensten met rolgespecialiseerde teams. Eén documentenopslag en één kwetsbaarheidsintake, maar aparte fabricanten- en leveranciers-/partnerteams.

Complianceafdeling
├─ Kernnaleving                → documentbeheer, kwetsbaarheidsintake, training
├─ Fabricantennaleving         → conformiteitsbeoordeling, technische dossiers, updates
└─ Leveranciers-/partnernaleving → importverificatie, distributeursrelaties

Voorbeeld kostenallocatie

Een praktische budgetverdeling voor een bedrijf met meerdere rollen: 5 gefabriceerde producten, 10 geïmporteerde en 15 gedistribueerde.

NALEVINGSBUDGET MEERDERE ROLLEN (jaarlijks)

GEDEELDE INFRASTRUCTUUR (40% van budget):
  Compliance-managementsysteem:       25.000
  Documentbeheer:                     10.000
  Trainingsprogramma:                 15.000
  Kwetsbaarheidsintake:               10.000
  SUBTOTAAL                           60.000

FABRICANTENROL (35% van budget):
  Conformiteitsbeoordeling (5 prod.): 25.000
  SBOM-tooling:                        8.000
  Update-infrastructuur:              15.000
  Onderhoud technische dossiers:       5.000
  SUBTOTAAL                           53.000

IMPORTEURSROL (20% van budget):
  Leveranciersverificatie (10 prod.): 20.000
  Documentatieaanvragen:               5.000
  Leveranciersmonitoring:              5.000
  SUBTOTAAL                           30.000

DISTRIBUTEURSROL (5% van budget):
  Partnerverificatie:                  5.000
  Gegevensbeheer:                      2.500
  SUBTOTAAL                            7.500

TOTAAL                               150.500

Het gedeelde-kernbudget van 40% is het efficiëntievoordeel van meerdere rollen. Het fabricantenbudget van 35% stijgt sterk wanneer een geïmporteerd product de fabricantenstatus bereikt, doordat u het gaat merken of substantieel wijzigt.

Conflicterende tijdlijnscenario's

Bedrijven met meerdere rollen krijgen tijdlijnconflicten die voor bedrijven met één rol nooit spelen.

Conflicterende CVD-vensters. Uw gefabriceerde producten hanteren een CVD-venster van 90 dagen. Uw leverancier (wiens producten u importeert) houdt 120 dagen aan. Oplossing: aparte beleidsregels per rol. Uw CVD-beleid geldt alleen voor producten die u fabriceert. Voor geïmporteerde producten telt het beleid van de fabrikant. Uw rol is te verifiëren dat het bestaat, bereikbaar is en voldoet aan het CRA-minimum.

Mismatch in documentatiestandaard. Uw technisch dossiersjabloon voor fabricanten volgt uw interne documentatiestandaard. De documentatie van uw leverancier is opgebouwd volgens zijn eigen binnenlandse regime. Oplossing: afzonderlijke sjablonen per rol. Dwing leveranciersdocumentatie niet in uw fabricantensjabloon; anders verliest u de verifieerbaarheid wanneer een markttoezichtautoriteit de originele bron opvraagt.

Niet-meewerkende leverancier. U bent importeur, maar uw leverancier verstrekt de documentatie die u nodig hebt voor pre-markverificatie niet. Oplossing: de deal is stuk. Zonder de documentatie kunt u het product niet rechtmatig op de EU-markt plaatsen. Houd de zending aan, leg het documentatieverzoek schriftelijk vast en verander van leverancier als die alsnog weigert.

Cascade van ondersteuningsperiode. Als fabrikant committeert u een ondersteuningsperiode van 7 jaar voor uw eigen product. Dezelfde productlijn bevat een rebadged OEM-component die u ook hebt geïmporteerd (u bent dus zowel fabrikant van één variant als importeur van een andere). De OEM committeert slechts 5 jaar voor de geïmporteerde variant. Klanten zien mogelijk beide varianten bij u op de plank. Oplossing: communiceer de ondersteuningsperiode per variant duidelijk op het verkooppunt. Laat uw marketingclaim niet één enveloppe claimen voor beide varianten.

Toegangsgrens ENISA SRP. Het ENISA Single Reporting Platform is het meldingskanaal aan fabricantenzijde. Bedrijven met meerdere rollen stellen SRP-toegang in voor hun fabricantenrol. Voor producten die u alleen importeert of distribueert, is de oorspronkelijke fabrikant degene die meldt via SRP. Uw rol is die fabrikant te informeren en, wanneer er sprake is van significant cyberbeveiligingsrisico, het markttoezicht rechtstreeks te informeren, niet namens de oorspronkelijke fabrikant te melden bij ENISA.

Kwetsbaarheidsmeldingsfan-out

Er wordt een kwetsbaarheid gemeld. Die raakt drie productgroepen in uw portfolio: producten die u fabriceert, producten die u hebt geïmporteerd en producten die u distribueert. Wat wordt waar geactiveerd, in welke volgorde en wie ondertekent.

Productgroep Primaire melding Secundaire melding Wie ondertekent
Producten die u fabriceert ENISA Single Reporting Platform (fabricantenmeldingsstroom) Coördinator CSIRT voor de kwetsbaarheid, CSIRT en markttoezicht bij ernstig incident, plus getroffen gebruikers Hoofd fabricantennaleving
Producten die u hebt geïmporteerd De oorspronkelijke fabrikant, zonder onnodige vertraging Markttoezicht van elke lidstaat van levering bij significant cyberbeveiligingsrisico Hoofd importeursnaleving
Producten die u distribueert De oorspronkelijke fabrikant, zonder onnodige vertraging Markttoezicht van elke lidstaat van levering bij significant cyberbeveiligingsrisico Hoofd distributeursnaleving

Bij een incident dat meerdere productgroepen raakt, lopen de meldingen parallel, niet achtereenvolgens. De fabricantenmeldingsstroom heeft een wettelijke klok. De importeurs- en distributeursmelding loopt op de standaard "zonder onnodige vertraging". Laat de klok aan fabricantenzijde de importeurs-/distributeursescalatie niet domineren, want de importeurs- en distributeursverplichtingen bestaan onafhankelijk.

Voor de cadans per productgroep, escalatiedrempels en de rolspecifieke meldingsstromen zijn de meldingsstroom voor fabrikanten, de stopzettingscascade voor importeurs en de kwetsbaarheidsbewustzijn voor distributeurs in de clusterset de gezaghebbende referenties.

Triage van autoriteitsverzoeken over rollen heen

Een markttoezichtautoriteit stuurt een gemotiveerd verzoek. Verschillende rollen produceren verschillende bewijspakketten als antwoord.

Productrol Wat de autoriteit verwacht Waar het bewijs zich bevindt
Door u gefabriceerd Volledige bewijsketen: technische documentatie, conformiteitsbeoordelingsroute, EU-conformiteitsverklaring, ondersteuningsperiodeverbintenis, kwetsbaarheidsafhandelingsrecord Fabricantennaleving, documentbeheersysteem
Door u geïmporteerd Importeursverificatierecord (CE-markeringscheck, fabrikantgegevens, aanwijzer naar EU-conformiteitsverklaring), aanwijzer naar technische documentatie van de fabrikant, bewaringsrecord van de EU-conformiteitsverklaring Importeursnaleving, documentbeheersysteem
Door u gedistribueerd Documentatieset gebruikt voor intake-check (verwijzing naar EU-conformiteitsverklaring, gebruikersinformatie, contactpunten toeleveringsketen), bewijs van aanwezigheidsverificatie Distributeursnaleving, intakerecords

Bouw de rol-bewijskaart per product voordat een markttoezichtautoriteit erom vraagt. Op de dag dat een gemotiveerd verzoek binnenkomt, is de vraag niet "waar is het bewijs". De vraag is "welk bewijspakket past bij de rol die dit product op deze datum draagt". Een team met meerdere rollen dat de kaart niet van tevoren heeft opgebouwd, verspilt een werkdag aan het reconstrueren van de verkeerde bewijsketen.

Boeteblootstelling bij meerdere rollen

Eén kwetsbaarheidsincident kan meer dan één boetetier activeren wanneer de kwetsbare code zit in producten met verschillende rollen.

Rol van het product dat de overtreding veroorzaakt Boetetier Plafond
Door u gefabriceerd Fabricantentier EUR 15 miljoen of 2,5% van de mondiale jaaromzet
Door u geïmporteerd Importeurstier EUR 10 miljoen of 2% van de mondiale jaaromzet
Door u gedistribueerd Distributeurstier EUR 10 miljoen of 2% van de mondiale jaaromzet

De tiers gelden per overtreding, niet per product. Een bedrijf met meerdere rollen dat dezelfde kwetsbare component heeft in zowel gefabriceerde als geïmporteerde productlijnen en nalaat te melden, staat bloot aan de fabricantentier voor de fabricantengroep en de importeurstier voor de importeursgroep, tegelijk. Verzekeringstechnische modellering en risicomodellering op bestuursniveau moeten rekening houden met beide plafonds, niet alleen met het hoogste.

De maatregel is operationeel, niet contractueel. De rol-bewijskaart plus de meldingsfan-out per productgroep geeft u een aantoonbaar record van welke producten wanneer zijn gemeld, onder welk rolprotocol. Zonder dat record kan een autoriteit het bedrijf vragen te bewijzen welke rol op elk product van toepassing was voordat het boetetier wordt vastgesteld.

Multi-rol-topologie over meerdere lidstaten

Wanneer een organisatie met meerdere rollen over de grenzen van lidstaten heen actief is, krijgt de product-naar-rolkaart een tweede dimensie: welke nationale autoriteitscontacten per rol van tevoren te registreren en in welke taal elke lidstaat van levering gebruikersinformatie verwacht.

Neem een EU-groep die sensoren fabriceert in Duitsland, controllers importeert van een Taiwanese leverancier via zijn Franse entiteit en de software van een Belgische leverancier distribueert via zijn Italiaanse verkooparm.

Productgroep Rol Vooraf te registreren autoriteitscontacten Taal gebruikersinformatie
Gefabriceerde sensoren Fabrikant Coördinator CSIRT en bevoegde markttoezichtautoriteit voor de fabricantenmeldingsstroom, plus markttoezichtcontacten in elke lidstaat waar het product beschikbaar is Duits voor de Duitse markt, plus per-lidstaat-taal voor leveringen naar andere markten
Geïmporteerde controllers Importeur Markttoezichtautoriteiten van elke lidstaat waar u het product op de markt plaatst Frans, plus per-lidstaat-taal bij herlevering
Gedistribueerde software Distributeur Markttoezichtautoriteiten van elke lidstaat waar u het product beschikbaar stelt, plus de terugkoppelroute naar de primaire autoriteitsketen van de fabrikant voor upstream-escalatie Italiaans, plus per-lidstaat-taal afgestemd op waar u het product beschikbaar stelt

Een kwetsbaarheid die alle drie productgroepen raakt, activeert parallelle meldingen aan drie verschillende nationale markttoezichtautoriteiten tegelijk, elk in de juiste nationale taal. De CRA heeft geen enkelvoudig overzichtskanaal voor een multi-rolorganisatie over lidstaten heen. Bouw nu het contactregister van markttoezichtautoriteiten per productgroep op. De eerste keer dat u het nodig hebt, mag geen incident zijn.

Wanneer dezelfde rechtspersoon AR, importeur en fabrikant is

De gemachtigde-vertegenwoordigerregeling is facultatief, niet verplicht. Een niet-EU-fabrikant kan een in de EU gevestigde entiteit aanwijzen als zijn gemachtigde vertegenwoordiger op grond van een schriftelijk mandaat. Niets in de CRA verhindert dat dezelfde EU-entiteit ook importeur is voor de producten van een andere niet-EU-leverancier, of fabrikant van zijn eigen productlijn.

Dit is de meest geconcentreerde multi-rolsoverlap in de CRA. Drie zaken moeten gescheiden blijven, ook al zitten ze onder één dak:

Mandaten zijn leveranciersspecifiek. Elke gemachtigde-vertegenwoordigerrelatie is gedocumenteerd in een schriftelijk mandaat. Als u optreedt als gemachtigde vertegenwoordiger voor niet-EU-leverancier A en als importeur voor niet-EU-leverancier B, dekt het AR-dossier alleen leverancier A. De producten van leverancier B vallen onder het importeursregime, zonder mandaatoverlay.

Aansprakelijkheidsgrenzen verschillen per rol. De gemachtigde vertegenwoordiger bewaart documentatie en werkt mee met markttoezicht namens de vertegenwoordigde fabrikant, maar brengt geen producten op de markt. De importeur voert de vierpuntsverificatie vóór marktplaatsing uit, brengt het product op de markt en bewaart de EU-conformiteitsverklaring gedurende 10 jaar of de ondersteuningsperiode. De fabrikant draagt de volledige reeks ontwerp- en engineeringverplichtingen. Dit zijn drie verschillende aansprakelijkheidsvlakken, alle onder één rechtspersoon. Records moeten de rolverdeling per product ondersteunen.

Stopzettingsrouting is rolspecifiek. Als leverancier A, voor wie u gemachtigde vertegenwoordiger bent, zijn activiteiten staakt, controleer dan het schriftelijke mandaat en bewaar het AR-documentatie- en samenwerkingsdossier. De wettelijke stopzettingsmelding zelf ligt bij de fabrikant, tenzij ook een andere rolspecifieke trigger van toepassing is. Als leverancier B (voor wie u importeur bent) zijn activiteiten staakt, vuurt de stopzettingsmelding van de importeur: informeer het markttoezicht en gebruikers over de stopzetting van de fabrikant. Uw eigen fabricantenlijn, mocht die ooit worden gestaakt, vuurt de fabricanten-zelfstopzettingsmelding met uw eigen klantcommunicatiepad. De drie triggers voegen niet samen tot één route.

De praktische ondergrens: een product-naar-rolkaart met het rolkenmerk gekoppeld aan elk product maakt de scheiding AR/importeur/fabrikant aantoonbaar. Zonder die kaart zal een audit van de producten van leverancier A overlopen in uw importeurs- en fabrikantendossiers en vermijdbare bewijsopsporingskosten opleveren.

Wanneer rollen verschuiven tijdens de levenscyclus

Bedrijven met meerdere rollen zien productrollen verschuiven gedurende de levenscyclus van een product. Vijf gebeurtenissen komen steeds terug.

Distributeur naar importeur. Uw EU-leverancier sluit; u gaat direct importeren bij de niet-EU-fabrikant. Acties: volledige importeursverificatie van het product, directe leveranciersrelatie, vernieuwen van alle importdocumentatie.

Importeur naar fabrikant. U begint het geïmporteerde product onder uw eigen merk te plaatsen. Acties: voltooi de volledige verplichtingenset van de fabrikant (conformiteitsbeoordeling, technisch dossier, SBOM, kwetsbaarheidsafhandeling, ondersteuningsperiodeverbintenis). Uw leverancier is nu in commercieel opzicht een contractfabrikant, niet de CRA-fabrikant. De nalevingsverantwoordelijkheid gaat naar u over.

Distributeur naar bundelmodificator. U begint aangepaste firmware voor te installeren op een product dat u voorheen ongewijzigd distribueerde. Acties: fabricantenverplichtingen zijn van toepassing via de rebrandingbrug voor het gewijzigde product of, wanneer de wijziging de cyberbeveiliging van het gehele product beïnvloedt, voor het gehele product.

Fabrikant naar distributeur. U stopt met het merken van een productlijn en geeft die terug aan de OEM onder het eigen merk van de OEM. Acties: de oorspronkelijke fabrikant herneemt de fabricantenrol vanaf dat moment. U wordt distributeur van het OEM-gemerk product. Uw fabricantenzijdige bewaarings- en ondersteuningsverplichtingen lopen door voor units die al onder uw merk op de markt zijn gebracht.

Elke rol naar beëindiging. U stopt met de verkoop van een product. Acties: documentbewaring loopt door (fabrikant en importeur hanteren 10 jaar of de ondersteuningsperiode). Fabricantenondersteuningsverplichtingen lopen door voor ten minste 5 jaar na de laatste op de markt gebrachte unit, of de ondersteuningsperiode als die langer is overeengekomen. Als de fabrikant ook zijn activiteiten staakt, loopt de meldingsplicht via elke importeur en distributeur in de keten.

Bedrijfscontinuïteit wanneer de multi-rolorganisatie sluit

De CRA kent één wettelijke zelfstopzettingsmelding: die van de fabrikant. Wanneer een fabrikant zijn activiteiten staakt en niet langer kan voldoen aan de verplichtingen, moet hij de relevante markttoezichtautoriteiten en de gebruikers van al op de markt gebrachte producten informeren, voordat de stopzetting van kracht wordt. Er is geen equivalente zelfstopzettingsmelding voor de importeurs- of distributeursrol. De stopzettingsverplichtingen van importeur en distributeur in de CRA worden alleen geactiveerd wanneer de fabrikant van een product dat zij behandelen zijn activiteiten staakt, niet wanneer de importeur of distributeur zelf stopt.

Voor een multi-rolorganisatie die sluit betekent dit:

Productgroep van de failende entiteit Wat de CRA vereist Operationeel continuïteitswerk
Gefabriceerde producten Wettelijke zelfstopzettingsmelding aan markttoezichtautoriteiten en, via alle beschikbare middelen, aan gebruikers. Communiceer eventuele opvolgersondersteuning als die bestaat. Documenteer de melding, de datum, de ontvangers en de implicaties voor de ondersteuningsperiode. Bewaar het technische dossier en de EU-conformiteitsverklaring op de bewaringsvloer (10 jaar of de ondersteuningsperiode).
Geïmporteerde producten Geen wettelijke zelfstopzettingsmelding aan importeurszijde. De EU-conformiteitsverklaring en de aanwijzer naar technische documentatie waren al opgeslagen bij intake en blijven in het records-archief. Plan recordcontinuïteit. Bepaal welke entiteit de importeurszijdige bewaring van de EU-conformiteitsverklaring overneemt. Communiceer kanaalwijzigingen aan commerciële tegenpartijen.
Gedistribueerde producten Geen wettelijke zelfstopzettingsmelding aan distributeurszijde. Stop het beschikbaar stellen van producten. Communiceer aan commerciële tegenpartijen dat zij elders moeten sourcen. Er is geen wettelijke gebruikersmelding vereist van de distributeur voor het staken van de distributie zelf.
AR-mandaten die worden gehouden voor niet-EU-fabrikanten Geen wettelijke zelfstopzettingsmelding voor de gemachtigde vertegenwoordiger. De mandaatdocumentatie blijft bestaan; de rol van de gemachtigde vertegenwoordiger is documentatiebeheer en samenwerking. Coördineer met elke vertegenwoordigde fabrikant om het AR-mandaat over te dragen aan een opvolger of het mandaat ordelijk te beëindigen. Bewaar het documentatiedossier conform Artikel 18.

Behandel de fabricanten-zelfstopzettingsmelding als de gereguleerde gebeurtenis. Behandel de overgangen van importeur, distributeur en gemachtigde vertegenwoordiger als operationele recordcontinuïteitsplanning, niet als aanvullende wettelijke meldingsstromen. Organisaties met meerdere rollen die de vier samenvoegen (en aannemen dat importeur en distributeur een eigen zelfstopzettingsverplichting hebben) bouwen het draaiboek te ingewikkeld en kunnen de ene wettelijke melding die er daadwerkelijk toe doet, vertragen.

Veelgestelde vragen

Wat doet de CRA wanneer één bedrijf zowel fabrikant als importeur is?

De CRA koppelt rolverplichtingen aan het product, niet aan de organisatie. Als u één product fabriceert en een ander importeert, draagt u fabricantenverplichtingen voor het eerste en importeursverplichtingen voor het tweede, tegelijkertijd. Als hetzelfde product er een is dat u onder uw eigen merk plaatst of substantieel wijzigt na import, is de rebrandingbrug van toepassing en wordt u de fabrikant voor dat specifieke product. De grens ligt product voor product, niet bedrijf voor bedrijf.

Kan ik één CRA-rol uitbesteden aan een ander bedrijf?

U kunt taken uitbesteden. U kunt de wettelijke rol niet uitbesteden. Het bedrijf dat het product op de markt brengt onder zijn naam, het de Unie binnenvoert of het stroomafwaarts beschikbaar stelt, blijft de drager van de rol en de verplichtingen ervan. Een externe compliance-dienstverlener kan conformiteitsbeoordelingstests, leveranciersaudits of documentatiebeheer onder contract uitvoeren, maar de regelgevende verantwoordelijkheid blijft bij u.

Hoe stapelen meldingsverplichtingen wanneer ik meerdere rollen heb?

De fabricantenmeldingsstroom (ENISA Single Reporting Platform, coördinator CSIRT, getroffen gebruikers) is het primaire regelgevingskanaal. Importeurs- en distributeursverplichtingen werken ernaast als escalatie: informeer de fabrikant over kwetsbaarheden zonder onnodige vertraging, en informeer het markttoezicht van elke lidstaat van levering als het product een significant cyberbeveiligingsrisico vormt. Een bedrijf met meerdere rollen voert beide stromen parallel uit en ondertekent ze onder verschillende rolverantwoordelijken, met aparte bewijssporen.

Wanneer moet een bedrijf met meerdere rollen opsplitsen in aparte juridische dochterondernemingen?

Die beslissing wordt doorgaans ingegeven door boeteblootstellingsmodellering, niet door operationele complexiteit. Wanneer het fabricantenboeteplafond (EUR 15 miljoen of 2,5% van de mondiale omzet) voor uw gefabriceerde productlijn de importeurs- en distributeursomzet ver overstijgt, kan het opsplitsen van de fabricantenactiviteit in een aparte dochteronderneming de importeurs- en distributeursomzet beschermen bij een fabricantenincident. Opsplitsen is ook het overwegen waard wanneer dubbele leveranciersaudits of rapportage-overhead een meetbare kostenpost wordt in plaats van een nalevingsvoetnoot. De CRA schrijft geen juridische structuur voor. Ze koppelt rolverplichtingen aan de rechtspersoon die het product op de markt brengt.

Dekt de registratie bij het ENISA Single Reporting Platform alle mijn rollen?

Het Single Reporting Platform is het fabricantenmeldingskanaal. Een bedrijf met meerdere rollen registreert zich bij SRP voor zijn fabricantenrol en gebruikt het platform voor producten die het fabriceert. Voor producten die u alleen importeert of distribueert, is de oorspronkelijke fabrikant de entiteit die meldt via SRP. Uw rol voor die producten is de fabrikant te informeren over kwetsbaarheden en markttoezichtautoriteiten rechtstreeks te melden wanneer er sprake is van significant cyberbeveiligingsrisico in producten die u op de markt hebt gebracht of beschikbaar hebt gesteld.

Kan één leveranciersaudit zowel mijn importeurs- als fabricantencomponentonderzoek afdekken?

Ja, wanneer de audit is opgezet voor dubbel gebruik en de product-naar-rolkaart expliciet is. De auditscope moet zowel de pre-markverificatievereisten van de importeur voor eindproducten als de componentonderzoeksvereisten van de fabrikant voor in uw eigen product geïntegreerde componenten omvatten. Documenteer het dubbele doel in het auditcharter. Eén leveranciersbezoek dat twee rolspecifieke bewijspakketten oplevert, is aanvaardbaar. Eén pakket dat beide rollen samenvat, is moeilijker te verdedigen wanneer een markttoezichtautoriteit vraagt welk rolbewijs wordt getoond.

Kan één centraal contactpunt de fabrikants-, importeurs- en distributeursrollen bedienen?

Één inbox kan kwetsbaarheidsmeldingen over rollen heen ontvangen, maar de routing moet downstream per rol worden gesplitst. Het fabricantszijdige centrale contactpunt moet niet-geautomatiseerd zijn en gebruikers de keuze laten voor hun gewenste communicatiemiddel. Voor geïmporteerde en gedistribueerde producten verwachten melders het contactpunt van de oorspronkelijke fabrikant. Een bedrijf met meerdere rollen dat één inbox publiceert, moet ervoor zorgen dat meldingen achter die inbox worden getagd met de productrol en binnen dezelfde werkdag worden doorgestuurd naar de juiste verantwoordelijke. Het samenvoegen van wachtrijen zonder interne routing laat fabricantenmeldingen instromen in een distributeursachtig ticketproces, wat de standaard "zonder onnodige vertraging" doorbreekt.

Wat u op orde brengt voordat de complexiteit van meerdere rollen toeslaat

  1. Bouw de product-naar-rolkaart. Elk product krijgt een rolkenmerk (fabrikant / importeur / distributeur, plus gemachtigde vertegenwoordiger of steward waar van toepassing). Dit is het fundament waarop elk ander multi-rolproces steunt.
  2. Bouw de rol-bewijskaart per product. Gefabriceerde producten verwijzen naar de volledige bewijsketen (technische documentatie, conformiteitsbeoordelingsroute, EU-conformiteitsverklaring). Geïmporteerde producten verwijzen naar het verificatierecord en de aanwijzer naar de EU-conformiteitsverklaring. Gedistribueerde producten verwijzen naar het intakecheckrecord. Stel de kaart vooraf samen zodat een gemotiveerd verzoek van een markttoezichtautoriteit dezelfde dag wordt beantwoord.
  3. Stel het autoriteitscontactregister per productgroep in. Coördinator CSIRT en markttoezichtcontacten voor de fabricantenmeldingsstroom. Markttoezichtcontacten in elke lidstaat waar u geïmporteerde en gedistribueerde producten op de markt brengt of beschikbaar stelt. Bedrijven met meerdere rollen die over meerdere lidstaten actief zijn, hebben dit nodig vóór de eerste kwetsbaarheid zich aandient.
  4. Modelleer de blootstelling op twee boetetiers op bestuursniveau. De fabricantentier (EUR 15 miljoen / 2,5%) en de importeurs-/distributeurstier (EUR 10 miljoen / 2%) kunnen bij één incident stapelen. Behandel dit als een risicobeheerpost, niet als een nalevingsvoetnoot.
  5. Wijs benoemde verantwoordelijken aan voor kernnaleving, fabricantennaleving en leveranciers-/partnernaleving. Leg de verantwoordelijke vast naast elke productgroep in de product-naar-rolkaart.
  6. Stel vooraf het fabricanten-zelfstopzettingsmeldingssjabloon op, plus operationele overgangsplannen voor importeurs-, distributeurs- en AR-records. De fabricantenmelding is de enige wettelijke stopzettingsplicht; de andere rollen vereisen recordcontinuïteitsplanning, geen aanvullende meldingsstromen.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke nalevingsbegeleiding een gekwalificeerde juridisch adviseur.

CRA Fabrikanten Importeurs Distributeurs
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Doorlopende gidsen over de eisen, processen en rollen uit de EU-cyberweerbaarheidsverordening (CRA).

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Europese cyberbeveiligingscertificering (EUCC)

Hoe het EUCC-certificeringsschema werkt en wanneer het kan bijdragen aan CRA-conformiteit.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
Bekijk de volledige CRA-nalevingsgids