CRA-compliance bij meerdere rollen: wanneer u fabrikant, importeur en distributeur bent

Uw bedrijf fabriceert slimme sensoren in Duitsland. U importeert ook aanvullende producten van een Taiwanese leverancier en distribueert de software van een andere leverancier. Onder de CRA bent u tegelijkertijd fabrikant, importeur en distributeur.

Deze gids legt uit hoe u compliance beheert wanneer u meerdere economische-operatorrollen vervult.

Samenvatting

• Veel bedrijven vervullen meerdere CRA-rollen in hun productportfolio
• Elke rol heeft afzonderlijke verplichtingen, en u moet aan alle voldoen
• De rol wordt per product bepaald, niet per organisatie
• Sommige verplichtingen overlappen (voordelig), sommige botsen (beheersbaar)
• Unified compliance-infrastructuur kan meerdere rollen efficiënt bedienen

CRA economische-operatorrollen begrijpen

De CRA definieert vier primaire rollen voor het plaatsen van producten op de EU-markt:

Fabrikant

De entiteit die het product ontwerpt en produceert, of laat ontwerpen/produceren en onder haar naam of handelsmerk op de markt brengt.

Kernverplichtingen:

• Conformiteitsbeoordeling
• Technische documentatie
• CE-markering
• Kwetsbaarheidsafhandeling
• 5-jaar ondersteuningsperiode

Importeur

Een in de EU gevestigde entiteit die een product uit een derde land op de EU-markt plaatst.

Kernverplichtingen:

• Compliance fabrikant verifiëren (DoC, CE-markering, documentatie)
• Productidentificatie en traceerbaarheid waarborgen
• Documentatie 10 jaar bewaren
• Non-compliance melden

Distributeur

Een entiteit in de toeleveringsketen die een product op de markt beschikbaar stelt (niet fabrikant of importeur).

Kernverplichtingen:

• Aanwezigheid CE-markering en vereiste documentatie verifiëren
• Waarborgen dat opslag/transport de compliance niet beïnvloedt
• Non-compliance melden
• Samenwerken met markttoezicht

Open-source software steward

Een rechtspersoon (geen natuurlijk persoon) die stelselmatig ondersteuning biedt voor OSS bestemd voor commercieel gebruik.

Kernverplichtingen:

• Cyberbeveiligingsbeleid
• Gecoördineerde kwetsbaarheidsonthulling
• Samenwerking met markttoezicht

Waarom meerdere rollen gebruikelijk zijn

Scenario 1: Verticale integratie

U fabriceert uw kernproduct maar sourcet componenten:

UW BEDRIJF:
├── Fabrikant van: Smart Home Hub (intern ontworpen)
├── Importeur van: Voedingsadapters (uit China)
└── Distributeur van: Compatibele slimme stekkers (product EU-partner)

Scenario 2: Portfoliodiversificatie

U breidt het aanbod uit via sourcing:

UW BEDRIJF (industriële automatisering):
├── Fabrikant van: PLC-controllers (eigen ontwerp)
├── Fabrikant van: Sensoren (white-label, uw merk)
├── Importeur van: HMI-panelen (Koreaanse leverancier)
└── Distributeur van: Industriële software (Duitse leverancier)

Scenario 3: Regionale activiteiten

EU-dochteronderneming van een niet-EU-bedrijf:

UW BEDRIJF (EU-dochter):
├── Importeur van: Alle producten moederbedrijf
├── Distributeur van: Partnerproducten voor EU-markt
└── Fabrikant van: EU-specifieke configuraties

Rolbepaling per product

Kritisch principe: CRA-rol wordt per product bepaald, niet op organisatieniveau.

Stel voor elk product in uw portfolio de volgende vragen:

1. Hebt u het ontworpen en/of uw merk erop gezet? → Fabrikant
2. Bent u de eerste die het vanuit buiten de EU op de EU-markt plaatst? → Importeur
3. Maakt u het beschikbaar maar heeft u het niet geïmporteerd of gefabriceerd? → Distributeur

Beslissingsmatrix

Verplichtingenoverzicht per rol

Dit is wat elke rol vereist:

Compliancedocumentatie

Marktplaatsing

Post-marktverplichtingen

Meerdere rollen beheren: geïntegreerde aanpak

Gedeelde infrastructuur

Sommige compliancecapaciteiten bedienen meerdere rollen:

GEDEELDE COMPLIANCE-INFRASTRUCTUUR

┌─────────────────────────────────────────────────┐
│           UNIFORME COMPLIANCESYSTEEM             │
├─────────────────────────────────────────────────┤
│  Documentbeheer                                  │
│  - Technische dossiers (fabricantenrol)          │
│  - Verificatiegegevens (importeursrol)           │
│  - Distributiegegevens (distributeursrol)        │
├─────────────────────────────────────────────────┤
│  Traceerbaarheidssysteem                         │
│  - Alle rollen vereisen traceerbaarheid          │
│  - Één systeem, verschillende data per rol       │
├─────────────────────────────────────────────────┤
│  Kwetsbaarheidsbeheer                            │
│  - Intake: bedient alle rollen                   │
│  - Reactie: gedifferentieerd per rol             │
├─────────────────────────────────────────────────┤
│  Afhandeling non-compliance                      │
│  - Detectie: alle rollen                         │
│  - Reactie: rolspecifieke acties                 │
└─────────────────────────────────────────────────┘

Rolspecifieke processen

Sommige processen moeten per rol worden gedifferentieerd:

Gefabriceerde producten:

• Volledige conformiteitsbeoordeling
• Opstellen en bijhouden SBOM
• Ontwikkeling en distributie van updates
• ENISA-melding (direct)

Geïmporteerde producten:

• Leveranciersverificatieworkflow
• Documentatieaanvraag/-verificatie
• Doorsturen van kwetsbaarheidsrapportages
• ENISA-meldingcoördinatie met fabrikant

Gedistribueerde producten:

• Vereenvoudigde verificatie (CE, documenten aanwezig)
• Bewaking opslagomstandigheden
• Problemen upstream melden

Organisatiestructuuropties

Optie 1: Rolgebaseerde teams

Complianceafdeling
├── Team Fabricantencompliance
│   └── Behandelt: alle verplichtingen fabrikant
├── Team Importeurscompliance
│   └── Behandelt: leveranciersverificatie, importdocumenten
└── Team Distributeurscompliance
    └── Behandelt: partnerrelaties, distributiegegevens

Optie 2: Productgebaseerde teams

Complianceafdeling
├── Team Productlijn A (sensoren)
│   └── Behandelt: alle rollen voor sensorproducten
├── Team Productlijn B (controllers)
│   └── Behandelt: alle rollen voor controllerproducten
└── Gedeelde diensten
    └── Documentbeheer, SBOM-tools, training

Optie 3: Hybride (aanbevolen voor de meeste)

Complianceafdeling
├── Kerncompliance
│   └── Gedeeld: documentbeheer, kwetsbaarheidsintake, training
├── Fabricantencompliance
│   └── Conformiteitsbeoordelingen, technische dossiers, updates
└── Leveranciers-/partnercompliance
    └── Importverificatie, distributeursrelaties

Praktische workflows

Introductie nieuw product

Bij toevoeging van een product aan uw portfolio:

COMPLIANCE-WORKFLOW NIEUW PRODUCT

1. ROLBEPALING
   - Waar wordt het ontworpen/gefabriceerd?
   - Wiens merk staat erop?
   - Hoe bereikt het de EU-markt?
   → Bepalen: Fabrikant / Importeur / Distributeur

2. ROLSPECIFIEKE ONBOARDING

   Als FABRIKANT:
   [ ] Risicobeoordeling uitvoeren
   [ ] Technische documentatie opstellen
   [ ] Conformiteitsbeoordeling voltooien
   [ ] SBOM voorbereiden
   [ ] Updatemechanisme inrichten
   [ ] Kwetsbaarheidsafhandeling opzetten

   Als IMPORTEUR:
   [ ] Documentatie fabrikant opvragen
   [ ] DoC en CE-markering verifiëren
   [ ] Beschikbaarheid SBOM verifiëren
   [ ] Beveiligingscontact bevestigen
   [ ] Leveranciersmonitoring opzetten
   [ ] Eigen identificatie toevoegen

   Als DISTRIBUTEUR:
   [ ] Aanwezigheid CE-markering verifiëren
   [ ] Documentatie bij product aanwezig verifiëren
   [ ] Opslag-/transportcontroles instellen
   [ ] Meldingskanaal voor problemen opzetten

3. INVOEREN IN COMPLIANCESYSTEEM
   [ ] Product registreren met bepaalde rol
   [ ] Relevante documentatie uploaden
   [ ] Review-/bewakingsschema's instellen
   [ ] Verantwoordelijk team/persoon aanwijzen

Kwetsbaarheidsreactie per rol

Wanneer een kwetsbaarheid wordt ontdekt die uw producten raakt:

Voor gefabriceerde producten:

Kwetsbaarheid → Uw Beveiligingsteam → Beoordelen → Patch ontwikkelen
                                              ↓
                                       Update uitbrengen
                                              ↓
                                       Klanten informeren
                                              ↓
                              ENISA-melding (indien misbruikt)

Voor geïmporteerde producten:

Kwetsbaarheid → Doorsturen naar Fabrikant → Reactie volgen
                           ↓
                     Update ontvangen
                           ↓
               EU-klanten ontvangen update waarborgen
                           ↓
        ENISA-melding ondersteunen (indien nodig)

Voor gedistribueerde producten:

Kwetsbaarheid → Upstream melden (Fabrikant/Importeur)
                           ↓
            Distributie pauzeren (bij ernstige kwestie)
                           ↓
              Hervatten na oplossing

Afhandeling non-compliance

Wanneer u ontdekt dat een product niet compliant is:

Alle rollen: Markttoezichtautoriteiten informeren als het product een ernstig risico vormt.

Veelvoorkomende uitdagingen bij meerdere rollen

Uitdaging 1: Conflicterende tijdlijnen

Probleem: Uw gefabriceerde producten hebben een CVD-venster van 90 dagen, maar uw leverancier (wiens producten u importeert) staat op 120 dagen.

Oplossing: Afzonderlijk beleid per rol. Uw CVD-beleid geldt voor producten die u fabriceert. Voor geïmporteerde producten werkt u binnen de tijdlijn van de leverancier, zolang die voldoet aan de CRA-minimumvereisten.

Uitdaging 2: Documentatie-inconsistentie

Probleem: Verschillende documentatienormen per rol (uw technische dossiers vs. leveranciersdocumentatie vs. docs gedistribueerde producten).

Oplossing:

• Unified documentbeheersysteem handhaven
• Rolspecifieke sjablonen en checklists opstellen
• Leveranciersdocumentatie niet dwingen in uw fabricantensjabloon

Uitdaging 3: Verwarring over verantwoordelijkheden

Probleem: Intern onduidelijk wie wat afhandelt wanneer meerdere rollen van toepassing zijn.

Oplossing:

• Duidelijk productregister met rolassignaties
• RACI-matrix voor compliance-activiteiten
• Escalatiepaden voor randgevallen

Uitdaging 4: Niet-coöperatieve leverancier

Probleem: U bent importeur, maar uw leverancier verstrekt geen documentatie.

Oplossing:

• Dit is een showstopper. Zonder correcte documentatie kunt u wettelijk niet importeren.
• Verkrijg documentatie of zoek een andere leverancier.
• Dit is precies waarom leveranciers-due-diligence belangrijk is.

Kostenoverwegingen

Efficiëntie door integratie

Bedrijven met meerdere rollen kunnen schaalvoordelen realiseren:

Rolspecifieke kosten

Sommige kosten schalen met het aantal rollen:

• Fabrikant: Conformiteitsbeoordeling per product (niet deelbaar)
• Importeur: Leveranciersverificatie per leverancier (niet deelbaar)
• Distributeur: Partnerbeheer per partner (niet deelbaar)

Voorbeeld budgetverdeling

COMPLIANCE-BUDGET MEERDERE ROLLEN

Organisatie:
- 5 gefabriceerde producten
- 10 geïmporteerde producten
- 15 gedistribueerde producten

GEDEELDE INFRASTRUCTUUR (40% van budget):
- Compliance-managementsysteem:    €25.000/jaar
- Documentbeheer:                  €10.000/jaar
- Trainingsprogramma:              €15.000/jaar
- Kwetsbaarheidsintake:            €10.000/jaar
SUBTOTAAL:                         €60.000/jaar

FABRICANTENROL (35% van budget):
- Conformiteitsbeoordeling (5 prod.): €25.000/jaar
- SBOM-tooling:                        €8.000/jaar
- Update-infrastructuur:              €15.000/jaar
- Onderhoud technische dossiers:       €5.000/jaar
SUBTOTAAL:                            €53.000/jaar

IMPORTEURSROL (20% van budget):
- Leveranciersverificatie (10 prod.): €20.000/jaar
- Documentatieaanvragen:               €5.000/jaar
- Leveranciersmonitoring:              €5.000/jaar
SUBTOTAAL:                             €30.000/jaar

DISTRIBUTEURSROL (5% van budget):
- Partnerverificatie:                  €5.000/jaar
- Gegevensbeheer:                      €2.500/jaar
SUBTOTAAL:                             €7.500/jaar

TOTAAL:                              €150.500/jaar

Checklist meerdere rollen compliance

CHECKLIST MEERDERE ROLLEN COMPLIANCE

FUNDAMENT:
[ ] Productportfolio geïnventariseerd
[ ] Elk product een CRA-rol toegewezen
[ ] Rolbepaling gedocumenteerd
[ ] Enkel compliancesysteem geselecteerd
[ ] Verantwoordelijkheden per rol toegewezen

PER ROL:

GEFABRICEERDE PRODUCTEN:
[ ] Technische dossiers volledig
[ ] Conformiteitsbeoordelingen gedaan
[ ] SBOM's opgesteld en bijgehouden
[ ] Updatemechanisme ingesteld
[ ] CVD-beleid gepubliceerd
[ ] ENISA-rapportagecapaciteit

GEÏMPORTEERDE PRODUCTEN:
[ ] Leveranciers geverifieerd (per stuk)
[ ] Documentatie verkregen en geverifieerd
[ ] Kopieën DoC in archief
[ ] Traceerbaarheid ingesteld
[ ] Uw contactinfo toegevoegd aan producten
[ ] Leveranciersmonitoring actief

GEDISTRIBUEERDE PRODUCTEN:
[ ] CE-markering geverifieerd (alle producten)
[ ] Vereiste documentatie aanwezig
[ ] Opslagomstandigheden passend
[ ] Meldingskanaal naar fabrikant/importeur
[ ] Distributiegegevens bijgehouden

UNIFORME CAPACITEITEN:
[ ] Documentbeheer voor alle rollen
[ ] Traceerbaarheidssysteem operationeel
[ ] Procedure non-compliancerespons
[ ] Training voltooid (rolspecifiek)
[ ] Medewerking markttoezicht gereed

RANDGEVALLEN:
[ ] White-labelproducten geïdentificeerd (→ fabrikant)
[ ] Substantieel gewijzigde producten geïdentificeerd (→ fabrikant)
[ ] Producten derde-land-dochtermaatschappij geïdentificeerd (→ importeur)

Wanneer rollen verschuiven

Uw rol kan in de loop der tijd veranderen:

Distributeur → Importeur

Aanleiding: Uw EU-leverancier sluit; u begint direct te importeren bij hun fabrikant.

Actie:

• Volledige importeursverificatie voor het product
• Directe leveranciersrelatie opbouwen
• Documentatie bijwerken

Importeur → Fabrikant

Aanleiding: U begint uw eigen merk op het geïmporteerde product te zetten.

Actie:

• Fabricantenverplichtingen volledig nakomen (conformiteitsbeoordeling, technisch dossier, SBOM, etc.)
• Uw leverancier is nu gewoon dat: een leverancier, niet de fabrikant
• U bent eigenaar van de compliance

Elke rol → Beëindiging

Aanleiding: U stopt met de verkoop van een product.

Actie:

• Documentatiebewaring gaat door (10 jaar voor fabrikant/importeur)
• Ondersteuningsverplichtingen gaan door voor fabrikant (minimum 5 jaar vanaf laatste exemplaar)
• Duidelijke communicatie naar klanten

Hoe CRA Evidence helpt

CRA Evidence ondersteunt multi-rol-organisaties:

• Rolgebaseerd productregister: CRA-rol per product bijhouden
• Rolspecifieke workflows: Verschillende checklists en processen per rol
• Unified documentatie: Één systeem voor alle technische dossiers, verificatiegegevens
• Leveranciersbeheer: Leveranciers voor geïmporteerde producten bijhouden en verifiëren
• Kwetsbaarheidscoördinatie: Problemen routeren naar de juiste handlers per rol

Beheer uw multi-rol-compliance op app.craevidence.com.

Gerelateerde gidsen

• CRA-verplichtingen voor importeurs: wat te verifiëren vóór marktplaatsing in de EU
• CRA-distributeur verificatiechecklist: 5 stappen voor elk product
• Wanneer importeurs fabrikanten worden onder de CRA: rolescalatie uitgelegd
• CRA-productclassificatie: is uw product Standaard, Belangrijk of Kritisch?

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.