White-label en OEM-producten onder de CRA: wie is de fabrikant?

U verkoopt tablets onder uw merk, maar een fabriek in Azië maakt ze. Onder de CRA bent u de fabrikant, met alle verplichtingen die daarbij horen. Begrijpen hoe white-label productcompliance werkt is essentieel voordat u uw logo op andermans hardware zet.

Deze gids behandelt CRA-verplichtingen voor white-label-, OEM- en private-labelarrangementen.

Samenvatting

• Merkeigenaar = fabrikant onder de CRA, ongeacht wie het product fysiek maakt
• Volledige fabricantenverplichtingen zijn van toepassing: conformiteitsbeoordeling, technisch dossier, kwetsbaarheidsbeheer, 5-jaar ondersteuning
• Uw leverancier wordt precies dat: een leverancier, niet de juridische fabrikant
• Contract moet complianceverantwoordelijkheden, documentatietoegang en ondersteuningsperiode regelen
• Plan dit vóórdat u white-label overeenkomsten ondertekent

Belangrijk: Als u een product op de EU-markt brengt onder uw eigen naam of handelsmerk, bent u de FABRIKANT onder de CRA — ongeacht wie het daadwerkelijk heeft gemaakt.

Waarschuwing: White-label overeenkomsten moeten duidelijk vastleggen wie kwetsbaarheidsbeheer, beveiligingsupdates en ENISA-melding afhandelt. Zonder dit draagt de merkeigenaar de volledige aansprakelijkheid.

White-label begrijpen onder de CRA

De kernregel

Artikel 3 van de CRA definieert "fabrikant" als:

"iedere natuurlijke of rechtspersoon die een product met digitale elementen fabriceert of een dergelijk product laat ontwerpen of fabriceren en het op de markt aanbiedt onder zijn naam of handelsmerk"

De sleutelzin is "op de markt aanbiedt onder zijn naam of handelsmerk."

Als uw merk op het product staat, bent u de fabrikant, zelfs als u nooit een soldeerbout heeft aangeraakt of een regel code heeft geschreven.

Terminologieverduidelijking

Verschillende termen, zelfde CRA-uitkomst:

Het onderscheid dat telt: Wiens merk staat op het product?

Wat dit in de praktijk betekent

U bent fabrikant, dus...

Als white-label fabrikant onder de CRA moet u:

Vóór marktplaatsing:

1. Conformiteitsbeoordeling uitvoeren (Module A, B+C of H)
2. Technische documentatie opstellen (Bijlage VII)
3. Zorgen dat product voldoet aan essentiële vereisten Bijlage I
4. EU-conformiteitsverklaring ondertekenen
5. CE-markering aanbrengen
6. SBOM aanmaken/onderhouden

Tijdens ondersteuningsperiode:

1. Kwetsbaarheidsrapportages afhandelen
2. Beveiligingsupdates leveren gedurende 5+ jaar
3. Melden aan ENISA (bij actief misbruik)
4. Klanten informeren over beveiligingsproblemen
5. Documentatie bijhouden

Doorlopend:

1. Markttoezicht na marktplaatsing
2. Samenwerking met autoriteiten
3. Reactie op non-compliance

Uw leverancier wordt uw leverancier

De werkelijke fabrikant (fabriek, ODM, etc.) is nu uw leverancier, niet de juridische fabrikant voor CRA-doeleinden. Dit verandert de relatie:

VÓÓR CRA:
ODM-fabriek → "Fabrikant" (hun product, hun compliance)
     ↓
Uw merk → "Wederverkoper/Distributeur"

ONDER CRA:
ODM-fabriek → "Leverancier" (bouwt op specificatie)
     ↓
Uw merk → "Fabrikant" (uw product, uw compliance)

De white-label compliancelacune

Veel white-label arrangementen zijn niet ontworpen voor dit scenario. Veelvoorkomende problemen:

Lacune 1: Geen toegang tot technische documentatie

Uw ODM heeft het technisch dossier, maar u bent nu verplicht het bij te houden.

Probleem:

• Fabriek beschouwt ontwerpen als eigendomsrechtelijk
• Documentatie kan onvolledig zijn
• Voldoet mogelijk niet aan CRA-formaatsvereisten

Oplossing:

• Documentatietoegang contractueel vastleggen
• Technisch dossier conform Bijlage VII vereisen
• Verifiëren vóór ondertekening overeenkomst

Lacune 2: Kwetsbaarheidsafhandeling niet gedefinieerd

Wie handelt beveiligingsproblemen af wanneer uw gemerkte product een kwetsbaarheid heeft?

Probleem:

• Fabriek ontdekt kwetsbaarheid: informeren ze u?
• Klant meldt bij u: kan de fabriek het oplossen?
• Tijdlijnen niet op elkaar afgestemd

Oplossing:

• Kwetsbaarheidsrespons in contract vastleggen
• Meldingstermijnen vaststellen
• Verantwoordelijkheden voor updateontwikkeling afspreken
• ENISA-melding verduidelijken (uw verplichting)

Lacune 3: Mismatch ondersteuningsperiode

U beloofde 5 jaar ondersteuning, maar uw leveranciersrelatie loopt 2 jaar.

Probleem:

• Fabriek discontinueert product
• Fabriek gaat failliet
• Geen bron voor updates na afloop contract

Oplossing:

• Duur ondersteuningsperiode contractueel vastleggen
• Escrow-regelingen voor broncode
• Noodplanning bij leverancierswijzigingen
• Meerdere leveranciers kwalificeren overwegen

Lacune 4: Geen SBOM

U heeft een SBOM nodig. Uw leverancier heeft er nooit een aangemaakt.

Probleem:

• Kan geen SBOM verstrekken aan toezichthouders of klanten
• Kan kwetsbaarheden in componenten niet bijhouden
• Kan transparantie in toeleveringsketen niet aantonen

Oplossing:

• SBOM vereisen bij inkoop
• Formaat specificeren (CycloneDX, SPDX)
• Updatefrequentie definiëren

White-label overeenkomsten structureren voor CRA

Essentiële contractbepalingen

Uw white-label-/OEM-overeenkomst dient te bevatten:

1. Erkenning CRA-compliance

Leverancier erkent dat Afnemer het Product op de EU-markt
zal brengen onder het merk van Afnemer en dat Afnemer zal
worden beschouwd als de "fabrikant" onder Verordening (EU)
2024/2847 (Cyber Resilience Act). Leverancier stemt ermee in
de complianceverplichtingen van Afnemer te ondersteunen zoals
uiteengezet in deze Overeenkomst.

2. Technische documentatie

Leverancier verstrekt aan Afnemer:
(a) Volledige technische documentatie die voldoet aan de
    vereisten van Bijlage VII van Verordening (EU) 2024/2847
(b) Alle documentatie die nodig is voor Afnemer om:
    - Conformiteitsbeoordeling uit te voeren
    - EU-conformiteitsverklaring op te stellen
    - Te reageren op markttoezichtverzoeken
(c) Updates van documentatie binnen [10] dagen na enige
    wijziging die de compliancestatus beïnvloedt

Leverancier verleent Afnemer een eeuwigdurende, onherroepelijke
licentie om dergelijke documentatie voor compliancedoeleinden te gebruiken.

3. SBOM-verstrekking

Leverancier verstrekt:
(a) Software Bill of Materials in [CycloneDX/SPDX]-formaat
(b) Bijgewerkte SBOM binnen [5] dagen na elke firmware-/
    softwarerelease
(c) SBOM die alle componenten van derden bevat met:
    - Componentnaam en -versie
    - Leveranciersinformatie
    - Licentie-informatie
    - Bekende kwetsbaarheden op leveringsmoment

4. Kwetsbaarheidsbeheer

Kwetsbaarheidsmelding:
Leverancier stelt Afnemer binnen [24 uur] in kennis van het
bekendworden van enige beveiligingskwetsbaarheid in het Product,
ongeacht de bron van ontdekking.

Patchontwikkeling:
Na kennisgeving van een kwetsbaarheid zal Leverancier:
(a) Binnen [24 uur] bevestigen
(b) Ernstbeoordeling verstrekken binnen [72 uur]
(c) Patch leveren binnen:
    - [7 dagen] voor Kritieke ernst
    - [30 dagen] voor Hoge ernst
    - [90 dagen] voor Gemiddelde/Lage ernst

Afnemer behoudt de uiteindelijke bevoegdheid over klantcommunicatie
en timing van updaterelease.

5. Commitment ondersteuningsperiode

Leverancier verbindt zich tot:
(a) Het leveren van beveiligingsupdates voor het Product gedurende
    een minimumperiode van [5 jaar] vanaf datum van eerste
    levering aan Afnemer
(b) Het handhaven van capaciteit om updates te produceren
    gedurende deze periode
(c) Het geven van [90 dagen] aankondiging vóór enige geplande
    discontinuering
(d) [Broncode-escrow / transitieassistentie] als Leverancier
    dit commitment niet kan nakomen

6. Ondersteuning conformiteit

Leverancier zal:
(a) De conformiteitsbeoordelingsactiviteiten van Afnemer ondersteunen
(b) Testrapporten, certificaten en bewijs verstrekken
    op redelijk verzoek
(c) Afnemer of de door Afnemer aangewezen aangemelde instantie
    toestaan productiefaciliteiten te controleren
(d) Kwaliteitscontroles handhaven consistent met het
    beoordeelde producttype

7. Beheer van subcomponenten

Leverancier zal:
(a) Lijst van alle subcomponentleveranciers verstrekken
(b) Relevante CRA-vereisten doorleggen aan subcomponenten
(c) Afnemer informeren over subcomponentwijzigingen die
    beveiliging of compliance beïnvloeden
(d) Kwalificatieregistraties van subcomponentleveranciers bijhouden

Risicoverdeling

Praktische workflow

Vóór ondertekening white-label overeenkomst

DUE DILIGENCE VOOR OVEREENKOMST

1. TECHNISCHE BEOORDELING
   [ ] Productarchitectuur beoordelen
   [ ] Beveiligingsfuncties toetsen aan Bijlage I
   [ ] Lacunes identificeren die remediëring vereisen
   [ ] Updatemechanismecapaciteit evalueren

2. DOCUMENTATIEBEOORDELING
   [ ] Voorbeeldtechnische documentatie opvragen
   [ ] Volledigheid verifiëren aan de hand van Bijlage VII
   [ ] SBOM-beschikbaarheid en -kwaliteit beoordelen
   [ ] Risicobeoordelingsdocumentatie beoordelen

3. LEVERANCIERSCAPACITEIT
   [ ] Beveiligingsontwikkelingspraktijken evalueren
   [ ] Kwetsbaarheidsafhandelingsgeschiedenis beoordelen
   [ ] Ondersteuningsinfrastructuur beoordelen
   [ ] Updateontwikkelingscapaciteit verifiëren
   [ ] Financiële stabiliteit voor 5-jaarcommitment controleren

4. CONTRACTONDERHANDELING
   [ ] Alle CRA-specifieke bepalingen opnemen
   [ ] Documentatieopleveringen definiëren
   [ ] SLA's kwetsbaarheidsrespons vaststellen
   [ ] Commitment ondersteuningsperiode vastleggen
   [ ] Broncode-escrow regelen

5. PLANNING CONFORMITEITSBEOORDELING
   [ ] Productclassificatie bepalen
   [ ] Conformiteitsbeoordelingsmodule selecteren
   [ ] Aangemelde instantie identificeren (indien vereist)
   [ ] Voorbereiding technisch dossier plannen

Na ondertekening: doorlopend beheer

COMPLIANCEBEHEER WHITE-LABEL PRODUCT

Maandelijks:
[ ] Kwetsbaarheidsmeldingen leverancier beoordelen
[ ] SBOM-updates ontvangen controleren
[ ] Beveiligingsadviezen leverancier monitoren
[ ] Updatelevercapaciteit verifiëren

Per kwartaal:
[ ] Technische documentatie beoordelen
[ ] Leverancierscapaciteitsbeoordeling
[ ] Contractcomplianceverificatie
[ ] Bijhouden ondersteuningsperiode

Jaarlijks:
[ ] Volledige compliance-audit
[ ] Contractbeoordeling en -update
[ ] Financiële gezondheidscontrole leverancier
[ ] Beoordeling volledigheid documentatie

Per release:
[ ] Bijgewerkte SBOM ontvangen
[ ] Technisch dossier bijgewerkt
[ ] Testen voltooid
[ ] Conformiteit gehandhaafd

Veelvoorkomende white-label scenario's

Scenario 1: Eenvoudig rebranden

Situatie: U koopt afgewerkte tablets, plakt uw logo erop, verkoopt onder uw merk.

Uw verplichtingen:

• Volledige fabricantenstatus
• Alle documentatie van leverancier verkrijgen
• Conformiteitsbeoordeling uitvoeren (of verifiëren of die van leverancier voor uw gebruik geldig is)
• Alle verplichtingen na marktplaatsing afhandelen

Kernrisico's:

• Conformiteitsbeoordeling leverancier kan niet overdraagbaar zijn aan u
• U heeft uw eigen conformiteitsverklaring nodig
• Updates zijn volledig afhankelijk van leverancier

Scenario 2: Aangepast ODM-product

Situatie: ODM ontwerpt product op uw specificaties, u merkt het en verkoopt het.

Uw verplichtingen:

• Volledige fabricantenstatus
• Conformiteitsbeoordeling is zeker uw verantwoordelijkheid (eigen ontwerp)
• Technisch dossier moet uw aanpassingen weerspiegelen
• Kwetsbaarheidsafhandeling voor uw versie

Kernrisico's:

• Aanpassingen kunnen kwetsbaarheden introduceren
• Uw wijzigingen kunnen leverancierstesten ongeldig maken
• Ondersteuningsperiode voor aangepaste versie

Scenario 3: Meerdere merkversies

Situatie: Zelfde product verkocht onder verschillende merken (het uwe en andere).

Verplichtingen van elke merkeigenaar:

• Elk is fabrikant voor zijn gemerkte versie
• Elk heeft eigen conformiteitsverklaring en CE-markering nodig
• Kwetsbaarheden raken allen; coördinatie vereist

Kernrisico's:

• Coördinatie bij kwetsbaarheidsonthulling
• Wie meldt aan ENISA?
• Klantverwarring als updates verschillen

Scenario 4: Gedeeltelijk white-label (componenten)

Situatie: U ontwerpt het totale product, inkoopt white-label componentmodules.

Uw verplichtingen:

• U bent fabrikant van het totale product
• Componentleverancier is uw leverancier
• U moet componentbeveiliging beoordelen
• Kwetsbaarheden in componenten zijn uw probleem

Kernrisico's:

• Componentleverancier verstrekt mogelijk geen adequate documentatie
• Kwetsbaarheid in component = uw aansprakelijkheid
• Meerdere componentleveranciers = complexe tracking

Wanneer white-label niet werkt

Sommige situaties maken white-label compliance erg moeilijk:

Fabriek weigert documentatie te verstrekken

Als leverancier toegang tot technische documentatie weigert, kunt u niet:

• Conformiteitsbeoordeling voltooien
• Conform technisch dossier aanmaken
• Compliance aantonen aan autoriteiten

Opties:

• Andere leverancier zoeken
• Harder onderhandelen (compliance is niet onderhandelbaar)
• Onafhankelijke testen inhuren (duur, onvolledig)

Ondersteuningsperiode kan niet worden gegarandeerd

Als leverancier geen 5-jaar ondersteuning wil toezeggen:

Opties:

• Broncode-escrow onderhandelen
• Reserveontwikkelingscapaciteit identificeren
• Uw ondersteuningsperiode verkorten (maar minimaal 5 jaar vereist)
• Niet doorgaan

Product voldoet niet aan vereisten

Als het white-label product fundamentele beveiligingslacunes heeft:

Opties:

• Van leverancier vereisen dat hij remedieert (vóór u levering accepteert)
• Zelf een beveiligingslaag toevoegen (en meer betrokken raken)
• Niet doorgaan

Nooit: Non-conform product op de markt brengen in de veronderstelling dat u het "later kunt oplossen."

Kostenoverweging

White-label CRA-compliance voegt kosten toe bovenop de productinkoop:

Vuistregel: Voeg 15-25% toe aan productkosten voor CRA-compliance overhead.

Checklist white-label compliance

CHECKLIST CRA-COMPLIANCE WHITE-LABEL

VOOR OVEREENKOMST:
[ ] Productbeveiligingsbeoordeling voltooid
[ ] Leverancierscapaciteit geverifieerd
[ ] Documentatiebeschikbaarheid bevestigd
[ ] Commitment ondersteuningsperiode vastgelegd
[ ] Contract bevat CRA-bepalingen

DOCUMENTATIE:
[ ] Technisch dossier ontvangen en beoordeeld
[ ] SBOM ontvangen in juist formaat
[ ] Risicobeoordelingsdocumentatie beschikbaar
[ ] Testrapporten ontvangen
[ ] Ontwerpdocumentatie toegankelijk

CONFORMITEITSBEOORDELING:
[ ] Productclassificatie bepaald
[ ] Beoordelingsmodule geselecteerd
[ ] Conformiteitsbeoordeling voltooid
[ ] Conformiteitsverklaring ondertekend (door u, de merkeigenaar)
[ ] CE-markering aangebracht

KWETSBAARHEIDSBEHEER:
[ ] Beveiligingscontact vastgesteld
[ ] CVD-beleid gepubliceerd
[ ] Meldingsproces leverancier afgesproken
[ ] Updatetestcapaciteit
[ ] Klantmeldingsproces

DOORLOPEND:
[ ] SBOM-updates ontvangen
[ ] Kwetsbaarheidsmonitoring actief
[ ] Leveranciersrelatie beheerd
[ ] Ondersteuningsperiode bijgehouden
[ ] Documentatie bijgehouden

NA EOL:
[ ] Bewaring documentatie (10 jaar)
[ ] Onthulling bekende kwetsbaarheden (indien nodig)
[ ] Klantovergang beheerd

Hoe CRA Evidence helpt

CRA Evidence ondersteunt white-label fabrikanten:

• Leveranciersbeheer: Compliance white-label leverancier bijhouden
• Documentrepository: Door leverancier verstrekte documentatie opslaan en beheren
• SBOM-aggregatie: Component-SBOM's combineren
• Opbouw technisch dossier: Documentatie structureren voor uw gemerkte product
• Kwetsbaarheidsworkflow: Coördineren tussen leverancier en klantgerichte respons

Beheer uw white-label compliance via app.craevidence.com.

Gerelateerde gidsen

• Wanneer importeurs fabrikanten worden onder de CRA: rolescalatie uitgelegd
• CRA leveranciers due diligence: vragenlijstsjabloon en verificatieproces
• CRA conformiteitsbeoordeling: beslissingsgids Module A vs B+C vs H

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding gekwalificeerde juridisch adviseurs met kennis van EU-productregelgeving.