CRA-gids voor white-label- en OEM-producten voor fabrikanten

CRA-verplichtingen voor white-label, OEM en private label: rebrand-brug, OEM-stopzetting, SBOM-herkomst, spiegel ondersteuningsperiode, contracten.

CRA Evidence-team Gepubliceerd 29 januari 2026 Bijgewerkt 27 mei 2026
CRA white-label en OEM-producten: merkeigenaar is de fabrikant; grens van firmware-aanpassing tussen artikel 21 en artikel 22; spiegelclausule ondersteuningsperiode met uw OEM
In dit artikel

U verkoopt tablets onder uw merk. Een ODM in Shenzhen bouwt ze. Onder de CRA bent u de fabrikant, is de ODM uw leverancier en is het merk de trigger, niet de assemblage. Deze pagina vormt de operationele laag voor white-label; voor het volledige verplichtingenpakket van fabrikanten, zie het cluster fabrikant.

Samenvatting

  • De merkeigenaar is onder de CRA de fabrikant, ongeacht wie het product fysiek bouwt. De OEM of ODM is uw leverancier.
  • De klok voor de ondersteuningsperiode begint te lopen wanneer U het rebrande product op de EU-markt aanbiedt, niet wanneer de OEM de naamloze versie voor het eerst verzond.
  • Wanneer uw OEM ophoudt te bestaan, geldt de kennisgevingsplicht van de importeur NIET voor u (u bent fabrikant, geen importeur). De ondersteuningsplicht is nooit "overgedragen", want die was altijd al van u.
  • Firmware-aanpassing VOOR marktaanbieding maakt u vanaf de eerste verkoop fabrikant. Aanpassing NA marktaanbieding valt in het rebrand-brugscenario als een importeur of distributeur het doet, of in de vangnetbepaling als een willekeurige derde partij het doet.
  • Verborgen white-label, gelaagd white-label, retailer private label en co-branded producten leveren elk een ander operationeel beeld op. De scenariotaxonomie hieronder koppelt elk scenario aan de juiste CRA-route.

Waarom white-label een aparte categorie is

White-label zit in een specifieke hoek van de CRA-rolverdeling. De grens tussen white-label en de aangrenzende rollen is op papier scherp, maar in de inkooppraktijk vaag.

Rol Wat u doet Positie onder de CRA
White-label merkeigenaar U neemt een OEM- of ODM-product, plakt uw merk erop en brengt het op de EU-markt Fabrikant vanaf de eerste verkoop
Importeur U brengt een gemerkt product van een buitenlandse fabrikant de EU binnen; hun merk blijft erop staan Importeur; volledige importeursverificatie
Distributeur U verkoopt een gemerkt product van een andere EU-entiteit door nadat de importeur het op de markt heeft gebracht; u wijzigt niets Distributeur
Ingrijpende wijziger (rebrand-brug) U bent importeur of distributeur die een al op de markt aangeboden product wijzigt Voor het gewijzigde product gelden voor u de verplichtingen van een fabrikant
Ingrijpende wijziger (vangnet) U bent GEEN fabrikant, importeur of distributeur, maar wijzigt een aangeboden product ingrijpend (integrator, reparatiebedrijf, value-added reseller) Voor u gelden de verplichtingen van een fabrikant
Componentleverancier U bouwt componenten die in andermans product worden verwerkt Uw afnemer voert componentonderzoek uit op u; het volledige verplichtingenpakket van de fabrikant geldt niet voor u, tenzij u zelf een product op de markt aanbiedt

Drie grenzen worden vaak overschreden. Ten eerste de grens tussen white-label (u bent vanaf dag één fabrikant) en ingrijpende wijziging (iemand wijzigt een al aangeboden product). White-label is een trigger op het moment van marktaanbieding; ingrijpende wijziging is een trigger na marktaanbieding. Ten tweede de grens tussen white-label en importeur: als u uw merk op het product zet, bent u uit de importeursrol gestapt en de fabrikantenrol ingegaan, zelfs als u het apparaat ook fysiek importeert. Ten derde de grens tussen white-label en componentinkoop: als u een product onder uw merk aanbiedt, bent u de fabrikant van dat product; integreert u een component in een product dat u zelf bouwt, dan is de draaiboek voor leveranciersonderzoek uw operationele laag.

Het "het is maar een sticker"-verweer en wat werkelijk telt

Inkoopverantwoordelijken voeren soms aan dat een merksticker op een afgewerkt product geen volledige fabrikantsstatus kan triggeren. De valkuiltabel van het cluster importeur noemt exact deze claim ("Het is maar een sticker met ons logo.") en weerlegt hem: als de sticker u presenteert als bron van het product, gelden de verplichtingen van de fabrikant. De trigger is merkpresentatie naar de markt, niet de diepgang van de aanpassing.

De operationele vraag is wat geldt als "onder uw merk" en wat in distributeursterritorium blijft.

Handeling Wat gebeurt er
OEM-product in OEM-verpakking met zichtbaar OEM-merk verkopen Distributeur. De OEM wordt gepresenteerd als de bron.
Een sticker "Gedistribueerd door [uw bedrijf]" toevoegen die u als distributeur noemt Distributeur. Identificatie is vereist, geen merkhandeling.
Het OEM-merk op het product vervangen door uw merk Fabrikant vanaf eerste verkoop. U wordt gepresenteerd als de bron.
OEM-verpakking vervangen door uw verpakking; product draagt nog zichtbaar het OEM-merk Hangt ervan af. Is uw merk de bron richting klant, dan fabrikant. Blijft het OEM-merk zichtbaar op het product zelf, dan distributeur voor die eenheid.
Zowel uw merk als het OEM-merk op het product co-branden Doorgaans fabrikant. De partij die als bron wordt gepresenteerd, draagt de verantwoordelijkheid, meestal het merk richting eindklant.
De gebruikershandleiding vertalen en in de doos toevoegen Distributeur. Taalconformiteit is een keten-eis; vertaling kantelt u niet naar fabrikant.
Een distributeurssticker toevoegen EN bij eerste opstart het firmware-splashscherm vervangen door uw logo Fabrikant. Merkpresentatie bij de opstart maakt u tot bron.
Naamloos product alleen in uw verpakking verkopen (retailer private label) Fabrikant. Het private-labelmerk presenteert u als de bron. Amazon Basics, Lidl Silvercrest en Tesco F&F-Tech zijn de bekendste voorbeelden.
Onder uw merk doorverkopen EN de firmware na marktaanbieding ingrijpend wijzigen Fabrikant van begin tot eind. White-label fabrikant vanaf de eerste verkoop; aanpassing na marktaanbieding triggert de rebrand-brug- of vangnetroute.

De verbindende regel is bronpresentatie. Als een markttoezichtautoriteit op de vraag "wie is de fabrikant van dit product?" naar uw merk zou wijzen, bent u onder de CRA de fabrikant. Stickerdiepgang, ontwerpinspanning en aanpassingsniveau vormen niet de toets.

Taxonomie van white-labelscenario's

Zeven scenario's dekken het operationele terrein. Elk koppelt aan een andere combinatie van CRA-route, diepte van leveranciersonderzoek en contractuele blootstelling.

1. Eenvoudige rebrand (afgewerkt product, alleen uw merk)

U koopt afgewerkte tablets, brengt uw logo aan en verkoopt onder uw merk. Standaard white-label.

  • CRA-route: fabrikant vanaf de eerste verkoop.
  • Conformiteitsbeoordeling: van u. De eerdere conformiteitsbeoordeling van de OEM kan input zijn voor uw technisch dossier, maar gaat niet over.
  • Diepte van onderzoek: hoog op de OEM als leverancier, vooral op documentatie, kwetsbaarheidsafhandeling en commitment voor de ondersteuningsperiode.
  • Operationeel risico: de bereidheid van de OEM om beveiligingsupdates te leveren bepaalt of u uw eigen commitment voor de ondersteuningsperiode aan gebruikers waarmaakt.

2. Verborgen white-label (uw reseller rebrandt opnieuw)

U white-labelt een OEM-product als Merk-A en verkoopt aan een reseller. De reseller verwijdert uw merk en rebrandt opnieuw als Merk-B zonder u te informeren, en biedt Merk-B-eenheden vervolgens aan op de EU-markt.

  • CRA-route: de reseller wordt fabrikant van de Merk-B-eenheden. U blijft fabrikant van de Merk-A-eenheden die u op de markt bracht. De OEM blijft leverancier van beide partijen.
  • Operationeel ontdekkingssignaal: klantondersteuningstickets met verwijzing naar Merk-B die overeenkomen met Merk-A-gedrag, of retouren in Merk-B-verpakking terwijl u nooit aan Merk-B verkocht.
  • Contractuele oplossing: resellerovereenkomsten moeten herrebranding zonder schriftelijke toestemming verbieden. Zonder die clausule is opzegging uw enige remedie.
  • Waarom dit ertoe doet: een patch die u uitbrengt voor een kwetsbaarheid bereikt Merk-B-eenheden alleen als de reseller de patch doorzet, en de reseller heeft daar mogelijk geen infrastructuur voor.

3. Gelaagd white-label (u white-labelt, uw distributeur rebrandt uw versie opnieuw)

OEM bouwt, u white-labelt onder uw merk, u verkoopt aan een EU-distributeur en de distributeur white-labelt uw versie onder zijn eigen merk.

  • CRA-route: drie juridische posities gestapeld. De OEM is leverancier, u bent fabrikant van de eenheden die u onder uw merk aanbood, en de distributeur wordt fabrikant van de eenheden die hij onder zijn merk aanbood.
  • Operationeel patroon: gangbaar in industriële automatisering, AV-apparatuur en B2B-IoT.
  • Cruciale clausule: uw contract met de distributeur moet vastleggen of herrebranding is toegestaan en, zo ja, dat de distributeur fabrikantsstatus krijgt voor de gerebrande variant. Zonder die clausule kunnen beide partijen distributeursstatus claimen, terwijl autoriteiten naar het zichtbare merk op elke eenheid wijzen.

4. Co-branded producten (beide namen op het product)

Het product draagt zowel uw merk als het OEM-merk zichtbaar voor de eindgebruiker.

  • CRA-route: doorgaans draagt het merk richting eindklant de fabrikantsstatus; beide partijen kunnen als fabrikant worden aangewezen als beide zich als bron presenteren.
  • Contractuele oplossing: de fabrikantsaanwijzing moet schriftelijk worden vastgelegd in de co-brandingovereenkomst. Standaarduitleg: de partij die de conformiteitsverklaring ondertekent, is fabrikant voor dat cohort eenheden.
  • Operationeel risico: gedeelde merkzichtbaarheid kan gebruikers verwarren over de partij voor kwetsbaarheidsmeldingen; het enkelvoudige contactpunt voor het product moet ondubbelzinnig zijn.

5. Retailer private label (Amazon Basics, Lidl Silvercrest, Tesco)

Een retailer met hoog volume laat een OEM een product bouwen onder het private-labelmerk van de retailer. De retailer is de white-label merkeigenaar.

  • CRA-route: de retailer is fabrikant. Het volume verandert de analyse niet; de merkpresentatie doet dat wel.
  • Operationele schaal: honderden SKU's verdeeld over meerdere OEM's is typisch. Technisch dossier per SKU, conformiteitsverklaring per SKU, klok voor ondersteuningsperiode per SKU. Een retailinkoper die CRA-compliance behandelt als een eenmalige inkoopvraag onderschat de werklast.
  • Contractueel patroon: meerjarige raamovereenkomsten met de OEM, spiegelclausules voor de ondersteuningsperiode (OEM verbindt zich MINSTENS zo lang als de retailer zich aan gebruikers verbindt), broncode-escrow voor de firmware en expliciete doorvloeiing van CRA-vereisten naar subcomponenten.

6. Alleen hardware-ODM met uw eigen firmware

U laat hardware op maat bouwen door een ODM (industriële print, geharde tablet, IoT-gatewaybehuizing) en levert er uw eigen firmware op. De hardwaredrager is OEM-geleverd; de beveiligingsenvelop is van u.

  • CRA-route: u bent fabrikant van het geïntegreerde product. De ODM is uw hardwareleverancier. Dit verschilt van de eenvoudige rebrand omdat u bovenop de drager daadwerkelijk iets bouwt.
  • Vorm van het onderzoek: leunt op het draaiboek voor alleen-hardware-ODM's (BOM-beheersing, herkomst van het beveiligde element, fabrieksinjectie van sleutels, EOL-venster van het hardwareplatform).
  • Veelgemaakte operationele fout: een meerjarig ondersteuningscommitment aan klanten ondertekenen met een ODM wiens hardware-EOL-venster korter is. Wanneer het silicium EOL gaat, verzacht uw ondersteuningsplicht niet.

7. White-label SaaS of component voor gegevensverwerking op afstand

Het "product" dat klanten zien is uw SaaS onder uw merk of uw API onder uw merk. De feitelijke verwerking draait op een OEM-platform dat onder uw merk is white-gelabeld (een beheerde Kafka-cluster, een SaaS-authenticatieplatform, een beheerde apparaatvlootdienst).

  • CRA-route: hangt ervan af of de SaaS zelf een "product met digitale elementen" is onder de CRA. De CRA dekt "oplossingen voor gegevensverwerking op afstand" alleen als deze integraal onderdeel zijn van een aangeboden product. Pure SaaS die niet in een aangeboden product wordt geïntegreerd, valt doorgaans buiten het toepassingsgebied. Is uw SaaS een integraal onderdeel van een aangeboden product (firmware die thuis belt, vlootbeheer voor IoT-apparaten), dan maakt de SaaS-aanbieder deel uit van uw leveranciersketen en is het draaiboek voor cloud-servicecomponenten van toepassing.
  • Contractueel patroon: portfolio van SaaS-attestaties (SOC 2, ISO/IEC 27001, ISO/IEC 27017), verwerkersovereenkomst, lijst van subverwerkers en aankondigingsvenster voor dienstbeëindiging.

Firmware-aanpassing: waar de rebrand-brug eindigt en het vangnet begint

De meest voorkomende verwarring in white-label compliance is die tussen de rebrand-brug (een importeur of distributeur die een al aangeboden product ingrijpend wijzigt, wordt fabrikant voor het gewijzigde product) en het vangnet (een willekeurige andere derde die een aangeboden product ingrijpend wijzigt, wordt fabrikant). Beide routes staan in de CRA; ze dekken verschillende actoren.

De grens, gekoppeld aan de firmware-aanpassingsscenario's die white-label merkeigenaren tegenkomen:

Scenario CRA-route Waarom
U past de firmware aan VOORDAT u het product onder uw merk op de EU-markt aanbiedt Fabrikant vanaf de eerste verkoop Geen vangnetvraag. De aanpassing maakt deel uit van het product zoals u het aanbiedt.
U brengt na marktaanbieding een firmware-update uit die kwetsbaarheden verhelpt en het beoogde doel, het gedrag en de beveiligingsarchitectuur behoudt Fabrikantsstatus blijft gelijk Een echte beveiligingsupdate is geen ingrijpende wijziging.
U brengt na marktaanbieding een firmware-update uit die functies toevoegt, authenticatie wijzigt of het aanvalsoppervlak vergroot Fabrikantsstatus ongewijzigd MAAR triggert een verse conformiteitsbeoordelingslus op uw bestaande fabrikantendossier U was al fabrikant; de aanpassing verandert het risicobeeld van het product, niet uw rol
Een importeur of distributeur stroomafwaarts van u past de firmware aan op uw white-label-eenheden in zijn bezit Importeur of distributeur wordt fabrikant voor de gewijzigde eenheden (route rebrand-brug) De brug dekt expliciet ingrijpende wijziging van een door een importeur of distributeur al op de markt aangeboden product
Een derde partij die GEEN fabrikant, importeur of distributeur is (een dienstverlener, een integrator, een value-added reseller, een onderhoudscontractant) past de firmware aan op uw white-label-eenheden en biedt ze opnieuw aan De derde partij wordt fabrikant voor die eenheden (vangnetroute) Het vangnet dekt iedereen buiten de keten fabrikant, importeur of distributeur
U laat een OEM bouwen, de OEM levert u het product en u past de firmware aan voor marktaanbieding U bent nog steeds fabrikant vanaf de eerste verkoop; de OEM blijft uw leverancier De aanpassing vóór marktaanbieding verandert uw rol niet; zij maakt deel uit van het product zoals u het aanbiedt

Twee operationele implicaties. Ten eerste ontsnapt de white-label merkeigenaar niet aan de vangnetroute door te claimen dat de ingrijpende wijziging door iemand anders is uitgevoerd; als u het gewijzigde product onder uw merk op de markt aanbiedt, maakt de wijziging deel uit van uw fabrikantenscope. Ten tweede landt de rebrand-brugroute bij hen, niet bij u, voor die specifieke eenheden wanneer een van uw distributeurs uw white-label firmware aanpast. Houd bij welke eenheden ongewijzigd onder uw beheer zijn vertrokken en welke stroomafwaarts zijn gewijzigd; de verantwoordelijkheid voor de ondersteuningsperiode van de gewijzigde eenheden verschuift naar de wijziger.

Voor de woordelijke tekst van de bepalingen over de rebrand-brug en het vangnet, zie de FAQ van het cluster distributeur, waarin beide naast elkaar zijn geciteerd.

Klok ondersteuningsperiode voor white-label

De klok voor de ondersteuningsperiode onder de CRA begint te lopen wanneer de fabrikant het product op de EU-markt aanbiedt. Bij white-label bent u de fabrikant, dus begint de klok te lopen wanneer u uw rebrande versie voor het eerst op de EU-markt aanbiedt, niet wanneer de OEM de naamloze versie voor het eerst aanbood of aan u verkocht.

TIMING ONDERSTEUNINGSPERIODE (WHITE-LABEL)

Jaar 0   OEM biedt de naamloze versie voor het eerst aan op EU-markt
         Klok OEM start op zijn eigen conformiteitsverklaring

Jaar 0   OEM levert uw eerste rebrande batch aan uw magazijn
         (Nog geen CRA-klok bij u, niet op EU-markt)

Jaar 1   U biedt uw eerste rebrande eenheden aan op de EU-markt
         UW klok start op UW conformiteitsverklaring (minimaal 5 jaar)

Jaar 1   OEM blijft parallel de naamloze versie verkopen
         (Twee onafhankelijke klokken; OEM dekt OEM-eenheden, u dekt de uwe)

Jaar 4   OEM stopt met productie
         Uw ondersteuningsplicht loopt door tot minstens Jaar 6
         (en langer als u eenheden aanbood na Jaar 1)

De spiegelclausuleverplichting die hieruit volgt: uw OEM-contract moet de OEM verplichten u MINSTENS zo lang beveiligingsupdates te leveren als u zich aan uw gebruikers verbindt. Verbindt u zich vijf jaar aan gebruikers en verbindt de OEM zich drie jaar aan u, dan draagt u een gat van twee jaar zonder bron voor patches. Broncode-escrow en kwalificatie van een tweede bron zijn de twee standaardmaatregelen om dat gat te dichten.

Wanneer de OEM zijn activiteiten beëindigt

Een veelvoorkomende misvatting: wanneer de OEM ophoudt te bestaan, legt de CRA u een kennisgevingsplicht op die een deel van de OEM-verplichtingen overdraagt.

Twee verduidelijkingen zijn van belang. Ten eerste ligt de CRA-kennisgevingsplicht bij beëindiging van een fabrikant bij de importeur, niet bij u. Bent u de white-label merkeigenaar, dan bent u de CRA-fabrikant van uw rebrande product; de OEM was uw leverancier, niet de fabrikant van uw gemerkte product. De bepaling over kennisgeving bij importeursbeëindiging geldt niet voor u in dit scenario, omdat de OEM niet de CRA-fabrikant was van uw gemerkte product. De sectie beëindiging van het cluster importeur behandelt de importeurskant in detail.

Ten tweede gaat de ondersteuningsplicht niet "over" van de OEM naar u, want zij was altijd van u. U verbond zich bij eerste marktaanbieding aan uw gebruikers; de beëindiging van de OEM verandert uw bevoorradingssituatie, niet uw wettelijke commitment. De praktische terugvaloptie is wat het contract heeft vastgelegd (broncode-escrow, tweede bron, transitiediensten), niet de bepaling over importeursbeëindiging.

De ene wettelijke kennisgevingsplicht bij beëindiging die WEL op u als white-label merkeigenaar van toepassing is, is de eigen plicht van de fabrikant: als U als fabrikant uw activiteiten beëindigt, moet u de markttoezichtautoriteiten en, met alle beschikbare middelen, uw gebruikers informeren.

Grensoverschrijdend white-label

U koopt in bij een Aziatische ODM, white-labelt en biedt het product aan op de EU-markt via uw EU-dochter. De white-label-trigger (u bent fabrikant vanaf de eerste verkoop) combineert met een geen-EU-vestigingsvraag voor kwetsbaarheids- en incidentmelding.

Wordt uw white-labelmerk gehouden door een niet-EU-moeder en is de EU-dochter de entiteit die het product op de markt aanbiedt, dan zijn twee routes mogelijk. Route A: de EU-dochter is de juridische fabrikant, met de moeder als commerciële merkeigenaar; de lidstaat van de EU-dochter is de thuisautoriteit. Route B: de niet-EU-moeder is de juridische fabrikant (merkeigenaar van record) en de EU-dochter is de importeur; de cascade voor niet-EU-fabrikanten zonder EU-vestiging routeert incidentmeldingen via de lidstaat van de gemachtigde vertegenwoordiger, vervolgens de lidstaat van de importeur, de lidstaat van de distributeur en uiteindelijk de lidstaat met de meeste gebruikers.

Kies de route bewust binnen de juridische structurering van uw groep; laat hem niet uit een toevallige merkeigendom vloeien. Een niet-EU-merkeigenaar zonder EU-vestiging en zonder aangewezen gemachtigde vertegenwoordiger routeert zijn incidentmelding standaard naar de lidstaat van de importeur, wat betekent dat de markttoezichtautoriteit van de EU-dochter de meldingen krijgt, of die dochter daar nu op is ingericht of niet.

SBOM-herkomst voor white-label

De zustertekst over leveranciers behandelt SBOM-contractbepalingen in algemene zin. Voor white-label is de operationele realiteit scherper: u kunt de SBOM niet uit uw eigen build-pipeline genereren, want u heeft de code niet gebouwd.

Drie operationele gevolgen.

Ten eerste is de SBOM een gecontracteerd opleveringsstuk van de OEM, geen intern artefact. Uw contract moet het formaat (CycloneDX of SPDX), de updatecadens (per release), de diepte (transitieve afhankelijkheden, niet alleen direct) en de verversingstrigger (elke firmware-versiebump) vastleggen. Zonder dit kan de OEM een SBOM met alleen directe afhankelijkheden leveren, die 90% van het werkelijke risico-oppervlak mist.

Ten tweede draagt de SBOM-autoriteit uw merk, ook al heeft u de componenten niet zelf geschreven. Wanneer de SBOM een kwetsbare transitieve afhankelijkheid vermeldt, ligt de plicht tot componentonderzoek bij u. Het onderzoeksdossier kan geen kopie van de OEM zijn; het moet uw eigen beslissing en uw eigen risico-acceptatie per geïntegreerde component bevatten. Gebruik het draaiboek voor leveranciersonderzoek voor de subcases FOSS, cloud, alleen-hardware en OSS-steward binnen de SBOM van de OEM.

Ten derde splitsen alleen-hardware-ODM-scenario's zich in een hardware-BOM (BOM van fysieke componenten) en een software-SBOM (BOM van de firmware die u levert). De hardware-BOM komt van de OEM; de software-SBOM is van u (want de firmware is van u). Het technisch dossier moet beide onderscheiden, en de splitsing in kwetsbaarheidsmonitoring moet daarop aansluiten: hardware-BOM-monitoring vloeit van de OEM naar u, software-SBOM-monitoring is uw directe verantwoordelijkheid.

Contractbepalingen voor aansprakelijkheidsverdeling

Zeven contractbepalingen dragen de white-label-constructie onder de CRA. Elke bepaling sluit aan op een specifieke fabrikantenverplichting die bij u, de merkeigenaar, ontstaat en waarvoor u afhankelijk bent van de OEM om die waar te maken.

1. Erkenning CRA-fabrikantenstatus

Leverancier erkent dat Afnemer het Product op de EU-markt
zal aanbieden onder de naam of het handelsmerk van Afnemer
en dat Afnemer zal worden beschouwd als de "fabrikant"
onder Verordening (EU) 2024/2847 (Cyberweerbaarheidsverordening).
Leverancier stemt ermee in de complianceverplichtingen van
Afnemer te ondersteunen zoals uiteengezet in deze Overeenkomst.

2. Technische documentatie (Bijlage VII)

Leverancier verstrekt aan Afnemer:
(a) Volledige technische documentatie die voldoet aan de
    vereisten van Bijlage VII van Verordening (EU) 2024/2847
(b) Alle documentatie die Afnemer nodig heeft om:
    - De conformiteitsbeoordeling uit te voeren
    - De EU-conformiteitsverklaring op te stellen
    - Te reageren op met redenen omklede verzoeken van
      markttoezichtautoriteiten
(c) Updates van documentatie binnen [10] werkdagen na
    elke wijziging die de compliancestatus beinvloedt

Leverancier verleent Afnemer een eeuwigdurende, onherroepelijke,
royaltyvrije licentie om deze documentatie te gebruiken voor
compliancedoeleinden, inclusief overlegging aan een
markttoezichtautoriteit in een door die autoriteit begrepen taal.

3. SBOM-verstrekking (met transitieve diepte)

Leverancier verstrekt:
(a) Software Bill of Materials in [CycloneDX/SPDX]-formaat
(b) Bijgewerkte SBOM binnen [5] werkdagen na elke firmware-
    release die directe of transitieve componenten wijzigt
(c) SBOM met transitieve afhankelijkheden, niet alleen
    directe afhankelijkheden
(d) Componentidentificatie met naam, versie, leverancier,
    licentie en bekende kwetsbaarheden op leveringsmoment

4. Kwetsbaarheidsmelding (uren, niet "spoedig")

Leverancier stelt Afnemer binnen [24/48] uur in kennis na
bekendwording van een beveiligingskwetsbaarheid in het
Product of in een transitief geintegreerd component die:
(a) Actief wordt misbruikt
(b) Een CVSS-score van 7,0 of hoger heeft
(c) Onderworpen is aan openbare bekendmaking

Patchontwikkeling:
(a) Bevestigen binnen [24] uur
(b) Ernstbeoordeling binnen [72] uur
(c) Patch leveren binnen [7/30/90] dagen
    voor Kritieke/Hoge/Gemiddelde ernst

Afnemer behoudt de uiteindelijke bevoegdheid over
klantcommunicatie en timing van updaterelease.

5. Spiegelclausule ondersteuningsperiode

Leverancier verbindt zich tot het leveren van
beveiligingsupdates voor het Product voor een minimale
periode die gelijk is aan of langer dan de
ondersteuningsperiode die Afnemer aan zijn eindgebruikers
toezegt, en in elk geval voor ten minste [5/7/10] jaar
vanaf de datum van de eerste marktaanbieding door Afnemer
in de EU.

Leverancier geeft [90] dagen schriftelijke aankondiging
voorafgaand aan elke geplande discontinuering. Bij
discontinuering geeft Leverancier broncode en build-
artefacten vrij onder [broncode-escrow / transitiehulp-
voorwaarden].

6. Ondersteuning conformiteitsbeoordeling en auditrechten

Leverancier zal:
(a) De conformiteitsbeoordelingsactiviteiten van Afnemer
    ondersteunen, inclusief het op redelijk verzoek
    verstrekken van testrapporten, certificaten en bewijs
(b) Afnemer of de door Afnemer ingeschakelde aangemelde
    instantie toestaan productiefaciliteiten te auditen
    na [30] dagen schriftelijke aankondiging
(c) Kwaliteitscontroles handhaven die in overeenstemming
    zijn met het beoordeelde producttype

7. Doorvloeiing en openbaarmaking subcomponenten

Leverancier zal:
(a) Een lijst verstrekken en bijhouden van subcomponent-
    leveranciers die bijdragen aan of toegang hebben tot
    beveiligingsrelevante delen van het Product
(b) Relevante CRA-vereisten doorvloeien naar subcomponenten
(c) Afnemer binnen [30] dagen in kennis stellen van elke
    materiele wijziging in de subcomponentleverancierslijst
(d) Kwalificatiedossiers van subcomponentleveranciers
    bijhouden gedurende de ondersteuningsperiode van Afnemer
    plus 10 jaar

Samenvatting risicotoewijzing

Risico Contractmechanisme Wie handelt
Product voldoet niet aan essentiele cybersecurityvereisten Garantie en herstelverplichting Leverancier herstelt; Afnemer behoudt marktpositie
Documentatie onvolledig of te laat Opleveringsvereiste met reactietermijn Leverancier levert
Kwetsbaarheid ontdekt Meldings-SLA in uren, patch-SLA in dagen Leverancier meldt en patcht; Afnemer rapporteert aan ENISA
ENISA-melding Meldingsplicht van Leverancier vloeit door naar Afnemer Afnemer rapporteert
Met redenen omkleed verzoek van markttoezicht Eeuwigdurende licentie op documentatie Afnemer reageert; Leverancier ondersteunt
Beeindiging OEM Broncode-escrow en transitiediensten Afnemer zet ondersteuning voort vanuit geescroweerde code
Regelgevingsboetes Onderhandelde vrijwaring (proportioneel aan schuld) Onderhandeld

Geerfde white-label-constructies na fusies en overnames

U neemt een merk over en ontdekt dat de helft van het assortiment white-labeled is zonder compliance-spoor. De CRA kent geen overgangsperiode bij overnames; de verwervende entiteit erft op dag een fabrikantsverplichtingen voor elk product dat onder het overgenomen merk op de EU-markt staat.

TRIAGE WHITE-LABEL NA OVERNAME (90 DAGEN)

DAG 1-15: Inventarisatie
[ ] Trek SKU-lijst uit het ERP van de overgenomen entiteit
[ ] Label elke SKU als eigen ontwerp / white-label / OEM-aangepast
[ ] Identificeer de OEM achter elke white-label SKU
[ ] Vergelijk met de huidige verzendstatus (actief vs EOL-voorraad)

DAG 15-30: Documentatie-gapanalyse
[ ] Per actieve white-label SKU: is er een conformiteitsverklaring op naam van Afnemer?
[ ] Per actieve white-label SKU: is er een technisch dossier op naam van Afnemer?
[ ] Per actieve white-label SKU: is er een SBOM?
[ ] Label SKU's naar ernst van het gat (geen conformiteitsverklaring > onvolledig technisch dossier > geen SBOM)

DAG 30-60: Tier 1-herstel
[ ] SKU's zonder conformiteitsverklaring: terugtrekken uit EU-markt totdat de verklaring rond is
[ ] SKU's zonder technisch dossier: opbouwen uit OEM-bewijs en uw eigen beoordeling
[ ] SKU's zonder SBOM: contracteer de OEM voor SBOM-levering; weigert de OEM of bestaat hij niet meer, plan vervanging of uitfasering

DAG 60-90: Beslissingspoort
[ ] Elke white-label SKU geclassificeerd: behouden / uitfaseren / OEM vervangen
[ ] OEM-contracten getoetst aan de set van 7 clausules; gaten in kaart gebracht
[ ] Dekking spiegelclausule ondersteuningsperiode end-to-end geanalyseerd

DOORLOPEND:
[ ] Markeer de herkomst via overname in elk SKU-record voor audit
[ ] Rol geerfde SKU's mee in de normale release-cyclus voor SBOM en kwetsbaarheidsmonitoring

De triage is geen papieren oefening. Een autoriteit die vraagt waarom een 12 jaar oude white-label SKU na overname geen conformiteitsverklaring heeft, zal "wij hebben het gat ontdekt in onze triage na overname over 90 dagen en de SKU teruggetrokken tot herstel" sneller accepteren dan "wij zijn nog aan het uitzoeken welke OEM hem heeft gemaakt".

Veelvoorkomende valkuilen

Claim Waarom dit faalt
"Het is maar een sticker met ons logo." Als de sticker u presenteert als bron richting EU-markt, gelden de fabrikantsverplichtingen. De trigger is merkpresentatie, niet stickerdiepgang.
"De OEM heeft het gemaakt, dus de OEM is de fabrikant." De CRA behandelt de merkeigenaar als de fabrikant. De OEM is uw leverancier.
"De CE-markering van de OEM gaat over bij rebranding." CE-markering is verbonden aan de fabrikant die op de conformiteitsverklaring staat. Bij rebranding stelt u uw eigen verklaring op en brengt u CE aan onder uw eigen verantwoordelijkheid; de CE van de OEM dekt de rebrande eenheden niet meer.
"De ondersteuningsklok begint te lopen wanneer de OEM de naamloze versie voor het eerst aanbood." De klok begint te lopen wanneer U de rebrande versie op de EU-markt aanbiedt. Uw klanten kochten het rebrande product op uw tijdlijn.
"Onze OEM staat op het punt te verdwijnen; we wachten af wat er gebeurt met onze ondersteuningsplicht." Uw ondersteuningsplicht verandert niet wanneer de OEM ophoudt te bestaan. Regel broncode-escrow en een tweede bron VOOR de OEM omvalt, niet erna.
"Co-branding betekent dat we de aansprakelijkheid gelijk delen." Het merk richting eindklant draagt doorgaans de fabrikantsaanwijzing; het contract bepaalt of beide partijen fabrikant zijn. Standaarduitleg is: wie de conformiteitsverklaring ondertekent.
"Retailer private label is vrijgesteld omdat het volumeretail betreft." Volume is irrelevant. Amazon Basics, Lidl Silvercrest en Tesco F&F-Tech zijn alle fabrikant van hun private-label-SKU's.
"We hebben het ge-white-labeld bij een niet-EU-OEM; de OEM is verantwoordelijk voor kwetsbaarheidsmelding." Uw merk op het product maakt U de fabrikant, ook voor kwetsbaarheids- en incidentmelding aan ENISA. De OEM heeft nul CRA-meldingsplicht op uw gemerkte SKU's.

Veelgestelde vragen

Ik heb net ontdekt dat onze reseller ons white-label-product onder zijn eigen merk hergebrand. Wat nu?

De reseller wordt fabrikant van de gerebrande eenheden. U blijft fabrikant van de eenheden die u onder uw merk aanbood; de reseller is fabrikant voor de zijne. Stap een is de getroffen eenheden in kaart brengen (welke serienummerreeksen of batches zijn herrebrand) zodat een kwetsbaarheidsrespons hen kan bereiken. Stap twee is het resellercontract aanpassen: verbied herrebranding zonder schriftelijke toestemming en voeg een erkenningsclausule fabrikantsstatus toe voor reeds bestaande herrebrande voorraad. Stap drie is een proces voor gecoordineerde kwetsbaarheidsopenbaarmaking instellen dat de reseller op de hoogte brengt van kwetsbaarheden, zodat zij hun eenheden kunnen patchen, omdat uw klanten via uw kanalen niet meer bij die eenheden komen.

Een product draagt ons merk en het OEM-merk naast elkaar. Wie is de fabrikant?

Doorgaans het merk dat als bron van het product naar de EU-markt wordt gepresenteerd, meestal het merk richting eindklant. Beide partijen kunnen als fabrikant worden aangewezen als beide zich als zodanig presenteren, maar de operationele praktijk houdt een gedeelde fabrikantsstatus zelden in stand. De schoonste positie is om de aanwijzing in de co-brandingovereenkomst te schrijven: wie de conformiteitsverklaring ondertekent, is fabrikant. Vermijd ambigue co-branding die de vraag overlaat aan de interpretatie van een markttoezichtautoriteit.

Onze OEM gaat failliet. Moeten wij hun ondersteuningsplicht overnemen?

Nee. De kennisgevingsplicht bij beeindiging die op de importeur rust, geldt in dit scenario niet voor u, omdat u de CRA-fabrikant bent van uw rebrande product en de OEM uw leverancier was, niet de fabrikant. De ondersteuningsplicht gaat niet "over" van de OEM, want zij was altijd al van u. Uw operationele terugval is wat het contract heeft vastgelegd: broncode-escrow, kwalificatie van een tweede bron en transitiediensten. Heeft u het product op de markt aangeboden, dan bent u de ondersteuning verschuldigd, ongeacht wat er met uw OEM gebeurt. De sectie beeindiging van het cluster importeur behandelt de importeurskant voor de volledigheid.

Wij laten ODM-hardware bouwen en leveren onze eigen firmware. Vallen wij nog in white-label-territorium?

Ja, maar met een andere vorm van leveranciersonderzoek. U bent fabrikant van het geintegreerde product; de ODM is uw hardwareleverancier. De hardware-BOM komt van de OEM; de software-SBOM is van u, want de firmware is van u. Gebruik het draaiboek voor onderzoek op alleen-hardware-ODM's voor de hardwarekant. De veelgemaakte operationele fout is een lang ondersteuningscommitment aan uw gebruikers ondertekenen terwijl het hardware-EOL-venster van de ODM korter is.

Wat als wij de firmware aanpassen nadat het product al op de markt is aangeboden?

U blijft de fabrikant; de aanpassing maakt deel uit van uw fabrikantenscope, geen aparte trigger op iemand anders. Een echte beveiligingsupdate die het beoogde doel en het gedrag behoudt, start geen nieuwe conformiteitsbeoordelingscyclus. Een aanpassing die functies toevoegt, authenticatie wijzigt of het aanvalsoppervlak vergroot, blijft binnen uw fabrikantsstatus, maar start een verse conformiteitsbeoordelingslus voor het gewijzigde product op uw bestaande technisch dossier. De rebrand-brug- en vangnetroutes vuren alleen wanneer de aanpassing door iemand anders wordt uitgevoerd (een importeur of distributeur voor de brug, iedereen anders voor het vangnet).

Hoe lang moeten wij technische documentatie bewaren voor een white-label-product?

Minimaal 10 jaar na marktaanbieding of voor de ondersteuningsperiode, afhankelijk van welke langer is. Een white-label-product dat in 2028 wordt aangeboden met een ondersteuningsperiode van 7 jaar vereist bewaring tot 2038. Uw contract met de OEM moet dit spiegelen: de OEM bewaart het onderliggende technische bewijs (testrapporten, ontwerpdocumentatie, kwalificaties van subcomponenten) ten minste even lang en u kunt gedurende die periode kopieen opvragen om te reageren op een met redenen omkleed verzoek van een markttoezichtautoriteit.

Wij hebben net een bedrijf overgenomen waarvan het assortiment voor de helft white-label is. Waar beginnen we?

Doorloop de triage van 90 dagen in de sectie hierboven over overnames. Eerst inventariseren (welke SKU's zijn white-label, welke OEM zit erachter), dan gaten analyseren in documentatie (geen conformiteitsverklaring > onvolledig technisch dossier > geen SBOM), SKU's zonder verklaring terugtrekken uit de EU-markt totdat ze hersteld zijn en de overname-herkomst markeren in elk SKU-record voor audit. De CRA kent geen overgangsperiode bij overnames; de fabrikantsverplichtingen landen bij u op de dag dat de overname sluit. Een aantoonbaar lopend programma binnen een kwartaal is de geloofwaardige positie tegenover een markttoezichtautoriteit.

Gaat de conformiteitsbeoordeling van onze leverancier over op onze gemerkte versie?

Doorgaans niet. Een conformiteitsbeoordeling hecht zich aan het product zoals dat door een specifieke fabrikant wordt aangeboden. Bij rebranding geeft u uw eigen conformiteitsverklaring op uw naam af, tegen uw eigen technisch dossier. U mag het testbewijs van de OEM gebruiken als input (en dat moet een gecontracteerd opleveringsstuk zijn), maar de verklaring, de CE-markering en het auteurschap van het technisch dossier liggen bij u, de merkeigenaar-fabrikant. De gids voor conformiteitsbeoordeling behandelt de modulekeuze.

Wat te doen voor uw volgende white-label-overeenkomst

  1. Bevestig uw CRA-rol. White-label merkeigenaren zijn fabrikant; resellers zonder rebranding zijn distributeur. De grens is wiens merk het product op de EU-markt bereikt.
  2. Voer leveranciersonderzoek uit op de OEM met de vragenlijst voor leveranciersonderzoek: documentatietoegang, SBOM-beschikbaarheid en transitieve diepte, reactietermijnen voor kwetsbaarheden in uren en ondersteuningscommitment in jaren.
  3. Onderhandel de set van 7 contractclausules hierboven. De spiegelclausule voor de ondersteuningsperiode en broncode-escrow bij OEM-beeindiging zijn de twee clausules die het vaakst worden weggelaten en het duurst zijn om alsnog te realiseren.
  4. Bouw het technisch dossier op uw eigen naam op vanuit het bewijs van de OEM. De structuur staat in de gids voor technische documentatie.
  5. Kies een conformiteitsbeoordelingsroute voor uw gemerkte versie, onderteken de conformiteitsverklaring op uw naam en breng CE aan onder uw eigen verantwoordelijkheid. De gids voor conformiteitsbeoordeling behandelt de modulekeuze.
  6. Bent u midden in een overname of net na een overname met white-label-SKU's in uw geerfde assortiment, start dan vandaag met de triage van 90 dagen.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding gekwalificeerde juridische adviseurs met kennis van EU-productregelgeving.

CRA Fabrikanten
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Doorlopende gidsen over de eisen, processen en rollen uit de EU-cyberweerbaarheidsverordening (CRA).

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
View full CRA compliance guide