Vanaf 11 december 2027 maakt artikel 20 van de Verordening cyberweerbaarheid (verordening (EU) 2024/2847) de distributeur verantwoordelijk voor een aanwezigheidscontrole op elk product met digitale elementen voordat het op de Uniemarkt wordt aangeboden: CE-markering, identificatie van de fabrikant en informatie van bijlage II, identificatie van de importeur, einddatum van de ondersteuningsperiode en EU-conformiteitsverklaring. Deze pagina behandelt artikel 20 in zijn geheel, de rolgrens met de importeur op grond van artikel 3, punt 16, en de fabrikant op grond van artikel 3, punt 13, en de tweede boetecategorie.
Samenvatting
- U bent alleen distributeur als u het product onaangeroerd laat. Iedereen die een CE-gemarkeerd product na de importeur op de EU-markt aanbiedt telt mee, zolang het product de volgende schakel onaangeroerd bereikt. Rebrandt u het, herverpakt u het op een manier die het beoogde doel verandert, installeert u uw eigen software vooraf of wijzigt u de beveiligingsconfiguratie, dan wordt u in plaats daarvan de fabrikant (artikel 3, punt 17).
- Voer een aanwezigheidscontrole uit op elke zending. Bevestig vóór het op de markt aanbieden van een eenheid dat de CE-markering op het product staat, dat de identificatie van de fabrikant en de instructies van bijlage II het vergezellen, dat de einddatum van de ondersteuningsperiode maand en jaar toont, dat de EU-conformiteitsverklaring bereikbaar is en dat de contactgegevens van de importeur zichtbaar zijn (artikel 20, lid 2).
- Stop de keten als er iets ontbreekt. Als de controle faalt, of als u redenen hebt om aan te nemen dat het product of de processen van de fabrikant niet voldoen aan bijlage I, mag u het product niet op de markt aanbieden. Bij een aanzienlijk cyberbeveiligingsrisico waarschuwt u de fabrikant en de markttoezichtautoriteiten onverwijld (artikel 20, lid 3).
- Blijf alert na de verkoop. Volg corrigerende maatregelen of intrekkingen op wanneer er iets mis is, en stuur elke kwetsbaarheid waarvan u kennis krijgt onverwijld door naar de fabrikant. Bij een aanzienlijk risico stelt u de markttoezichtautoriteiten van elke lidstaat waaraan u levert in kennis (artikel 20, lid 4).
- Wees klaar om documentatie te overleggen. Een markttoezichtautoriteit kan, met motivering, vragen om de documenten die nodig zijn om conformiteit aan te tonen, in een taal die zij gemakkelijk lezen. Houd de referentie van de EU-conformiteitsverklaring, bijlage II in de leveringstaal en de contactpunten in de toeleveringsketen opvraagbaar (artikel 20, lid 5).
- Dek het ergste geval af. Bij bedrijfsbeëindiging van de fabrikant licht u de autoriteiten en de gebruikers in met alle middelen die u hebt (artikel 20, lid 6).
- Boetecategorie. Inbreuken door distributeurs vallen in de tweede boetecategorie, tot EUR 10 000 000 of 2% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt (artikel 64, lid 3).
Artikel 20 in vier cijfers: zes leden met plichten, zeven punten te controleren vóór marktbeschikbaarstelling, de tweede boetecategorie en de datum waarop alles begint.
Wie is distributeur onder de CRA?
Artikel 3, punt 17, definieert de distributeur letterlijk:
"Distributeur" betekent een natuurlijke of rechtspersoon in de toeleveringsketen, niet zijnde de fabrikant of de importeur, die een product met digitale elementen op de Uniemarkt aanbiedt zonder de eigenschappen ervan te beïnvloeden.
U bent distributeur in de zin van de CRA als alle drie de elementen van toepassing zijn:
| Element | Toets |
|---|---|
| In de toeleveringsketen | U neemt het product in bezit of onder commerciële controle terwijl het van de importeur of een andere distributeur naar de eindgebruiker beweegt |
| Niet zijnde de fabrikant of de importeur | Het product draagt niet uw naam of merk (anders vangt artikel 3, punt 13, u als fabrikant) en u bent niet de eerste EU-entiteit die het in de handel brengt op de Uniemarkt (anders vangt artikel 3, punt 16, u als importeur) |
| Zonder de eigenschappen te beïnvloeden | U wijzigt het product, de software, de verpakking voor zover die het beoogde doel verandert, of de beveiligingsconfiguratie ervan niet |
Als een van de drie niet van toepassing is, bent u niet de distributeur. Draagt het product uw eigen naam of merk, dan bent u de fabrikant op grond van artikel 3, punt 13. Bent u de eerste EU-entiteit die een product met een niet-EU-merk in de handel brengt op de Uniemarkt, dan bent u de importeur op grond van artikel 3, punt 16. Wijzigt u het product substantieel na het in de handel brengen, dan valt u niet onder artikel 22 (dat distributeurs uitsluit), maar de wijziging kan u terug onder artikel 3, punt 13, brengen wanneer u de gewijzigde versie onder uw eigen naam in de handel brengt. Voor de volledige rolclassificatiematrix, zie wie aan de CRA moet voldoen.
Artikel 20 in een oogopslag
| Lid | Plicht | Kernpunt |
|---|---|---|
| 20(1) | Zorgvuldigheid | De algemene norm. Geldt voor elke handeling van op de markt aanbieden, vóór en na het in de handel brengen. |
| 20(2) | Verificatie vóór marktbeschikbaarstelling | Bevestig dat de CE-markering aanwezig is, dat de fabrikant voldoet aan artikel 13, leden 15, 16, 18, 19 en 20, dat de importeur voldoet aan artikel 19, lid 4, en dat de noodzakelijke documenten zijn verstrekt. |
| 20(3) | Weigering + informeren | Bij vermoeden van non-conformiteit met bijlage I: niet op de markt aanbieden. Bij aanzienlijk cyberbeveiligingsrisico: fabrikant en markttoezichtautoriteiten onverwijld informeren. |
| 20(4) | Corrigerende maatregelen + kwetsbaarheidsbewustzijn | Zorg voor corrigerende maatregelen, neem uit de handel of roep terug indien passend. Informeer de fabrikant onverwijld over kwetsbaarheden. Bij aanzienlijk cyberbeveiligingsrisico: licht de markttoezichtautoriteiten van elke lidstaat van levering onmiddellijk in. |
| 20(5) | Samenwerking met markttoezicht | Op gemotiveerd verzoek alle informatie en documentatie verstrekken die nodig is om conformiteit aan te tonen, in een taal die de autoriteit gemakkelijk kan begrijpen. |
| 20(6) | Bedrijfsbeëindiging fabrikant | Markttoezichtautoriteiten onverwijld informeren en gebruikers met alle beschikbare middelen inlichten. |
Distributeur versus importeur
De juridische aanleiding is welke partij het product als eerste in de handel brengt op de Uniemarkt.
| Aspect | Distributeur (artikel 20) | Importeur (artikel 19) |
|---|---|---|
| Positie | Iedereen in de toeleveringsketen na de importeur, niet zijnde de fabrikant | Eerste EU-entiteit die een product met niet-EU-merk in de handel brengt op de Uniemarkt |
| Verificatie | Aanwezigheidsgebaseerd: CE, fabrikant 13(15), (16), (18), (19), (20), importeur 19(4), noodzakelijke documenten verstrekt | Inhoudelijk: volledige artikel 19, lid 2, onder a tot en met d, inclusief uitgevoerde conformiteitsbeoordeling en opgestelde technische documentatie |
| Weigeringsgrond | Artikel 20, lid 3: non-conformiteit met bijlage I | Artikel 19, lid 3: idem plus falen van enige controle van 19(2) |
| Kwetsbaarheidsbewustzijn | Artikel 20, lid 4: fabrikant informeren; bij aanzienlijk risico markttoezichtautoriteiten in elke lidstaat van levering | Artikel 19, lid 5: zelfde reikwijdte |
| Documentatie | Geen specifieke meerjarige bewaarplicht; samenwerking op gemotiveerd verzoek (20(5)) | Bewaring EU-conformiteitsverklaring 10 jaar of de ondersteuningsperiode, het langste geldt (artikel 19, lid 6) |
| Boetecategorie | EUR 10 000 000 of 2% (artikel 64, lid 3) | EUR 10 000 000 of 2% (artikel 64, lid 3) |
Voor het detail aan importeurszijde van dezelfde grens, zie importeur versus distributeur op de importeurspagina. De conformiteitsbeoordeling, EU-conformiteitsverklaring en het technisch dossier van bijlage VII zijn de verantwoordelijkheid van de fabrikant; de distributeur verifieert de zichtbare artefacten daarvan (CE-markering, referentie van de EU-conformiteitsverklaring, begeleiding door bijlage II) en werkt mee aan documentproductie in plaats van het dossier zelf te bewaren.
Verificatiecontroles vóór marktbeschikbaarstelling (artikel 20, lid 2)
Artikel 20, lid 2, vraagt de distributeur te verifiëren dat de identificatie van de fabrikant, de instructies en de EU-conformiteitsverklaring aanwezig zijn, niet om de conformiteitsbeoordeling opnieuw uit te voeren. Tegenover de lichtere set controles staat een scherpere weigeringsgrond: op grond van artikel 20, lid 3, stopt elke reden om aan te nemen dat het product of de processen van de fabrikant niet voldoen aan bijlage I de marktbeschikbaarstelling totdat de conformiteit is hersteld.
Artikel 20, lid 2, stelt een aanwezigheidsgebaseerde controlelijst vast. Voer deze uit voordat een eenheid wordt aangeboden.
CE-markering (artikel 30, via artikel 20, lid 2)
De CE-markering is de verklaring van de fabrikant dat het product voldoet aan bijlage I. De distributeur bevestigt dat deze zichtbaar, leesbaar en onuitwisbaar is aangebracht op het product of het typeplaatje. Wanneer de afmetingen of de aard dit niet toelaten, op de verpakking en de begeleidende documenten. Wanneer een aangemelde instantie betrokken was, moet haar viercijferige identificatienummer volgen op de CE-markering. Een CE-markering die alleen op de buitenste verpakking staat terwijl het product deze kan dragen, is non-conform. Zie de clustergids conformiteitsbeoordeling voor wat de CE-markering vertegenwoordigt onder elke module van artikel 32.
Identificatie en informatie van de fabrikant (artikel 13, leden 15, 16, 18, 19 en 20)
Vijf afzonderlijke fabrikantenplichten waarnaar wordt verwezen in artikel 20, lid 2, onder b:
| Verwijzing | Plicht | Controle door distributeur |
|---|---|---|
| 13(15) | Type-, partij- of serienummer voor productidentificatie | Bevestig element op product, of op verpakking of begeleidend document indien het product dit niet kan dragen |
| 13(16) | Naam, handelsnaam of merk van de fabrikant, postadres, digitaal contact, ook gereproduceerd in bijlage II | Bevestig op product, verpakking of begeleidend document |
| 13(18) | Informatie en instructies van bijlage II vergezellen het product, in een taal die gebruikers en markttoezicht gemakkelijk begrijpen | Bevestig dat een set documenten van bijlage II aanwezig is, in de taal of talen van de lidstaat van levering |
| 13(19) | Einddatum ondersteuningsperiode vermeld op het tijdstip van aankoop, ten minste maand en jaar | Bevestig dat maand + jaar zichtbaar zijn op het verkooppunt |
| 13(20) | Volledige EU-conformiteitsverklaring vergezelt het product, of vereenvoudigde conformiteitsverklaring bevat het exacte internetadres van de volledige conformiteitsverklaring | Bevestig dat de referentie aanwezig en oplosbaar is |
Een product zonder een set documenten van bijlage II in de taal van de lidstaat, of zonder een einddatum van de ondersteuningsperiode met maand en jaar, faalt op artikel 20, lid 2, en activeert artikel 20, lid 3.
Identificatie van de importeur (artikel 19, lid 4, via artikel 20, lid 2)
Artikel 19, lid 4, verplicht de importeur zijn naam, geregistreerde handelsnaam of geregistreerd handelsmerk, postadres, e-mailadres en eventueel ander digitaal contact aan te geven op het product, op de verpakking of in een document dat het product vergezelt. De distributeur bevestigt dat de identificatie van de importeur aanwezig is. Een ontbrekende of verwijderde identificatie van de importeur faalt op artikel 20, lid 2, op grond van artikel 19, lid 4.
Noodzakelijke documenten verstrekt (artikel 20, lid 2)
Artikel 20, lid 2, onder b, sluit af met een algemene vereiste: de fabrikant en de importeur hebben "alle noodzakelijke documenten aan de distributeur verstrekt". In de praktijk is dit de set documenten die de distributeur nodig heeft om aan zijn eigen samenwerkingsplicht van artikel 20, lid 5, te voldoen: een kopie of referentie van de EU-conformiteitsverklaring, de informatie en instructies van bijlage II in de taal van de lidstaat van levering, en de contactpunten in de toeleveringsketen (centraal aanspreekpunt van de fabrikant op grond van artikel 13, lid 17, postadres en digitaal contact van de importeur op grond van artikel 19, lid 4). Een distributeur die deze niet kan overleggen op een gemotiveerd verzoek van markttoezicht, is in strijd met artikel 20, lid 5, ook al is het onderliggende product conform.
Wanneer verificatie faalt
Artikel 20, lid 3, schept een stop-en-informeerplicht.
- Stop. Bied het product niet aan op de Uniemarkt totdat de conformiteit is hersteld. Opslag en retour aan de leverancier blijven mogelijk; verkoop aan eindgebruikers niet.
- Documenteer. Leg vast welk punt van artikel 20, lid 2, faalde, of het het product of de processen van de fabrikant betreft, de datum en de ondertekenaar.
- Stel stroomopwaarts schriftelijk in kennis. Informeer de fabrikant (en de importeur waar relevant) over de leemte en de vereiste documentatie.
- Beoordeel het cyberbeveiligingsrisico. Bij aanzienlijk cyberbeveiligingsrisico: stel de markttoezichtautoriteiten op grond van artikel 20, lid 3, onverwijld in kennis. Niet-aanzienlijk: zet de oplossing stroomopwaarts voort.
- Los op of weiger. Bied het product pas aan wanneer alle punten van artikel 20, lid 2, geslaagd zijn. Anders retour aan de leverancier.
Plichten na het in de handel brengen (artikel 20, lid 4)
Artikel 20, lid 4, dekt twee plichten die lopen gedurende de gehele periode waarin het product wordt aangeboden.
De plicht tot corrigerende maatregelen: wanneer de distributeur weet of redenen heeft om aan te nemen, op basis van informatie waarover hij beschikt, dat het product of de processen van de fabrikant niet conform zijn, zorgt de distributeur ervoor dat de noodzakelijke corrigerende maatregelen worden genomen om ze in overeenstemming te brengen, of het product uit de handel te nemen of terug te roepen indien passend. "Zorg ervoor dat" verschuift de technische oplossing niet naar de distributeur; het verplicht de distributeur tot escalatie, opvolging en stopzetting van verdere beschikbaarstelling totdat de fabrikant heeft gehandeld.
De plicht tot kwetsbaarheidsbewustzijn: bij bewustwording van een kwetsbaarheid in het product informeert de distributeur de fabrikant onverwijld. Wanneer het product een aanzienlijk cyberbeveiligingsrisico vormt, licht de distributeur onmiddellijk de markttoezichtautoriteiten van elke lidstaat van levering in, met details van de non-conformiteit en eventuele genomen corrigerende maatregelen. De aanleiding is bewustwording van de kwetsbaarheid, niet bewustwording van een meldbaar incident op grond van artikel 14; de fabrikant voert artikel 14-melding afzonderlijk uit via de stroom voor kwetsbaarheidsmelding.
Samenwerking, documenten en bedrijfsbeëindiging fabrikant
Artikel 20, lid 5, verplicht de distributeur, op gemotiveerd verzoek van een markttoezichtautoriteit, alle informatie en documentatie te verstrekken, op papier of in elektronische vorm, die nodig is om de conformiteit van het product en de processen van de fabrikant aan te tonen, in een taal die de autoriteit gemakkelijk begrijpt. De distributeur werkt samen met de autoriteit aan elke maatregel die wordt genomen om cyberbeveiligingsrisico's van het product weg te nemen.
Er bestaat geen specifieke meerjarige bewaarregel voor artikel 20 die analoog is aan de regel van artikel 19, lid 6, voor importeurs (10 jaar of de ondersteuningsperiode). De praktische ondergrens is de set documenten die hierboven onder "Noodzakelijke documenten verstrekt" wordt opgesomd: bewaard zolang de distributeur het product aanbiedt, opvraagbaar voor elk gemotiveerd verzoek tijdens die periode, plus een redelijke staart om vragen van autoriteiten na het in de handel brengen te dekken.
Artikel 20, lid 6, behandelt één specifieke situatie: de fabrikant beëindigt zijn activiteiten. Bij bewustwording van de bedrijfsbeëindiging stelt de distributeur de relevante markttoezichtautoriteiten onverwijld in kennis en informeert hij de gebruikers van de producten die hij in de handel heeft gebracht met alle beschikbare middelen en voor zover mogelijk. Artikel 19, lid 8, legt dezelfde plicht op aan de importeur; in de praktijk lopen kennisgevingen door distributeur en importeur parallel.
Veelgemaakte fouten
| Bewering | Waarom deze faalt |
|---|---|
| "Onze leverancier zit in de EU, dus we zijn niet de importeur; daarmee zijn we standaard distributeur." | Distributeurstatus op grond van artikel 3, punt 17, vereist ook dat u de eigenschappen van het product niet beïnvloedt. Herverpakken, rebranden, vooraf installeren van software of configuratiewijzigingen kunnen u terug onder artikel 3, punt 13, brengen of geheel uit de distributeurscategorie halen. |
| "We hoeven niets te controleren; de importeur heeft dat al gedaan op grond van artikel 19." | Artikel 20, lid 2, is een aparte, aanwezigheidsgebaseerde controle op distributeursniveau. CE aanwezig, naleving van artikel 13, leden 15, 16, 18, 19 en 20, en artikel 19, lid 4, en noodzakelijke documenten verstrekt. Het werk van de importeur op grond van artikel 19 ontslaat de distributeur niet van het werk op grond van artikel 20. |
| "Bijlage II in het Engels is voldoende voor de hele EU." | Artikel 13, lid 18, vereist bijlage II in een taal die gebruikers en markttoezicht van de betrokken lidstaat gemakkelijk begrijpen. De distributeur die het product op de markt aanbiedt in een lidstaat waarvan de autoriteiten en gebruikers niet in het Engels werken, faalt op artikel 20, lid 2. |
| "Wij sturen kwetsbaarheidsberichten alleen maandelijks door met onze andere commerciële updates." | Artikel 20, lid 4, tweede alinea: informeer de fabrikant "onverwijld" bij bewustwording van een kwetsbaarheid, en stel markttoezicht "onmiddellijk" in kennis bij aanzienlijke cyberbeveiligingsrisico's. Maandelijkse bundeling schendt beide normen. |
| "Melding op grond van artikel 14 is de taak van de fabrikant, dus wij negeren kwetsbaarheden." | De ENISA-stroom van artikel 14 is die van de fabrikant, maar de plicht uit artikel 20, lid 4, om de fabrikant in te lichten en de plicht om markttoezichtautoriteiten te informeren bij aanzienlijk risico zijn die van de distributeur. Stilte schendt artikel 20, lid 4. |
| "We kunnen eenheden die al in ons magazijn staan blijven verkopen nadat we een taallek in bijlage II hebben opgemerkt; alleen nieuwe zendingen stoppen." | Artikel 20, lid 3, stopt verdere beschikbaarstelling van het non-conforme product, ongeacht waar de eenheden zich fysiek bevinden. Bestaande voorraad wordt vastgehouden, niet uitverkocht. |
| "Het verwijderen van het contactlabel van de importeur houdt onze kanaalpartners privé." | Artikel 19, lid 4, vereist identificatie van de importeur op het product, de verpakking of een begeleidend document. Verwijdering ervan maakt het product non-conform op grond van artikel 20, lid 2. |
| "We hoeven geen documenten te bewaren; we zijn maar een wederverkoper." | Artikel 20, lid 5, verplicht de distributeur de set documentatie op gemotiveerd verzoek te verstrekken, in de taal van de autoriteit. Een distributeur die geen referentie van de EU-conformiteitsverklaring, bijlage II of contactpunten in de toeleveringsketen kan overleggen, is in overtreding ook wanneer het product conform is. |
Veelgestelde vragen
Wat is een distributeur onder de CRA?
Een EU-schakel in de toeleveringsketen die het product onveranderd doorgeeft. De rol wordt bepaald door positie (na de importeur, voor de eindgebruiker) en door neutraliteit ten opzichte van het product: geen rebranding, geen softwarewijzigingen, geen configuratie die het beoogde doel verandert. Wederverkopers, value-added distributeurs die uitsluitend bundelen en kanaalpartners die alleen verzenden en factureren vallen alle in die categorie, mits zij het product laten zoals de fabrikant het in de handel heeft gebracht. *(Art. 3, punt 17.)*
Ben ik distributeur of importeur?
De grens is het eerste in de handel brengen. U bent de importeur als u de eerste EU-entiteit bent die een product met niet-EU-merk in de handel brengt op de Uniemarkt. U bent de distributeur als u het product na de importeur op de markt aanbiedt zonder de eigenschappen ervan te beïnvloeden. Koopt u een niet-EU-product van een ander EU-bedrijf dat het al heeft geïmporteerd, dan is dat andere bedrijf de importeur en bent u de distributeur. Koopt u rechtstreeks bij de niet-EU-fabrikant en brengt u het product zelf in de handel op de EU-markt, dan bent u de importeur, met de zwaardere set verificatie en de bewaarplicht van 10 jaar. *(Art. 3, punt 16; art. 3, punt 17; importeursverplichtingen art. 19; distributeursverplichtingen art. 20.)*
Ben ik distributeur of fabrikant?
Raak het product aan, en u wordt de fabrikant. White-label-rebranding maakt u de fabrikant ongeacht waar het product is gebouwd. Vooraf installeren van uw eigen software, de beveiligingsconfiguratie wijzigen vóór wederverkoop, herverpakken op een manier die het beoogde doel verandert of firmware aanpassen breken alle de voorwaarde "zonder de eigenschappen te beïnvloeden". Zodra die voorwaarde faalt, is de analyse niet langer art. 20. Het is art. 3, punt 13 (fabrikant), of, voor wijzigingen door derden buiten de fabrikant-, importeur-, distributeurketen, de route via art. 22 (substantiële wijziger). Artikel 22 sluit distributeurs expliciet uit, dus de terugweg loopt via art. 3, punt 13. *(Art. 3, punt 17; art. 3, punt 13; art. 22.)*
Wat moet de distributeur precies verifiëren voordat hij een product op de markt aanbiedt?
Twee controles: CE aanwezig, en de documentatie van de voorgaande schakels aanwezig. De fabrikant moet hebben voldaan aan productidentificatie, identificatie fabrikant, bijlage II-begeleiding in een lidstaat-taal, einddatum ondersteuningsperiode met maand en jaar, en levering van de EU-conformiteitsverklaring. De importeur moet zijn identificatieplicht zijn nagekomen. Noodzakelijke documenten moeten zijn verstrekt. De controle is aanwezigheidsgebaseerd, geen herhaling van de conformiteitsbeoordeling. Falen van enig punt activeert art. 20, lid 3. *(Art. 20, lid 2, onder a: CE; art. 20, lid 2, onder b: fabrikant art. 13, leden 15, 16, 18, 19 en 20, en importeur art. 19, lid 4.)*
Moet de distributeur de EU-conformiteitsverklaring 10 jaar bewaren?
Nee. De bewaarplicht van 10 jaar of de ondersteuningsperiode voor de EU-conformiteitsverklaring rust op de importeur, niet op de distributeur. De plicht van de distributeur is op gemotiveerd verzoek van een markttoezichtautoriteit alle informatie en documentatie te verstrekken die nodig is om conformiteit aan te tonen, in een taal die de autoriteit gemakkelijk kan begrijpen. De praktische ondergrens is de set documenten die de distributeur gebruikt voor zijn eigen intakecontrole: referentie EU-conformiteitsverklaring, bijlage II in de taal van de lidstaat van levering, contactpunten van fabrikant en importeur. Bewaard zolang het product wordt aangeboden, plus een redelijke staart daarna. *(Bewaarplicht importeur: art. 19, lid 6; documentatieplicht distributeur: art. 20, lid 5.)*
Wat doet de distributeur wanneer hij kennis krijgt van een kwetsbaarheid in een product dat hij heeft verzonden?
Meld het de fabrikant onmiddellijk, en meld het de markttoezichthouders bij aanzienlijk risico. Bij bewustwording van een kwetsbaarheid stelt u de fabrikant onverwijld in kennis. Is er een aanzienlijk cyberbeveiligingsrisico, dan licht u ook onmiddellijk de markttoezichtautoriteiten in van elke lidstaat waarin u het product heeft aangeboden, met details van de non-conformiteit en eventuele corrigerende maatregelen. De ENISA-meldingsstroom van artikel 14 blijft de taak van de fabrikant. *(Art. 20, lid 4; art. 14 ENISA-melding is de taak van de fabrikant.)*
Bestaan er MKB-vrijstellingen voor distributeurs?
De inhoudelijke verplichtingen van artikel 20 gelden ongeacht omvang. De enige MKB-specifieke concessie op administratieve boetes is beperkt tot fabrikantcategorie-boetes gekoppeld aan de termijnen van artikel 14, lid 2, onder a, en artikel 14, lid 4, onder a, en aan beheerders van openbronsoftware. Distributeurs vallen daar niet onder. Markttoezichtautoriteiten moeten bij het bepalen van boetebedragen wel passend rekening houden met de omvang van de overtreder, waaronder mkb en start-ups; dat is een strafmaatfactor, geen vrijstelling van verplichtingen. *(Art. 20 geldt voor alle omvangen; art. 64, lid 10: uitzondering uitsluitend voor fabrikanten en OSS-beheerders; strafmaatfactor: art. 64, lid 5, onder c.)*
Wanneer gelden de CRA-distributeursverplichtingen?
Artikel 20 is volledig van toepassing vanaf 11 december 2027. Distributeurs hebben geen aparte eerdere termijn: artikel 14-melding is de taak van de fabrikant, niet van de distributeur. De plichten inzake kwetsbaarheidsbewustzijn en kennisgeving bij aanzienlijk risico beginnen op dezelfde datum als de rest van artikel 20. Tegen die datum heeft een distributeur een intakecontroleproces, een weigeringsstroom, een stroom voor kwetsbaarheidsbewustzijn en een capaciteit voor documentproductie nodig. *(Art. 71 toepasselijkheid; art. 14 ENISA-melding is de taak van de fabrikant; verplichtingen art. 20, leden 2, 3, 4 en 5 starten op 11 december 2027.)*