Als uw bedrijf een product met digitale elementen op de EU-markt doorverkoopt of levert na de fabrikant of importeur, en u het product niet wijzigt, behandelt de Cyberweerbaarheidsverordening u meestal als distributeur. Distributeurs voeren de conformiteitsbeoordeling niet opnieuw uit, maar moeten vóór beschikbaarstelling controleren of de zichtbare compliance-artefacten aanwezig zijn, de verkoop stoppen wanneer iets ontbreekt of niet conform is, kwetsbaarheidsinformatie stroomopwaarts doorgeven, samenwerken met markttoezicht, en autoriteiten en gebruikers informeren als de fabrikant zijn activiteiten staakt.
Samenvatting
- Bent u de distributeur? Meestal wel als u het product beschikbaar maakt na de importeur of een andere distributeur en de eigenschappen ervan niet beïnvloedt.
- Wat moet vóór verkoop of levering worden gecontroleerd? CE-markering, product-ID, fabrikantgegevens, gebruikersinformatie, einddatum van de ondersteuningsperiode, toegang tot de EU-conformiteitsverklaring, identificatie van de importeur en de noodzakelijke documenten.
- Wanneer moet u stoppen? Maak het product niet beschikbaar als het product of de processen van de fabrikant niet conform lijken. Informeer fabrikant en markttoezicht wanneer er een significant cyberbeveiligingsrisico bestaat.
- Wat loopt na verkoop door? Opvolging van corrigerende maatregelen, terugtrekking of terugroeping waar passend, kwetsbaarheidsinformatie aan de fabrikant en melding aan markttoezicht bij significant risico.
- Welke documenten moeten klaar zijn? De distributeur moet conformiteitsinformatie en documentatie kunnen verstrekken op gemotiveerd verzoek; er geldt geen distributeurspecifieke 10-jaars bewaarplicht voor de EU-conformiteitsverklaring.
- Wanneer gelden de verplichtingen? De belangrijkste distributeursverplichtingen gelden vanaf 11 december 2027.
Distributeurscompliance in vier cijfers: zes plichtblokken, zeven punten vóór levering, de tweede boetecategorie en de datum waarop alles begint.
Wie is distributeur onder de CRA?
In de praktijk is de CRA-distributeur de actor in de toeleveringsketen die een product met digitale elementen op de Uniemarkt beschikbaar maakt na de fabrikant, importeur of een andere distributeur, zonder de eigenschappen van het product te wijzigen. De driedelige toets: u zit in de toeleveringsketen, u bent niet de fabrikant of importeur, en u maakt het product ongewijzigd beschikbaar.
Bent u de eerste EU-entiteit die een product met niet-EU-merk op de Uniemarkt brengt, dan bent u de importeur. Brengt u het product onder uw eigen naam of merk in de handel, of wijzigt u een al in de handel gebracht product substantieel, dan gelden voor u fabrikantverplichtingen via de rebrandingbrug. Zie voor de volledige fabrikantverplichtingen de gids van het cluster fabrikant. Een afzonderlijke restregel dekt andere derden die geen fabrikant, importeur of distributeur zijn. Zie voor de volledige rollenmatrix wie aan de CRA moet voldoen.
Kerntaken van de distributeur
| Plicht | Kernpunt | Bron |
|---|---|---|
| Zorgvuldigheid | De algemene norm. Geldt voor elke handeling van op de markt aanbieden, vóór en na het in de handel brengen. | Artikel 20, lid 1 |
| Verificatie vóór marktbeschikbaarstelling | Bevestig dat de CE-markering aanwezig is, dat de fabrikant voldoet aan de productinformatieplichten, dat de identificatie van de importeur aanwezig is en dat de noodzakelijke documenten zijn verstrekt. | Artikel 20, lid 2 |
| Weigering en informeren | Bij vermoeden van non-conformiteit met the essential cybersecurity requirements: niet op de markt aanbieden. Bij significant cyberbeveiligingsrisico: fabrikant en markttoezichtautoriteiten zonder onnodige vertraging informeren. | Artikel 20, lid 3 |
| Corrigerende maatregelen en kwetsbaarheidsbewustzijn | Zorg voor corrigerende maatregelen, neem uit de handel of roep terug waar passend. Informeer de fabrikant zonder onnodige vertraging over kwetsbaarheden. Bij significant cyberbeveiligingsrisico: licht de markttoezichtautoriteiten van elke lidstaat van levering onmiddellijk in. | Artikel 20, lid 4 |
| Samenwerking met markttoezicht | Op gemotiveerd verzoek alle informatie en documentatie verstrekken die nodig is om conformiteit aan te tonen, in een taal die de autoriteit gemakkelijk kan begrijpen. | Artikel 20, lid 5 |
| Bedrijfsbeëindiging fabrikant | Markttoezichtautoriteiten zonder onnodige vertraging informeren en gebruikers met alle beschikbare middelen inlichten. | Artikel 20, lid 6 |
Distributeur versus importeur
De juridische scheidslijn is welke partij het product als eerste in de handel brengt op de Uniemarkt.
| Aspect | Distributeur | Importeur |
|---|---|---|
| Positie | Iedereen in de toeleveringsketen na de importeur, niet zijnde de fabrikant | Eerste EU-entiteit die een product met niet-EU-merk op de Uniemarkt in de handel brengt |
| Verificatie | Aanwezigheidsgebaseerd: CE, productinformatieplichten van de fabrikant, identificatie van de importeur en de noodzakelijke documenten | Inhoudelijk: volledige pre-marktcontrole van de importeur, inclusief uitgevoerde conformiteitsbeoordeling en opgestelde technische documentatie |
| Weigeringsgrond | Non-conformiteit met the essential cybersecurity requirements | Idem plus falen van een controle vóór marktplaatsing |
| Kwetsbaarheidsbewustzijn | Fabrikant informeren; bij significant risico markttoezichtautoriteiten in elke lidstaat van levering | Zelfde reikwijdte |
| Documentatie | Geen specifieke meerjarige bewaarplicht; samenwerking op gemotiveerd verzoek | Bewaring EU-conformiteitsverklaring 10 jaar of de ondersteuningsperiode, afhankelijk van welke langer is |
| Boetecategorie | 10 000 000 EUR of 2% | 10 000 000 EUR of 2% (zelfde categorie) |
Voor het detail aan importeurszijde van dezelfde grens, zie importeur versus distributeur op de importeurspagina. De conformiteitsbeoordeling, EU-conformiteitsverklaring en het technisch dossier zijn de verantwoordelijkheid van de fabrikant; de distributeur verifieert de zichtbare artefacten: CE-markering, referentie van de EU-conformiteitsverklaring, gebruikersinformatie en documentproductiecapaciteit.
Wat distributeurs vóór levering moeten controleren
Uw taak is niet om de conformiteitsbeoordeling opnieuw te doen. Uw taak is bevestigen dat de zichtbare compliance-artefacten aanwezig zijn en de levering stoppen als iets ontbreekt, verwijderd is, verouderd is of reden geeft om aan conformiteit te twijfelen.
Doorloop deze checklist voordat een eenheid op de EU-markt beschikbaar wordt gemaakt.
- CE is zichtbaar, leesbaar en onuitwisbaar op het product of de gegevensplaat.
- CE uitsluitend op de verpakking is alleen toegestaan als markering op het product niet mogelijk is.
- Het nummer van de aangemelde instantie volgt op de CE-markering als die instantie betrokken was.
CE is de conformiteitsclaim van de fabrikant. Zie de gids voor conformiteitsbeoordeling.
- Type, partij, serienummer of andere product-ID is aanwezig.
- De identificatie staat op het product, de verpakking of een begeleidend document waar passend.
- De identificatie komt overeen met de zending, SKU of partij die wordt geleverd.
Zonder een traceerbare identificatie zijn terugroeping en corrigerende maatregelen onmogelijk.
- Naam, handelsnaam of merk van de fabrikant is aanwezig.
- Postadres en digitaal contact zijn aanwezig.
- De gegevens staan ook in de gebruikersinformatie waar dat vereist is.
Hiermee routeert u vragen, gebreken en kwetsbaarheidsinformatie stroomopwaarts.
- Gebruikersinformatie en instructies vergezellen het product.
- De taal past bij de gebruikers en het markttoezicht in de lidstaat van levering.
- Veilige configuratie, ondersteuning en kwetsbaarheidsmelding zijn opgenomen.
Instructies uitsluitend in het Engels volstaan niet voor elke EU-markt.
- De einddatum van de ondersteuningsperiode is vóór aankoop zichtbaar.
- De einddatum bevat ten minste de maand en het jaar.
- De volledige EU-conformiteitsverklaring is bijgevoegd of de vereenvoudigde verklaring geeft de exacte URL van de volledige versie.
Een ontbrekende maand of jaar of een onbereikbare EU-conformiteitsverklaring blokkeert de levering.
- Naam, postadres en digitaal contact van de EU-importeur zijn aanwezig wanneer er een importeur is.
- De identificatie van de importeur is niet verwijderd of verborgen.
- Referentie van de EU-conformiteitsverklaring, gebruikersinformatie en ketencontacten kunnen aan autoriteiten worden geleverd.
Autoriteiten verwachten deze set al bij het eerste verzoek; ontbrekende elementen activeren de weigeringsroute.
De levering ligt stil tot de leemte is gedicht. Een product zonder gebruikersinformatie in de lokale taal, zonder vereiste identificatie van de importeur, zonder bereikbare EU-conformiteitsverklaring of zonder einddatum met maand en jaar mag niet beschikbaar worden gemaakt.
Wanneer verificatie faalt
Een mislukte distributeurscontrole betekent dat het product van de markt blijft totdat conformiteit is hersteld. Creëert het probleem een significant cyberbeveiligingsrisico, dan moet de distributeur fabrikant en markttoezicht zonder onnodige vertraging informeren.
- Stop. Maak het product niet beschikbaar op de Uniemarkt totdat conformiteit is hersteld. Opslag en retour aan de leverancier blijven mogelijk; verkoop aan eindgebruikers niet.
- Documenteer. Leg vast welk checklistpunt faalde, of het het product of de processen van de fabrikant raakt, plus datum en ondertekenaar.
- Meld stroomopwaarts schriftelijk. Informeer de fabrikant (en, waar relevant, de importeur) over de leemte en de benodigde documentatie.
- Beoordeel het cyberbeveiligingsrisico. Significant risico gaat zonder onnodige vertraging naar het markttoezicht. Niet-significante leemtes lopen via de stroomopwaartse oplossing.
- Los op of wijs af. Maak het product pas beschikbaar als alle checklistpunten slagen. Anders retour naar de leverancier.
Na levering: corrigerende actie en kwetsbaarheidsbewustzijn
Twee plichten lopen door zolang het product beschikbaar wordt gemaakt:
Als u weet of reden hebt om aan te nemen dat het product of de processen van de fabrikant niet conform zijn, escaleer dan stroomopwaarts en zorg dat corrigerende maatregelen, terugtrekking of terugroeping plaatsvinden waar passend. De technische oplossing blijft bij de fabrikant, maar verdere levering stopt totdat de zaak is afgehandeld.
Wanneer u een kwetsbaarheid verneemt, informeer de fabrikant zonder onnodige vertraging. Stelt het product een significant cyberbeveiligingsrisico, dan meldt u het markttoezicht in elke lidstaat waar u heeft geleverd. De fabrikant doet de ENISA-meldstroom afzonderlijk via de kwetsbaarheidsmeldingsflow.
Verzoeken van autoriteiten en stoppen van de fabrikant
Lever wat wordt gevraagd, in de lokale taal. Wanneer een markttoezichtautoriteit een gemotiveerd verzoek doet, verstrekt u de informatie en documentatie die nodig is om de conformiteit van het product en de processen van de fabrikant aan te tonen, op papier of elektronisch en in een taal die de autoriteit gemakkelijk kan begrijpen. Werk ook mee aan maatregelen om cyberbeveiligingsrisico's weg te nemen die uitgaan van producten die u heeft geleverd.
Voor distributeurs geldt geen 10-jaars bewaarplicht. Er is geen distributeurspecifieke meerjarige documentbewaarregel die overeenkomt met de importeursregel om de EU-conformiteitsverklaring 10 jaar of voor de ondersteuningsperiode te bewaren. Het praktische minimum is de documentenset hierboven onder "Importeur en documentenset": bewaard zolang de distributeur het product beschikbaar maakt, opvraagbaar voor elk gemotiveerd verzoek in die periode, plus een redelijke staart om naverlopende autoriteitsvragen te dekken.
Stopt de fabrikant, informeer dan autoriteiten en gebruikers. Stopt de fabrikant zijn activiteiten en kan hij niet meer voldoen, informeer dan de betrokken markttoezichtautoriteiten zonder onnodige vertraging en informeer gebruikers met alle beschikbare middelen en voor zover mogelijk. Importeurs hebben dezelfde meldingsplicht bij stoppen, dus meldingen van distributeur en importeur lopen vaak parallel.
Veelgemaakte fouten
| Bewering | Waarom dit faalt |
|---|---|
| "Onze leverancier zit in de EU, dus we zijn geen importeur; dat maakt ons automatisch distributeur." | Distributeur zijn vereist ook dat u de eigenschappen van het product niet beïnvloedt. Herverpakken, rebranding, vooraf geïnstalleerde software of configuratiewijzigingen kunnen fabrikantverplichtingen activeren. |
| "We hoeven niets te controleren; de importeur deed dat al." | De distributeurscontrole staat los en is aanwezigheidsgebaseerd: CE aanwezig, productinformatie van de fabrikant aanwezig, identificatie van de importeur aanwezig en noodzakelijke documenten verstrekt. De verificatie van de importeur ontslaat de distributeur niet van zijn eigen controle. |
| "Gebruikersinformatie in het Engels is genoeg voor de hele EU." | Gebruikersinformatie moet in een taal zijn die gebruikers en markttoezicht van de betrokken lidstaat gemakkelijk kunnen begrijpen. Uitsluitend Engels leveren in een lidstaat waar autoriteiten en gebruikers niet in het Engels werken, faalt de distributeurscontrole. |
| "Kwetsbaarheidsmeldingen sturen we maandelijks door met onze andere commerciële updates." | Kwetsbaarheidsinformatie moet zonder onnodige vertraging naar de fabrikant en significante cyberbeveiligingsrisico's onmiddellijk naar het markttoezicht. Maandelijks bundelen schendt beide normen. |
| "ENISA-melding is een fabrikantszaak, dus negeren we kwetsbaarheden." | De ENISA-meldstroom is van de fabrikant, maar de plicht om de fabrikant te informeren en de plicht om bij significant risico de markttoezichtautoriteiten in te lichten, liggen bij de distributeur. Zwijgen schendt de post-marktverplichting. |
| "Eenheden die al in ons magazijn liggen, kunnen we blijven verkopen na het opmerken van een taalgat in de gebruikersinformatie; alleen nieuwe zendingen stoppen." | Verdere beschikbaarheid van het niet-conforme product stopt ongeacht waar de eenheden fysiek liggen. Bestaande voorraad wordt vastgehouden, niet uitverkocht. |
| "Door het contactlabel van de importeur te verwijderen, houden we onze kanaalpartners privé." | De identificatie van de importeur moet op het product, de verpakking of een begeleidend document blijven. Het verwijderen maakt het product niet-conform voor distributeurslevering. |
| "We hoeven geen documenten te bewaren; we zijn alleen wederverkoper." | De distributeur moet de documentenset kunnen verstrekken op gemotiveerd verzoek, in de taal van de autoriteit. Een distributeur die geen referentie van de EU-conformiteitsverklaring, gebruikersinformatie of ketencontactpunten kan tonen, is in overtreding, zelfs als het product conform is. |
Veelgestelde vragen
Wat is een distributeur onder de CRA?
Een EU-schakel in de toeleveringsketen die het product ongewijzigd doorgeeft. De rol wordt bepaald door positie (na de importeur, vóór de eindgebruiker) en door neutraliteit ten opzichte van het product (geen rebranding, geen softwarewijziging, geen configuratie die het beoogde gebruik wijzigt). Wederverkopers, distributeurs met toegevoegde waarde die alleen bundelen, en kanaalpartners die alleen verzenden en factureren passen allemaal, mits zij het product laten zoals de fabrikant het in de handel heeft gebracht. Als een importeur of distributeur onder eigen naam verkoopt of het product substantieel wijzigt, schakelt de plicht over naar de fabrikantverplichtingen. Voor de volledige reeks verplichtingen die dan van toepassing is, zie de gids van het cluster fabrikant.
Ben ik distributeur of importeur?
De scheidslijn is de eerste plaatsing op de markt. U bent importeur als u de eerste EU-entiteit bent die een product met niet-EU-merk op de Uniemarkt brengt. U bent distributeur als u het product na de importeur beschikbaar maakt zonder de eigenschappen ervan te beïnvloeden. Koopt u een niet-EU-product van een andere EU-onderneming die het al heeft geïmporteerd, dan is die onderneming de importeur en bent u de distributeur. Koopt u rechtstreeks bij de niet-EU-fabrikant en plaatst u het product zelf op de EU-markt, dan bent u de importeur, met de zwaardere verificatieset en de 10-jaars bewaarplicht.
Ben ik distributeur of fabrikant?
Het artikel 21 is de wettelijke brug tussen distributeur (of importeur) en fabrikant. Het heeft twee triggers, en beide gelden voor importeurs én voor distributeurs:
"Een importeur of distributeur wordt voor de toepassing van deze verordening als een fabrikant beschouwd en moet aan de artikelen 13 en 14 voldoen wanneer die importeur of distributeur een product met digitale elementen onder zijn naam of merk in de handel brengt of een ingrijpende wijziging uitvoert aan een reeds in de handel gebrachte product met digitale elementen."
De twee triggers zijn dus: (a) het in de handel brengen van het product onder eigen naam of merk, of (b) het uitvoeren van een ingrijpende wijziging aan een reeds in de handel gebracht product. White-labelrebranding, het voorinstalleren van eigen software, het wijzigen van de beveiligingsconfiguratie vóór de wederverkoop, herverpakking die het beoogde gebruik wijzigt, of firmware-aanpassing breken de distributeursrol. Voor importeurs en distributeurs is de omschakeling rechtstreeks: u wordt fabrikant en het volledige fabrikantregime is op u van toepassing. Zie voor de volledige reeks verplichtingen die dan geldt de gids van het cluster fabrikant.
Een aparte, engere regel dekt een persoon die geen fabrikant, importeur of distributeur is: een derde partij die een reeds in de handel gebracht product neemt, dit ingrijpend wijzigt en op de markt aanbiedt. Die persoon wordt als fabrikant beschouwd. Op grond van artikel 22, lid 2 gelden de fabrikantverplichtingen "voor het deel van het product met digitale elementen waarop de ingrijpende wijziging betrekking heeft of, indien de ingrijpende wijziging gevolgen heeft voor de cyberbeveiliging van het product met digitale elementen als geheel, voor het gehele product." Deze restregel is niet op u van toepassing als u al importeur of distributeur bent. De importeur-distributeurrebrandingbrug dekt uw geval.
Wat moet de distributeur precies verifiëren voordat een product beschikbaar wordt gemaakt?
Twee controles: CE aanwezig en de stroomopwaartse documentatie aanwezig. De fabrikant moet voldoen aan productidentificatie, identificatie van de fabrikant, gebruikersinformatie in een lidstaattaal, einddatum van de ondersteuningsperiode met maand en jaar, en aanlevering van de EU-conformiteitsverklaring. De importeur moet aan zijn identificatieplicht hebben voldaan. Noodzakelijke documenten moeten zijn verstrekt. De controle is aanwezigheidsgebaseerd, geen herhaling van de conformiteitsbeoordeling.
Moet de distributeur de EU-conformiteitsverklaring 10 jaar bewaren?
Nee. De bewaarplicht van 10 jaar of de ondersteuningsperiode voor de EU-conformiteitsverklaring ligt bij de importeur, niet bij de distributeur. De documentatieplicht van de distributeur is om op gemotiveerd verzoek van een markttoezichtautoriteit de informatie en documentatie te verstrekken die nodig is om conformiteit aan te tonen, in een taal die de autoriteit gemakkelijk kan begrijpen. Het praktische minimum is de documentenset die de distributeur gebruikt voor zijn eigen intakecontrole: referentie van de EU-conformiteitsverklaring, gebruikersinformatie in de taal van de lidstaat van levering, contactpunten van fabrikant en importeur.
Wat doet de distributeur wanneer hij hoort van een kwetsbaarheid in een product dat hij heeft geleverd?
De fabrikant direct informeren, en het markttoezicht als het risico significant is. De eerste plicht is stroomopwaartse melding zonder onnodige vertraging. De tweede is parallelle melding aan de markttoezichtautoriteiten van elke lidstaat van levering, met details over de non-conformiteit en alle getroffen corrigerende maatregelen. De ENISA-meldstroom blijft de plicht van de fabrikant, niet van de distributeur.
Zijn er kmo-vrijstellingen voor distributeurs?
Nee. Distributeursverplichtingen gelden ongeacht de omvang. De enige kmo-specifieke verzachting van administratieve boetes in de CRA geldt voor fabrikanten en open-source-beheerders. Distributeurs vallen niet onder die uitzondering. Autoriteiten moeten ook rekening houden met de omvang van de overtreder bij het bepalen van de hoogte van boetes in individuele zaken; dat is een verzachtende factor, geen ontheffing van verplichtingen.
Wanneer gelden de CRA-distributeursverplichtingen?
De distributeursverplichtingen gelden volledig vanaf 11 december 2027. Anders dan fabrikanten hebben distributeurs geen aparte, vroegere termijn; de ENISA-meldstroom is een fabrikantsplicht, niet die van de distributeur. Tegen die datum hebben distributeurs die producten op de Uniemarkt beschikbaar maken een intakecontrole, een weigeringsroute, een kwetsbaarheidsbewustzijnsroute en een capaciteit om documenten te leveren operationeel.