Als uw EU-entiteit als eerste een niet-EU-gemerkt product met digitale elementen op de EU-markt plaatst, behandelt de Cyberweerbaarheidsverordening u meestal als importeur. Importeurs voeren niet het volledige conformiteitsprogramma van de fabrikant uit, maar moeten het vóór marktplaatsing verifiëren, niet-conforme producten weigeren, zichzelf op het product of begeleidend materiaal identificeren, samenwerken met markttoezicht en de EU-conformiteitsverklaring bewaren.
Samenvatting
- Bent u de importeur? U bent meestal importeur wanneer uw EU-entiteit als eerste een niet-EU-gemerkt digitaal product op de Uniemarkt plaatst.
- Wat moet vóór marktplaatsing worden gecontroleerd? Conformiteitsbeoordeling, technische documentatie, CE-markering, EU-conformiteitsverklaring, gebruikersinstructies, product-ID, contactgegevens van de fabrikant en einddatum van de ondersteuningsperiode.
- Wanneer moet u weigeren? Plaats het product niet op de markt als het product of de kwetsbaarheidsafhandelingsprocessen van de fabrikant niet conform zijn. Informeer de fabrikant en markttoezicht wanneer er een significant cyberbeveiligingsrisico bestaat.
- Wat loopt door na marktplaatsing? Corrigerende maatregelen, terugtrekking of terugroeping, kwetsbaarheidsmelding aan de fabrikant, samenwerking met markttoezicht en melding wanneer de fabrikant zijn activiteiten staakt.
- Wat moet worden bewaard? Bewaar de EU-conformiteitsverklaring 10 jaar of gedurende de ondersteuningsperiode, afhankelijk van welke langer is, en zorg dat technische documentatie op verzoek kan worden overgelegd.
- Wanneer geldt dit? De belangrijkste importeursverplichtingen gelden vanaf 11 december 2027.
Vier controles, bewaring langer dan tien jaar, twee boetetrappen afhankelijk van of u werkelijk de importeur bent.
Wie is importeur onder de CRA?
In praktische termen is de CRA-importeur de in de EU gevestigde entiteit die als eerste een niet-EU-gemerkt product met digitale elementen op de Uniemarkt plaatst. De drieledige toets is: uw entiteit is gevestigd in de Unie, uw entiteit maakt het product als eerste beschikbaar op de Uniemarkt, en het product draagt de naam of het handelsmerk van een buiten de Unie gevestigde persoon.
Draagt het product uw eigen naam of handelsmerk, dan handelt u voor dat product niet als importeur; u zit in fabrikantengebied. Heeft een andere EU-entiteit het product al op de markt geplaatst, dan bent u meestal distributeur. Heeft de niet-EU-fabrikant u alleen via een schriftelijk mandaat aangewezen en plaatst u het product niet zelf op de markt, dan bent u gemachtigde vertegenwoordiger. Voor de volledige rolbeslisboom, zie wie aan de CRA moet voldoen.
Kernverplichtingen van de importeur
Importeursverplichtingen vallen in vier blokken: wat vóór marktplaatsing moet worden gecontroleerd, wanneer de importeur moet stoppen, welke importeursidentiteit moet verschijnen en wat na plaatsing moet worden bewaard of verstrekt.
| Verplichting | Kernpunt |
|---|---|
| Algemene naleving | Uitsluitend producten op de markt plaatsen waarvan cyberbeveiligingseisen en fabrikantprocessen CRA-klaar zijn. |
| Pre-marktverificatie | Conformiteitsbeoordeling + technische documentatie + CE/conformiteitsverklaring/gebruikersinstructies + product-ID, fabrikantgegevens en einddatum ondersteuningsperiode. Importeur moet documenten kunnen overleggen waaruit naleving blijkt. |
| Weigeringsplicht | Niet op de markt plaatsen als het product of de processen niet conform zijn. Fabrikant en markttoezicht informeren bij significant cyberbeveiligingsrisico. |
| Identificatie importeur | Eigen naam, handelsnaam of handelsmerk, postadres, digitaal contactpunt op het product, de verpakking of begeleidend document. |
| Post-markt corrigerende maatregelen | Terugtrekking of terugroeping indien van toepassing. Kwetsbaarheidsmelding: fabrikant zonder onnodig uitstel informeren; markttoezichtautoriteiten van elke lidstaat van levering informeren bij significant cyberbeveiligingsrisico. |
| Bewaring | Conformiteitsverklaring minimaal 10 jaar of de ondersteuningsperiode, afhankelijk van welke langer is, ter beschikking houden. Zorgen dat technische documentatie op verzoek beschikbaar kan worden gesteld. |
| Samenwerking | Op gemotiveerd verzoek van markttoezicht alle informatie en documentatie verstrekken in een taal die de autoriteit begrijpt. |
| Fabrikant gestopt met activiteiten | Markttoezichtautoriteiten informeren en, met alle beschikbare middelen, de gebruikers. |
Geen van deze verplichtingen kent een KMO-drempel. De verlichting voor kleine ondernemingen is smal: zij neemt importeursverplichtingen voor verificatie, weigering, identificatie, bewaring of samenwerking niet weg.
Importeur versus distributeur
De juridische aanleiding is welke partij het product als eerste op de Uniemarkt plaatst.
| Aspect | Importeur | Distributeur |
|---|---|---|
| Positie | Gevestigd in de Unie; brengt een product met een niet-EU-naam op de markt | Elke partij die het product na de importeur beschikbaar stelt zonder de eigenschappen te beïnvloeden |
| Verificatie | Volledige pre-marktcontrole inclusief type-/batch-ID, fabrikantcontact en einddatum ondersteuning | Controleert of CE, fabrikantidentificatie, ondersteuningsperiode en DoC-artefacten aanwezig zijn |
| Documentatie | Moet documenten kunnen overleggen waaruit naleving blijkt; zorgt dat technische documentatie op verzoek beschikbaar kan worden gesteld | Werkt mee met autoriteiten; aanwezigheidsgerichte verificatie |
| Weigering | Stoppen en informeren wanneer product of processen niet conform zijn | Stoppen en informeren wanneer CE, DoC of vereiste artefacten ontbreken |
| Kwetsbaarheidsmelding | Fabrikant zonder onnodige vertraging informeren; markttoezicht informeren bij significant risico in elke lidstaat van levering | Zelfde plicht binnen de eigen scope; route loopt via de fabrikant |
| Bewaring | Conformiteitsverklaring 10 jaar of ondersteuningsperiode, afhankelijk van welke langer is | Geen specifieke bewaarplicht; medewerking op verzoek |
| Boetetrap | EUR 10.000.000 of 2% | EUR 10.000.000 of 2% |
Het benoemen van de rol als "distributie" in een privaatrechtelijke overeenkomst verplaatst de publiekrechtelijke verplichting niet. Als uw entiteit als eerste een niet-EU-product op de Uniemarkt plaatst, bent u de importeur. Voor het detail aan de distributeurszijde van dezelfde grens, zie de gids van het cluster distributeur.
De vier pre-marktcontroles
1. Conformiteitsbeoordeling uitgevoerd
De fabrikant moet de beoordelingsroute hebben uitgevoerd die past bij de productklasse. Vraag de EU-conformiteitsverklaring op die de gebruikte beoordelingsmodule vermeldt en, voor Module B+C of Module H, het certificaatnummer en het viercijferige identificatienummer van de aangemelde instantie dat na de CE-markering op het product staat.
| Module | Wanneer |
|---|---|
| A interne productiecontrole | Standaardproducten; Belangrijke Klasse I alleen wanneer de relevante normen, specificaties of regeling volledig worden toegepast |
| B + C EU-typeonderzoek + productiecontrole | Belangrijke Klasse I wanneer de relevante normen, specificaties of regeling niet volledig worden toegepast; Belangrijke Klasse II; terugvalroutes voor Kritieke producten |
| H volledige kwaliteitsborging | Alternatief voor B+C bij Belangrijke Klasse I als terugval, Belangrijke Klasse II en terugvalroutes voor Kritieke producten |
| Europese cyberbeveiligingscertificeringsregeling | Kritieke producten wanneer de certificeringsroute is geactiveerd en een toepasselijke regeling beschikbaar is; ook waar de CRA dit toestaat |
Zie de clustergids voor conformiteitsbeoordeling.
2. Technische documentatie opgesteld
De importeur hoeft het volledige technische dossier niet in bezit te hebben. Hij heeft wel bewijs nodig dat het dossier bestaat en op verzoek aan autoriteiten kan worden verstrekt. Vraag de fabrikant in de praktijk om een inhoudsopgave van de technische documentatie plus een schriftelijke toezegging om het onderliggende dossier binnen een vastgesteld tijdsbestek en in een afgesproken taal beschikbaar te stellen. Zie de clustergids voor technische documentatie.
3. CE-markering, EU-conformiteitsverklaring en gebruikersinstructies
Drie bewijsstukken moeten het product vergezellen.
| Bewijsstuk | Vereiste |
|---|---|
| CE-markering | Zichtbaar, leesbaar en onuitwisbaar, aangebracht op het product of het typeplaatje; de hoogte van de CE-markering mag minder dan 5 mm bedragen, mits de markering zichtbaar en leesbaar blijft. Het viercijferige identificatienummer van de aangemelde instantie volgt de markering wanneer Module B+C of Module H is gebruikt. CE op de verpakking is alleen toegestaan wanneer het aanbrengen op het product zelf technisch niet haalbaar is; in dat geval moet het ook op de EU-conformiteitsverklaring staan. |
| EU-conformiteitsverklaring | Volledige conformiteitsverklaring bij het product of vereenvoudigde conformiteitsverklaring met het exacte internetadres van de volledige verklaring. Generieke "cyberbeveiligingsvereisten" zonder concrete koppeling aan de essentiële eisen is een weigeringsaanleiding. |
| Gebruikersinformatie en instructies | In een taal die gemakkelijk te begrijpen is door gebruikers en markttoezichtautoriteiten van de betrokken lidstaat. Identiteit fabrikant, beoogd gebruik, einddatum ondersteuningsperiode, veilige configuratie, veilige buitengebruikstelling, adres voor kwetsbaarheidsmelding. |
4. Product-ID, fabrikantgegevens en einde ondersteuningsperiode
De laatste importeurscontrole is geen extra certificaat. Het is een aanwezigheidscontrole: het product moet identificeerbaar zijn, de fabrikant moet identificeerbaar en bereikbaar zijn, en de einddatum van de ondersteuningsperiode moet bij aankoop beschikbaar zijn.
| Verplichting | Importeurscontrole |
|---|---|
| Type-, batch- of serienummer voor productidentificatie (of op de verpakking als het product dit niet kan dragen) | Bevestig aanwezigheid op product of verpakking |
| Naam, handelsnaam of handelsmerk van de fabrikant, postadres, digitaal contactpunt, ook opgenomen in gebruikersinformatie | Bevestig aanwezigheid op product, verpakking of begeleidend document |
| Einddatum ondersteuningsperiode vermeld bij aankoop, inclusief ten minste maand en jaar | Bevestig dat maand en jaar zichtbaar zijn op het verkooppunt |
Een product zonder vermelde einddatum met maand en jaar is niet conform, ongeacht of alle andere controles zijn geslaagd.
Aangrenzende verplichting die als weigeringsaanleiding behandeld moet worden: het enkel contactpunt moet gebruikers hun voorkeursmiddel van communicatie laten kiezen en mag niet beperkt zijn tot geautomatiseerde hulpmiddelen. Een chatbot als enig contactpunt voldoet niet. Zonder een werkend enkel contactpunt upstream is de kwetsbaarheidsmelding vanaf dag één gebroken.
De 9-puntenchecklist voor productinformatie (Bijlage II)
Elk product met digitale elementen moet de importeur bereiken met negen specifieke gegevens. Bijlage II van de CRA legt de lijst vast en de importeurscontrole is aanwezigheidsgericht: ontbreekt één van de items, dan kan het product niet op de markt worden geplaatst.
Naam, geregistreerde handelsnaam of handelsmerk, postadres, e-mailadres of digitaal contactpunt en, indien beschikbaar, de website.
Bij ontvangstAanwezig op product, verpakking of begeleidend document.
Enkel contactpunt voor kwetsbaarheidsmeldingen, met een bereikbaar CVD-beleid (Coordinated Vulnerability Disclosure).
Bij ontvangstNiet-geautomatiseerd kanaal, met een bereikbaar CVD-beleid.
Productnaam, type en eventuele aanvullende informatie (batch, serienummer, model) voor unieke identificatie.
Bij ontvangstType-, batch- of serienummer zichtbaar.
Beoogd gebruik, beveiligingsomgeving, essentiële functionaliteiten en beveiligingseigenschappen.
Bij ontvangstVermeld in de gebruikersinformatie.
Bekende of voorzienbare omstandigheden die kunnen leiden tot significante cyberbeveiligingsrisico's.
Bij ontvangstGedocumenteerd in de gebruikersinformatie.
Indien van toepassing, het internetadres waar de volledige EU-conformiteitsverklaring toegankelijk is.
Bij ontvangstURL werkt. EU-conformiteitsverklaring is volledig.
Type technische beveiligingsondersteuning en de einddatum van de ondersteuningsperiode.
Bij ontvangstEinddatum bevat ten minste maand en jaar.
Gedetailleerde instructies of een internetadres met veilig gebruik, wijzigingsimpact, installatie van updates, veilige buitengebruikstelling en opt-out van automatische updates.
Bij ontvangstAlle sub-items aanwezig of bereikbaar via de gekoppelde URL.
Indien de fabrikant de SBOM aan gebruikers beschikbaar stelt, de locatie waar deze toegankelijk is.
Bij ontvangstControleer of de SBOM wordt aangeboden en op welke URL.
Voor hoe de fabrikant elk item opstelt, zie de overeenkomstige sectie in de fabrikantenclustergids.
Verificatie van naleving door niet-EU-fabrikanten
Mondelinge garanties zijn geen importeursbewijs. Stuur het documentatieverzoek voordat u een importcontract tekent.
ONDERWERP: Verzoek om CRA-compliancedocumentatie
Wij evalueren [product / model] voor import naar de Europese Unie onder
Verordening (EU) 2024/2847 (Cyber Resilience Act). Verzoek om het volgende
vóórdat wij overgaan tot import:
1. EU-conformiteitsverklaring,
met verwijzing naar de essentiële cyberbeveiligingseisen en de gebruikte conformiteitsbeoordelingsmodule,
inclusief certificaatnummer aangemelde instantie waar van toepassing.
2. Inhoudsopgave technische documentatie, plus een
schriftelijke toezegging om het onderliggende dossier in [taal] binnen
[X] werkdagen beschikbaar te stellen.
3. Bevestiging van de ondersteuningsperiode: minimaal 5 jaar
of de verwachte gebruiksduur als deze korter is, met onderbouwing.
4. Einddatum ondersteuningsperiode (maand en jaar) zoals die zichtbaar zal
zijn op het verkooppunt.
5. Enkel contactpunt, met bevestiging dat het
niet beperkt is tot geautomatiseerde hulpmiddelen.
6. Beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking.
7. Bewijs van plaatsing CE-markering op product of typeplaatje.
8. Gebruikersinstructies in [taal doellidstaat].
Gevraagde reactietermijn: [X] werkdagen.
Wat te weigeren en waarom
| Signaal | Actie |
|---|---|
| Volledige documentatie verstrekt | Doorgaan met importeursverificatie |
| Gedeeltelijk, resterende stukken "in behandeling" | Import uitstellen; leemte documenteren |
| "CE op grond van EMC, RED of LVD" | Onvoldoende. CRA-specifieke conformiteitsverklaring en technische documentatie aanvragen. |
| Mondelinge scope-claim "buiten CRA-toepassingsbereik" | Schriftelijke scope-analyse aanvragen met productklasse en uitsluitingsgrond |
| "Certificaat aangemelde instantie nog hangende" | De conformiteitsbeoordeling moet voltooid zijn vóór marktplaatsing |
| Enkel contactpunt is uitsluitend chatbot | Niet-geautomatiseerd contactkanaal ontbreekt; weigeren |
| Conformiteitsverklaring gedateerd vóór 11 december 2027, geen CRA-specifieke update | Weigeren |
| Ontbrekend aangemelde instantie-nummer voor Belangrijke Klasse II / Kritiek | Weigeren |
| Ondersteuningsperiode korter dan 5 jaar zonder gebruiksduuronderbouwing | Weigeren |
| Einddatum zonder maand en jaar | Weigeren |
| Instructies alleen in de eigen taal van de fabrikant | Weigeren voor de betrokken lidstaat |
| Weigering of geen reactie | Niet importeren |
Als de niet-EU-fabrikant geen vestiging in de Unie heeft
Een niet-EU-fabrikant zonder hoofdvestiging in de Unie routeert zijn kwetsbaarheids- en incidentmeldingen via een terugvalcascade. Artikel 14, lid 7 legt de volgorde vast en de plaats van de importeur weegt in die volgorde. De cascade luidt:
"a) de lidstaat waar de gemachtigde vertegenwoordiger die namens de fabrikant optreedt voor het grootste aantal producten met digitale elementen van die fabrikant, is gevestigd;
b) de lidstaat waar de importeur is gevestigd die het grootste aantal producten met digitale elementen van die fabrikant in de handel brengt;
c) de lidstaat waar de distributeur is gevestigd die het grootste aantal producten met digitale elementen van die fabrikant op de markt aanbiedt;
d) de lidstaat waar het grootste aantal gebruikers van producten met digitale elementen van die fabrikant is gevestigd."
Twee praktische gevolgen voor de importeur. Ten eerste, als u de grootste niet-GV EU-aanwezigheid voor deze fabrikant bent, maakt punt b) waarschijnlijk uw lidstaat tot coördinator-CSIRT voor kwetsbaarheids- en ernstig-incidentmeldingen. Bevestig bij de fabrikant of er een gemachtigde vertegenwoordiger bestaat op grond van punt a) en of de lidstaat van de gemachtigde dan wel uw lidstaat de actieve route is. Ten tweede is punt b) volumegebaseerd en kan tussen importeurs verschuiven per productcohort. Houd productvolumes per fabrikant per lidstaat bij, zodat de routeringsclaim kan worden onderbouwd als een CSIRT of markttoezichtautoriteit erom vraagt.
Wanneer verificatie mislukt
Een mislukte verificatie creëert een stop-en-informeer-plicht. De importeur moet het product buiten de EU-markt houden totdat het product en de processen van de fabrikant conform zijn gemaakt.
- Stop. Plaats het product niet op de EU-markt. Douane-entrepot of wederuitvoer blijft mogelijk totdat de conformiteit is hersteld.
- Documenteer. Leg vast welke pre-marktcontrole heeft gefaald, of het het product of de processen van de fabrikant betreft, de datum en de ondertekenaar.
- Informeer de fabrikant schriftelijk. Benoem de leemte, de vereiste documentatie en de termijn.
- Beoordeel het cyberbeveiligingsrisico. Significant risico: informeer de markttoezichtautoriteit van de betrokken lidstaat. Niet-technische risicofactoren hebben ook een autoriteitsroute nodig, maar de importeursflow blijft gelijk: documenteren, informeren en het product vasthouden.
- Los op of verwerp. Ga pas over tot import wanneer alle vier de controles zijn geslaagd. Anders de import verwerpen.
Na marktplaatsing verschuift de importeursplicht naar corrigerende maatregelen, terugtrekking of terugroeping waar passend, melding van kwetsbaarheden aan de fabrikant zonder onnodige vertraging en melding aan markttoezicht in elke leveringslidstaat wanneer het product een significant cyberbeveiligingsrisico vormt. Heeft de fabrikant zijn activiteiten gestaakt, informeer dan markttoezicht en, met alle beschikbare middelen, de gebruikers.
Als de leverancier zijn activiteiten staakt
Wanneer de niet-EU-fabrikant zijn activiteiten staakt, wordt de importeur de boodschapper. Er ontstaat een meldingsplicht, maar de ondersteuningsverplichtingen van de fabrikant gaan niet over op de importeur. Artikel 19, lid 8 regelt de aanleiding:
"Wanneer de importeur van een product met digitale elementen er kennis van neemt dat de fabrikant van dat product zijn activiteiten heeft stopgezet en daardoor niet in staat is aan de verplichtingen van deze verordening te voldoen, stelt de importeur de betrokken markttoezichtautoriteiten in kennis van die situatie, alsook, met alle beschikbare middelen en voor zover mogelijk, de gebruikers van de producten met digitale elementen die in de handel zijn gebracht."
De importeur neemt de fabrikantsverplichtingen niet over. De CRA verplicht de importeur niet tot het overnemen van ondersteuning op fabrikantsniveau, kwetsbaarheidsafhandeling, het uitgeven van beveiligingsupdates of andere fabrikantentaken. Fabrikantszijdige verplichtingen eindigen met de fabrikant.
Het beheer van de bestaande voorraad is een commerciële beslissing, geen wettelijke verplichting. De importeur schorst doorgaans verdere plaatsing van getroffen voorraad op om downstream-ondersteuningsblootstelling te beperken, maar dat is risicobeheer, geen wettelijke verplichting. Wil de importeur blijven verkopen, dan treedt rolopschaling in: het product vanaf dat moment op de markt plaatsen onder eigen naam of handelsmerk is de rebrand-brug naar de fabrikantsstatus, met alle bijbehorende verplichtingen voor engineering, conformiteitsbeoordeling en ondersteuningsperiode.
Importeur, distributeur of fabrikant?
De importeurspagina hoeft niet de volledige rolmatrix te dragen. Gebruik de CRA-rolbeslisboom voor de volledige classificatie over fabrikant, importeur, distributeur, gemachtigde vertegenwoordiger en opensourcesoftwaresteward.
De wettelijke rebrand-trigger staat in artikel 3, punt 13:
""fabrikant": een natuurlijke of rechtspersoon die producten met digitale elementen ontwikkelt of vervaardigt of die producten met digitale elementen laat ontwerpen, ontwikkelen of vervaardigen, en die onder zijn naam of merk tegen betaling, met een verdienmodel of gratis in de handel brengt"
De zinsnede "onder zijn naam of merk in de handel brengt" is de rebrand-trigger. Wie zijn EU-merk op een niet-EU-OEM-product plakt, wordt vanaf de eerste verkoop fabrikant. De rebrand-brug routeert een importeur of distributeur die door deze trigger wordt geraakt rechtstreeks naar het fabricantenregime. Een afzonderlijke restbepaling geldt voor derden die geen fabrikant, importeur of distributeur zijn. Als uw situatie u in de fabrikantsstatus brengt, zie de gids van het cluster fabrikant voor de volledige verplichtingen als fabrikant.
| Situatie | CRA-rol of gevolg |
|---|---|
| EU-entiteit plaatst als eerste een niet-EU-gemerkt product op de Uniemarkt | Importeur |
| EU-entiteit verkoopt later door nadat een andere EU-entiteit al heeft geplaatst | Distributeur |
| EU-entiteit plaatst onder eigen naam of merk | Fabrikantenverplichtingen gelden |
| Importeur of distributeur wijzigt substantieel | Fabrikantenverplichtingen gelden |
| Andere derde partij wijzigt substantieel en maakt beschikbaar | Fabrikantenverplichtingen gelden |
De praktische kosten van verschuiven naar fabrikant zijn hoog: technische documentatie, conformiteitsbeoordeling, eigen conformiteitsverklaring, kwetsbaarheidsafhandeling, beveiligingsupdates en kwetsbaarheidsmelding moeten dan worden gedragen of contractueel geregeld.
Documentatie en bewaring
Bewaar de EU-conformiteitsverklaring ten minste 10 jaar nadat het product op de markt is geplaatst, of gedurende de ondersteuningsperiode als die langer is, ter beschikking van markttoezichtautoriteiten. Zorg er ook voor dat technische documentatie op verzoek beschikbaar kan worden gemaakt. Een product met een ondersteuningsperiode van 12 jaar vereist dus een importeursbewaarplan van 12 jaar.
De importeur bewaart de conformiteitsverklaring, technische documentatie-inhoudsopgave en toezegging van de fabrikant, eigen verificatieregister, communicatie met de fabrikant, douane- en batchgegevens en meldings- of correctieregisters.
Wanneer de productlijn naar fabrikantenverplichtingen verschuift omdat u onder eigen merk verkoopt of het product substantieel wijzigt, geldt dezelfde duur plus technische documentatie op uw eigen naam en de volledige bewijsvoering van de conformiteitsbeoordeling.
Digitale opslag is aanvaardbaar. Bestanden moeten toegankelijk en leesbaar blijven en op verzoek binnen een redelijke termijn kunnen worden overgelegd.
Veelgemaakte fouten
| Stelling | Waarom die niet standhoudt |
|---|---|
| "CE betekent dat zij conform zijn." | CE is slechts één importeurscontrole; DoC, technische documentatie, gebruikersinformatie en ondersteunings-einddatum moeten nog worden geverifieerd. |
| "Onze leverancier is al jaren betrouwbaar." | EMC-, RED- of LVD-naleving dekt CRA-kwetsbaarheidsafhandeling, ondersteuningsperiode en meldroutes niet. |
| "Mondelinge garanties." | De importeur heeft traceerbare documentatie nodig. |
| "Wij verifiëren na aankomst." | Verificatie moet vóór marktplaatsing gebeuren. |
| "De wijzigingsregel maakt ons fabrikant als wij wijzigen." | Voor importeurs en distributeurs is de directe switch bij eigen merk of substantiële wijziging automatisch. De restregel betreft andere derden. |
Aanbestedingssignalen over specifieke niet-EU-leveranciers. In 2021 stemde het Europees Parlement over een resolutie die de interne aanbesteding van Hikvision-warmtebeeldcamera's beperkt. De resolutie is een politiek signaal over een met name genoemde Chinese videobewakingsleverancier, geen CRA-verplichting, maar de zorgvuldigheidsplicht van de importeur ten aanzien van niet-EU-videobewakingsmerken zou dergelijke aanbestedingsdossiers als onderdeel van het bredere risicobeeld moeten behandelen, naast de vier controles vóór marktintroductie.
Veelgestelde vragen
Wat is een importeur onder de CRA?
Een EU-entiteit die een niet-EU-gemerkt product op de Uniemarkt brengt. Drie elementen moeten alle aanwezig zijn: gevestigd in de Unie, eerste partij die het product op de Uniemarkt beschikbaar stelt, en het product draagt de naam of het handelsmerk van een buiten de Unie gevestigde persoon. Draagt het product uw eigen merk, dan bent u niet de importeur maar de fabrikant.
Ben ik importeur of distributeur?
De grens ligt bij de eerste plaatsing op de markt. U bent de importeur als u de eerste EU-entiteit bent die een niet-EU-gemerkt product op de Uniemarkt plaatst. U bent de distributeur als u het product beschikbaar stelt na de importeur, zonder de eigenschappen te beïnvloeden. Koopt u een niet-EU-product van een andere EU-onderneming die het al heeft ingevoerd, dan is die andere onderneming de importeur en bent u de distributeur. Koopt u rechtstreeks bij de niet-EU-fabrikant en brengt u het product zelf op de EU-markt, dan bent u de importeur.
Importeur versus gemachtigde vertegenwoordiger: wat is het verschil?
Verschillende taken, en de gemachtigde vertegenwoordiger is permissief. Artikel 18, lid 1 gebruikt het woord "kan", niet "moet":
"Een fabrikant kan door middel van een schriftelijk mandaat een gemachtigde vertegenwoordiger aanwijzen."
Een gemachtigde vertegenwoordiger is dus niet wettelijk verplicht. Een niet-EU-fabrikant kan er een aanstellen, maar hoeft dat niet. In de praktijk hebt u wellicht een gemachtigde vertegenwoordiger nodig of een importeur met contractuele toezeggingen om als EU-aanspreekpunt op te treden, maar dat is commerciële realiteit, geen CRA-verplichting.
Taken verschillen. De gemachtigde vertegenwoordiger is documentatiebewaarder voor de fabrikant. De importeur brengt het product fysiek op de markt. De gemachtigde houdt de EU-conformiteitsverklaring en de technische documentatie ter beschikking van de markttoezichtautoriteiten en werkt met die autoriteiten samen, maar brengt het product zelf niet op de markt. De importeur draagt de viercontroles-verificatieplicht vóór marktplaatsing. Een niet-EU-fabrikant die wel een gemachtigde aanstelt voor documentatie en samenwerking, heeft nog steeds een importeur (of een eigen EU-entiteit) nodig om het product daadwerkelijk op de markt te brengen. Een mandaat draagt geen technische, risicobeoordelings-, kwetsbaarheidsafhandelings- of conformiteitsbeoordelingsverplichtingen over.
Zijn er KMO-vrijstellingen voor importeurs?
Geen vrijstelling van de verplichtingen zelf. Importeursverplichtingen gelden ongeacht omvang. De KMO-concessie in de CRA betreft fabrikanten, niet importeurs, en uitsluitend voor de 24-uurs vroegtijdige meldingstermijnen. De boetederogatie voor beheerders van opensourcesoftware krachtens Artikel 64(10)(b) geldt voor beheerders, niet voor importeurs. Autoriteiten moeten bij het vaststellen van boetebedragen rekening houden met de omvang van de overtreder, maar dat is een strafmaatstaf, geen vrijstelling van verplichtingen.
Vanaf wanneer gelden de CRA-importeursverplichtingen?
Vanaf 11 december 2027. Vanaf die datum mag geen product met digitale elementen op de EU-markt worden geplaatst tenzij de importeur de pre-marktverificatie heeft uitgevoerd. Kwetsbaarheids- en incidentmelding start eerder, op 11 september 2026, maar is een fabricantenverplichting; de rol van de importeur is te verifiëren dat het enkel contactpunt van de fabrikant aanwezig is en niet beperkt tot geautomatiseerde hulpmiddelen.
Maakt rebranding alleen al de importeur tot fabrikant?
Ja, in praktische zin. Als de EU-entiteit het product onder eigen naam of handelsmerk op de markt plaatst, moet zij voor die productlijn aan de fabrikantenverplichtingen voldoen. Voor importeurs en distributeurs is de directe switch bij eigen merk of substantiële wijziging automatisch; een aparte regel gaat over andere derden.
Zijn beveiligingspatches ooit een substantiële wijziging?
Niet wanneer de patches zijn uitgegeven door de oorspronkelijke fabrikant en het beoogde doel, gedrag en de beveiligingsarchitectuur behouden. Een patch die meer doet dan een kwetsbaarheid verhelpen (functies toevoegt, authenticatie wijzigt, aanvalsoppervlak vergroot) verlaat de uitzondering.
Hoe lang moet een importeur de EU-conformiteitsverklaring bewaren?
Ten minste 10 jaar na de datum waarop het product op de markt is geplaatst of voor de ondersteuningsperiode, afhankelijk van welke langer is. Een product dat in 2028 op de markt wordt gebracht met een ondersteuningsperiode van 12 jaar leidt tot bewaring tot 2040. Dezelfde verplichting vereist dat de importeur zorgt dat de technische documentatie op verzoek beschikbaar kan worden gesteld. Digitale opslag is acceptabel.
Wat moet de importeur doen als de documentatie leemten bevat?
Stoppen en informeren. Niet op de markt plaatsen totdat de leemte is gedicht. De fabrikant schriftelijk informeren. Vormt het product een significant cyberbeveiligingsrisico, dan ook de markttoezichtautoriteit van de betrokken lidstaat informeren. De verplichting geldt ook voor niet-technische risicofactoren; autoriteiten volgen dan de relevante procedure. Goederen mogen in douane-entrepot verblijven terwijl de leemte openstaat.
Wat gebeurt er met de oorspronkelijke CE-markering als de EU-entiteit fabrikant wordt?
Die dekt het product zoals de EU-entiteit het op de markt brengt niet langer. De EU-entiteit geeft zijn eigen conformiteitsverklaring af en brengt CE-markering aan onder zijn eigen verantwoordelijkheid.
Begint de ondersteuningsperiode van vijf jaar opnieuw als de EU-entiteit fabrikant wordt?
Ja. De ondersteuningsperiode loopt vanaf de datum waarop de EU-entiteit het gerebrandde of gewijzigde product op de EU-markt plaatst. De vloer van "ten minste 5 jaar" geldt, met uitzondering van producten waarvan de verwachte gebruiksduur korter is dan 5 jaar. De kosten vallen op ondersteuningsresources en leverancierscontracten: de upstream-fabriek moet toezeggingen doen voor ten minste de ondersteuningsperiode van de importeur.
Heeft de EU-entiteit een aangemelde instantie nodig als de oorspronkelijke fabrikant er een gebruikte?
Voor Belangrijke Klasse II- of Kritieke producten die substantieel zijn gewijzigd, vrijwel altijd ja. Rebranding van zulke producten vereist ook een nieuwe conformiteitsverklaring op naam van de EU-entiteit. De directe switch geldt voor importeurs en distributeurs. Zie de gidsen conformiteitsbeoordeling en productclassificatie.