De EU Verordening cyberweerbaarheid (Verordening (EU) 2024/2847) behandelt de importeur als het juridische kanaal waarmee een niet-EU-fabrikant de EU-markt bereikt. Vanaf 11 december 2027 maakt Artikel 19 de importeur persoonlijk verantwoordelijk voor het verifiëren van CRA-naleving voordat een product met digitale elementen op de Uniemarkt wordt geplaatst. Deze pagina behandelt de vier pre-marktcontroles van Artikel 19(2), de post-marktverplichtingen van Artikel 19(3) t/m (8), de bewaarplicht, en de rolafbakening die bepaalt of u überhaupt importeur bent op grond van Artikel 3(13) en Artikel 3(16).
Samenvatting
- Vier pre-marktcontroles (Artikel 19(2)): conformiteitsbeoordeling uitgevoerd, technische documentatie opgesteld, CE + EU-conformiteitsverklaring + Bijlage II-taal aanwezig, en naleving van Artikel 13(15), (16) en (19).
- Weigeringsplicht (Artikel 19(3)): als het product of de processen van de fabrikant niet conform zijn, niet op de markt plaatsen; fabrikant en markttoezichtautoriteiten informeren bij significant cyberbeveiligingsrisico.
- Post-marktverplichtingen (Artikel 19(5) t/m (8)): corrigerende maatregelen en terugroeping indien nodig, melding bij bekendheid met kwetsbaarheden, samenwerking met markttoezicht, en melding indien de fabrikant ophoudt te bestaan.
- Bewaring (Artikel 19(6)): 10 jaar of de ondersteuningsperiode, afhankelijk van welke langer is.
- U bent geen importeur als u het product onder uw eigen naam op de markt brengt. Artikel 3(13) maakt u dan tot fabrikant, met de volledige verplichtingenset van Artikel 13 en 14.
Vier controles, bewaring langer dan tien jaar, twee boetetrappen afhankelijk van of u werkelijk de importeur bent.
De CE-markering op een niet-EU-product is de verklaring van de fabrikant dat het product voldoet aan de vereisten. De Artikel 19-plicht van de importeur is het verifiëren van de onderliggende documentatie die de verklaring ondersteunt. Een CE-markering zonder EU-conformiteitsverklaring, zonder technisch dossier conform Bijlage VII en zonder risicobeoordeling conform Bijlage I is geen verweer; het is een Artikel 19(2)-aanleiding om marktplaatsing te weigeren.
Wie is importeur onder de CRA?
Een EU-entiteit die een niet-EU-gemerkt product op de Uniemarkt brengt. Drie elementen moeten alle aanwezig zijn: gevestigd in de Unie, eerste partij die het product op de Uniemarkt beschikbaar stelt, en het product draagt de naam of het handelsmerk van een buiten de Unie gevestigde persoon (artikel 3(16); eerste plaatsing op de markt in artikel 3(21); ompakketten maakt u fabrikant volgens artikel 3(13)).
U bent importeur voor CRA-doeleinden als alle drie van toepassing zijn:
| Element | Toets |
|---|---|
| Gevestigd in de Unie | Uw rechtspersoon is geregistreerd in een EU-lidstaat |
| Op de markt brengen | U maakt het product als eerste beschikbaar op de Uniemarkt voor distributie of gebruik in het kader van een commerciële activiteit (Artikel 3(21) en (22)) |
| Draagt een niet-EU-naam of handelsmerk | De naam of het handelsmerk op het product, de verpakking of de documentatie is die van een buiten de Unie gevestigde persoon |
Ontbreekt een van de drie, dan bent u niet de importeur. Draagt het product uw eigen naam of handelsmerk, dan bent u de fabrikant op grond van Artikel 3(13). Bent u niet de eerste EU-entiteit die het product op de Uniemarkt plaatst, dan bent u de distributeur op grond van Artikel 3(17). Heeft een niet-EU-fabrikant u aangesteld om namens hem op te treden via een schriftelijk mandaat, zonder dat u het product zelf op de markt brengt, dan bent u de gemachtigde vertegenwoordiger op grond van Artikel 18 en Artikel 3(15), niet de importeur.
De importeur is het eerste juridische kanaal waarmee een niet-EU-fabrikant de Uniemarkt bereikt en draagt persoonlijke aansprakelijkheid voor wat door dat kanaal stroomt.
Artikel 19 in een oogopslag
| Lid | Verplichting | Kernpunt |
|---|---|---|
| 19(1) | Algemene naleving | Uitsluitend producten op de markt plaatsen die voldoen aan Bijlage I deel I, waarbij de processen van de fabrikant voldoen aan deel II. |
| 19(2) | Pre-marktverificatie (a) t/m (d) | Conformiteitsbeoordeling + technische documentatie + CE/conformiteitsverklaring/Bijlage II + Artikel 13(15), (16), (19). Importeur moet documenten kunnen overleggen waaruit naleving blijkt. |
| 19(3) | Weigeringsplicht | Niet op de markt plaatsen als het product of de processen niet conform zijn. Fabrikant + markttoezicht informeren bij significant cyberbeveiligingsrisico. Niet-technische risicofactoren activeren Artikel 54(2). |
| 19(4) | Identificatie importeur | Eigen naam, handelsnaam of handelsmerk, postadres, digitaal contactpunt op het product, de verpakking of begeleidend document. |
| 19(5) | Post-markt corrigerende maatregelen | Terugtrekking of terugroeping indien van toepassing. Kwetsbaarheidsmelding: fabrikant zonder onnodig uitstel informeren; markttoezichtautoriteiten van elke lidstaat van levering informeren bij significant cyberbeveiligingsrisico. |
| 19(6) | Bewaring | Conformiteitsverklaring minimaal 10 jaar of de ondersteuningsperiode, afhankelijk van welke langer is, ter beschikking houden. Zorgen dat technische documentatie op verzoek beschikbaar kan worden gesteld. |
| 19(7) | Samenwerking | Op gemotiveerd verzoek van markttoezicht alle informatie en documentatie verstrekken in een taal die de autoriteit begrijpt. |
| 19(8) | Fabrikant gestopt met activiteiten | Markttoezichtautoriteiten informeren en, met alle beschikbare middelen, de gebruikers. |
Geen van deze verplichtingen kent een KMO-drempel. De uitzondering van Artikel 64(10) is beperkt tot fabricantendeadlines onder Artikel 14(2)(a) en 14(4)(a), en tot beheerders van opensourcesoftware.
Importeur versus distributeur
De juridische aanleiding is welke partij het product als eerste op de Uniemarkt plaatst.
| Aspect | Importeur (Artikel 19) | Distributeur (Artikel 20) |
|---|---|---|
| Positie | Gevestigd in de Unie; brengt een product met een niet-EU-naam op de markt | Elke partij die het product na de importeur beschikbaar stelt zonder de eigenschappen te beïnvloeden |
| Verificatie | Volledige Artikel 19(2)(a) t/m (d) inclusief Artikel 13(15), (16), (19) | Verifieert CE, plus Artikel 13(15), (16), (18), (19), (20) en aanwezigheid Artikel 19(4) |
| Documentatie | Moet documenten kunnen overleggen waaruit Artikel 19-naleving blijkt; zorgt dat Bijlage VII beschikbaar kan worden gesteld | Werkt mee met autoriteiten; aanwezigheidsgerichte verificatie |
| Weigering | Artikel 19(3) | Artikel 20 |
| Kwetsbaarheidsmelding | Artikel 19(5) | Artikel 20 |
| Bewaring | Conformiteitsverklaring 10 jaar of ondersteuningsperiode, afhankelijk van welke langer is | Geen specifieke bewaarplicht; medewerking op verzoek |
| Boetetrap | EUR 10.000.000 of 2% (Artikel 64(3)) | EUR 10.000.000 of 2% (Artikel 64(3)) |
Het benoemen van de rol als "distributie" in een privaatrechtelijke overeenkomst verplaatst de publiekrechtelijke verplichting niet. Als uw entiteit als eerste een niet-EU-product op de Uniemarkt plaatst, bent u de importeur.
De vier pre-marktcontroles
1. Conformiteitsbeoordeling uitgevoerd (Artikel 19(2)(a), Artikel 32)
De fabrikant moet de beoordelingsroute hebben uitgevoerd die past bij de productklasse. Vraag de EU-conformiteitsverklaring op die de gebruikte beoordelingsmodule vermeldt en, waar een aangemelde instantie betrokken was, het certificaatnummer en het viercijferige identificatienummer van de instantie na de CE-markering.
| Module | Wanneer |
|---|---|
| A interne productiecontrole | Alleen voor producten van de standaardklasse |
| B + C EU-typeonderzoek + productiecontrole | Belangrijke Klasse II standaard; Klasse I als geen relevante geharmoniseerde norm is toegepast |
| H volledig kwaliteitsborging | Alternatief voor Belangrijke producten; verplicht voor Kritieke producten bij afwezigheid van een Europees cyberbeveiligingscertificeringsschema |
Zie de clustergids voor conformiteitsbeoordeling.
2. Technische documentatie opgesteld (Artikel 19(2)(b), Artikel 31, Bijlage VII)
De importeur hoeft het volledige Bijlage VII-dossier niet in bezit te hebben, maar moet naleving van Artikel 19 kunnen aantonen (slotvolzin van 19(2)) en zorgen dat het dossier op verzoek aan autoriteiten beschikbaar kan worden gesteld (Artikel 19(6)). Vraag: een inhoudsopgave die elke sectie van Bijlage VII dekt, plus een schriftelijke toezegging van de fabrikant om het onderliggende dossier binnen een vastgesteld tijdsbestek en in een afgesproken taal beschikbaar te stellen. Zie de clustergids voor technische documentatie.
3. CE-markering, EU-conformiteitsverklaring en Bijlage II-instructies (Artikel 19(2)(c), Artikel 30, Artikel 13(20), Bijlage II)
Drie bewijsstukken moeten het product vergezellen.
| Bewijsstuk | Vereiste |
|---|---|
| CE-markering (Artikel 30) | Minimaal 5 mm hoog, zichtbaar, leesbaar en onuitwisbaar, aangebracht op het product of het typeplaatje. Het identificatienummer van de aangemelde instantie volgt de markering waar van toepassing. CE alleen op de buitenverpakking voldoet niet. |
| EU-conformiteitsverklaring (Artikel 13(20), volledige inhoud per Artikel 28 + Bijlage V) | Volledige conformiteitsverklaring bij het product of vereenvoudigde conformiteitsverklaring met het exacte internetadres van de volledige verklaring. Generieke "cyberbeveiligingsvereisten" zonder Bijlage I-verwijzing is een weigeringsaanleiding. |
| Bijlage II-informatie en instructies | In een taal die gemakkelijk te begrijpen is door gebruikers en markttoezichtautoriteiten van de betrokken lidstaat. Identiteit fabrikant, beoogd gebruik, einddatum ondersteuningsperiode, veilige configuratie, veilige buitengebruikstelling, adres voor kwetsbaarheidsmelding. |
4. Naleving Artikel 13(15), (16) en (19) (Artikel 19(2)(d))
Drie afzonderlijke fabricantenverplichtingen waarnaar Artikel 19(2)(d) verwijst:
| Verwijzing | Verplichting | Importeurscontrole |
|---|---|---|
| 13(15) | Type-, batch- of serienummer voor productidentificatie (of op de verpakking als het product dit niet kan dragen) | Bevestig aanwezigheid op product of verpakking |
| 13(16) | Naam, handelsnaam of handelsmerk van de fabrikant, postadres, digitaal contactpunt, ook opgenomen in Bijlage II | Bevestig aanwezigheid op product, verpakking of begeleidend document |
| 13(19) | Einddatum ondersteuningsperiode vermeld bij aankoop, inclusief ten minste maand en jaar | Bevestig dat maand en jaar zichtbaar zijn op het verkooppunt |
Een product zonder vermelde einddatum met maand en jaar is niet conform op grond van Artikel 19(2)(d) wegens Artikel 13(19), ongeacht of alle andere controles zijn geslaagd.
Aangrenzende verplichting die als weigeringsaanleiding behandeld moet worden: Artikel 13(17) enkel contactpunt. Artikel 13(17) vereist dat gebruikers hun voorkeursmiddel van communicatie kunnen kiezen en dat de middelen niet beperkt mogen zijn tot geautomatiseerde hulpmiddelen. Een chatbot als enig contactpunt voldoet niet. Zonder een werkend enkel contactpunt upstream is de Artikel 14-kwetsbaarheidsmelding vanaf dag één gebroken.
Verificatie van naleving door niet-EU-fabrikanten
Mondelinge garanties zijn geen Artikel 19(2)-bewijs. Stuur het documentatieverzoek voordat u een importcontract tekent.
ONDERWERP: Verzoek om CRA-compliancedocumentatie
Wij evalueren [product / model] voor import naar de Europese Unie onder
Verordening (EU) 2024/2847 (Cyber Resilience Act). Verzoek om het volgende
vóórdat wij overgaan tot import:
1. EU-conformiteitsverklaring (volledig of vereenvoudigd per Artikel 13(20)),
met verwijzing naar de Bijlage I-vereisten en de gebruikte Artikel 32-module,
inclusief certificaatnummer aangemelde instantie waar van toepassing.
2. Inhoudsopgave technische documentatie conform Bijlage VII, plus een
schriftelijke toezegging om het onderliggende dossier in [taal] binnen
[X] werkdagen beschikbaar te stellen.
3. Bevestiging van de ondersteuningsperiode (Artikel 13(8): minimaal 5 jaar
of de verwachte gebruiksduur als deze korter is, met onderbouwing).
4. Einddatum ondersteuningsperiode (maand en jaar) zoals die zichtbaar zal
zijn op het verkooppunt op grond van Artikel 13(19).
5. Enkel contactpunt op grond van Artikel 13(17), met bevestiging dat het
niet beperkt is tot geautomatiseerde hulpmiddelen.
6. Beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (Bijlage I deel II).
7. Bewijs van plaatsing CE-markering op product of typeplaatje.
8. Gebruikersinstructies conform Bijlage II in [taal doellidstaat].
Gevraagde reactietermijn: [X] werkdagen.
Wat te weigeren en waarom
| Signaal | Actie |
|---|---|
| Volledige documentatie verstrekt | Doorgaan met Artikel 19(2)-verificatiereview |
| Gedeeltelijk, resterende stukken "in behandeling" | Import uitstellen; leemte documenteren |
| "CE op grond van EMC, RED of LVD" | Onvoldoende. CRA-specifieke conformiteitsverklaring en Bijlage VII aanvragen. |
| Mondelinge scope-claim "buiten CRA-toepassingsbereik" | Schriftelijke scope-analyse aanvragen met verwijzing naar Artikel 2 en Bijlage III/IV |
| "Certificaat aangemelde instantie nog hangende" | Artikel 32 moet voltooid zijn vóór marktplaatsing |
| Enkel contactpunt is uitsluitend chatbot | Artikel 13(17)-overtreding; weigeren |
| Conformiteitsverklaring gedateerd vóór 11 december 2027, geen CRA-specifieke update | Weigeren |
| Ontbrekend aangemelde instantie-nummer voor Klasse II / Kritiek | Weigeren |
| Ondersteuningsperiode korter dan 5 jaar zonder gebruiksduuronderbouwing | Weigeren |
| Einddatum zonder maand en jaar | Weigeren |
| Instructies alleen in de eigen taal van de fabrikant | Weigeren voor de betrokken lidstaat |
| Weigering of geen reactie | Niet importeren |
Wanneer verificatie mislukt
Artikel 19(3) schept een stop-en-informeer-plicht.
- Stop. Plaats het product niet op de EU-markt. Douane-entrepot of wederuitvoer blijft mogelijk totdat de conformiteit is hersteld.
- Documenteer. Leg vast welk Artikel 19(2)-punt heeft gefaald, of het het product of de processen van de fabrikant betreft, de datum en de ondertekenaar.
- Informeer de fabrikant schriftelijk. Benoem de leemte, de vereiste documentatie en de termijn.
- Beoordeel het cyberbeveiligingsrisico. Significant risico: informeer de markttoezichtautoriteit van de betrokken lidstaat (Artikel 19(3) eerste alinea). Niet-technische risicofactoren: informeer op grond van Artikel 19(3) tweede alinea; autoriteiten volgen dan Artikel 54(2).
- Los op of verwerp. Ga pas over tot import wanneer alle vier de controles zijn geslaagd. Anders de import verwerpen.
Na marktplaatsing neemt Artikel 19(5) het over: corrigerende maatregelen, terugtrekking of terugroeping indien van toepassing, fabrikant informeren bij bekendheid met kwetsbaarheden zonder onnodig uitstel, markttoezichtautoriteiten van elke lidstaat van levering informeren bij significant cyberbeveiligingsrisico. Artikel 19(8): als de fabrikant zijn activiteiten heeft gestaakt, informeer dan markttoezicht en, met alle beschikbare middelen, de gebruikers.
Rolafbakening: bent u werkelijk de importeur?
De moeilijkste classificatievraag is niet "wat doet een importeur" maar "ben ik wel de importeur". De Verordening cyberweerbaarheid beantwoordt die vraag via de definities in Artikel 3, niet via Artikel 22.
Artikel 3(13), fabrikant: ontwikkelt of laat producten met digitale elementen ontwerpen, ontwikkelen of vervaardigen, en brengt ze in de handel onder de eigen naam of het eigen handelsmerk.
Artikel 3(16), importeur: een in de Unie gevestigde persoon die een product met digitale elementen op de markt brengt dat de naam of het handelsmerk draagt van een persoon die buiten de Unie is gevestigd.
Samen gelezen: dezelfde logistieke handeling is alleen "import" als het product de naam van de niet-EU-persoon draagt. Brengt u het op de markt onder uw eigen merk, dan past Artikel 3(13) en niet 3(16). U bent dan, en bent dat altijd geweest, de fabrikant van dat product. Een "rolescalatie onder Artikel 22" voor importeurs bestaat niet. Artikel 22 sluit importeurs uitdrukkelijk uit ("anders dan de fabrikant, de importeur of de distributeur"); dat artikel ziet op derde partijen die wijzigen, zoals systeemintegratoren of value-added resellers buiten de keten van Artikel 3.
Brandingtoets
| Situatie | Classificatie |
|---|---|
| Verkoop onder het merk "AcmeTech" | Fabrikant (Artikel 3(13)) |
| "Gedistribueerd door AcmeTech" naast prominente oorspronkelijke branding | Importeur (Artikel 3(16)) |
| Alle oorspronkelijke branding vervangen door eigen branding | Fabrikant (Artikel 3(13)) |
| Kleine distributeurssticker naast oorspronkelijke branding | Hangt af van de prominentie; toets van de redelijke koper |
| Marketing presenteert u als bron, ook al toont het apparaat de upstream-fabriek | Fabrikant (Artikel 3(13)) |
Toets substantiële wijziging (Artikel 3(30))
Een wijziging na het in de handel brengen die de naleving van Bijlage I deel I beïnvloedt of het beoogde doel verandert waarvoor het product is beoordeeld.
| Waarschijnlijk substantieel | Waarschijnlijk niet substantieel |
|---|---|
| Installatie van aangepaste firmware | Door de fabrikant uitgegeven beveiligingspatches die het beoogde doel behouden |
| Toevoegen van extern beheer of telemetrie | Lokalisatie van gedrukte documentatie |
| Hardwarewijzigingen aan beveiligingsfuncties | Wijzigingen aan de buitenverpakking |
| Vervanging van cryptografische implementaties | Bundelen van compatibele accessoires zonder integratie |
| Wijziging van authenticatie of autorisatie | |
| Toevoegen van netwerkverbinding aan een voorheen offline product |
Wijzigt een importeur het product substantieel, dan is Artikel 22 formeel niet van toepassing (het sluit importeurs uit). De verdedigbare lezing: een substantiële wijziging haalt u uit Artikel 3(16) omdat het product niet langer hetzelfde product is als dat de niet-EU-fabrikant op de markt heeft gebracht. De veilige route is om de wijzigende partij voor die variant te behandelen als fabrikant op grond van Artikel 3(13).
Kosten van herclassificatie
| Kostenpost | Importeur (Artikel 3(16)) | Fabrikant (Artikel 3(13)) |
|---|---|---|
| Conformiteitsbeoordeling | Verifieer die van de fabrikant | Voer zelf uit (Module A) of betaal een aangemelde instantie (Module B+C, Module H) |
| Technische documentatie | Verifieer toegang | Opstellen en onderhouden (Artikel 31, Bijlage VII) |
| Kwetsbaarheidsafhandeling | Meldingen doorgeven naar upstream; corrigerende maatregelen (Artikel 19(5)) | Intake, triage, verhelping, CVD-beleid, melding op grond van Artikel 14 |
| Beveiligingsupdates | Doorgeven | Ontwikkelen, ondertekenen en distribueren gedurende de ondersteuningsperiode; tien jaar of het resterende deel beschikbaar houden (Artikel 13(9)) |
| Blootstelling aan boetes | Tot EUR 10 miljoen of 2% (Artikel 64(3)) | Tot EUR 15 miljoen of 2,5% (Artikel 64(2)) |
Praktische scenario's
| Scenario | Classificatie |
|---|---|
| White-label tablets verkocht onder het merk van de EU-entiteit | Fabrikant (Artikel 3(13)) vanaf dag één |
| Vooraf geconfigureerde enterprise-routers onder het oorspronkelijke merk, met beveiligingsrelevante configuratieprofielen | Fabrikant (Artikel 3(13)) voor de geconfigureerde variant; of afspreken met de oorspronkelijke fabrikant dat zijn conformiteitsverklaring de variant dekt |
| Door de fabrikant uitgegeven beveiligingspatches toegepast vóór verkoop | Importeur (Artikel 3(16)); leg vast dat de patches door de fabrikant zijn geleverd |
| Aangepaste firmware-build voor zakelijke afnemers | Twee sporen: standaard SKU als importeur, aangepaste SKU als fabrikant |
| Bundel op de markt gebracht als geïntegreerd systeem | Fabrikant van de bundel (Artikel 3(13)) |
Strategieën om importeur te blijven
- Houd de naam van de oorspronkelijke fabrikant en de "vervaardigd door"-identificatie zichtbaar. Uw eigen vermelding blijft "ingevoerd door" op grond van Artikel 19(4).
- Pas alleen door de fabrikant uitgegeven patches toe die het beoogde doel behouden.
- Wijzig beveiligingsrelevante configuratie niet vóór wederverkoop; route klantaanpassingen via de oorspronkelijke fabrikant.
- Leg elk product vast als "niet gewijzigd door importeur" met een checklist die verwijst naar Artikel 3(30).
Documentatie en bewaring
Artikel 19(6) verplicht de importeur een kopie van de EU-conformiteitsverklaring gedurende ten minste 10 jaar na de datum waarop het product op de markt is geplaatst of voor de ondersteuningsperiode, afhankelijk van welke langer is, ter beschikking te houden van de markttoezichtautoriteiten, en te zorgen dat de technische documentatie op verzoek beschikbaar kan worden gesteld. Een product met een ondersteuningsperiode van 12 jaar leidt tot een bewaarplicht van 12 jaar.
De importeur bewaart: de EU-conformiteitsverklaring (volledig of vereenvoudigd per Artikel 13(20)), de inhoudsopgave van Bijlage VII en de toezegging van de fabrikant om het onderliggende dossier beschikbaar te stellen, het eigen Artikel 19(2)-verificatierecord van de importeur (beslissing, datum, ondertekenaar), correspondentie met de fabrikant, douane- en batchdocumenten met de datum van eerste marktplaatsing, en de corrigerende maatregelen en meldingsrecords van Artikel 19(5).
Waar Artikel 3(13)-classificatie van toepassing is (eigen merk of substantiële wijziging), geldt het regime van Artikel 13(13): dezelfde 10-jaar-of-ondersteuningsperiode-bewaring plus de technische documentatie op naam van de EU-entiteit en de volledige conformiteitsbeoordelingsbewijsketen.
Digitale opslag is acceptabel. Bestanden moeten gedurende de volledige bewaarperiode toegankelijk, leesbaar en produceerbaar blijven op verzoek van de autoriteiten in een taal die zij begrijpen.
Veelgemaakte fouten
| Bewering | Waarom deze niet opgaat |
|---|---|
| "CE-markering betekent dat ze compliant zijn." | CE-markering is de verklaring van de fabrikant. Artikel 19(2) vereist verificatie van de onderliggende documentatie. |
| "Onze leverancier is al jaren betrouwbaar." | Naleving van EMC, RED en LVD gaat niet over op de CRA-vereisten voor kwetsbaarheidsafhandeling van Bijlage I deel II, ondersteuningsperiode en Artikel 14-melding. |
| "Mondelinge garanties van ons verkoopcontact." | Artikel 19(2) vereist documentatie; de garantie van een verkoopvertegenwoordiger heeft geen juridisch gewicht. |
| "Wij verifiëren nadat de zending aankomt." | Verificatie moet plaatsvinden vóór marktplaatsing. Douane-entrepot is prima; marktplaatsing niet. |
| "Het is maar een sticker met ons logo." | Als de sticker u als bron presenteert, activeert Artikel 3(13)-classificatie. Er is geen drempel voor omvang. |
| "Artikel 22 maakt ons tot fabrikant als wij wijzigen." | Artikel 22 sluit importeurs uit. De juridische grondslag is Artikel 3(13), niet Artikel 22 (de praktische uitkomst is dezelfde). |
| "De fabrikant zei dat wij mochten rebranden." | Artikel 3(13) is definitoir. Privaatrechtelijke overeenkomsten kunnen de definitie niet herschrijven. |
| "Onze chatbot is het enkel contactpunt." | Artikel 13(17) vereist door de gebruiker gekozen communicatiemiddelen, niet beperkt tot geautomatiseerde hulpmiddelen. |
Veelgestelde vragen
Wat is een importeur onder de CRA?
Een EU-entiteit die een niet-EU-gemerkt product op de Uniemarkt brengt. Drie elementen moeten alle aanwezig zijn: gevestigd in de Unie, eerste partij die het product op de Uniemarkt beschikbaar stelt, en het product draagt de naam of het handelsmerk van een buiten de Unie gevestigde persoon. Draagt het product uw eigen merk, dan bent u niet de importeur maar de fabrikant (artikel 3(16); eerste plaatsing op de markt in artikel 3(21); ompakketten maakt u fabrikant volgens artikel 3(13)).
Ben ik importeur of distributeur?
De grens ligt bij de eerste plaatsing op de markt. U bent de importeur als u de eerste EU-entiteit bent die een niet-EU-gemerkt product op de Uniemarkt plaatst. U bent de distributeur als u het product beschikbaar stelt na de importeur, zonder de eigenschappen te beïnvloeden. Koopt u een niet-EU-product van een andere EU-onderneming die het al heeft ingevoerd, dan is die andere onderneming de importeur en bent u de distributeur. Koopt u rechtstreeks bij de niet-EU-fabrikant en brengt u het product zelf op de EU-markt, dan bent u de importeur (artikelen 3(16) en 3(17); importeursverplichtingen in Artikel 19; distributeursverplichtingen in Artikel 20).
Importeur versus gemachtigde vertegenwoordiger: wat is het verschil?
Verschillende taken. De gemachtigde bewaart de documenten voor de fabrikant; de importeur brengt het product fysiek op de markt. De gemachtigde vertegenwoordiger houdt de EU-conformiteitsverklaring en de technische documentatie ter beschikking van de markttoezichtautoriteiten en werkt met die autoriteiten samen, maar brengt het product zelf niet op de markt. De importeur draagt de viercontroles-verificatieplicht vóór marktplaatsing. Een niet-EU-fabrikant kan een gemachtigde aanstellen voor documentatie en samenwerking; hij heeft nog steeds een importeur (of een eigen EU-entiteit) nodig om het product daadwerkelijk op de markt te brengen. Een mandaat dekt geen technische, risicobeoordeling-, kwetsbaarheidsafhandeling- of conformiteitsbeoordelingsverplichtingen (mandaat in artikelen 3(15) en 18(1)–(3); importeur in artikelen 3(16) en 19; mandaat dekt niet artikelen 13(1)–(11), 13(12) eerste alinea, of 13(14)).
Zijn er KMO-vrijstellingen voor importeurs?
Geen vrijstelling van de verplichtingen zelf. Artikel 19 geldt voor importeurs ongeacht hun omvang. De KMO-concessie in de CRA betreft fabrikanten, niet importeurs, en uitsluitend voor de 24-uurs vroegtijdige meldingstermijnen. De vrijstelling voor beheerders van opensourcesoftware geldt voor beheerders, niet voor importeurs. Autoriteiten moeten bij het vaststellen van boetebedragen rekening houden met de omvang van de overtreder, maar dat is een strafmaatstaf, geen vrijstelling van verplichtingen (Artikel 19 geldt voor alle omvangen; KMO-concessie in Artikel 64(10)(a) is voor fabrikanten, niet importeurs, en uitsluitend voor de termijnen van 14(2)(a) en 14(4)(a); OSS-beheerder-vrijstelling in Artikel 64(10)(b); strafmaatstaf in Artikel 64(5)(c)).
Vanaf wanneer gelden de CRA-importeursverplichtingen?
Vanaf 11 december 2027. Vanaf die datum mag geen product met digitale elementen op de EU-markt worden geplaatst tenzij de importeur de Artikel 19(2)-verificatie heeft uitgevoerd. De Artikel 14-melding start eerder (11 september 2026), maar is een fabricantenverplichting; de rol van de importeur is te verifiëren dat het enkel contactpunt van de fabrikant aanwezig is en niet beperkt tot geautomatiseerde hulpmiddelen (toepasselijkheid Artikel 71; Artikel 19 vanaf 11 december 2027; Artikel 14-melding vanaf 11 september 2026 is een fabricantenverplichting; importeursrol is het verifiëren van het Artikel 13(17) enkel contactpunt).
Maakt rebranding alleen al de importeur tot fabrikant?
Nee. De rebranding onthult dat u altijd al de fabrikant was. De importeursdefinitie is beperkt tot personen die producten op de markt brengen die de naam van een niet-EU-persoon dragen. Op de markt brengen onder uw eigen merk haalt u uit de importeurscategorie en plaatst u in de fabrikantencategorie. De conformiteitsverklaring en CE-markering van de oorspronkelijke fabrikant dekken het gerebrandde product niet langer. Er is geen Artikel 22-escalatie; Artikel 22 ziet op derde wijzigers die geen fabrikant, importeur of distributeur zijn (artikel 3(13); de importeursdefinitie in artikel 3(16) is beperkt tot niet-EU-merken; Artikel 22 ziet op derde wijzigers, niet op importeurs).
Zijn beveiligingspatches ooit een substantiële wijziging?
Niet wanneer de patches zijn uitgegeven door de oorspronkelijke fabrikant en het beoogde doel, gedrag en de beveiligingsarchitectuur behouden. Een patch die meer doet dan een kwetsbaarheid verhelpen (functies toevoegt, authenticatie wijzigt, aanvalsoppervlak vergroot) verlaat de uitzondering (artikel 3(30); Bijlage I deel II behandelt door de fabrikant uitgegeven beveiligingsupdates als onderdeel van kwetsbaarheidsafhandeling).
Hoe lang moet een importeur de EU-conformiteitsverklaring bewaren?
Ten minste 10 jaar na de datum waarop het product op de markt is geplaatst of voor de ondersteuningsperiode, afhankelijk van welke langer is. Een product dat in 2028 op de markt wordt gebracht met een ondersteuningsperiode van 12 jaar leidt tot bewaring tot 2040. Dezelfde verplichting vereist dat de importeur zorgt dat de technische documentatie op verzoek beschikbaar kan worden gesteld. Digitale opslag is acceptabel (artikel 19(6)).
Wat moet de importeur doen als de documentatie leemten bevat?
Stoppen en informeren. Niet op de markt plaatsen totdat de leemte is gedicht. De fabrikant schriftelijk informeren. Vormt het product een significant cyberbeveiligingsrisico, dan ook de markttoezichtautoriteit van de betrokken lidstaat informeren. De verplichting geldt ook voor niet-technische risicofactoren; autoriteiten volgen dan de relevante procedure. Goederen mogen in douane-entrepot verblijven terwijl de leemte openstaat (artikel 19(3); niet-technische risicofactoren activeren artikel 54(2)).
Wat gebeurt er met de oorspronkelijke CE-markering als de EU-entiteit fabrikant wordt?
Die dekt het product zoals de EU-entiteit het op de markt brengt, niet langer. De EU-entiteit geeft zijn eigen conformiteitsverklaring af en brengt CE-markering aan onder zijn eigen verantwoordelijkheid (artikel 3(13); nieuwe conformiteitsverklaring op grond van artikel 13(20); nieuwe CE op grond van artikel 30).
Begint de ondersteuningsperiode van vijf jaar opnieuw als de EU-entiteit fabrikant wordt?
Ja. De ondersteuningsperiode loopt vanaf de datum waarop de EU-entiteit het gerebrandde of gewijzigde product op de EU-markt plaatst. De vloer van "ten minste 5 jaar" geldt, met uitzondering van producten waarvan de verwachte gebruiksduur korter is dan 5 jaar. De kosten vallen op ondersteuningsresources en leverancierscontracten: de upstream-fabriek moet toezeggingen doen voor ten minste de ondersteuningsperiode van de importeur (artikel 13(8)).
Heeft de EU-entiteit een aangemelde instantie nodig als de oorspronkelijke fabrikant er een gebruikte?
Voor Belangrijke Klasse II- of Kritieke producten die substantieel zijn gewijzigd, vrijwel altijd ja. Het oorspronkelijke certificaat was gekoppeld aan het product zoals ontworpen; substantiële wijziging maakt het ongeldig. Rebranding zonder wijziging van een Klasse II- of Kritiek product vereist eveneens een nieuwe conformiteitsverklaring op naam van de EU-entiteit. Zie de clustergids voor conformiteitsbeoordeling en de clustergids voor productclassificatie (artikel 3(30); Module A alleen voor standaardklasse; Module B+C of H vereist aangemelde instantie voor Klasse II / Kritiek).