De CRA is van toepassing op elk product met digitale elementen dat direct of indirect verbinding maakt met een apparaat of netwerk en op de EU-markt belandt. Als die toets is geslaagd en u niet wordt uitgesloten door artikel 2, is uw volgende vraag welke rol u speelt op grond van artikel 3: fabrikant, importeur, distributeur, gemachtigde of openbronsoftwarebeheerder. Deze pagina is de sorteermachine voordat u zich verbindt aan een diepgaand artikel.
Samenvatting
- De toepassingsgebiedstoets is één zin (artikel 2, lid 1). Zij draait om een "directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk", wat ruimer is dan de meeste teams aannemen.
- Artikel 2 sluit vijf productfamilies uit. Medische hulpmiddelen, motorvoertuigen, burgerluchtvaart, uitrusting van zeeschepen en producten die uitsluitend zijn ontwikkeld voor nationale veiligheid of defensie.
- Drie rollen van marktdeelnemer doen het meeste werk. Fabrikant (artikel 13 en 14), importeur (artikel 19), distributeur (artikel 20).
- Let op de val van de geachte fabrikant (artikel 22). Wijzig een product ingrijpend nadat het in de handel is gebracht, en u wordt de fabrikant voor het getroffen deel of het gehele product.
- Openbronsoftwarebeheerders vallen onder een lichter regime (artikel 24). Een gedocumenteerd cyberbeveiligingsbeleid en een samenwerkingsplicht, niet de volledige fabrikantenlast.
- Meerdere rollen stapelen tot de strengste. Wanneer u onder meer dan één definitie valt, geldt de zwaarste set verplichtingen.
Vier ankers die bepalen of de CRA op u van toepassing is en hoe zwaar: de toepassingsgebiedstoets, de uitsluitingen, de rolas en de wijzigersval.
De toepassingsgebiedspoort: valt uw product binnen het toepassingsgebied?
Artikel 2, lid 1, omschrijft het toepassingsgebied van de CRA in één zin:
"Deze verordening is van toepassing op producten met digitale elementen die op de markt worden aangeboden en waarvan het beoogde doel of redelijkerwijs voorzienbare gebruik een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk omvat."
De meest verstrekkende uitdrukking is "directe of indirecte logische of fysieke gegevensverbinding". Artikel 3 definieert wat elke component betekent. De vertaling naar gewone taal:
| Type verbinding | Gewone betekenis | Voorbeeld uit de praktijk |
|---|---|---|
| Logisch (artikel 3, punt 8) | Een virtueel gegevenspad dat via een softwareinterface wordt gerealiseerd. | Een REST API-aanroep tussen een microservice en een backend; een MQTT-onderwerp tussen een IoT-apparaat en een broker. |
| Fysiek (artikel 3, punt 9) | Een verbinding via elektrische, optische of mechanische interfaces, draden of radiogolven. | Een Ethernet-kabel; een Bluetooth-koppeling; een industriële RS-485-bus. |
| Indirect (artikel 3, punt 10) | Een verbinding die loopt via een groter systeem dat zelf direct verbindbaar is. | Een sensor die alleen met een lokale hub praat, terwijl de hub zelf het internet bereikt. De sensor valt binnen het toepassingsgebied via de hub. |
In de praktijk is de clausule over indirecte verbinding de breedste vangst. Een sensor die alleen met een lokale hub praat, valt binnen het toepassingsgebied als de hub zelf verbindbaar is. Een medisch accessoire dat via Bluetooth aan een telefoon koppelt, valt binnen het toepassingsgebied via de telefoon. Een fabrieks-PLC die het internet alleen bereikt via een industriële gateway, valt binnen het toepassingsgebied via de gateway. Industriële en IoT-fabrikanten die ervan uitgaan dat "geen Wi-Fi betekent geen CRA" missen deze clausule en missen de verordening volledig.
Een "product met digitale elementen" is vervolgens gedefinieerd in artikel 3, punt 1, als een software- of hardwareproduct en zijn oplossingen voor gegevensverwerking op afstand, met inbegrip van software- of hardwarecomponenten die afzonderlijk in de handel worden gebracht. Op zichzelf staande componenten die in de handel worden gebracht, vallen ook binnen het toepassingsgebied.
Uitsluitingen van artikel 2
Artikel 2, leden 2 tot en met 8, somt op wat van de CRA wordt uitgesloten:
| Wat is uitgesloten | Bron |
|---|---|
| Medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek | Verord. (EU) 2017/745 (MDR), Verord. (EU) 2017/746 (IVDR) |
| Motorvoertuigen | Verord. (EU) 2019/2144 |
| Burgerluchtvaartproducten | Verord. (EU) 2018/1139 |
| Uitrusting van zeeschepen | Richtl. 2014/90/EU |
| Reserveonderdelen die identieke componenten vervangen volgens dezelfde specificaties | Artikel 2, lid 6 |
| Producten die uitsluitend zijn ontwikkeld of gewijzigd voor nationale veiligheid, defensie of de verwerking van gerubriceerde informatie | Artikel 2, lid 7 |
| Informatie waarvan de openbaarmaking in strijd zou zijn met de wezenlijke veiligheidsbelangen van een lidstaat | Artikel 2, lid 8 |
Artikel 2, lid 5, staat de Commissie verder toe de toepassing van de CRA te beperken of uit te sluiten wanneer een andere Uniewet dezelfde risico's al op een gelijkwaardig of hoger beschermingsniveau dekt.
Voor de cyberbeveiligingscategorie van uw product (standaard, belangrijke klasse I, belangrijke klasse II of kritiek), zie CRA-productclassificatie en CRA-conformiteitsbeoordeling.
De rolas: welke marktdeelnemer bent u?
Artikel 3 definieert vier rollen die relevant zijn voor marktdeelnemers die producten in de handel brengen op de EU-markt.
U bent fabrikant (artikel 3, punt 13) als u een product met digitale elementen ontwikkelt of laat ontwerpen en vervaardigen en het onder uw eigen naam of merk in de handel brengt, betaald of gratis. Fabrikanten dragen de volledige set verplichtingen op grond van artikel 13: risicogebaseerd ontwerp, kwetsbaarheidsafhandeling op grond van bijlage I deel II, technische documentatie op grond van bijlage VII, EU-conformiteitsverklaring, CE-markering en melding op grond van artikel 14 van ernstige incidenten en actief misbruikte kwetsbaarheden. Een product onder uw eigen merk verkopen dat is ontworpen en gebouwd door een OEM maakt u nog steeds tot fabrikant. Zie verplichtingen voor de fabrikant onder de CRA.
U bent importeur (artikel 3, punt 16) als u in de Unie bent gevestigd en een product met digitale elementen op de EU-markt brengt dat de naam of het merk draagt van een persoon die buiten de Unie is gevestigd. Artikel 19 verplicht importeurs om vóór het in de handel brengen te verifiëren dat de fabrikant de conformiteitsbeoordeling heeft uitgevoerd, de technische documentatie heeft opgesteld, de CE-markering heeft aangebracht en de EU-conformiteitsverklaring en de vereiste gebruikersinformatie heeft verstrekt. Importeurs moeten documentatie tien jaar bewaren en samenwerken met markttoezichtautoriteiten. Zie verplichtingen voor de importeur onder de CRA.
U bent distributeur (artikel 3, punt 17) als u zich in de toeleveringsketen bevindt, niet zijnde de fabrikant of de importeur, en u een product op de Uniemarkt aanbiedt zonder de eigenschappen ervan te beïnvloeden. Artikel 20 verplicht distributeurs om vóór het op de markt aanbieden te verifiëren dat de CE-markering is aangebracht, de EU-conformiteitsverklaring beschikbaar is en de fabrikant de vereiste informatie en instructies heeft verstrekt. Zie verplichtingen voor de distributeur onder de CRA.
U bent gemachtigde (artikel 3, punt 15) als u in de Unie bent gevestigd en een schriftelijk mandaat hebt van een niet-EU-fabrikant om namens hem te handelen. Een niet-EU-fabrikant die producten in de handel brengt op de EU-markt moet op grond van artikel 18 een gemachtigde aanwijzen; de gemachtigde is het in de EU gevestigde aanspreekpunt voor markttoezichtautoriteiten. Zie CRA-gemachtigde.
De val van de geachte fabrikant: artikel 22
Artikel 22, lid 1, schept een rol van "geachte fabrikant": eenieder, niet zijnde de fabrikant, importeur of distributeur, die een ingrijpende wijziging van een product uitvoert en het gewijzigde product vervolgens op de markt aanbiedt, wordt voor dat product behandeld als de fabrikant, met de volledige verplichtingen van artikel 13 en 14.
Artikel 22, lid 2, stelt de reikwijdte van die verplichtingen vast. Als de wijziging slechts een deel van het product raakt, dekken de plichten van de geachte fabrikant dat deel. Als de wijziging een impact heeft op de cyberbeveiliging van het gehele product, dekken zij het gehele product.
Een "ingrijpende wijziging" is gedefinieerd in artikel 3, punt 30, als een wijziging die wordt aangebracht na het in de handel brengen van het product en die hetzij de naleving van de essentiële cyberbeveiligingsvereisten in bijlage I deel I beïnvloedt, hetzij het beoogde doel waarvoor het product oorspronkelijk is beoordeeld, wijzigt. Twee patronen activeren dit in de praktijk: het opnieuw flashen of herverpakken van een apparaat van derden met aangepaste firmware, en het integreren van een product van derden in een systeem op een wijze die het beoogde doel ervan verandert. In beide gevallen erft de wijziger de verplichtingen van artikel 13 en 14 voor het getroffen deel, of voor het gehele product als de cyberbeveiliging in zijn geheel wordt geraakt.
Het labelen onder uw eigen merk is geen artikel 22; het is de definitie van fabrikant in artikel 3, punt 13. Verkoopt u een product van derden onder uw eigen merk, dan bent u vanaf het begin de fabrikant, niet een geachte fabrikant.
Openbronsoftwarebeheerders: artikel 24
Een openbronsoftwarebeheerder (artikel 3, punt 14) is een rechtspersoon, niet zijnde een fabrikant, wiens doel is om de ontwikkeling van specifieke opensourceproducten die bestemd zijn voor commerciële activiteiten systematisch te ondersteunen en de levensvatbaarheid ervan te waarborgen. In de praktijk zijn beheerders doorgaans stichtingen of rechtspersonen zonder winstoogmerk die het bovenstroomse project zelf in stand houden, geen ondernemingen die opensourcesoftware in hun eigen producten uitleveren.
De plichten zijn beperkter dan het fabrikantenregime maar wel concreet:
- Documenteer een cyberbeveiligingsbeleid (artikel 24, lid 1) dat de veilige ontwikkeling van het project en effectieve kwetsbaarheidsafhandeling door zijn ontwikkelaars bevordert, vrijwillige kwetsbaarheidsmelding op grond van artikel 15 aanmoedigt en informatiedeling binnen de opensourcegemeenschap ondersteunt.
- Werk samen met markttoezichtautoriteiten (artikel 24, lid 2) op gemotiveerd verzoek, onder meer door de documentatie van het cyberbeveiligingsbeleid te verstrekken.
Dit regime is niet van toepassing op de meeste ondernemingen die opensourcesoftware in een commercieel product uitleveren. Als u een opensourcebibliotheek neemt, deze in een product integreert dat u in de handel brengt en dat product onder uw eigen naam in de handel brengt op de EU-markt, bent u fabrikant, geen beheerder.
Beslisboom: identificeer uw nalevingstraject
| Als u ... | Bent u ... | Ga naar ... |
|---|---|---|
| Een product met digitale elementen ontwerpt of laat vervaardigen dat u onder uw naam of merk in de handel brengt op de EU-markt | Fabrikant (artikelen 13 en 14) | Verplichtingen voor de fabrikant |
| In de EU bent gevestigd en een product op de EU-markt brengt dat de naam of het merk van een niet-EU-persoon draagt | Importeur (artikel 19) | Verplichtingen voor de importeur |
| In de toeleveringsketen zit (niet de fabrikant of importeur) en een product op de EU-markt aanbiedt zonder de eigenschappen ervan te beïnvloeden | Distributeur (artikel 20) | Verplichtingen voor de distributeur |
| Een ingrijpende wijziging van een product uitvoert voordat u het in de handel brengt | Geachte fabrikant (artikel 22) | Volledige verplichtingen van artikel 13 en 14 gelden voor het getroffen deel of het gehele product |
| Een niet-EU-fabrikant bent die producten op de EU-markt brengt | Fabrikant (artikelen 13 en 14) en moet een gemachtigde aanwijzen (artikel 18) | Gemachtigde |
| Een rechtspersoon bent die als kerntaak systematisch een opensourceproject ondersteunt, niet commerciële distributie | OSS-beheerder (artikel 3, punt 14, en artikel 24) | OSS-beheerderregime |
Als u onder meer dan één rol valt, geldt de strengste set verplichtingen. Een onderneming die een product ontwikkelt, het onder haar merk brengt en het in de handel brengt op de EU-markt is fabrikant ongeacht welke onderaannemers het ontwerp of de bouw hebben gedaan; een onderneming die een niet-EU-product importeert en het ingrijpend wijzigt voordat zij het in de handel brengt, erft de fabrikantenverplichtingen op grond van artikel 22 bovenop haar status van importeur.
Veelgestelde vragen
Mijn product zit alleen op een lokaal netwerk. Valt de CRA dan toch binnen het toepassingsgebied?
Waarschijnlijk wel. De toepassingsgebiedstoets vangt ook indirecte verbindingen: een product valt binnen het toepassingsgebied als het verbinding maakt via een groter systeem dat zelf verbindbaar is. Een sensor op een lokale hub, een Bluetooth-randapparaat dat aan een telefoon koppelt, een PLC achter een industriële gateway: elk valt binnen het toepassingsgebied via het apparaat waarmee het verbindt. Het enige geval waarop de CRA niet van toepassing is, is een product zonder software, zonder firmware en zonder pad naar enig ander apparaat of netwerk (artikelen 2(1) en 3(10)).
Ik exploiteer een SaaS-dienst. Is de CRA op mij van toepassing?
Doorgaans niet. SaaS valt onder NIS2, niet onder de CRA. De CRA is van toepassing op een software- of hardwareproduct dat in de handel wordt gebracht. Een puur in de cloud gehoste dienst voldoet niet aan die definitie. De uitzondering is een oplossing voor gegevensverwerking op afstand die door de fabrikant wordt geleverd: een cloudcomponent die noodzakelijk is om het product zijn functies te laten uitvoeren, valt binnen het toepassingsgebied als onderdeel van dat product. SaaS die ook een installeerbare client uitlevert (een desktop- of mobiele app, een SDK, een on-prem agent) brengt het installeerbare deel binnen het toepassingsgebied (artikel 3(1) en (2)).
Wij verkopen ongewijzigde hardware door onder ons eigen merk. Fabrikant of distributeur?
Fabrikant. Wie een product onder zijn eigen naam of merk in de handel brengt, is fabrikant, ongeacht wie het heeft ontworpen of gebouwd. Het labelen van een OEM-product onder uw eigen merk is het schoolvoorbeeld. U erft de volledige set verplichtingen van artikel 13 en 14. Dit is niet de route van de geachte fabrikant; u bent fabrikant vanaf het begin (artikel 3(13); niet artikel 22).
Wij gebruiken opensourcebibliotheken in ons product. Zijn wij beheerder op grond van artikel 24?
Nee. Beheerders zijn doorgaans stichtingen of rechtspersonen zonder winstoogmerk die als kerndoel een opensourceproject systematisch in stand houden. Een onderneming die een opensourcebibliotheek neemt, deze in een commercieel product integreert en dat product op de EU-markt brengt, is fabrikant voor dat product. Het lichtere regime geldt voor de entiteit die het bovenstroomse project in stand houdt, niet voor benedenstroomse afnemers ervan (artikelen 3(14) en 24; fabrikantenverplichtingen in artikelen 13 en 14).
Een niet-EU-onderneming verkoopt rechtstreeks aan EU-consumenten via onze marktplaats. Wie is verantwoordelijk?
Het hangt af van de keten. De niet-EU-fabrikant moet een gemachtigde vertegenwoordiger aanwijzen; doet hij dat niet, dan erft een in de EU gevestigde importeur (de marktdeelnemer die het product op de EU-markt brengt) een deel van de plichten. Een marktplaats die alleen bemiddelt en niet zelf producten in de handel brengt, is doorgaans niet de importeur; bezit de marktplaats de aanbieding of vervult zij de bestelling vanuit EU-voorraad, dan komt zij in het terrein van de importeur. Toets de werkelijke transactiestroom voordat u beslist (artikelen 18 en 19).