Is appointing an authorised representative mandatory under the CRA?

No. Article 18(1) of Regulation (EU) 2024/2847 reads, verbatim: 'A manufacturer may, by a written mandate, appoint an authorised representative.' This is permissive, not mandatory. The CRA does not impose AR appointment as a condition for placing products on the EU market, even for manufacturers established outside the Union. This differs from MDR Article 11 and RED Article 5, both of which require an AR for non-EU manufacturers. If a CRA product is also covered by MDR or RED, the AR requirement under those instruments still applies.

Why would a non-EU manufacturer still appoint an AR under the CRA?

Several practical reasons. A single EU-established legal contact point reduces friction with market surveillance authorities, who prefer correspondence with an entity in their jurisdiction and language. The AR can hold the Declaration of Conformity and Annex VII technical documentation locally for the 10-year retention period under Article 18(3)(a). Many non-EU manufacturers already use an MDR or RED AR and find it operationally simpler to extend that arrangement to CRA scope. Finally, a clearly named EU AR can shorten authority response cycles when a reasoned request arrives under Article 18(3)(b).

What can and cannot be delegated to a CRA authorised representative?

Article 18(2) explicitly excludes the obligations in Article 13(1) to (11), Article 13(12) first subparagraph, and Article 13(14) from the AR mandate. In plain terms: the substantive cybersecurity obligations (essential requirements, vulnerability handling, conformity assessment) cannot be passed to the AR. Article 18(3) sets the maximum scope of what an AR can do: hold the DoC and technical documentation for 10+ years, provide information and documentation to authorities on reasoned request, and cooperate on actions taken to eliminate risks. The manufacturer always remains the entity legally responsible for the substantive cybersecurity duties.

What is the difference between a CRA authorised representative and an EU importer?

They are independent roles. An importer is, by Article 3 definition, an EU-established person who places a product bearing a non-EU manufacturer's name or trademark on the EU market. Importers carry their own Article 19 obligations (conformity verification, document retention for 10 years, authority cooperation, vulnerability notification) regardless of whether an AR exists. An AR, when appointed, takes on the Article 18(3) tasks listed in the mandate. They are not substitutes: the importer role is triggered by the commercial supply route, the AR role by a written mandate. One EU entity may hold both, with separate paperwork.

Can my EU importer or distributor act as my authorised representative?

Yes. The CRA does not forbid one EU-established entity from holding both a commercial importer or distributor role and an AR mandate. The functions remain legally distinct: the importer carries Article 19 obligations from the commercial supply relationship, the AR carries Article 18(3) duties from a written mandate. To combine them, you need a separate written AR mandate that explicitly covers Article 18(3), professional indemnity sufficient for both roles, and a clear contractual line between the two functions.

Is the AR liable for product defects, or only for documentation duties?

The AR is responsible only for the duties listed in the written mandate, which under the CRA are bounded by Article 18(3): document custody, authority responsiveness, and cooperation on corrective action. Article 18(2) explicitly excludes the substantive Article 13 obligations from the mandate. Product defect liability and the underlying cybersecurity obligations remain with the manufacturer. National law in some Member States may extend AR exposure further, so the mandate should be drafted carefully.

Is a CRA authorised representative the same as an MDR or RED authorised representative?

The AR concept is shared across EU product regulations, but the regimes are not identical. MDR Article 11 makes AR appointment mandatory for non-EU manufacturers and imposes broader medical-specific duties including vigilance reporting. RED Article 5 also makes AR appointment mandatory for non-EU manufacturers. CRA Article 18(1) makes it optional. The Article 18(3) duties are narrower and centred on documentation, authority requests, and corrective-action cooperation. An incumbent MDR or RED AR can be a strong starting point, but the mandate must be re-papered for CRA scope and Article 18(2) non-delegation rules.

Does the AR sign the EU Declaration of Conformity?

No. The EU Declaration of Conformity is drawn up and signed by the manufacturer under Article 28. The AR, when appointed, holds the signed DoC and the technical documentation at the disposal of market surveillance authorities under Article 18(3)(a), but the act of declaring conformity is a manufacturer responsibility that Article 18(2) keeps out of the AR mandate.

Can I change my AR after appointment?

Yes. The mandate is a contract between the manufacturer and the AR, and either party can terminate subject to its terms. On change, the new AR takes over custody of the technical documentation and Declaration of Conformity, and the manufacturer should update the contact information communicated to market surveillance authorities. Plan for an explicit handover step in the mandate template.

Gemachtigde vertegenwoordiger onder de Cyberweerbaarheidsverordening (artikel 18)

Samenvatting

Vijf zaken die u moet weten over artikel 18 van de Cyberweerbaarheidsverordening voordat u beslist of u een gemachtigde vertegenwoordiger aanwijst.

Juridische grondslag: Artikel 18, lid 1, van Verordening (EU) 2024/2847 (de Cyberweerbaarheidsverordening) is facultatief: «Een fabrikant kan door middel van een schriftelijk mandaat een gemachtigde vertegenwoordiger aanwijzen.» De aanwijzing is facultatief. Er is geen aparte bepaling die dit voorschrijft voor fabrikanten van buiten de Unie (anders dan artikel 11 MDR of artikel 5 RED).
Waarom toch een aanwijzen: Eén in de Unie gevestigd juridisch contactpunt voor markttoezichtautoriteiten, documentbewaring door een entiteit binnen het relevante rechtsgebied en operationele gelijkschakeling met bestaande MDR/RED-regelingen die veel fabrikanten van buiten de Unie al hebben. Praktisch gemak, geen wettelijke verplichting.
Wat een gemachtigde vertegenwoordiger kan doen: Artikel 18, lid 3, bepaalt het maximale bereik: de EU-conformiteitsverklaring en de technische documentatie ten minste tien jaar (of de ondersteuningsperiode indien die langer is) ter beschikking houden; informatie verstrekken aan markttoezichtautoriteiten na een met redenen omkleed verzoek; medewerking verlenen aan maatregelen om risico's weg te nemen.
Wat bij de fabrikant blijft: Artikel 18, lid 2, sluit de verplichtingen uit artikel 13, leden 1 tot en met 11, artikel 13, lid 12, eerste alinea, en artikel 13, lid 14, uit van het mandaat. Essentiële cyberbeveiligingsvereisten, kwetsbaarheidsafhandeling en conformiteitsbeoordeling kunnen niet worden gedelegeerd aan een gemachtigde vertegenwoordiger.
Importeur van artikel 19: Wanneer het product van een fabrikant van buiten de Unie via een in de Unie gevestigde commerciële entiteit in de handel wordt gebracht, is die entiteit per definitie de importeur (art. 3, punt 14) en draagt zij de verplichtingen uit artikel 19, los van enige aanwijzing van een gemachtigde vertegenwoordiger.
Waar wij staan: CRA Evidence is het bewijsplatform voor documentbewaring uit artikel 18, lid 3, het beantwoorden van autoriteiten en het vastleggen van corrigerende maatregelen, rechtstreeks gebruikt door fabrikanten, door bureaus voor gemachtigde vertegenwoordiging of door beide. We bouwen daarnaast een partnernetwerk van in de Unie gevestigde bureaus op; vandaag voeren wij zelf geen mandaten als gemachtigde vertegenwoordiger uit.

Moet u een gemachtigde vertegenwoordiger aanwijzen?

De aanwijzing van een gemachtigde vertegenwoordiger is facultatief op grond van artikel 18, lid 1, van de Cyberweerbaarheidsverordening. Het is een operationele afweging, geen juridische: wegen de praktische voordelen van een in de Unie gevestigd juridisch contactpunt op tegen de kosten van het mandaat? De factoren hieronder dekken de gebruikelijke argumentatie.

Factor

Pleit voor aanwijzen

Pleit tegen aanwijzen

Aanwezigheid van de fabrikant in de Unie

De fabrikant is buiten de Unie gevestigd en heeft geen kantoor in de EU dat correspondentie met markttoezichtautoriteiten geloofwaardig kan afhandelen.

De fabrikant is in de Unie gevestigd of heeft een EU-dochter die de regelgevingscorrespondentie al afhandelt.

Andere EU-instrumenten

Het product valt ook onder de MDR of de RED, die beide een gemachtigde vertegenwoordiger voorschrijven voor fabrikanten van buiten de Unie. Hetzelfde bureau hergebruiken voor de CRA-scope is operationeel eenvoudiger.

Het product valt alleen onder de CRA, zonder parallelle MDR- of RED-verplichting voor een gemachtigde vertegenwoordiger.

Correspondentie met autoriteiten

U wilt dat correspondentie met markttoezichtautoriteiten verloopt via een lokaal contactpunt in de Unie in de taal en tijdzone van de betrokken lidstaat.

Het beantwoorden van met redenen omklede verzoeken op grond van artikel 18, lid 3, onder b), rechtstreeks vanuit het hoofdkantoor van de fabrikant levert geen problemen op.

Documentbewaring

U wilt dat de tienjarige bewaartermijn van de EU-conformiteitsverklaring en de technische documentatie wordt gehouden door een in de Unie gevestigde bewaarder.

U beschikt al over een intern bewijsplatform dat de documentatie op verzoek toegankelijk houdt voor autoriteiten.

Importroute

U hebt meerdere importeurs of distributeurs in de EU en wilt één met naam aangewezen gemachtigde vertegenwoordiger in het hele kanaal in plaats van versnipperde verantwoordelijkheid.

Eén vertrouwde importeur in de EU die de verificaties uit artikel 19 en de documentbewaring al voor zijn rekening neemt.

Geen van deze factoren creëert een wettelijke verplichting. De Cyberweerbaarheidsverordening straft de afwezigheid van een gemachtigde vertegenwoordiger niet af. Het zijn praktische hefbomen; de meeste fabrikanten van buiten de Unie in gereguleerde sectoren wijzen er uiteindelijk een aan, omdat de operationele vereenvoudiging meer waard is dan de mandaatkosten.

Besloten dat een gemachtigde vertegenwoordiger de juiste keuze is? We bouwen een partnernetwerk op van in de Unie gevestigde bureaus voor gemachtigde vertegenwoordiging met praktijkervaring in MDR, RED en RoHS. Vertel ons over uw product en lidstaat; we introduceren u zodra er een geschikte match is →

Waar een gemachtigde vertegenwoordiger voor opdraait, artikel 18, lid 3

Het bereik van het mandaat wordt schriftelijk door de fabrikant vastgesteld, maar moet ten minste de drie onderstaande taken omvatten. Daar zullen markttoezichtautoriteiten als eerste op aandringen.

Art. 18, lid 3, onder a)

De EU-conformiteitsverklaring en de technische documentatie uit bijlage VII tien jaar ter beschikking houden.

hij houdt de EU-conformiteitsverklaring als bedoeld in artikel 28 en de technische documentatie als bedoeld in artikel 31 gedurende een periode van ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode indien die langer is, ter beschikking van de markttoezichtautoriteiten

Art. 18, lid 3, onder b)

Documentatie en informatie verstrekken aan autoriteiten na een met redenen omkleed verzoek.

hij verstrekt een markttoezichtautoriteit, wanneer die autoriteit daartoe een met redenen omkleed verzoek indient, alle benodigde informatie en documentatie om de conformiteit van het product met digitale elementen aan te tonen

Art. 18, lid 3, onder c)

Medewerking verlenen aan autoriteiten bij corrigerende maatregelen en het wegnemen van risico's.

hij verleent op verzoek van de markttoezichtautoriteiten medewerking aan alle genomen maatregelen om de risico's van een product met digitale elementen die onder het mandaat van de gemachtigde vertegenwoordiger vallen, weg te nemen

Gemachtigde vertegenwoordiger en importeur: onafhankelijke rollen

De gemachtigde vertegenwoordiger uit artikel 18 en de importeur uit artikel 19 zijn afzonderlijke rollen met afzonderlijke aanleidingen. De gemachtigde vertegenwoordiger bestaat wanneer een fabrikant ervoor kiest er een aan te wijzen; de importeur bestaat door het commerciële feit dat een in de Unie gevestigde persoon het product van een fabrikant van buiten de Unie in de handel brengt. Ze vervangen elkaar in geen van beide richtingen.

Gemachtigde vertegenwoordiger · art. 18

Importeur in de Unie · art. 19

Aanleiding

Facultatief. Een fabrikant kan door middel van een schriftelijk mandaat een gemachtigde vertegenwoordiger aanwijzen (art. 18, lid 1).

Hoedanigheid van rechtswege. Wie, gevestigd in de Unie, het product met de naam of het handelsmerk van een fabrikant van buiten de Unie in de handel brengt, is de importeur (art. 3, punt 14).

Ontstaat door

Schriftelijk mandaat van de fabrikant aan een in de Unie gevestigde natuurlijke of rechtspersoon.

Het commerciële leveringskanaal. Geen aanwijzing, geen mandaat.

Maximaal bereik

De EU-conformiteitsverklaring en de technische documentatie ten minste tien jaar ter beschikking houden; deze verstrekken na een met redenen omkleed verzoek van markttoezichtautoriteiten; medewerking verlenen bij corrigerende maatregelen (art. 18, lid 3). Artikel 18, lid 2, sluit de inhoudelijke verplichtingen uit artikel 13 uit.

Conformiteitsbeoordeling, CE-markering, EU-conformiteitsverklaring en gebruikersinstructies verifiëren; documenten ten minste tien jaar bewaren; medewerking verlenen aan autoriteiten; melden bij vermoede non-conformiteit en bij kennisname van kwetsbaarheden (art. 19, leden 1 tot en met 8).

Vervangt de ene de andere?

Nee. Het aanwijzen van een gemachtigde vertegenwoordiger ontslaat degene die het product in de Unie in de handel brengt niet van zijn verplichtingen als importeur.

Nee. De verplichtingen van de importeur uit artikel 19 bestaan zelfstandig. Ze creëren geen aanwijzing van een gemachtigde vertegenwoordiger en heffen die ook niet op.

Mag dezelfde entiteit beide rollen vervullen?

Ja. Eén in de Unie gevestigd bureau kan zowel het mandaat van gemachtigde vertegenwoordiger als de rol van importeur op zich nemen, met afzonderlijke schriftelijke mandaten en een aansprakelijkheidsverzekering die beide rollen dekt.

Praktische consequentie: de keuze om een gemachtigde vertegenwoordiger aan te wijzen staat los van wie het product invoert. Een importeur in de Unie ontslaat de fabrikant niet van enige cyberbeveiligingsverplichting, en een gemachtigde vertegenwoordiger ontslaat de importeur niet van enige verplichting uit artikel 19. Wilt u dat één partner in de Unie beide rollen vervult, dan mag dat; u hebt een schriftelijk mandaat van gemachtigde vertegenwoordiging nodig dat losstaat van de commerciële leveringsovereenkomst, en een aansprakelijkheidsverzekering die beide functies dekt.

Waar u op moet letten bij het aanwijzen van een gemachtigde vertegenwoordiger

Als uw leveranciersnetwerk al gevestigde namen uit MDR, RED of RoHS bevat, is dat een redelijk uitgangspunt. De CRA-specifieke controles hieronder onderscheiden een bruikbare gemachtigde vertegenwoordiger van een die in de problemen komt zodra de eerste brief van een autoriteit binnenkomt.

Vestiging: In de Unie gevestigde rechtspersoon in een lidstaat, met een statutaire zetel en een lokaal contactpunt.
Verzekering: Beroepsaansprakelijkheidsverzekering met dekking die uitdrukkelijk is uitgebreid tot de CRA-scope en de productclassificaties van bijlage III.
Sectorervaring: Aantoonbare staat van dienst onder de MDR, de gedelegeerde verordening cyberbeveiliging onder de RED of de RoHS, oftewel de bureaus die vandaag geloofwaardig overstappen naar CRA-werk.
Documentbewaring: Een platform dat voldoet aan de tienjarige bewaarplicht, met een manipulatiebestendig auditlogboek en exports die klaar zijn voor autoriteiten.
Verantwoording: Een bij naam aangewezen natuurlijke persoon die verantwoording aflegt aan autoriteiten, geen algemeen mailadres van een juridisch team.
Taal: Het vermogen om medewerking aan corrigerende maatregelen op grond van artikel 18, lid 3, onder c), af te handelen in de taal van de bevoegde autoriteit van de betrokken lidstaat.

Weet u wat u zoekt, maar niet waar u moet beginnen? Sla de koude-acquisitiefase over. Vraag een introductie aan zodra ons partnernetwerk live gaat →

Hoe CRA Evidence artikel 18 ondersteunt

Of de fabrikant de documentbewaring in eigen huis houdt, deze overdraagt aan een externe gemachtigde vertegenwoordiger of het werk verdeelt met een importeur in de Unie, de operationele taken zijn dezelfde: een volledig technisch dossier bijhouden, dit op met redenen omkleed verzoek aan autoriteiten overhandigen en corrigerende maatregelen vastleggen. CRA Evidence is het platform waarop dat werk draait, met of zonder gemachtigde vertegenwoordiger.

Art. 18, lid 3, onder a)

De EU-conformiteitsverklaring en de technische documentatie uit bijlage VII ten minste tien jaar ter beschikking houden

Pakketten op grond van bijlage VII, ondertekende EU-conformiteitsverklaringen en de onderliggende SBOM's, VEX en risicobeoordelingen, opgeslagen onder een strikte bewaartermijn van tien jaar met een manipulatiebestendig auditlogboek.

Export van technisch dossier bundelt bijlage VII in een machineleesbare ZIP met manifest.
Compliancecertificaten geven meertalige EU-conformiteitsverklaringen uit als pdf (module A / B+C / H / EUCC); onveranderlijk zodra uitgegeven.
Artefact-ondertekening (Sigstore met of zonder sleutel) schrijft handtekeningen naar een transparantieregister voor onweerlegbaarheid.
Bewaring gedurende tien jaar van SBOM's, documenten, auditgebeurtenissen en kwetsbaarheidsregistraties, zonder vroegtijdige verwijdering bij abonnementswijzigingen.

Art. 18, lid 3, onder b)

Op met redenen omkleed verzoek alles verstrekken aan een markttoezichtautoriteit

Wanneer een autoriteit schrijft, beschikt de gemachtigde vertegenwoordiger over een genummerd verzoek, een deadline en een evidence-pakket met één klik. Geen gespit op schijven, geen ontbrekende documenten.

Authority Request Service registreert verzoeken van markttoezichtautoriteiten met AUTH-JJJJ-NNNN-tracking, deadlines en detectie van verzuim.
Samenstelling van antwoordpakket bundelt manifest, productinformatie, verificaties van de toeleveringsketen, auditlogboek en README in een verzendklare ZIP.
Geünificeerde evidence-weergave normaliseert SBOM, HBOM, VEX, documenten, certificaten en de gebruikersinstructies van bijlage II tot één doorzoekbare index.
Leveranciersportaal verstrekt token-gebonden, auditgevolgde externe toegang aan autoriteiten of partijen in de toeleveringsketen.

Art. 18, lid 3, onder c)

Medewerking verlenen aan corrigerende maatregelen en het wegnemen van risico's

Kwetsbaarheidsafhandeling, VEX en registraties van corrigerende maatregelen worden allemaal weggeschreven naar dezelfde evidence-basis met auditlogboek, zodat de gemachtigde vertegenwoordiger autoriteiten kan laten zien wat er is gedaan, wanneer en door wie.

Levenscyclus van verzoeken van autoriteiten: ontvangen → bevestigd → in_behandeling → beantwoord → afgesloten, met vastlegging van antwoordmethode, referentie en documentlijst.
VEX-automatisering (CycloneDX, CSAF, OpenVEX) legt exploiteerbaarheidsbeslissingen per bevinding vast.
Workflow voor ENISA-melding voor de meldingen van 24 uur, 72 uur en 14 dagen uit artikel 14 (in actieve ontwikkeling).
Auditlogboek legt elke versiewijziging, documentwijziging en goedkeuring vast, met de volledige stamboom van corrigerende maatregelen.

Wijst u een gemachtigde vertegenwoordiger aan, dan ligt het mandaat bij hen. Hoe dan ook draait het bewijs op CRA Evidence. Zie hoe een overdracht op grond van artikel 18 daadwerkelijk verloopt op het platform, veertien dagen gratis en zonder creditcard.

Bekijk het op CRA Evidence Hulp nodig bij het vinden van een gemachtigde vertegenwoordiger?

Artikelen 18 en 19, volledige tekst

Uit Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 inzake horizontale cyberbeveiligingsvereisten voor producten met digitale elementen. Hier ter referentie weergegeven; de geconsolideerde tekst op EUR-Lex is bindend.

Artikel 18 · Gemachtigde vertegenwoordigers

1. Een fabrikant kan door middel van een schriftelijk mandaat een gemachtigde vertegenwoordiger aanwijzen.

2. De verplichtingen uit hoofde van artikel 13, leden 1 tot en met 11, artikel 13, lid 12, eerste alinea, en artikel 13, lid 14, maken geen deel uit van het mandaat van de gemachtigde vertegenwoordiger.

3. Een gemachtigde vertegenwoordiger voert de taken uit die gespecificeerd zijn in het mandaat dat hij van de fabrikant heeft ontvangen. De gemachtigde vertegenwoordiger legt op verzoek een kopie van het mandaat over aan de markttoezichtautoriteiten. Het mandaat stelt de gemachtigde vertegenwoordiger in staat ten minste het volgende te doen:

a) hij houdt de EU-conformiteitsverklaring als bedoeld in artikel 28 en de technische documentatie als bedoeld in artikel 31 gedurende een periode van ten minste tien jaar nadat het product met digitale elementen in de handel is gebracht of gedurende de ondersteuningsperiode indien die langer is, ter beschikking van de markttoezichtautoriteiten;

b) hij verstrekt een markttoezichtautoriteit, wanneer die autoriteit daartoe een met redenen omkleed verzoek indient, alle benodigde informatie en documentatie om de conformiteit van het product met digitale elementen aan te tonen;

c) hij verleent op verzoek van de markttoezichtautoriteiten medewerking aan alle genomen maatregelen om de risico's van een product met digitale elementen die onder het mandaat van de gemachtigde vertegenwoordiger vallen, weg te nemen.

Bron · EUR-Lex CELEX 32024R2847, artikel 18 (letterlijk)

Artikel 19 · Verplichtingen van importeurs (los van de aanwijzing van een gemachtigde vertegenwoordiger)

1. Importeurs brengen uitsluitend producten met digitale elementen in de handel die voldoen aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I, en indien de door de fabrikant ingestelde processen voldoen aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I.

2. Alvorens een product met digitale elementen in de handel te brengen, zorgen importeurs ervoor dat:

a) de fabrikant de juiste in artikel 32 bedoelde conformiteitsbeoordelingsprocedures heeft uitgevoerd;

b) de fabrikant de technische documentatie heeft opgesteld;

c) het product met digitale elementen is voorzien van de in artikel 30 bedoelde CE-markering en vergezeld gaat van de in artikel 13, lid 20, bedoelde EU-conformiteitsverklaring en de in bijlage II vastgestelde informatie en instructies voor de gebruiker, in een taal die gebruikers en markttoezichtautoriteiten gemakkelijk kunnen begrijpen;

d) de fabrikant aan de vereisten van artikel 13, leden 15, 16 en 19, heeft voldaan.

De daaropvolgende leden van artikel 19 (leden 3 tot en met 8) regelen de afhandeling van non-conformiteit, de identificatie van de importeur op het product, corrigerende maatregelen en kwetsbaarheidsmeldingen, de tienjarige documentbewaring, de reactie op met redenen omklede verzoeken van markttoezichtautoriteiten en de plicht om autoriteiten en gebruikers te informeren wanneer de fabrikant zijn activiteiten staakt. Deze verplichtingen gelden voor wie als importeur in de Unie optreedt, los van enige aanwijzing van een gemachtigde vertegenwoordiger uit artikel 18.

Bron · EUR-Lex CELEX 32024R2847, artikel 19 (letterlijk, leden 1 en 2; 3 tot en met 8 samengevat)

Veelgestelde vragen

Is het aanwijzen van een gemachtigde vertegenwoordiger verplicht onder de Cyberweerbaarheidsverordening?

Nee. Artikel 18, lid 1, van Verordening (EU) 2024/2847 luidt letterlijk: «Een fabrikant kan door middel van een schriftelijk mandaat een gemachtigde vertegenwoordiger aanwijzen.» Dit is facultatief. De Cyberweerbaarheidsverordening stelt het aanwijzen van een gemachtigde vertegenwoordiger niet als voorwaarde voor het in de handel brengen van producten op de EU-markt, ook niet voor fabrikanten van buiten de Unie. Dat verschilt van artikel 11 MDR en artikel 5 RED, die beide een gemachtigde vertegenwoordiger voorschrijven voor fabrikanten van buiten de Unie. Valt een CRA-product ook onder de MDR of de RED, dan blijft de AR-verplichting uit die instrumenten gelden.

Waarom zou een fabrikant van buiten de Unie toch een gemachtigde vertegenwoordiger aanwijzen onder de Cyberweerbaarheidsverordening?

Meerdere praktische redenen. Eén in de Unie gevestigd juridisch contactpunt vermindert wrijving met markttoezichtautoriteiten, die liever corresponderen met een entiteit in hun rechtsgebied en taal. De gemachtigde vertegenwoordiger kan de EU-conformiteitsverklaring en de technische documentatie lokaal beheren gedurende de tienjarige bewaartermijn van artikel 18, lid 3, onder a). Veel fabrikanten van buiten de Unie hebben al een gemachtigde vertegenwoordiger voor MDR of RED en vinden het operationeel eenvoudiger om die regeling uit te breiden naar de CRA-scope. Tot slot kan een duidelijk bij naam aangewezen gemachtigde vertegenwoordiger in de Unie de responstijden naar autoriteiten verkorten wanneer een met redenen omkleed verzoek binnenkomt op grond van artikel 18, lid 3, onder b).

Wat kan wel en wat niet worden gedelegeerd aan een gemachtigde vertegenwoordiger onder de Cyberweerbaarheidsverordening?

Artikel 18, lid 2, sluit de verplichtingen uit artikel 13, leden 1 tot en met 11, artikel 13, lid 12, eerste alinea, en artikel 13, lid 14, uitdrukkelijk uit van het mandaat van de gemachtigde vertegenwoordiger. De inhoudelijke cyberbeveiligingsverplichtingen (essentiële vereisten, kwetsbaarheidsafhandeling, conformiteitsbeoordeling) kunnen niet aan de gemachtigde vertegenwoordiger worden overgedragen. Artikel 18, lid 3, bepaalt het maximale bereik van wat de gemachtigde vertegenwoordiger kan doen: de EU-conformiteitsverklaring en de technische documentatie ten minste tien jaar ter beschikking houden, informatie en documentatie verstrekken aan autoriteiten na een met redenen omkleed verzoek en medewerking verlenen aan maatregelen om risico's weg te nemen. De fabrikant blijft altijd de entiteit die juridisch verantwoordelijk is voor de inhoudelijke cyberbeveiligingsverplichtingen.

Wat is het verschil tussen een gemachtigde vertegenwoordiger onder de Cyberweerbaarheidsverordening en een importeur in de Unie?

Het zijn onafhankelijke rollen. Volgens de definitie van artikel 3 is een importeur een in de Unie gevestigde persoon die een product met de naam of het handelsmerk van een fabrikant van buiten de Unie in de handel brengt op de EU-markt. Importeurs dragen hun eigen verplichtingen uit artikel 19, ongeacht of er een gemachtigde vertegenwoordiger bestaat. Een gemachtigde vertegenwoordiger neemt, indien aangewezen, de in het mandaat genoemde taken uit artikel 18, lid 3, op zich. Ze zijn geen substituten: de rol van importeur wordt geactiveerd door het commerciële leveringskanaal, de rol van gemachtigde vertegenwoordiger door een schriftelijk mandaat. Eén entiteit in de Unie kan beide vervullen, met afzonderlijke paperassen.

Kan mijn importeur of distributeur in de Unie optreden als mijn gemachtigde vertegenwoordiger?

Ja. De Cyberweerbaarheidsverordening verbiedt niet dat één in de Unie gevestigde entiteit zowel een commerciële rol als importeur of distributeur als een mandaat van gemachtigde vertegenwoordiging vervult. De functies blijven juridisch onderscheiden: de importeur draagt de verplichtingen uit artikel 19 die voortvloeien uit de commerciële leveringsrelatie, de gemachtigde vertegenwoordiger draagt de taken uit artikel 18, lid 3, die voortvloeien uit een schriftelijk mandaat. Om ze te combineren hebt u een afzonderlijk schriftelijk mandaat van gemachtigde vertegenwoordiging nodig dat artikel 18, lid 3, uitdrukkelijk dekt, een beroepsaansprakelijkheidsverzekering die voor beide rollen volstaat en een duidelijke contractuele scheiding tussen de twee functies.

Is de gemachtigde vertegenwoordiger aansprakelijk voor productgebreken of alleen voor documentatieverplichtingen?

De gemachtigde vertegenwoordiger is alleen verantwoordelijk voor de taken die in het schriftelijk mandaat zijn opgenomen; onder de Cyberweerbaarheidsverordening worden die begrensd door artikel 18, lid 3: documentbewaring, reactievermogen richting autoriteiten en medewerking bij corrigerende maatregelen. Artikel 18, lid 2, sluit de inhoudelijke verplichtingen uit artikel 13 uitdrukkelijk uit van het mandaat. De aansprakelijkheid voor productgebreken en de onderliggende cyberbeveiligingsverplichtingen blijven bij de fabrikant. Nationale wetgeving in sommige lidstaten kan de blootstelling van de gemachtigde vertegenwoordiger verder uitbreiden, dus het mandaat moet zorgvuldig worden opgesteld.

Is een gemachtigde vertegenwoordiger onder de Cyberweerbaarheidsverordening hetzelfde als een gemachtigde vertegenwoordiger onder de MDR of de RED?

Het begrip gemachtigde vertegenwoordiger komt in meerdere EU-productregelingen voor, maar de regimes zijn niet identiek. Artikel 11 MDR maakt aanwijzing verplicht voor fabrikanten van buiten de Unie en legt bredere, medisch-specifieke verplichtingen op, waaronder vigilantierapportage. Artikel 5 RED maakt aanwijzing eveneens verplicht voor fabrikanten van buiten de Unie. Artikel 18, lid 1, van de Cyberweerbaarheidsverordening maakt het facultatief. De taken uit artikel 18, lid 3, zijn smaller en richten zich op documentatie, verzoeken van autoriteiten en medewerking bij corrigerende maatregelen. Een gevestigde MDR- of RED-AR kan een goed startpunt zijn, maar het mandaat moet worden herschreven voor de CRA-scope en de niet-delegatieregels van artikel 18, lid 2.

Ondertekent de gemachtigde vertegenwoordiger de EU-conformiteitsverklaring?

Nee. De EU-conformiteitsverklaring wordt opgesteld en ondertekend door de fabrikant op grond van artikel 28. De gemachtigde vertegenwoordiger houdt, indien aangewezen, de ondertekende EU-conformiteitsverklaring en de technische documentatie ter beschikking van markttoezichtautoriteiten op grond van artikel 18, lid 3, onder a), maar de handeling van het verklaren van de conformiteit is een verantwoordelijkheid van de fabrikant die artikel 18, lid 2, buiten het mandaat van de gemachtigde vertegenwoordiger houdt.

Kan ik na aanwijzing van gemachtigde vertegenwoordiger wisselen?

Ja. Het mandaat is een overeenkomst tussen de fabrikant en de gemachtigde vertegenwoordiger en elke partij kan onder de bedingen ervan opzeggen. Bij wisseling neemt de nieuwe gemachtigde vertegenwoordiger de bewaring van de technische documentatie en de EU-conformiteitsverklaring over, en moet de fabrikant de contactinformatie die aan markttoezichtautoriteiten is verstrekt actualiseren. Reken op een uitdrukkelijke overdrachtsstap in het sjabloon van het mandaat.