Wielorolowa zgodność CRA: producent, importer, dystrybutor

Firma produkuje inteligentne czujniki w Niemczech, importuje urządzenia uzupełniające od tajwańskiego dostawcy i dystrybuuje oprogramowanie innego producenta. Zgodnie z CRA ta sama organizacja jest jednocześnie producentem, importerem i dystrybutorem. Przewodniki po klastrach jednorolowych omawiają każdy zestaw obowiązków w izolacji. Ta strona zawiera to, czego wielorolowe zespoły ds. zgodności faktycznie potrzebują: warstwę operacyjną, gdzie role kumulują się, kolidują i wzajemnie na siebie oddziałują. Obowiązki przypisane do każdej roli z osobna omówiono w klastrze producenta, klastrze importera i klastrze dystrybutora.

Jak firmy wielorolowe tracą zgodność inaczej

Firmy jednorolowe tracą zgodność na obowiązkach swojej jednej roli. Firmy wielorolowe tracą ją na stykach między rolami. Trzy tryby awarii powtarzają się regularnie.

Rozszczepienie zgodności. Każdy zespół rolowy działa na własnym schemacie bez wspólnej mapy produkt-rola. Dział sprzedaży wprowadza na rynek produkt pod własną marką w poniedziałek. Zespół producenta nigdy nie dostaje powiadomienia o rebrandingu. Ocena zgodności dla produktu z nowym oznaczeniem marki nigdy nie zostaje przeprowadzona. Trzy miesiące później organ nadzoru rynku prosi o łańcuch dowodów producenta dla jednostki sprzedanej pod marką własną, ale udokumentowanej jako importowany produkt firmy trzeciej. Pozycja prawna jest nie do obrony.

Kolizja polityk. Polityki dwóch ról są stosowane do tego samego produktu, bo rola nie została przypięta. Polityka CVD mówi 90 dni. Polityka dostawcy mówi 120 dni. Bez wyraźnego przypisania roli per produkt zespół inżynierów stosuje politykę przypisaną do roli, którą uważa za właściwą, a nie tej, którą CRA przypisuje temu produktowi.

Redundancja audytów dostawcy. Jako importer przeprowadza się weryfikację przedrynkową produktu dostawcy. Jako producent z tym samym dostawcą jako dostawcą komponentów prowadzi się due diligence komponentowe dla tego samego dostawcy. Ten sam dostawca, dwa pliki dowodów, dwa budżety, dwa wywiady. Audyt można skonsolidować, ale tylko wtedy, gdy mapa ról per produkt jest na tyle precyzyjna, że podwójne przeznaczenie audytu jest obronne.

Stos obowiązków wielorolowych

Część infrastruktury zgodności konsoliduje się między rolami. Część pozostaje przypisana do roli. Poniższa tabela to warstwa operacyjna, której firmy wielorolowe potrzebują przed inwestycją w narzędzia, procesy czy strukturę organizacyjną.

Infrastruktura, która konsoliduje, to zysk efektywnościowy wielorolowości. Infrastruktura, która pozostaje przypisana do roli, to miejsce, gdzie zespoły ds. zgodności się potykają, gdy zakładają, że jedna polityka może służyć każdemu produktowi.

Opcje struktury organizacyjnej

Trzy wzorce sprawdzają się w wielorolowej organizacji zgodności. Należy wybrać ten, który odpowiada skali portfolio.

Opcja 1: zespoły według roli. Oddzielne zespoły dla działalności producenta, importera i dystrybutora. Najlepsza, gdy każda rola ma istotny wolumen.

Dział Zgodności
+-- Zespol Zgodnosci Produkcji   --> wszystkie obowiazki producenta
+-- Zespol Zgodnosci Importu     --> weryfikacja dostawcow, dokumenty importowe
+-- Zespol Zgodnosci Dystrybucji --> relacje z partnerami, rejestry dystrybucji

Opcja 2: zespoły według produktu. Jeden zespół na linię produktową, odpowiedzialny za każdą rolę dla produktów z tej linii. Najlepsza, gdy linie są wąskie, a role w ich obrębie się mieszają.

Dział Zgodności
+-- Zespol Linii A (czujniki)        --> wszystkie role dla czujnikow
+-- Zespol Linii B (sterowniki)      --> wszystkie role dla sterownikow
+-- Uslugi Wspolne                   --> zarzadzanie dokumentami, SBOM, szkolenia

Opcja 3: model hybrydowy (zalecany dla większości). Wspólne usługi rdzeniowe plus zespoły wyspecjalizowane w roli. Jedno repozytorium dokumentów i jeden punkt przyjmowania podatności, ale oddzielne zespoły producenta oraz dostawców i partnerów.

Dział Zgodności
+-- Zgodnosc Rdzeniowa             --> zarz. dokumentami, przyjmowanie podatnosci, szkolenia
+-- Zgodnosc Producenta            --> ocena zgodnosci, dokumentacja techniczna, aktualizacje
+-- Zgodnosc Dostawcow/Partnerow   --> weryfikacja importu, relacje z dystrybutorami

Przykład alokacji kosztów

Praktyczny podział budżetu dla firmy wielorolowej z 5 produktami wytwarzanymi, 10 importowanymi i 15 dystrybuowanymi.

ROCZNY BUDZET ZGODNOSCI WIELOROLOWEJ

INFRASTRUKTURA WSPOLNA (40% budzetu):
  System zarzadzania zgodnoscia:    $25,000
  Zarzadzanie dokumentami:          $10,000
  Program szkolen:                  $15,000
  Przyjmowanie podatnosci:          $10,000
  RAZEM                             $60,000

ROLA PRODUCENTA (35% budzetu):
  Ocena zgodnosci (5 produktow):    $25,000
  Narzedzia SBOM:                    $8,000
  Infrastruktura aktualizacji:      $15,000
  Utrzymanie dokumentacji tech.:     $5,000
  RAZEM                             $53,000

ROLA IMPORTERA (20% budzetu):
  Weryfikacja dostawcow (10 prod.): $20,000
  Pozyskiwanie dokumentacji:         $5,000
  Monitoring dostawcow:              $5,000
  RAZEM                             $30,000

ROLA DYSTRYBUTORA (5% budzetu):
  Weryfikacja partnerow:             $5,000
  Prowadzenie rejestrow:             $2,500
  RAZEM                              $7,500

SUMA                               $150,500

40% wspólnego rdzenia to zysk efektywnościowy wielorolowości. 35% roli producenta gwałtownie rośnie, gdy którykolwiek z importowanych produktów przechodzi do statusu producenta, bo organizacja zaczyna go oznaczać własną marką lub istotnie go modyfikuje.

Scenariusze kolidujących harmonogramów

Firmy wielorolowe napotykają konflikty harmonogramów, których firmy jednorolowe nigdy nie widzą.

Kolidujące okna CVD. Produkty wytworzone przez organizację mają 90-dniowe okno skoordynowanego ujawniania podatności. Dostawca, którego produkty są importowane, obstaje przy 120 dniach. Rozwiązanie: odrębne polityki per rola. Własna polityka CVD obejmuje wyłącznie produkty wytworzone przez organizację. Dla produktów importowanych decyduje polityka producenta. Rola importera to weryfikacja, że ta polityka istnieje, jest dostępna i spełnia minimalne wymagania CRA.

Niedopasowanie standardu dokumentacji. Szablon dokumentacji technicznej producenta jest zbudowany zgodnie z wewnętrznym standardem. Dokumentacja dostawcy jest ustrukturyzowana według jego krajowego reżimu. Rozwiązanie: utrzymuj oddzielne szablony per rola. Nie wciskaj dokumentacji dostawcy do własnego szablonu producenta, bo straci się możliwość weryfikacji, gdy organ nadzoru rynku poprosi o oryginalne źródło.

Brak współpracy ze strony dostawcy. Organizacja jest importerem, ale dostawca nie dostarcza dokumentacji potrzebnej do weryfikacji przedrynkowej. Rozwiązanie: umowa jest zerwana. Bez dokumentacji nie można legalnie wprowadzić produktu na rynek UE. Należy wstrzymać dostawę, sformalizować żądanie dokumentacji na piśmie i zmienić dostawcę, jeśli wciąż odmawia.

Kaskada okresu wsparcia. Jako producent organizacja zobowiązuje się do 7-letniego okresu wsparcia własnego produktu. Ta sama linia produktowa obejmuje rebadżowany komponent OEM, który organizacja importuje (jest więc jednocześnie producentem jednego wariantu i importerem innego). OEM zobowiązuje się tylko do 5 lat dla wariantu importowanego. Klienci mogą widzieć oba warianty na tej samej półce. Rozwiązanie: komunikować okres wsparcia per wariant przy sprzedaży. Nie dopuścić do tego, by marketing reklamował jeden zakres dla obu wariantów.

Granica dostępu do ENISA SRP. Platforma zgłaszania ENISA to kanał po stronie producenta. Firmy wielorolowe konfigurują dostęp do SRP dla roli producenta. Dla produktów jedynie importowanych lub dystrybuowanych to oryginalny producent zgłasza przez SRP. Rola importera lub dystrybutora to powiadomienie producenta i, gdy istnieje istotne ryzyko cyberbezpieczeństwa, bezpośrednie poinformowanie nadzoru rynku. Importer ani dystrybutor nie zgłasza do ENISA w imieniu oryginalnego producenta.

Fan-out powiadamiania o podatności

Zostaje zgłoszona jedna podatność. Dotyczy trzech kohort produktów w portfolio: produktów wytworzonych, importowanych i dystrybuowanych. Co i gdzie się uruchamia, w jakiej kolejności i kto podpisuje.

W przypadku incydentu dotyczącego wielu kohort powiadomienia są realizowane równolegle, nie sekwencyjnie. Powiadomienie ze strumienia producenta ma ustawowy zegar. Powiadomienia importera i dystrybutora działają na standardzie „bez zbędnej zwłoki". Nie można pozwolić, by zegar po stronie producenta zdominował eskalację importera/dystrybutora, bo obowiązki importera i dystrybutora istnieją niezależnie.

Szczegółowy rytm per kohorta, progi eskalacji i przepływy zgłoszeń właściwe dla danej roli omówiono w sekcjach: przepływ zgłoszeń producenta, kaskada zakończenia działalności importera i świadomość podatności dystrybutora w zestawie klastrów.

Triage wniosków organów według roli

Organ nadzoru rynku wydaje uzasadniony wniosek. Różne role wymagają różnych pakietów dowodów w odpowiedzi.

Mapę dowodów per rolę dla każdego produktu należy zbudować przed pojawieniem się wniosku organu nadzoru rynku. W dniu wpłynięcia uzasadnionego wniosku pytanie nie brzmi „gdzie są dowody". Brzmi: „który pakiet dowodów odpowiada roli tego produktu na tę datę." Wielorolowy zespół, który nie zbudował mapy wcześniej, straci cały dzień roboczy na rekonstrukcję błędnego łańcucha dowodów.

Ekspozycja na kary przy wielorolowości

Jeden incydent związany z podatnością może uruchomić więcej niż jeden pułap kary, gdy podatny kod jest obecny w produktach obejmujących kilka ról.

Pułapy stosują się per naruszenie, nie per produkt. Firma wielorolowa, która używa tego samego podatnego komponentu w linii produktów wytworzonych i importowanych i nie realizuje zgłoszeń, jest narażona na pułap producenta dla kohorty wytworzonych i pułap importera dla kohorty importowanych, równolegle. Modele ubezpieczeniowe i zarządzanie ryzykiem na poziomie zarządu powinny uwzględniać oba pułapy, nie tylko wyższy.

Mitygacja ma charakter operacyjny, nie kontraktowy. Mapa dowodów per rolę plus fan-out powiadamiania per rola daje możliwą do obronienia dokumentację, które produkty zostały powiadomione kiedy i na podstawie protokołu której roli. Bez tej dokumentacji organ może wymagać od organizacji wykazania, która rola dotyczyła każdego produktu, zanim zostanie ustalony pułap kary.

Wielorolowa topologia wielopaństwowa

Gdy organizacja wielorolowa działa w wielu państwach członkowskich, mapa ról per produkt zyskuje drugą oś: które krajowe kontakty organów przygotować per rola i w jakim języku każde państwo członkowskie zaopatrzenia oczekuje informacji dla użytkowników.

Weźmy grupę unijną, która produkuje czujniki w Niemczech, importuje sterowniki od tajwańskiego dostawcy przez swój podmiot we Francji i dystrybuuje oprogramowanie belgijskiego producenta przez włoski oddział sprzedaży.

Podatność dotykająca wszystkie trzy kohorty uruchamia równoległe powiadomienia do trzech różnych krajowych organów nadzoru rynku jednocześnie, każde w odpowiednim języku krajowym. CRA nie ma jednego widoku dla organizacji wielorolowej działającej w wielu państwach członkowskich. Rolodeks kontaktów organów nadzoru rynku per kohorta należy zbudować teraz. Nie powinno być tak, że sięga się po niego po raz pierwszy w trakcie incydentu.

Gdy ten sam podmiot prawny jest AR, importerem i producentem

Umocowanie autoryzowanego przedstawiciela jest dopuszczalne, ale nie obowiązkowe. Producent spoza UE może wyznaczyć podmiot z siedzibą w UE jako autoryzowanego przedstawiciela na podstawie pisemnego pełnomocnictwa. Nic w CRA nie stoi na przeszkodzie, by ten sam podmiot unijny był jednocześnie importerem produktów innego producenta spoza UE lub producentem własnej linii produktowej.

To najgęstsza kumulacja wielorolowa w CRA. Trzy obszary muszą pozostać oddzielone, nawet jeśli mieszczą się pod jednym dachem korporacyjnym:

Pełnomocnictwa są per dostawca. Każda relacja autoryzowanego przedstawiciela jest udokumentowana pisemnym pełnomocnictwem. Jeśli organizacja działa jako AR dla producenta spoza UE A i importera dla producenta spoza UE B, dokumentacja AR obejmuje wyłącznie dostawcę A. Produkty dostawcy B działają na reżimie importera, bez nałożenia pełnomocnictwa.

Granice odpowiedzialności różnią się per rola. AR przechowuje dokumentację i współpracuje z nadzorem rynku w imieniu reprezentowanego producenta, ale nie wprowadza produktów na rynek. Importer przeprowadza cztery przedrynkowe weryfikacje, wprowadza produkt na rynek i przechowuje deklarację zgodności UE przez 10 lat lub przez okres wsparcia. Producent ponosi pełen zestaw obowiązków projektowych i inżynieryjnych. To trzy różne obszary odpowiedzialności, wszystkie skupione w jednym podmiocie prawnym. Dokumentacja musi odzwierciedlać podział ról per produkt.

Routing zakończenia działalności jest per rola. Jeśli dostawca A, dla którego organizacja jest AR, kończy działalność, należy sprawdzić pisemne pełnomocnictwo i zachować dokumentację AR i plik współpracy. Ustawowe zawiadomienie o zakończeniu działalności spoczywa na producencie, chyba że inny wyzwalacz właściwy dla danej roli również ma zastosowanie. Jeśli dostawca B, dla którego organizacja jest importerem, kończy działalność, uruchamia się obowiązek powiadomienia importera świadomego zakończenia działalności: poinformowania nadzoru rynku i użytkowników o zakończeniu działalności producenta. Własna linia produktów organizacji, jeśli kiedykolwiek zostanie zakończona, uruchamia własne zawiadomienie o zakończeniu działalności producenta z własną ścieżką komunikacji z klientami. Trzy wyzwalacze nie konsolidują się w jeden routing.

Praktyczny fundament: mapa per produkt z tagiem roli przypisanym do każdego produktu sprawia, że rozdział AR/importer/producent jest możliwy do obrony. Bez tej mapy audyt produktów dostawcy A wleje się w dokumentację importera i producenta i wygeneruje zbędne koszty odkrycia dowodów.

Gdy role zmieniają się w trakcie cyklu życia

Organizacje wielorolowe obserwują zmiany ról produktów w trakcie ich cyklu życia. Pięć zdarzeń powtarza się regularnie.

Dystrybutor do importera. Unijny dostawca zamyka działalność, a organizacja zaczyna importować bezpośrednio od producenta spoza UE. Działania: pełna weryfikacja importerska produktu, bezpośrednia relacja z dostawcą, odświeżenie całej dokumentacji importowej.

Importer do producenta. Organizacja zaczyna wprowadzać importowany produkt pod własną marką. Działania: wypełnienie pełnego zestawu obowiązków producenta (ocena zgodności, dokumentacja techniczna, SBOM, obsługa podatności, zobowiązanie co do okresu wsparcia). Dostawca jest teraz wykonawcą kontraktowym w sensie handlowym, nie producentem w rozumieniu CRA. Odpowiedzialność za zgodność przechodzi na organizację.

Dystrybutor do modyfikatora zestawu. Organizacja zaczyna instalować własne oprogramowanie układowe na produkcie, który wcześniej dystrybuowała bez zmian. Działania: obowiązki producenta stosują się przez pomost rebrandu dla zmodyfikowanego produktu lub, gdy modyfikacja wpływa na cyberbezpieczeństwo całego produktu, dla całego produktu.

Producent do dystrybutora. Organizacja przestaje oznaczać linię produktową własną marką i przekazuje ją z powrotem do OEM pod marką OEM. Działania: od tego momentu oryginalny producent odzyskuje rolę producenta. Organizacja staje się dystrybutorem produktu pod marką OEM. Obowiązki retencji i wsparcia po stronie producenta trwają dla jednostek już wprowadzonych pod własną marką.

Dowolna rola do wyjścia. Organizacja przestaje sprzedawać produkt. Działania: obowiązek retencji dokumentacji trwa dalej (producent i importer przechowują przez 10 lat lub przez okres wsparcia). Obowiązki wsparcia producenta trwają co najmniej 5 lat od ostatniej jednostki wprowadzonej na rynek lub przez zadeklarowany okres wsparcia, jeśli dłuższy. Jeśli producent kończy też działalność, obowiązek zawiadomienia przebiega przez importera i dystrybutora w łańcuchu.

Ciągłość działania przy likwidacji organizacji wielorolowej

CRA przewiduje jedno ustawowe zawiadomienie o zakończeniu działalności przez samego siebie: dotyczy producenta. Gdy producent kończy działalność i nie może już zapewnić zgodności, musi poinformować właściwe organy nadzoru rynku i użytkowników produktów już wprowadzonych na rynek, zanim zakończenie działalności wejdzie w życie. CRA nie przewiduje równoważnego zawiadomienia dla roli importera ani dystrybutora. Obowiązki importera i dystrybutora związane z zakończeniem działalności uruchamiają się tylko wtedy, gdy producent obsługiwanych przez nich produktów kończy działalność, nie gdy sam importer lub dystrybutor kończy.

Dla organizacji wielorolowej, która ulega likwidacji, oznacza to:

Zawiadomienie producenta o zakończeniu działalności to zdarzenie regulowane. Przejścia importera, dystrybutora i AR to operacyjne planowanie ciągłości akt, nie dodatkowe ustawowe strumienie zawiadamiania. Organizacje wielorolowe, które mylą te cztery kategorie i zakładają, że importer i dystrybutor mają własne ustawowe obowiązki zawiadamiania o zakończeniu działalności, nadbudowują podręcznik i mogą opóźnić jedyne zawiadomienie, które jest naprawdę ustawowo wymagane.

Ten artykuł służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.