Kiedy Importerzy Stają się Producentami według CRA: Wyjaśnienie Eskalacji Roli
Praktyczny przewodnik po eskalacji roli według Artykułu 22 CRA. Dowiedz się, kiedy rebranding lub modyfikacja produktów uruchamia pełne obowiązki producenta.
W tym artykule
Importujesz router z Azji. Umieszczasz logo swojej firmy na pudełku. Gratulacje: jesteś teraz producentem według CRA, z pełnymi obowiązkami oceny zgodności.
Ten artykuł dokładnie opisuje, kiedy importerzy przekraczają granicę do terytorium producenta, i co to oznacza dla waszego obciążenia zgodności.
Podsumowanie
- Importerzy stają się producentami gdy: (1) umieszczają produkty pod własną nazwą/znakiem towarowym, lub (2) dokonują istotnych modyfikacji
- "Istotna modyfikacja" = zmiany wpływające na cyberbezpieczeństwo lub przeznaczenie produktu
- Eskalacja roli uruchamia pełne obowiązki producenta: Artykuł 13 (wszystkie obowiązki producenta, w tym ocena ryzyka na podstawie Załącznika I Część I), Artykuł 14 (zgłaszanie podatności), Artykuł 31 i Załącznik VII (dokumentacja techniczna), Artykuł 32 (ocena zgodności) oraz Artykuł 28 (deklaracja zgodności UE)
- Wyłączenie: Poprawki bezpieczeństwa, które nie zmieniają funkcji produktu
- Zaplanuj to: Albo utrzymaj status importera, albo przygotuj się do zgodności jako producent
Ważne: Jeśli istotnie modyfikujesz produkt (rebranding, zmiana firmware, integracja w większy system), możesz zostać przeklasyfikowany jako producent pod CRA ze wszystkimi odpowiadającymi obowiązkami.
Wskazówka: Dokumentuj swoją dokładną rolę w łańcuchu dostaw. Niejednoznaczność co do tego, czy jesteś importerem czy producentem, tworzy ryzyko zgodności.
Dwa Wyzwalacze Eskalacji Roli
Artykuł 22 CRA ustala, kiedy importer (lub dystrybutor) jest traktowany jako producent:
Wyzwalacz 1: Własna Nazwa lub Znak Towarowy
Umieszczenie produktu na rynku pod własną marką czyni cię producentem, niezależnie od tego, kto faktycznie go zaprojektował i zbudował.
Uruchamiasz to gdy:
- Nazwa twojej firmy pojawia się jako "producent" na opakowaniu
- Twój znak towarowy/logo jest na produkcie
- Materiały marketingowe przedstawiają cię jako źródło produktu
- Klienci rozsądnie wierzyliby, że wyprodukowałeś produkt
Przykłady:
| Sytuacja | Producent? | Dlaczego |
|---|---|---|
| Import routera, sprzedaż pod marką "AcmeTech" | Tak | Własny znak towarowy |
| Import kamery, dodanie "Dystrybuowane przez AcmeTech" | Nie | Rola dystrybutora jasna |
| Import urządzenia, zastąpienie całego brandingu producenta własnym | Tak | Własna nazwa/znak |
| Import urządzenia, dodanie własnej naklejki obok oryginalnego brandingu | Możliwe | Zależy od widoczności |
Wyzwalacz 2: Istotna Modyfikacja
Dokonywanie zmian wpływających na przeznaczenie produktu lub jego zgodność z wymaganiami CRA.
Test: Czy oryginalna ocena zgodności byłaby nadal ważna po twoich modyfikacjach?
Jeśli twoje modyfikacje oznaczają, że praca nad zgodnością oryginalnego producenta nie ma już zastosowania, dokonałeś istotnej modyfikacji.
Co Liczy się jako "Istotna Modyfikacja"?
CRA nie dostarcza wyczerpującej listy. Zasada to: zmiany wpływające na postawę bezpieczeństwa lub zamierzone użycie.
Definitywnie Istotna
| Modyfikacja | Dlaczego jest Istotna |
|---|---|
| Instalacja niestandardowego firmware | Zmienia architekturę bezpieczeństwa |
| Dodanie funkcji zdalnego zarządzania | Nowa powierzchnia ataku |
| Modyfikacje sprzętowe wpływające na bezpieczeństwo | Zmienia profil ryzyka |
| Integracja modułów bezpieczeństwa od stron trzecich | Zmienia granice zaufania |
| Zmiana mechanizmów uwierzytelniania | Krytyczna funkcja bezpieczeństwa |
| Dodanie łączności sieciowej do produktu offline | Fundamentalna zmiana przeznaczenia |
| Zastąpienie implementacji kryptograficznych | Krytyczna zmiana bezpieczeństwa |
Definitywnie NIE Istotna
| Modyfikacja | Dlaczego NIE jest Istotna |
|---|---|
| Stosowanie poprawek bezpieczeństwa (bez zmiany funkcji) | Wyraźnie wyłączone przez CRA |
| Lokalizacja językowa dokumentacji | Tylko kosmetyczna |
| Zmiany opakowania (bez zmiany produktu) | Nie jest modyfikacją produktu |
| Dodanie kompatybilnych akcesoriów | Oryginalny produkt niezmieniony |
| Zmiany kosmetyczne (kolor, wykończenie) | Brak wpływu na bezpieczeństwo |
| Magazynowanie/przechowywanie | Brak modyfikacji w ogóle |
Szare Strefy (Oceniaj Uważnie)
| Modyfikacja | Rozważania |
|---|---|
| Zmiany konfiguracji | Czy wpływa na domyślne ustawienia bezpieczeństwa? |
| Preinstalowane dodatkowe oprogramowanie | Czy zmienia powierzchnię ataku? |
| Akcesoria sprzętowe, które się integrują | Czy wpływają na funkcje bezpieczeństwa? |
| Adaptacje regionalne | Czy zmieniają zachowanie istotne dla bezpieczeństwa? |
| Pakietowanie wielu produktów | Czy granice bezpieczeństwa są jasne? |
Drzewo Decyzyjne: Czy Jestem Nadal Importerem?
START: Umieszczanie produktu na rynku UE
│
├─ Pod marką oryginalnego producenta?
│ │
│ ├─ TAK → Czy robisz jakiekolwiek modyfikacje?
│ │ │
│ │ ├─ NIE → Jesteś IMPORTEREM
│ │ │ (Stosują się standardowe obowiązki importera)
│ │ │
│ │ └─ TAK → Czy modyfikacja wpływa na:
│ │ • Przeznaczenie lub użycie?
│ │ • Zgodność cyberbezpieczeństwa?
│ │ • Architekturę bezpieczeństwa?
│ │ │
│ │ ├─ TAK do któregokolwiek → Jesteś PRODUCENTEM
│ │ │ (Pełne obowiązki producenta)
│ │ │
│ │ └─ NIE do wszystkich → Jesteś IMPORTEREM
│ │ (Udokumentuj swoją analizę)
│ │
│ └─ NIE (twoja marka) → Jesteś PRODUCENTEM
│ (Pełne obowiązki producenta)
Co Oznacza Status Producenta
Jeśli uruchomisz eskalację roli, dziedziczysz pełny zestaw obowiązków producenta CRA:
Przed Wprowadzeniem na Rynek
Ocena ryzyka (Artykuł 13, Załącznik I Część I):
- Przeprowadź ocenę ryzyka cyberbezpieczeństwa dla zmodyfikowanego produktu
- Udokumentuj zagrożenia, podatności i środki łagodzące
- Połącz ryzyka z kontrolami bezpieczeństwa
Bezpieczny Rozwój:
- Nawet jeśli nie rozwijałeś oryginału, musisz zapewnić, że produkt (po modyfikacji) spełnia zasady security-by-design
- Udokumentuj swój proces modyfikacji i jego rozważania bezpieczeństwa
Dokumentacja techniczna (Artykuł 31, Załącznik VII):
- Przygotuj pełną dokumentację techniczną obejmującą:
- Opis produktu
- Wyniki oceny ryzyka
- Architektura bezpieczeństwa (po modyfikacji)
- SBOM (włącznie z twoimi modyfikacjami)
- Dowody oceny zgodności
Ocena zgodności (Artykuł 32):
- Określ klasyfikację produktu
- Ukończ odpowiednią ścieżkę oceny (Moduł A, B+C, lub H)
- Jeśli oryginalny producent użył oceny strony trzeciej, twoje modyfikacje prawdopodobnie ją unieważniają
Deklaracja zgodności UE (Artykuł 28, Załącznik V):
- Wydaj własną DoC
- Jesteś odpowiedzialnym producentem
- DoC oryginalnego producenta nie ma już zastosowania
Oznakowanie CE:
- Przyczep oznakowanie CE pod twoją odpowiedzialnością
- Ty deklarujesz zgodność, nie oryginalny producent
Przez Okres Wsparcia
Zarządzanie podatnościami (Artykuł 13, Załącznik I Część II):
- Ustanów proces obsługi podatności
- Monitoruj podatności (w tym w niezmodyfikowanych komponentach)
- Dostarczaj aktualizacje bezpieczeństwa przez minimum 5 lat
Zgłaszanie incydentów (Artykuł 14):
- Raportuj aktywnie wykorzystywane podatności do ENISA (24h)
- Raportuj poważne incydenty (24h)
- Jesteś odpowiedzialny, nawet za podatności w oryginalnych komponentach
Komunikacja z Klientem:
- Dostarczaj powiadomienia o aktualizacjach bezpieczeństwa
- Utrzymuj kanały wsparcia
- Odpowiedzialnie zarządzaj końcem życia
Praktyczne Scenariusze
Scenariusz 1: Elektronika White-Label
Sytuacja: Importujesz generyczne tablety z Azji i sprzedajesz pod marką "AcmeTab".
Analiza:
- Własna marka: Tak → Wyzwalacz producenta
- Modyfikacje: Nawet bez żadnych, branding uruchamia status producenta
Wynik: Jesteś producentem. Stosują się pełne obowiązki.
Scenariusz 2: Prekonfigurowane Urządzenia Sieciowe
Sytuacja: Importujesz routery enterprise i prekonfigurujesz je z niestandardowymi regułami firewall i ustawieniami VPN przed sprzedażą klientom.
Analiza:
- Własna marka: Załóżmy nie (sprzedawane pod oryginalną marką)
- Modyfikacje: Zmiany konfiguracji
- Czy zmiany wpływają na bezpieczeństwo? Niestandardowe reguły firewall = konfiguracja istotna dla bezpieczeństwa
Wynik: Prawdopodobnie istotna modyfikacja. Prawdopodobnie jesteś producentem.
Scenariusz 3: Zastosowane Poprawki Bezpieczeństwa
Sytuacja: Importujesz urządzenia IoT. Przed sprzedażą stosujesz najnowsze poprawki bezpieczeństwa od producenta.
Analiza:
- Własna marka: Nie
- Modyfikacje: Tylko poprawki bezpieczeństwa
- CRA wyraźnie wyłącza poprawki bezpieczeństwa, które nie zmieniają zamierzonej funkcji
Wynik: Nadal jesteś importerem. To jest scenariusz wyłączony.
Strategie Pozostania Importerem
Jeśli chcesz uniknąć obowiązków producenta:
1. Utrzymuj Oryginalny Branding
Zachowaj nazwę i znak towarowy producenta widoczne. Twoja firma może być identyfikowana jako importer/dystrybutor.
2. Brak Modyfikacji Produktu
Nie dotykaj firmware, sprzętu ani konfiguracji istotnej dla bezpieczeństwa. To co importujesz, to co sprzedajesz.
3. Dokumentuj Wszystko
Przechowuj zapisy pokazujące:
- Produkt jest niezmodyfikowany
- Oryginalny branding producenta jest utrzymany
- Zweryfikowałeś zgodność producenta
4. Pracuj z Producentami
Jeśli potrzebujesz personalizacji:
- Niech producent zrobi zmiany
- Upewnij się, że ich DoC obejmuje spersonalizowaną wersję
- Utrzymaj swój status importera
Często zadawane pytania
Czy sam rebranding uruchamia status producenta nawet bez modyfikacji?
Tak. Wprowadzenie produktu na rynek UE pod własną nazwą lub znakiem towarowym czyni Państwa producentem na mocy Artykułu 22 CRA, niezależnie od tego, czy cokolwiek innego zostało zmienione. Naklejka z Państwa logo wystarczy, aby przesunąć rolę prawną. Jest to Wyzwalacz 1 eskalacji roli i obowiązuje nawet wtedy, gdy sprzęt i firmware są identyczne z tym, co opuściło oryginalną fabrykę.
Czy poprawki bezpieczeństwa kiedykolwiek są istotnymi modyfikacjami?
Nie, o ile zachowują zamierzoną funkcję produktu. CRA wyraźnie wyłącza aktualizacje bezpieczeństwa, które naprawiają podatności bez zmiany przeznaczenia, zachowania lub architektury. Jeśli jednak „poprawka" dodaje również funkcje, zmienia uwierzytelnianie lub rozszerza powierzchnię ataku, traci wyłączenie i liczy się jako istotna modyfikacja. Udokumentuj, że poprawki pochodziły od oryginalnego producenta i nie zmieniły funkcjonalności, aby wyłączenie było do obrony w trakcie audytu.
Czy możemy pełnić jednocześnie rolę importera i producenta?
Tak, ale tylko z wyraźnym rozdzieleniem na poziomie produktu. Można pozostać importerem dla niezmodyfikowanych SKU, działając jednocześnie jako producent dla SKU zmodyfikowanych lub rebrandowanych. Wymaga to odrębnych identyfikatorów produktów, odrębnych dokumentacji technicznych, odrębnych deklaracji zgodności, odrębnej odpowiedzialności za oznakowanie CE oraz odrębnych ścieżek wsparcia. Mieszanie ich w jednym SKU domyślnie sprowadza się do statusu producenta, ponieważ regulator potraktuje najbardziej ryzykowną klasyfikację jako wiążącą.
Co dzieje się z oznakowaniem CE oryginalnego producenta, gdy uruchomimy eskalację roli?
Przestaje obejmować Państwa produkt. Na mocy Artykułu 22, gdy zostaną Państwo potraktowani jako producent, muszą Państwo wystawić własną deklarację zgodności UE (Artykuł 28) i umieścić oznakowanie CE na własną odpowiedzialność. Deklaracja zgodności i oznakowanie CE oryginalnego producenta obejmowały produkt w takiej postaci, w jakiej został przez niego wprowadzony na rynek; Państwa modyfikacja lub rebranding tworzy nowy akt wprowadzenia na rynek, za który ponoszą Państwo odpowiedzialność.
Czy 5-letni okres wsparcia zaczyna się od nowa, gdy przejmujemy rolę producenta?
Tak. Minimalny okres wsparcia na mocy Artykułu 13 ust. 8 biegnie od daty, w której Państwo wprowadzają zmodyfikowany produkt na rynek UE, a nie od daty pierwszego wydania przez oryginalnego producenta. Jeśli dokonują Państwo rebrandingu lub modyfikacji istniejącego produktu w 2027 r. i wprowadzają go na rynek UE, są Państwo zobowiązani do co najmniej pięciu lat aktualizacji bezpieczeństwa od 2027 r., nawet jeśli podstawowy projekt jest starszy. Należy uwzględnić to w cennikach i umowach z dostawcami: potrzebują Państwo, aby dostawca wyższego szczebla zobowiązał się do wspierania Państwa przez co najmniej Państwa własny okres wsparcia.
Czy potrzebujemy jednostki notyfikowanej, jeśli oryginalny producent z niej korzystał?
Zwykle tak, jeśli produkt należy do klasy ważnej lub krytycznej i został istotnie zmodyfikowany. Certyfikat jednostki notyfikowanej był związany z produktem w postaci pierwotnie zaprojektowanej i ocenionej. Istotna modyfikacja unieważnia tę ocenę, należy więc albo ponownie przeprowadzić ocenę zgodności w trybie Modułu A (samoocena, tylko dla produktów klasy domyślnej), albo zaangażować własną jednostkę notyfikowaną dla Modułu B+C lub Modułu H. Rebranding bez modyfikacji produktu klasy I/II również uruchamia własną ocenę, ponieważ stają się Państwo producentem w rozumieniu prawa.
Jak CRA Evidence Pomaga
CRA Evidence wspiera zarówno importerów jak i producentów:
Dla Importerów:
- Przepływy weryfikacji producentów
- Śledzenie zgodności dostawców
- Przechowywanie dokumentacji dla obowiązków importera
Dla Producentów (w tym po eskalacji):
- Szablony oceny ryzyka
- Zarządzanie dokumentacją techniczną
- Zarządzanie SBOM dla zmodyfikowanych produktów
- Przepływ zarządzania podatnościami
- Śledzenie okresu wsparcia
Zrozum swoją rolę z craevidence.com.
Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym prawnikiem zaznajomionym z przepisami UE dotyczącymi produktów.
Powiązane artykuły
Czy CRA dotyczy Twojego produktu?
Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.
Gotowy na osiągnięcie zgodności z CRA?
Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.