Kiedy Importerzy Stają się Producentami według CRA: Wyjaśnienie Eskalacji Roli

Importujesz router z Azji. Umieszczasz logo swojej firmy na pudełku. Gratulacje: jesteś teraz producentem według CRA, z pełnymi obowiązkami oceny zgodności.

Ten artykuł dokładnie opisuje, kiedy importerzy przekraczają granicę do terytorium producenta, i co to oznacza dla waszego obciążenia zgodności.

Dwa Wyzwalacze Eskalacji Roli

Artykuł 22 CRA ustala, kiedy importer (lub dystrybutor) jest traktowany jako producent:

Wyzwalacz 1: Własna Nazwa lub Znak Towarowy

Umieszczenie produktu na rynku pod własną marką czyni cię producentem, niezależnie od tego, kto faktycznie go zaprojektował i zbudował.

Uruchamiasz to gdy:

• Nazwa twojej firmy pojawia się jako "producent" na opakowaniu
• Twój znak towarowy/logo jest na produkcie
• Materiały marketingowe przedstawiają cię jako źródło produktu
• Klienci rozsądnie wierzyliby, że wyprodukowałeś produkt

Przykłady:

Wyzwalacz 2: Istotna Modyfikacja

Dokonywanie zmian wpływających na przeznaczenie produktu lub jego zgodność z wymaganiami CRA.

Test: Czy oryginalna ocena zgodności byłaby nadal ważna po twoich modyfikacjach?

Jeśli twoje modyfikacje oznaczają, że praca nad zgodnością oryginalnego producenta nie ma już zastosowania, dokonałeś istotnej modyfikacji.

Co Liczy się jako "Istotna Modyfikacja"?

CRA nie dostarcza wyczerpującej listy. Zasada to: zmiany wpływające na postawę bezpieczeństwa lub zamierzone użycie.

Definitywnie Istotna

Definitywnie NIE Istotna

Szare Strefy (Oceniaj Uważnie)

Drzewo Decyzyjne: Czy Jestem Nadal Importerem?

START: Umieszczanie produktu na rynku UE
│
├─ Pod marką oryginalnego producenta?
│   │
│   ├─ TAK → Czy robisz jakiekolwiek modyfikacje?
│   │         │
│   │         ├─ NIE → Jesteś IMPORTEREM
│   │         │       (Stosują się standardowe obowiązki importera)
│   │         │
│   │         └─ TAK → Czy modyfikacja wpływa na:
│   │                   • Przeznaczenie lub użycie?
│   │                   • Zgodność cyberbezpieczeństwa?
│   │                   • Architekturę bezpieczeństwa?
│   │                   │
│   │                   ├─ TAK do któregokolwiek → Jesteś PRODUCENTEM
│   │                   │                         (Pełne obowiązki producenta)
│   │                   │
│   │                   └─ NIE do wszystkich → Jesteś IMPORTEREM
│   │                                         (Udokumentuj swoją analizę)
│   │
│   └─ NIE (twoja marka) → Jesteś PRODUCENTEM
│                          (Pełne obowiązki producenta)

Co Oznacza Status Producenta

Jeśli uruchomisz eskalację roli, dziedziczysz pełny zestaw obowiązków producenta CRA:

Przed Wprowadzeniem na Rynek

Ocena Ryzyka (Artykuł 13):

• Przeprowadź ocenę ryzyka cyberbezpieczeństwa dla zmodyfikowanego produktu
• Udokumentuj zagrożenia, podatności i środki łagodzące
• Połącz ryzyka z kontrolami bezpieczeństwa

Bezpieczny Rozwój:

• Nawet jeśli nie rozwijałeś oryginału, musisz zapewnić, że produkt (po modyfikacji) spełnia zasady security-by-design
• Udokumentuj swój proces modyfikacji i jego rozważania bezpieczeństwa

Dokumentacja Techniczna (Załącznik VII):

• Przygotuj pełną dokumentację techniczną obejmującą:
  • Opis produktu
  • Wyniki oceny ryzyka
  • Architektura bezpieczeństwa (po modyfikacji)
  • SBOM (włącznie z twoimi modyfikacjami)
  • Dowody oceny zgodności

Ocena Zgodności:

• Określ klasyfikację produktu
• Ukończ odpowiednią ścieżkę oceny (Moduł A, B+C, lub H)
• Jeśli oryginalny producent użył oceny strony trzeciej, twoje modyfikacje prawdopodobnie ją unieważniają

Deklaracja Zgodności UE:

• Wydaj własną DoC
• Jesteś odpowiedzialnym producentem
• DoC oryginalnego producenta nie ma już zastosowania

Oznakowanie CE:

• Przyczep oznakowanie CE pod twoją odpowiedzialnością
• Ty deklarujesz zgodność, nie oryginalny producent

Przez Okres Wsparcia

Zarządzanie Podatnościami:

• Ustanów proces obsługi podatności
• Monitoruj podatności (w tym w niezmodyfikowanych komponentach)
• Dostarczaj aktualizacje bezpieczeństwa przez minimum 5 lat

Raportowanie Incydentów:

• Raportuj aktywnie wykorzystywane podatności do ENISA (24h)
• Raportuj poważne incydenty (24h)
• Jesteś odpowiedzialny, nawet za podatności w oryginalnych komponentach

Komunikacja z Klientem:

• Dostarczaj powiadomienia o aktualizacjach bezpieczeństwa
• Utrzymuj kanały wsparcia
• Odpowiedzialnie zarządzaj końcem życia

Praktyczne Scenariusze

Scenariusz 1: Elektronika White-Label

Sytuacja: Importujesz generyczne tablety z Azji i sprzedajesz pod marką "AcmeTab".

Analiza:

• Własna marka: Tak → Wyzwalacz producenta
• Modyfikacje: Nawet bez żadnych, branding uruchamia status producenta

Wynik: Jesteś producentem. Stosują się pełne obowiązki.

Scenariusz 2: Prekonfigurowane Urządzenia Sieciowe

Sytuacja: Importujesz routery enterprise i prekonfigurujesz je z niestandardowymi regułami firewall i ustawieniami VPN przed sprzedażą klientom.

Analiza:

• Własna marka: Załóżmy nie (sprzedawane pod oryginalną marką)
• Modyfikacje: Zmiany konfiguracji
• Czy zmiany wpływają na bezpieczeństwo? Niestandardowe reguły firewall = konfiguracja istotna dla bezpieczeństwa

Wynik: Prawdopodobnie istotna modyfikacja. Prawdopodobnie jesteś producentem.

Scenariusz 3: Zastosowane Poprawki Bezpieczeństwa

Sytuacja: Importujesz urządzenia IoT. Przed sprzedażą stosujesz najnowsze poprawki bezpieczeństwa od producenta.

Analiza:

• Własna marka: Nie
• Modyfikacje: Tylko poprawki bezpieczeństwa
• CRA wyraźnie wyłącza poprawki bezpieczeństwa, które nie zmieniają zamierzonej funkcji

Wynik: Nadal jesteś importerem. To jest scenariusz wyłączony.

Strategie Pozostania Importerem

Jeśli chcesz uniknąć obowiązków producenta:

1. Utrzymuj Oryginalny Branding

Zachowaj nazwę i znak towarowy producenta widoczne. Twoja firma może być identyfikowana jako importer/dystrybutor.

2. Brak Modyfikacji Produktu

Nie dotykaj firmware, sprzętu ani konfiguracji istotnej dla bezpieczeństwa. To co importujesz, to co sprzedajesz.

3. Dokumentuj Wszystko

Przechowuj zapisy pokazujące:

• Produkt jest niezmodyfikowany
• Oryginalny branding producenta jest utrzymany
• Zweryfikowałeś zgodność producenta

4. Pracuj z Producentami

Jeśli potrzebujesz personalizacji:

• Niech producent zrobi zmiany
• Upewnij się, że ich DoC obejmuje spersonalizowaną wersję
• Utrzymaj swój status importera

Jak CRA Evidence Pomaga

CRA Evidence wspiera zarówno importerów jak i producentów:

Dla Importerów:

• Przepływy weryfikacji producentów
• Śledzenie zgodności dostawców
• Przechowywanie dokumentacji dla obowiązków importera

Dla Producentów (w tym po eskalacji):

• Szablony oceny ryzyka
• Zarządzanie dokumentacją techniczną
• Zarządzanie SBOM dla zmodyfikowanych produktów
• Przepływ zarządzania podatnościami
• Śledzenie okresu wsparcia

Zrozum swoją rolę z app.craevidence.com.

Powiązane Przewodniki

• Obowiązki Importerów CRA: Co Zweryfikować Przed Wprowadzeniem Produktów na Rynek UE
• Produkty White-Label i OEM pod CRA: Kto jest Producentem?
• Zgodność CRA Multi-Rola: Gdy Jesteś Producentem, Importerem i Dystrybutorem

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym prawnikiem zaznajomionym z przepisami UE dotyczącymi produktów.