Produkty white-label i OEM pod CRA: przewodnik producenta

Marka sprzedaje tablety pod własnym logo, a buduje je ODM w Shenzhen. Zgodnie z CRA właściciel marki jest producentem, ODM jest jego dostawcą, a wyzwalaczem jest marka, nie miejsce produkcji. Niniejsza strona to warstwa operacyjna white-label. Pełny zestaw obowiązków producenta opisuje klaster producenta.

Dlaczego white-label to odrębna kategoria

White-label zajmuje konkretny róg mapy ról CRA. Granica między white-label a sąsiednimi rolami jest na papierze ostra, ale w realiach zakupowych zacierana.

Trzy granice są przekraczane najczęściej. Pierwsza dzieli white-label (producent od pierwszego dnia) od istotnej modyfikacji (modyfikacja produktu już wprowadzonego do obrotu). White-label jest wyzwalaczem w momencie wprowadzenia; istotna modyfikacja jest wyzwalaczem po wprowadzeniu. Druga to granica między white-label a importerem: nałożenie własnej marki przesuwa podmiot z roli importera do roli producenta, nawet jeśli fizycznie importuje urządzenie. Trzecia to granica między white-label a zaopatrzeniem w komponenty: kto wprowadza produkt pod własną marką, jest producentem tego produktu; kto integruje komponent w produkt budowany samodzielnie, znajduje warstwę operacyjną w poradniku należytej staranności wobec dostawców.

Obrona „to tylko naklejka" i to, co naprawdę się liczy

Liderzy zakupów argumentują czasem, że dodanie naklejki z marką na gotowy produkt nie może uruchomić pełnego statusu producenta. Tabela typowych pułapek z klastra importera wymienia tę dokładną tezę („To tylko naklejka z naszym logo.") i rozprawia się z nią: jeżeli naklejka przedstawia dany podmiot jako źródło produktu, obowiązki producenta mają zastosowanie. Wyzwalaczem jest przedstawienie marki rynkowi, nie głębokość modyfikacji.

Pytanie operacyjne brzmi: co liczy się jako „markowane jako własne", a co pozostaje na terytorium dystrybutora.

Zasada nadrzędna brzmi prezentacja źródła. Jeżeli organ nadzoru rynku, zapytany „kto jest producentem tego produktu?", wskazałby na daną markę, to dany podmiot jest producentem w rozumieniu CRA. Głębokość naklejki, nakład pracy projektowej i poziom dostosowania nie są testem.

Taksonomia scenariuszy white-label

Siedem scenariuszy pokrywa terytorium operacyjne. Każdy odpowiada innej kombinacji ścieżki CRA, głębokości należytej staranności wobec dostawcy i ekspozycji umownej.

1. Prosty rebranding (gotowy produkt, tylko własna marka)

Marka kupuje gotowe tablety, nakłada własne logo, sprzedaje pod własną marką. Domyślny white-label.

• Ścieżka CRA: producent od pierwszej sprzedaży.
• Ocena zgodności: po stronie właściciela marki. Wcześniejsza ocena zgodności OEM może zasilać plik techniczny, ale się nie przenosi.
• Głębokość należytej staranności: wysoka wobec OEM jako dostawcy, zwłaszcza w zakresie dokumentacji, obsługi podatności i zobowiązania dotyczącego okresu wsparcia.
• Ryzyko operacyjne: gotowość OEM do dostarczania aktualizacji bezpieczeństwa decyduje o zdolności właściciela marki do dotrzymania własnego zobowiązania okresu wsparcia wobec użytkowników.

2. Ukryty white-label (sprzedawca dokonuje ponownego rebrandingu)

Właściciel marki bierze produkt OEM jako marka A i sprzedaje do sprzedawcy. Sprzedawca usuwa markę A i nakłada markę B bez informowania, po czym wprowadza sztuki marki B na rynek UE.

• Ścieżka CRA: sprzedawca staje się producentem sztuk marki B. Pierwotny właściciel pozostaje producentem sztuk marki A, które wprowadził. OEM pozostaje dostawcą obu.
• Sygnał operacyjny wykrycia: zgłoszenia obsługi klienta odnoszące się do marki B, które odpowiadają zachowaniu marki A, lub zwroty przychodzące w opakowaniu marki B, gdy właściciel marki A nigdy nie sprzedawał do marki B.
• Korekta umowna: umowy ze sprzedawcami powinny zakazywać ponownego rebrandingu bez pisemnej zgody. Bez tej klauzuli jedynym środkiem jest wypowiedzenie.
• Dlaczego to ma znaczenie: poprawka wysłana w odpowiedzi na podatność nie dotrze do sztuk marki B, dopóki sprzedawca jej nie przepuści, a sprzedawca może nie mieć infrastruktury do tego.

3. Wielopoziomowy white-label (dystrybutor ponownie rebranduje produkt już rebrandowany)

OEM buduje, właściciel marki rebranduje pod własną marką, sprzedaje do dystrybutora w UE, dystrybutor ponownie rebranduje jako własną markę.

• Ścieżka CRA: trzy pozycje prawne ułożone w stos. OEM jest dostawcą, pierwotny właściciel marki jest producentem sztuk wprowadzonych pod własną marką, dystrybutor staje się producentem sztuk wprowadzonych pod swoją marką.
• Wzorzec operacyjny: powszechny w automatyce przemysłowej, sprzęcie AV i B2B IoT.
• Klauzula krytyczna: umowa z dystrybutorem musi określać, czy ponowny rebranding jest dozwolony, a jeśli tak, że dystrybutor przejmuje status producenta dla zrebrandowanego wariantu. Bez tego obie strony mogą rościć sobie status dystrybutora, podczas gdy organy patrzą na widoczną markę na każdej sztuce.

4. Produkty współbrandowane (obie nazwy na produkcie)

Produkt nosi widocznie dla użytkownika końcowego zarówno własną markę, jak i markę OEM.

• Ścieżka CRA: zwykle status producenta nosi marka dostępna w sprzedaży detalicznej; obie strony mogą zostać wyznaczone jako producenci, jeśli obie przedstawiają się jako źródło.
• Korekta umowna: wskazanie producenta musi być wpisane do umowy współbrandingu. Domyślne odczytanie: producentem dla danej kohorty sztuk jest strona podpisująca deklarację zgodności.
• Ryzyko operacyjne: wspólna widoczność marki może wprowadzać zamieszanie wśród użytkowników, do kogo kierować zgłoszenia podatności; pojedynczy punkt kontaktu dla produktu musi być jednoznaczny.

5. Private-label detalisty (Amazon Basics, Lidl Silvercrest, Tesco)

Detalista o dużym wolumenie zleca OEM budowę produktu pod marką private-label detalisty. Detalista jest właścicielem marki white-label.

• Ścieżka CRA: producentem jest detalista. Wolumen nie zmienia analizy; zmienia ją prezentacja marki.
• Skala operacyjna: typowo setki SKU u wielu OEM. Plik techniczny per SKU, deklaracja zgodności per SKU, licznik okresu wsparcia per SKU. Kupiec detaliczny traktujący zgodność z CRA jako jednokrotne pytanie zakupowe zaniża skalę obciążenia.
• Wzorzec umowny: wieloletnie umowy ramowe z OEM, klauzule lustrzanego okresu wsparcia (OEM zobowiązuje się CO NAJMNIEJ tak długo, jak detalista zobowiązuje się wobec użytkowników), depozyt kodu źródłowego dla firmware oraz wyraźne przekazanie wymagań CRA na podkomponenty.

6. Sam sprzęt od ODM + własny firmware

Marka zleca sprzęt ODM (płyta przemysłowa, wzmocniony tablet, obudowa bramki IoT) i ładuje na nim własny firmware. Substrat sprzętowy pochodzi od OEM; koperta bezpieczeństwa należy do właściciela marki.

• Ścieżka CRA: właściciel marki jest producentem produktu zintegrowanego. ODM jest jego dostawcą sprzętu. Różni się od prostego rebrandingu, ponieważ faktycznie budowany jest dodatkowy element na substracie.
• Kształt należytej staranności: opiera się na poradniku ODM samego sprzętu (kontrola BOM, źródło elementu bezpiecznego, fabryczna iniekcja kluczy, okno EOL platformy sprzętowej).
• Częsty błąd operacyjny: podpisanie wieloletniego zobowiązania wsparcia klientów z ODM, którego okno EOL sprzętu jest krótsze. Gdy krzem osiągnie EOL, obowiązek wsparcia nie słabnie.

7. White-label SaaS lub komponent zdalnego przetwarzania danych

„Produkt" widziany przez klientów to własnomarkowy SaaS lub własnomarkowe API. Faktyczne przetwarzanie działa na platformie OEM oznaczonej własną marką (zarządzany klaster Kafki, platforma uwierzytelniania SaaS, zarządzana usługa floty urządzeń).

• Ścieżka CRA: zależy od tego, czy sam SaaS jest „produktem z elementami cyfrowymi" w rozumieniu CRA. CRA obejmuje „rozwiązania zdalnego przetwarzania danych" wyłącznie wtedy, gdy są one integralne dla wprowadzonego produktu. Czysty SaaS, który nie integruje się z wprowadzonym produktem, jest zwykle poza zakresem. Jeżeli SaaS jest integralnym komponentem wprowadzonego produktu (firmware łączący się z chmurą, zarządzanie flotą urządzeń IoT), dostawca SaaS należy do łańcucha dostawców i obowiązuje poradnik komponentu usługi chmurowej.
• Wzorzec umowny: portfel atestacji SaaS (SOC 2, ISO/IEC 27001, ISO/IEC 27017), umowa o przetwarzaniu danych, lista podprocesorów, okno powiadomienia o zakończeniu usługi.

Dostosowanie firmware: gdzie kończy się pomost rebrandingu, a zaczyna klauzula uzupełniająca

Najczęstsze pomieszanie w zgodności white-label to mylenie pomostu rebrandingu (importer lub dystrybutor, który istotnie modyfikuje produkt już wprowadzony do obrotu, staje się producentem dla zmodyfikowanego produktu) z klauzulą uzupełniającą (każda inna strona trzecia, która istotnie modyfikuje wprowadzony produkt, staje się producentem). Obie ścieżki są w CRA; obejmują różnych aktorów.

Granica, odwzorowana na scenariusze dostosowania firmware spotykane przez właścicieli marek white-label:

Dwie konsekwencje operacyjne. Pierwsza: właściciel marki white-label nie „ucieka" w ścieżkę klauzuli uzupełniającej twierdząc, że istotną modyfikację wykonał ktoś inny; jeżeli wprowadza zmodyfikowany produkt na rynek pod własną marką, modyfikacja należy do jego zakresu producenta. Druga: gdy jeden z dystrybutorów dostosowuje firmware white-label, ścieżka pomostu rebrandingu trafia na niego, nie na właściciela marki, dla tych konkretnych sztuk. Trzeba śledzić, które sztuki opuściły kontrolę właściciela marki niezmodyfikowane, a które zmodyfikowano niżej w łańcuchu; obowiązek okresu wsparcia dla zmodyfikowanych sztuk przechodzi na modyfikującego.

Dosłowny tekst przepisów o pomoście rebrandingu i klauzuli uzupełniającej znajduje się w sekcji FAQ klastra dystrybutora, gdzie oba są cytowane obok siebie.

Licznik okresu wsparcia dla white-label

Licznik okresu wsparcia CRA startuje w momencie, gdy producent wprowadza produkt na rynek UE. Dla white-label właściciel marki jest producentem, więc licznik startuje, gdy właściciel marki po raz pierwszy wprowadza swoją rebrandowaną wersję na rynek UE, nie wtedy, gdy OEM po raz pierwszy wprowadził oryginał bez marki ani gdy sprzedał go właścicielowi marki.

HARMONOGRAM OKRESU WSPARCIA (WHITE-LABEL)

Rok 0   OEM po raz pierwszy wprowadza wersję bez marki na rynek UE
        Licznik wsparcia OEM startuje na jego własnej deklaracji zgodności

Rok 0   OEM dostarcza pierwszą partię rebrandowaną do magazynu właściciela marki
        (Żaden licznik CRA jeszcze nie startuje, brak wejścia na rynek UE)

Rok 1   Właściciel marki wprowadza pierwsze rebrandowane sztuki na rynek UE
        Licznik wsparcia WŁAŚCICIELA MARKI startuje na JEGO deklaracji zgodności (minimum 5 lat)

Rok 1   OEM nadal sprzedaje oryginał bez marki równolegle
        (Działają dwa niezależne liczniki; OEM pokrywa sztuki OEM, właściciel marki pokrywa swoje)

Rok 4   OEM wstrzymuje produkcję
        Obowiązek wsparcia właściciela marki trwa co najmniej do Roku 6
        (i dłużej, jeśli wprowadzono sztuki po Roku 1)

Z tego wynika obowiązek klauzuli lustrzanej: umowa z OEM musi zobowiązać OEM do dostarczania aktualizacji bezpieczeństwa właścicielowi marki CO NAJMNIEJ tak długo, jak ten zobowiązuje się wobec swoich użytkowników. Jeżeli właściciel marki zobowiązuje się na pięć lat wobec użytkowników, a OEM zobowiązuje się na trzy lata wobec właściciela marki, powstaje dwuletnia luka bez źródła łatek. Standardowymi środkami łagodzącymi są depozyt kodu źródłowego i kwalifikacja drugiego źródła.

Gdy OEM kończy działalność

Powszechne nieporozumienie: gdy OEM kończy działalność, CRA nakłada na właściciela marki obowiązek powiadomienia, który przenosi część obowiązków OEM.

Dwa wyjaśnienia mają znaczenie. Pierwsze: obowiązek powiadomienia o zaprzestaniu działalności producenta spoczywa na importerze, nie na właścicielu marki. Właściciel marki white-label jest producentem CRA swojego rebrandowanego produktu; OEM był jego dostawcą, nie producentem produktu w jego marce. Przepis o powiadomieniu o zaprzestaniu po stronie importera nie ma zastosowania w tym scenariuszu, ponieważ OEM nie był producentem CRA produktu w marce właściciela marki. Sekcja klastra importera o zaprzestaniu działalności szczegółowo omawia obowiązek po stronie importera.

Drugie: obowiązek wsparcia nie „przenosi się" z OEM na właściciela marki, ponieważ zawsze należał do właściciela marki. Właściciel marki zobowiązał się wobec użytkowników w momencie pierwszego wprowadzenia; zaprzestanie działalności OEM zmienia sytuację zaopatrzeniową, nie statutowe zobowiązanie. Operacyjnym planem awaryjnym jest to, co umowa przewidziała (depozyt kodu źródłowego, drugie źródło, usługi przejściowe), nie przepis o zaprzestaniu po stronie importera.

Jedyne statutowe powiadomienie o zaprzestaniu, które MA zastosowanie do właściciela marki white-label, to powiadomienie własnego producenta o zaprzestaniu: jeżeli właściciel marki jako producent kończy działalność, musi poinformować organy nadzoru rynku i, wszelkimi dostępnymi środkami, swoich użytkowników.

Transgraniczny white-label

Marka pozyskuje od azjatyckiego ODM, rebranduje i wprowadza produkt na rynek UE za pośrednictwem spółki zależnej z UE. Wyzwalacz white-label (producent od pierwszej sprzedaży) łączy się z pytaniem o brak siedziby w UE dla celów zgłaszania podatności i incydentów.

Jeżeli marka white-label należy do spółki dominującej spoza UE, a spółka zależna z UE jest podmiotem wprowadzającym produkt na rynek, możliwe są dwie ścieżki. Ścieżka A: spółka zależna z UE jest producentem prawnym, a spółka dominująca pełni rolę komercyjnego właściciela marki; państwo członkowskie spółki zależnej jest organem macierzystym. Ścieżka B: spółka dominująca spoza UE jest producentem prawnym (właścicielem marki w rejestrze), a spółka zależna z UE jest importerem; kaskada zastępcza dla producenta spoza UE kieruje zgłoszenia incydentów przez państwo członkowskie upoważnionego przedstawiciela → państwo członkowskie importera → państwo członkowskie dystrybutora → państwo członkowskie z największą liczbą użytkowników.

Wybór ścieżki w strukturyzacji prawnej grupy powinien być świadomy; nie może wyniknąć przypadkowo z układu własności marki. Właściciel marki spoza UE bez siedziby w UE i bez wyznaczonego upoważnionego przedstawiciela kieruje swoje zgłoszenia incydentów domyślnie do państwa członkowskiego importera, co oznacza, że organ nadzoru rynku spółki zależnej dostaje zgłoszenia niezależnie od tego, czy spółka jest przygotowana do ich obsługi.

Pochodzenie SBOM w white-label

Siostrzany tekst o dostawcach omawia klauzule umowne dotyczące SBOM w sposób ogólny. W white-label rzeczywistość operacyjna jest ostrzejsza: SBOM nie powstaje z własnego pipeline'u budowania, ponieważ właściciel marki nie napisał kodu.

Trzy konsekwencje operacyjne.

Pierwsza: SBOM jest deliverable kontraktowym od OEM, nie artefaktem wewnętrznym. Umowa musi określać format (CycloneDX lub SPDX), kadencję aktualizacji (per wydanie), głębokość (zależności przechodnie, nie tylko bezpośrednie) i wyzwalacz odświeżenia (każda zmiana wersji firmware). Bez tego OEM może dostarczyć SBOM zawierający tylko bezpośrednie zależności, który pomija 90% rzeczywistej powierzchni ryzyka.

Druga: autorstwo SBOM nosi markę właściciela, nawet jeśli to nie on stworzył komponenty. Gdy SBOM wymienia podatną zależność przechodnią, obowiązek należytej staranności wobec komponentów spada na właściciela marki. Rekord należytej staranności nie może być kopią od OEM; musi być własną decyzją i własną akceptacją ryzyka per zintegrowany komponent. Do podprzypadków FOSS, chmury, samego sprzętu i stewarda OSS wewnątrz SBOM OEM służy poradnik należytej staranności wobec dostawców.

Trzecia: scenariusze samego sprzętu ODM dzielą się na BOM sprzętowy (BOM elementów fizycznych) i SBOM oprogramowania (BOM firmware dostarczanego przez właściciela marki). BOM sprzętowy pochodzi od OEM; SBOM oprogramowania należy do właściciela marki (ponieważ firmware jest jego). Plik techniczny musi je rozróżniać, a podział monitorowania podatności musi to odzwierciedlać: monitorowanie BOM sprzętowego płynie od OEM do właściciela marki, monitorowanie SBOM oprogramowania jest bezpośrednim obowiązkiem właściciela marki.

Klauzule umowne podziału odpowiedzialności

Siedem klauzul umownych nośnych dla układu white-label pod CRA. Każda wpina się w konkretny obowiązek producenta, który powstaje po stronie właściciela marki i zależy od OEM, by go zrealizować.

1. Uznanie producenta w rozumieniu CRA

Dostawca uznaje, że Kupujący wprowadzi Produkt
na rynek UE pod nazwą lub znakiem towarowym
Kupującego i że Kupujący będzie uważany za
„producenta" zgodnie z Rozporządzeniem (UE) 2024/2847
(akt o cyberodporności). Dostawca zobowiązuje się
wspierać obowiązki zgodności Kupującego określone
w niniejszej Umowie.

2. Dokumentacja techniczna (załącznik VII)

Dostawca dostarczy Kupującemu:
(a) Kompletną dokumentację techniczną spełniającą
    wymagania załącznika VII Rozporządzenia (UE) 2024/2847
(b) Całą dokumentację niezbędną, aby Kupujący mógł:
    - Przeprowadzić ocenę zgodności
    - Przygotować deklarację zgodności UE
    - Odpowiedzieć na uzasadnione żądania organów nadzoru rynku
(c) Aktualizacje dokumentacji w ciągu [10] dni roboczych
    od jakiejkolwiek zmiany wpływającej na status zgodności

Dostawca udziela Kupującemu wieczystej, nieodwołalnej,
bezpłatnej licencji na używanie takiej dokumentacji
do celów zgodności, w tym przedstawiania jej organowi
nadzoru rynku w języku przez ten organ zrozumiałym.

3. Dostarczenie SBOM (z głębokością przechodnią)

Dostawca dostarczy:
(a) Software Bill of Materials w formacie [CycloneDX/SPDX]
(b) Zaktualizowany SBOM w ciągu [5] dni roboczych od każdego
    wydania firmware zmieniającego komponenty bezpośrednie
    lub przechodnie
(c) SBOM obejmujący zależności przechodnie, nie tylko
    zależności bezpośrednie
(d) Identyfikację komponentów z nazwą, wersją, dostawcą,
    licencją i znanymi podatnościami w momencie dostawy

4. Powiadomienie o podatności (godziny, nie „niezwłocznie")

Dostawca powiadomi Kupującego w ciągu [24/48] godzin
od powzięcia wiedzy o jakiejkolwiek podatności
bezpieczeństwa w Produkcie lub w jakimkolwiek
przechodnio zintegrowanym komponencie, która:
(a) Jest aktywnie wykorzystywana
(b) Ma wynik CVSS 7,0 lub wyższy
(c) Podlega publicznemu ujawnieniu

Opracowanie poprawki:
(a) Potwierdzenie w ciągu [24] godzin
(b) Ocena wagi w ciągu [72] godzin
(c) Dostarczenie poprawki w ciągu [7/30/90] dni
    dla wagi Krytycznej/Wysokiej/Średniej

Kupujący zachowuje ostateczną decyzję w zakresie
komunikacji z klientami i harmonogramu wydania aktualizacji.

5. Lustrzany okres wsparcia

Dostawca zobowiązuje się do dostarczania aktualizacji
bezpieczeństwa dla Produktu przez minimalny okres,
który odpowiada lub przekracza zobowiązanie Kupującego
dotyczące okresu wsparcia wobec użytkowników końcowych,
a w każdym razie przez co najmniej [5/7/10] lat od daty
pierwszego wprowadzenia na rynek UE przez Kupującego.

Dostawca dostarczy [90]-dniowe pisemne powiadomienie
przed jakimkolwiek planowanym zaprzestaniem produkcji.
W przypadku zaprzestania Dostawca udostępni kod źródłowy
i artefakty budowania na warunkach [depozytu kodu
źródłowego / pomocy w przejściu].

6. Wsparcie oceny zgodności i prawa audytowe

Dostawca:
(a) Wspiera działania oceny zgodności Kupującego,
    w tym dostarcza raporty z testów, certyfikaty
    i dowody w rozsądnym zakresie na żądanie
(b) Umożliwia Kupującemu lub jednostce notyfikowanej
    Kupującego audyt zakładów produkcyjnych
    po [30]-dniowym pisemnym powiadomieniu
(c) Utrzymuje kontrole jakości zgodne z ocenionym
    typem produktu

7. Przekazanie i ujawnienie podkomponentów

Dostawca:
(a) Dostarcza i utrzymuje wykaz dostawców podkomponentów,
    którzy wnoszą wkład do lub mają dostęp do
    istotnych dla bezpieczeństwa części Produktu
(b) Przekazuje odpowiednie wymagania CRA do podkomponentów
(c) Powiadamia Kupującego w ciągu [30] dni o jakiejkolwiek
    istotnej zmianie wykazu dostawców podkomponentów
(d) Utrzymuje rejestry kwalifikacji dostawców podkomponentów
    przez okres wsparcia Kupującego plus 10 lat

Podsumowanie podziału ryzyka

Odziedziczone układy white-label po fuzji lub przejęciu

Marka przejmuje firmę i odkrywa, że połowa katalogu jest white-labelowana bez śladu zgodności. CRA nie daje okresu karencji po fuzji lub przejęciu; podmiot przejmujący przejmuje obowiązki producenta od pierwszego dnia dla każdego produktu znajdującego się aktualnie na rynku UE pod przejętą marką.

TRIAŻ WHITE-LABEL PO FUZJI LUB PRZEJĘCIU (90 DNI)

DZIEŃ 1-15: Inwentaryzacja
[ ] Pobranie listy SKU z systemu ERP przejętego podmiotu
[ ] Tagowanie każdego SKU jako własny projekt / white-label / zmodyfikowany OEM
[ ] Identyfikacja OEM stojącego za każdym SKU white-label
[ ] Sprawdzenie statusu wysyłki (aktywny vs zapas EOL)

DZIEŃ 15-30: Analiza luk dokumentacyjnych
[ ] Dla każdego aktywnego SKU white-label: czy istnieje deklaracja zgodności w imieniu Kupującego?
[ ] Dla każdego aktywnego SKU white-label: czy istnieje plik techniczny w imieniu Kupującego?
[ ] Dla każdego aktywnego SKU white-label: czy istnieje SBOM?
[ ] Tagowanie SKU po wadze luki (brak deklaracji > niekompletny plik techniczny > brak SBOM)

DZIEŃ 30-60: Naprawa Tier 1
[ ] SKU bez deklaracji: wycofać z rynku UE do czasu jej wystawienia
[ ] SKU bez pliku technicznego: zbudować z dowodów OEM + własnej oceny
[ ] SKU bez SBOM: zakontraktować OEM na dostarczenie SBOM; jeśli OEM odmawia lub zaprzestał, zaplanować wymianę lub wygaszenie

DZIEŃ 60-90: Brama decyzyjna
[ ] Każdy SKU white-label sklasyfikowany: zachować / wygasić / wymienić OEM
[ ] Umowy OEM ocenione względem zestawu 7 klauzul; luki zmapowane
[ ] Pokrycie lustrzanego okresu wsparcia przeanalizowane end-to-end

NA BIEŻĄCO:
[ ] Tagowanie pochodzenia z fuzji lub przejęcia w każdym rekordzie SKU na potrzeby audytu
[ ] Włączenie odziedziczonych SKU w normalny cykl wydawniczy SBOM i monitorowania podatności

Triaż nie jest ćwiczeniem papierowym. Organy pytające, dlaczego 12-letni SKU white-label nie ma deklaracji zgodności po przejęciu, łatwiej zaakceptują „lukę wykryto w 90-dniowym triażu po przejęciu i SKU wycofano do czasu naprawy" niż „nadal ustalamy, który OEM go wyprodukował".

Typowe pułapki

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym zaznajomionym z regulacjami produktowymi UE.