Produkty White-Label i OEM pod CRA: Kto Jest Producentem?

Sprzedajesz tablety pod swoją marką, ale fabryka w Azji je produkuje. Zgodnie z CRA, ty jesteś producentem, ze wszystkimi obowiązkami, które to ze sobą niesie. Zrozumienie zgodności produktów white-label jest niezbędne, zanim umieścisz swoje logo na sprzęcie kogoś innego.

Ten przewodnik obejmuje obowiązki CRA dla ustaleń white-label, OEM i private-label.

Zrozumienie White-Label w ramach CRA

Podstawowa Zasada

Artykuł 3 CRA definiuje "producenta" jako:

"każdą osobę fizyczną lub prawną, która wytwarza produkt z elementami cyfrowymi lub zleca projektowanie lub wytwarzanie takiego produktu i wprowadza go do obrotu pod własną nazwą lub znakiem towarowym"

Kluczowe wyrażenie to "wprowadza go do obrotu pod własną nazwą lub znakiem towarowym".

Jeśli twoja marka jest na produkcie, jesteś producentem, nawet jeśli nigdy nie dotknąłeś lutownicy ani nie napisałeś linijki kodu.

Wyjaśnienie Terminologii

Różne terminy, ten sam wynik CRA:

Rozróżnienie, które ma znaczenie: Czyja marka jest na produkcie?

Co To Oznacza w Praktyce

Jesteś Producentem, Więc...

Jako producent white-label zgodnie z CRA, musisz:

Przed Wprowadzeniem na Rynek:

1. Przeprowadzić ocenę zgodności (Moduł A, B+C lub H)
2. Przygotować dokumentację techniczną (Załącznik VII)
3. Zapewnić, że produkt spełnia wymagania zasadnicze Załącznika I
4. Podpisać Deklarację Zgodności UE
5. Umieścić oznakowanie CE
6. Utworzyć/utrzymywać SBOM

W Okresie Wsparcia:

1. Obsługiwać zgłoszenia podatności
2. Dostarczać aktualizacje bezpieczeństwa przez 5+ lat
3. Raportować do ENISA (w przypadku aktywnego wykorzystywania)
4. Powiadamiać klientów o problemach bezpieczeństwa
5. Utrzymywać dokumentację

Na Bieżąco:

1. Nadzór posprzedażowy
2. Współpraca z władzami
3. Reagowanie na niezgodności

Twój Dostawca Staje Się Twoim Dostawcą

Faktyczny producent (fabryka, ODM, itp.) jest teraz twoim dostawcą, nie producentem prawnym dla celów CRA. To zmienia relację:

PRZED CRA:
Fabryka ODM → "Producent" (ich produkt, ich zgodność)
     ↓
Twoja Marka → "Reseller/Dystrybutor"

POD CRA:
Fabryka ODM → "Dostawca" (buduje według specyfikacji)
     ↓
Twoja Marka → "Producent" (twój produkt, twoja zgodność)

Luka Zgodności White-Label

Wiele ustaleń white-label nie było zaprojektowanych z myślą o tym. Typowe problemy:

Luka 1: Brak Dostępu do Dokumentacji Technicznej

Twój ODM ma plik techniczny, ale teraz ty musisz go utrzymywać.

Problem:

• Fabryka uważa projekty za zastrzeżone
• Dokumentacja może być niekompletna
• Może nie spełniać wymagań formatu CRA

Rozwiązanie:

• Negocjuj dostęp do dokumentacji w umowie
• Wymagaj pliku technicznego zgodnego z Załącznikiem VII
• Zweryfikuj przed podpisaniem umowy

Luka 2: Niezdefiniowana Obsługa Podatności

Kto obsługuje problemy bezpieczeństwa, gdy twój markowy produkt ma podatność?

Problem:

• Fabryka odkrywa podatność, czy ci powie?
• Klient zgłasza do ciebie, czy fabryka może naprawić?
• Niezsynchronizowane harmonogramy

Rozwiązanie:

• Zdefiniuj reagowanie na podatności w umowie
• Ustal harmonogramy powiadomień
• Uzgodnij obowiązki rozwoju aktualizacji
• Wyjaśnij raportowanie ENISA (twój obowiązek)

Luka 3: Niedopasowanie Okresu Wsparcia

Obiecałeś 5-letnie wsparcie, ale twoja relacja z dostawcą trwa 2 lata.

Problem:

• Fabryka wycofuje produkt
• Fabryka upada
• Brak źródła aktualizacji po zakończeniu umowy

Rozwiązanie:

• Negocjuj czas trwania okresu wsparcia w umowie
• Ustalenia escrow dla kodu źródłowego
• Planowanie awaryjne dla zmian dostawcy
• Rozważ kwalifikację wielu dostawców

Luka 4: Brak SBOM

Potrzebujesz SBOM. Twój dostawca nigdy go nie stworzył.

Problem:

• Nie możesz dostarczyć SBOM regulatorom lub klientom
• Nie możesz śledzić podatności w komponentach
• Nie możesz wykazać przejrzystości łańcucha dostaw

Rozwiązanie:

• Wymagaj SBOM w zamówieniach
• Określ format (CycloneDX, SPDX)
• Zdefiniuj częstotliwość aktualizacji

Strukturyzowanie Umów White-Label dla CRA

Niezbędne Warunki Umowne

Twoja umowa white-label/OEM powinna zawierać:

1. Uznanie Zgodności z CRA

Dostawca uznaje, że Kupujący wprowadzi Produkt
na rynek UE pod marką Kupującego i że Kupujący
będzie uważany za "producenta" zgodnie z Rozporządzeniem (UE)
2024/2847 (Cyber Resilience Act). Dostawca zgadza się
wspierać obowiązki zgodności Kupującego określone
w niniejszej Umowie.

2. Dokumentacja Techniczna

Dostawca dostarczy Kupującemu:
(a) Kompletną dokumentację techniczną spełniającą
    wymagania Załącznika VII Rozporządzenia (UE) 2024/2847
(b) Całą dokumentację niezbędną, aby Kupujący mógł:
    - Przeprowadzić ocenę zgodności
    - Przygotować Deklarację Zgodności UE
    - Odpowiedzieć na żądania nadzoru rynku
(c) Aktualizacje dokumentacji w ciągu [10] dni od jakiejkolwiek
    zmiany wpływającej na status zgodności

Dostawca udziela Kupującemu wieczystej, nieodwołalnej licencji
na używanie takiej dokumentacji do celów zgodności.

3. Dostarczenie SBOM

Dostawca dostarczy:
(a) Software Bill of Materials w formacie [CycloneDX/SPDX]
(b) Zaktualizowany SBOM w ciągu [5] dni od każdego wydania
    firmware/software
(c) SBOM zawierający wszystkie komponenty stron trzecich z:
    - Nazwą i wersją komponentu
    - Informacjami o dostawcy
    - Informacjami o licencji
    - Znanymi podatnościami w momencie dostawy

4. Zarządzanie Podatnościami

Powiadomienie o Podatności:
Dostawca powiadomi Kupującego w ciągu [24 godzin] od
uzyskania wiedzy o jakiejkolwiek podatności bezpieczeństwa
w Produkcie, niezależnie od źródła odkrycia.

Rozwój Łatki:
Po powiadomieniu o podatności, Dostawca:
(a) Potwierdzi w ciągu [24 godzin]
(b) Dostarczy ocenę dotkliwości w ciągu [72 godzin]
(c) Dostarczy łatkę w ciągu:
    - [7 dni] dla dotkliwości Krytycznej
    - [30 dni] dla dotkliwości Wysokiej
    - [90 dni] dla dotkliwości Średniej/Niskiej

Kupujący zachowuje ostateczną władzę nad komunikacją
z klientami i harmonogramem wydania aktualizacji.

5. Zobowiązanie Okresu Wsparcia

Dostawca zobowiązuje się do:
(a) Dostarczania aktualizacji bezpieczeństwa dla Produktu przez
    minimalny okres [5 lat] od daty pierwszej
    dostawy do Kupującego
(b) Utrzymywania zdolności do produkcji aktualizacji przez
    cały ten okres
(c) Powiadomienia z [90-dniowym] wyprzedzeniem przed jakimkolwiek
    planowanym wycofaniem
(d) [Escrow kodu źródłowego / pomoc w przejściu] jeśli
    Dostawca nie może wypełnić tego zobowiązania

6. Wsparcie Zgodności

Dostawca:
(a) Wspiera działania oceny zgodności Kupującego
(b) Dostarcza raporty z testów, certyfikaty i dowody
    w rozsądnie żądanym zakresie
(c) Pozwala Kupującemu lub wyznaczonej przez Kupującego
    Jednostce Notyfikowanej na audyt zakładów produkcyjnych
(d) Utrzymuje kontrole jakości zgodne z
    ocenionym typem produktu

7. Zarządzanie Podkomponentami

Dostawca:
(a) Dostarcza listę wszystkich dostawców podkomponentów
(b) Przekazuje odpowiednie wymagania CRA do podkomponentów
(c) Powiadamia Kupującego o wszelkich zmianach podkomponentów
    wpływających na bezpieczeństwo lub zgodność
(d) Utrzymuje rejestry kwalifikacji dostawców
    podkomponentów

Alokacja Ryzyka

Praktyczny Przepływ Pracy

Przed Podpisaniem Umowy White-Label

DUE DILIGENCE PRZED UMOWĄ

1. OCENA TECHNICZNA
   [ ] Przejrzyj architekturę produktu
   [ ] Oceń funkcje bezpieczeństwa względem Załącznika I
   [ ] Zidentyfikuj luki wymagające naprawy
   [ ] Oceń zdolność mechanizmu aktualizacji

2. OCENA DOKUMENTACJI
   [ ] Poproś o przykładową dokumentację techniczną
   [ ] Zweryfikuj kompletność względem Załącznika VII
   [ ] Przejrzyj dostępność i jakość SBOM
   [ ] Oceń dokumentację oceny ryzyka

3. ZDOLNOŚĆ DOSTAWCY
   [ ] Oceń praktyki bezpiecznego rozwoju
   [ ] Przejrzyj historię obsługi podatności
   [ ] Oceń infrastrukturę wsparcia
   [ ] Zweryfikuj zdolność rozwoju aktualizacji
   [ ] Sprawdź stabilność finansową dla zobowiązania 5-letniego

4. NEGOCJACJE UMOWY
   [ ] Uwzględnij wszystkie warunki specyficzne dla CRA
   [ ] Zdefiniuj deliverable dokumentacyjne
   [ ] Ustal SLA reagowania na podatności
   [ ] Zabezpiecz zobowiązanie okresu wsparcia
   [ ] Zajmij się escrow kodu źródłowego

5. PLANOWANIE OCENY ZGODNOŚCI
   [ ] Określ klasyfikację produktu
   [ ] Wybierz moduł oceny zgodności
   [ ] Zidentyfikuj Jednostkę Notyfikowaną (jeśli wymagana)
   [ ] Zaplanuj przygotowanie pliku technicznego

Po Podpisaniu: Zarządzanie Bieżące

ZARZĄDZANIE ZGODNOŚCIĄ PRODUKTÓW WHITE-LABEL

Miesięcznie:
[ ] Przejrzyj powiadomienia o podatnościach od dostawcy
[ ] Sprawdź otrzymane aktualizacje SBOM
[ ] Monitoruj ostrzeżenia bezpieczeństwa dostawcy
[ ] Zweryfikuj zdolności dostarczania aktualizacji

Kwartalnie:
[ ] Przegląd dokumentacji technicznej
[ ] Ocena zdolności dostawcy
[ ] Weryfikacja zgodności umownej
[ ] Śledzenie okresu wsparcia

Rocznie:
[ ] Pełny audyt zgodności
[ ] Przegląd i aktualizacja umowy
[ ] Sprawdzenie kondycji biznesowej dostawcy
[ ] Przegląd kompletności dokumentacji

Na Wydanie:
[ ] Zaktualizowany SBOM otrzymany
[ ] Plik techniczny zaktualizowany
[ ] Testy ukończone
[ ] Zgodność utrzymana

Typowe Scenariusze White-Label

Scenariusz 1: Proste Rebranding

Sytuacja: Kupujesz gotowe tablety, umieszczasz swoje logo, sprzedajesz pod swoją marką.

Twoje obowiązki:

• Pełny status producenta
• Musisz uzyskać całą dokumentację od dostawcy
• Musisz przeprowadzić ocenę zgodności (lub zweryfikować, czy ocena dostawcy jest ważna dla twojego użycia)
• Musisz obsługiwać wszystkie obowiązki posprzedażowe

Kluczowe ryzyka:

• Ocena zgodności dostawcy może nie przenosić się na ciebie
• Potrzebujesz własnej DoC
• Aktualizacje zależą całkowicie od dostawcy

Scenariusz 2: Niestandardowy Produkt ODM

Sytuacja: ODM projektuje produkt według twoich specyfikacji, ty markujesz i sprzedajesz.

Twoje obowiązki:

• Pełny status producenta
• Ocena zgodności jest zdecydowanie twoją odpowiedzialnością (niestandardowy projekt)
• Plik techniczny musi odzwierciedlać twoje dostosowania
• Obsługa podatności dla twojej wersji

Kluczowe ryzyka:

• Dostosowania mogą wprowadzić podatności
• Twoje zmiany mogą unieważnić testy dostawcy
• Okres wsparcia dla niestandardowej wersji

Scenariusz 3: Wersje Multi-Markowe

Sytuacja: Ten sam produkt sprzedawany pod różnymi markami (twoją i innymi).

Obowiązki każdego właściciela marki:

• Każdy jest producentem dla swojej markowej wersji
• Każdy potrzebuje własnej DoC i oznakowania CE
• Podatności dotyczą wszystkich, potrzebna koordynacja

Kluczowe ryzyka:

• Koordynacja ujawniania podatności
• Kto raportuje do ENISA?
• Zamieszanie klientów, jeśli aktualizacje się różnią

Scenariusz 4: Częściowy White-Label (Komponenty)

Sytuacja: Projektujesz ogólny produkt, pozyskujesz moduły komponentów white-label.

Twoje obowiązki:

• Jesteś producentem ogólnego produktu
• Dostawca komponentów jest twoim dostawcą
• Musisz ocenić bezpieczeństwo komponentów
• Podatności komponentów są twoim problemem

Kluczowe ryzyka:

• Dostawca komponentów może nie dostarczyć odpowiedniej dokumentacji
• Podatność w komponencie = twoja odpowiedzialność
• Wielu dostawców komponentów = złożone śledzenie

Kiedy White-Label Nie Działa

Niektóre sytuacje czynią zgodność white-label bardzo trudną:

Fabryka Nie Dostarczy Dokumentacji

Jeśli dostawca odmawia dostępu do dokumentacji technicznej, nie możesz:

• Ukończyć oceny zgodności
• Stworzyć zgodnego pliku technicznego
• Wykazać zgodności władzom

Opcje:

• Znajdź innego dostawcę
• Negocjuj twardziej (zgodność jest nienegocjowalna)
• Zamów niezależne testy (drogie, niekompletne)

Okres Wsparcia Nie Może Być Zagwarantowany

Jeśli dostawca nie zobowiąże się do 5-letniego wsparcia:

Opcje:

• Negocjuj escrow kodu źródłowego
• Zidentyfikuj zapasową zdolność rozwoju
• Skróć swój okres wsparcia (ale minimum 5 lat nadal wymagane)
• Nie kontynuuj

Produkt Nie Spełnia Wymagań

Jeśli produkt white-label ma fundamentalne luki bezpieczeństwa:

Opcje:

• Wymagaj od dostawcy naprawy (przed przyjęciem dostawy)
• Dodaj warstwę bezpieczeństwa samodzielnie (i stań się bardziej zaangażowany)
• Nie kontynuuj

Nigdy: Nie wprowadzaj niezgodnego produktu na rynek zakładając, że "naprawisz to później".

Rozważania Kosztowe

Zgodność CRA white-label dodaje koszty poza pozyskaniem produktu:

Ogólna zasada: Dodaj 15-25% do kosztu produktu na koszty ogólne zgodności CRA.

Lista Kontrolna Zgodności White-Label

LISTA KONTROLNA ZGODNOŚCI CRA WHITE-LABEL

PRZED UMOWĄ:
[ ] Ocena bezpieczeństwa produktu ukończona
[ ] Zdolność dostawcy zweryfikowana
[ ] Dostępność dokumentacji potwierdzona
[ ] Zobowiązanie okresu wsparcia zabezpieczone
[ ] Umowa zawiera warunki CRA

DOKUMENTACJA:
[ ] Plik techniczny otrzymany i przejrzany
[ ] SBOM otrzymany w odpowiednim formacie
[ ] Dokumentacja oceny ryzyka dostępna
[ ] Raporty z testów otrzymane
[ ] Dokumentacja projektowa dostępna

OCENA ZGODNOŚCI:
[ ] Klasyfikacja produktu określona
[ ] Moduł oceny wybrany
[ ] Ocena zgodności ukończona
[ ] DoC podpisana (przez ciebie, właściciela marki)
[ ] Oznakowanie CE zastosowane

ZARZĄDZANIE PODATNOŚCIAMI:
[ ] Kontakt bezpieczeństwa ustanowiony
[ ] Polityka CVD opublikowana
[ ] Proces powiadamiania dostawcy uzgodniony
[ ] Zdolność testowania aktualizacji
[ ] Proces powiadamiania klientów

BIEŻĄCE:
[ ] Aktualizacje SBOM otrzymywane
[ ] Monitorowanie podatności aktywne
[ ] Relacja z dostawcą zarządzana
[ ] Okres wsparcia śledzony
[ ] Dokumentacja utrzymywana

PO KOŃCU ŻYCIA:
[ ] Przechowywanie dokumentacji (10 lat)
[ ] Ujawnienie znanych podatności (jeśli potrzebne)
[ ] Przejście klientów zarządzane

Jak Pomaga CRA Evidence

CRA Evidence wspiera producentów white-label:

• Zarządzanie dostawcami: Śledź zgodność dostawców white-label
• Repozytorium dokumentacji: Przechowuj i zarządzaj dokumentacją dostarczoną przez dostawcę
• Agregacja SBOM: Łącz SBOM komponentów
• Montaż pliku technicznego: Strukturyzuj dokumentację dla twojego markowego produktu
• Przepływ pracy podatności: Koordynuj między odpowiedzią dostawcy a odpowiedzią skierowaną do klienta

Zarządzaj swoją zgodnością white-label na app.craevidence.com.

Powiązane Przewodniki

• Kiedy Importerzy Stają się Producentami pod CRA: Eskalacja Roli
• Należyta Staranność Dostawców CRA: Szablon Kwestionariusza i Proces Weryfikacji
• Ocena Zgodności CRA: Przewodnik Decyzyjny Moduł A vs B+C vs H

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym zaznajomionym z regulacjami produktowymi UE.