Jeżeli Twoja firma odsprzedaje lub dostarcza produkt z elementami cyfrowymi na rynku UE po producencie albo importerze i nie zmienia produktu, akt o cyberodporności zwykle traktuje Cię jako dystrybutora. Dystrybutorzy nie ponawiają oceny zgodności, ale przed udostępnieniem produktu muszą sprawdzić, czy widoczne artefakty zgodności są obecne, zatrzymać sprzedaż, gdy czegoś brakuje lub stwierdzą niezgodność, przekazywać informacje o podatnościach w górę łańcucha, współpracować z organami nadzoru rynku oraz informować organy i użytkowników, gdy producent kończy działalność.
Podsumowanie
- Czy jesteś dystrybutorem? Zwykle tak, jeżeli udostępniasz produkt po importerze lub innym dystrybutorze i nie wpływasz na jego właściwości.
- Co trzeba sprawdzić przed sprzedażą lub dostawą? Oznakowanie CE, identyfikator produktu, dane producenta, informacje dla użytkownika, datę końca okresu wsparcia, dostęp do deklaracji zgodności UE, identyfikację importera oraz niezbędne dokumenty.
- Kiedy trzeba zatrzymać sprzedaż? Nie udostępniaj produktu, jeżeli produkt lub procesy producenta wydają się niezgodne. Przy istotnym ryzyku w cyberprzestrzeni poinformuj producenta i organy nadzoru rynku.
- Co trwa po sprzedaży? Monitorowanie środków naprawczych, wycofanie z obrotu lub odzyskanie produktu w stosownych przypadkach, przekazywanie producentowi informacji o podatnościach oraz zgłoszenie organom nadzoru rynku przy istotnym ryzyku.
- Jakie dokumenty muszą być gotowe? Dystrybutor musi móc przekazać informacje i dokumentację zgodności na uzasadnione żądanie; nie ma odrębnej zasady 10-letniego przechowywania deklaracji zgodności UE po stronie dystrybutora.
- Od kiedy obowiązki mają zastosowanie? Główne obowiązki dystrybutora stosuje się od 11 grudnia 2027 r.
Zgodność dystrybutora w czterech liczbach: sześć bloków obowiązków, siedem punktów do sprawdzenia przed dostawą, kara drugiego poziomu oraz data, od której wszystko startuje.
Kim jest dystrybutor na gruncie CRA?
W praktyce dystrybutor CRA to podmiot w łańcuchu dostaw, który udostępnia na rynku Unii produkt z elementami cyfrowymi po producencie, importerze lub innym dystrybutorze, bez zmiany jego właściwości. Test ma trzy części: jesteś w łańcuchu dostaw, nie jesteś producentem ani importerem i udostępniasz produkt bez zmian.
Jeżeli jesteś pierwszym podmiotem w UE wprowadzającym na rynek Unii produkt marki spoza UE, jesteś importerem. Jeżeli produkt jest wprowadzany do obrotu pod własną nazwą lub znakiem towarowym albo istotnie modyfikowany po wprowadzeniu do obrotu, stosują się obowiązki producenta wynikające z przejścia roli. Pełen zakres obowiązków producenta, który wtedy ma zastosowanie, opisuje przewodnik klastra producenta. Osobna, węższa reguła dotyczy innych osób trzecich, które nie są producentem, importerem ani dystrybutorem. Pełną matrycę klasyfikacji ról zawiera kto musi spełnić CRA.
Kluczowe obowiązki dystrybutora
| Obowiązek | Najważniejszy punkt | Źródło |
|---|---|---|
| Należyta staranność | Standard ogólny. Stosuje się do każdej czynności udostępnienia, przed i po wprowadzeniu produktu do obrotu. | Artykuł 20 ust. 1 |
| Weryfikacja przed wprowadzeniem na rynek | Potwierdź obecność oznakowania CE, zgodność producenta z obowiązkami w zakresie informacji o produkcie, obecność identyfikacji importera oraz dostarczenie niezbędnych dokumentów. | Artykuł 20 ust. 2 |
| Odmowa i powiadomienie | Przy podejrzeniu niezgodności z the essential cybersecurity requirements nie udostępniaj produktu. Przy istotnym ryzyku w cyberprzestrzeni bez zbędnej zwłoki poinformuj producenta i organy nadzoru rynku. | Artykuł 20 ust. 3 |
| Środki naprawcze i świadomość podatności | Zapewnij środki naprawcze, wycofaj z obrotu lub odzyskaj produkt w stosownych przypadkach. Bez zbędnej zwłoki informuj producenta o podatnościach. Przy istotnym ryzyku w cyberprzestrzeni niezwłocznie powiadom organy nadzoru rynku każdego państwa członkowskiego, w którym produkt udostępniono na rynku. | Artykuł 20 ust. 4 |
| Współpraca z nadzorem rynku | Na uzasadnione żądanie dostarcz wszelkie informacje i dokumentację potrzebne do wykazania zgodności w języku łatwo zrozumiałym dla organu. | Artykuł 20 ust. 5 |
| Zaprzestanie działalności przez producenta | Bez zbędnej zwłoki poinformuj organy nadzoru rynku oraz, wszelkimi dostępnymi środkami, użytkowników. | Artykuł 20 ust. 6 |
Dystrybutor a importer
Prawnym kryterium jest to, który podmiot jako pierwszy wprowadza produkt do obrotu na rynku Unii.
| Aspekt | Dystrybutor | Importer |
|---|---|---|
| Pozycja | Każdy w łańcuchu dostaw po importerze, inny niż producent | Pierwszy podmiot z UE wprowadzający na rynek Unii produkt opatrzony marką spoza UE |
| Weryfikacja | Oparta na obecności: CE, obowiązki producenta w zakresie informacji o produkcie, identyfikacja importera oraz niezbędne dokumenty | Merytoryczna: pełna kontrola importera przed wprowadzeniem, w tym przeprowadzona ocena zgodności i sporządzona dokumentacja techniczna |
| Przesłanka odmowy | Niezgodność z the essential cybersecurity requirements | To samo plus niepowodzenie którejkolwiek kontroli przed wprowadzeniem do obrotu |
| Świadomość podatności | Poinformowanie producenta; przy istotnym ryzyku powiadomienie organów nadzoru rynku każdego państwa członkowskiego dostawy | Ten sam zakres |
| Dokumentacja | Brak osobnego wieloletniego okresu przechowywania; współpraca na uzasadnione żądanie | Przechowywanie deklaracji zgodności UE przez 10 lat lub okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy |
| Poziom kary | 10 000 000 EUR lub 2% | 10 000 000 EUR lub 2% (ten sam poziom) |
Spojrzenie od strony importera na tę samą granicę zawiera importer a dystrybutor na stronie importera. Ocena zgodności, deklaracja zgodności UE oraz dokumentacja techniczna pozostają w gestii producenta; dystrybutor weryfikuje widoczne artefakty: oznakowanie CE, odniesienie do deklaracji zgodności UE, informacje dla użytkownika oraz gotowość do przedstawienia dokumentów.
Co dystrybutorzy muszą sprawdzić przed dostawą
Twoim zadaniem nie jest ponowne przeprowadzenie oceny zgodności. Twoim zadaniem jest potwierdzenie, że widoczne artefakty zgodności są obecne, oraz zatrzymanie dostawy, jeżeli czegoś brakuje, coś usunięto, jest nieaktualne albo daje powód do wątpliwości co do zgodności.
Uruchom tę listę kontrolną przed udostępnieniem jakiejkolwiek jednostki na rynku UE.
- Oznakowanie CE jest widoczne, czytelne i trwałe na produkcie lub tabliczce znamionowej.
- CE wyłącznie na opakowaniu jest dopuszczalne tylko tam, gdzie oznaczenie produktu nie jest możliwe.
- Numer jednostki notyfikowanej znajduje się po oznakowaniu CE, jeżeli jednostka brała udział.
CE to deklaracja zgodności producenta. Zobacz przewodnik po ocenie zgodności.
- Typ, partia, numer seryjny lub inny identyfikator produktu jest obecny.
- Identyfikator znajduje się na produkcie, opakowaniu lub dokumencie towarzyszącym w odpowiednich miejscach.
- Identyfikator pasuje do dostawy, SKU lub partii dostarczanej w danym momencie.
Bez identyfikatora pozwalającego na śledzenie odzyskanie produktu i działania naprawcze stają się niemożliwe.
- Nazwa producenta, nazwa handlowa lub znak towarowy są obecne.
- Adres pocztowy i kontakt cyfrowy są obecne.
- Dane występują również w informacjach dla użytkownika tam, gdzie jest to wymagane.
Wykorzystuj je do kierowania pytań, zgłoszeń wadliwości i informacji o podatnościach w górę łańcucha.
- Informacje i instrukcje użytkownika towarzyszą produktowi.
- Język jest odpowiedni dla użytkowników i organów nadzoru rynku państwa członkowskiego dostawy.
- Wskazania dotyczące bezpiecznej konfiguracji, wsparcia oraz zgłaszania podatności są ujęte.
Instrukcje wyłącznie po angielsku nie wystarczą dla każdego rynku UE.
- Data końca okresu wsparcia jest podana przed zakupem.
- Data zawiera co najmniej miesiąc i rok.
- Pełna deklaracja zgodności UE jest dołączona albo uproszczona deklaracja wskazuje dokładny URL pełnej wersji.
Brak miesiąca i roku albo niedostępna deklaracja blokuje dostawę.
- Nazwa, adres pocztowy i kontakt cyfrowy importera z UE są obecne tam, gdzie importer występuje.
- Identyfikacja importera nie została usunięta ani ukryta.
- Odniesienie do deklaracji zgodności UE, informacje dla użytkownika oraz kontakty łańcucha dostaw można przedstawić organom.
Organy spodziewają się tego zestawu już przy pierwszym żądaniu; brakujące elementy uruchamiają ścieżkę odmowy.
Dostawa wstrzymuje się do czasu zamknięcia luki. Produkt bez informacji dla użytkownika w lokalnym języku, bez wymaganej identyfikacji importera, bez dostępnej deklaracji zgodności UE albo bez daty końca wsparcia z miesiącem i rokiem nie powinien być udostępniany.
Gdy weryfikacja się nie powiedzie
Niezdana kontrola dystrybutora oznacza, że produkt pozostaje poza rynkiem do czasu przywrócenia zgodności. Jeżeli problem tworzy istotne ryzyko w cyberprzestrzeni, dystrybutor musi bez zbędnej zwłoki poinformować producenta i organy nadzoru rynku.
- Zatrzymaj. Nie udostępniaj produktu na rynku Unii do czasu przywrócenia zgodności. Magazynowanie i zwrot do dostawcy pozostają możliwe; sprzedaż użytkownikom końcowym już nie.
- Udokumentuj. Zapisz, który punkt listy kontrolnej nie przeszedł, czy dotyczy on produktu czy procesów producenta, datę oraz podpisującego.
- Poinformuj na piśmie w górę łańcucha. Poinformuj producenta (oraz importera, gdy jest to istotne) o luce i wymaganej dokumentacji.
- Oceń ryzyko w cyberprzestrzeni. Istotne ryzyko trafia bez zbędnej zwłoki do organów nadzoru rynku. Nieistotne luki przechodzą zwykłą ścieżką rozwiązania w górę łańcucha.
- Rozwiąż albo odrzuć. Udostępniaj produkt dopiero po pomyślnym przejściu wszystkich punktów. W przeciwnym razie zwróć go dostawcy.
Po dostawie: środki naprawcze i świadomość podatności
Dwa obowiązki trwają przez cały okres udostępniania produktu:
Jeżeli wiesz albo masz powód sądzić, że produkt lub procesy producenta nie są zgodne, eskaluj w górę łańcucha i dopilnuj, aby środki naprawcze, wycofanie z obrotu lub odzyskanie produktu odbyły się tam, gdzie to właściwe. Techniczna naprawa pozostaje po stronie producenta, ale dalsza dostawa wstrzymuje się do czasu rozwiązania sprawy.
Gdy dowiesz się o podatności, bez zbędnej zwłoki poinformuj producenta. Jeżeli produkt stwarza istotne ryzyko w cyberprzestrzeni, powiadom organy nadzoru rynku w każdym państwie członkowskim, w którym produkt udostępniono na rynku. Strumień zgłoszeń do ENISA prowadzi osobno producent przez ścieżkę zgłaszania podatności.
Żądania organów i zaprzestanie działalności przez producenta
Przekazuj to, o co proszą, w lokalnym języku. Gdy organ nadzoru rynku składa uzasadnione żądanie, dostarcz informacje i dokumentację potrzebne do wykazania zgodności produktu i procesów producenta, w formie papierowej lub elektronicznej oraz w języku łatwo zrozumiałym dla organu. Współpracuj także przy środkach służących wyeliminowaniu ryzyk w cyberprzestrzeni stwarzanych przez produkty, które dystrybutor dostarczył.
Dystrybutora nie obowiązuje 10-letni okres przechowywania. Nie istnieje odrębna wieloletnia reguła przechowywania dokumentów po stronie dystrybutora, analogiczna do importerskiego obowiązku przechowywania deklaracji zgodności UE przez 10 lat lub przez okres wsparcia. Praktycznym minimum jest zestaw dokumentów wymieniony powyżej w punkcie „Importer i zestaw dokumentów”: utrzymywany w czasie, w którym dystrybutor udostępnia produkt, dostępny na każde uzasadnione żądanie w tym okresie, plus rozsądny zapas na późniejsze pytania organów.
Gdy producent kończy działalność, powiadom organy i użytkowników. Jeżeli producent zaprzestaje działalności i nie może już spełniać obowiązków, bez zbędnej zwłoki poinformuj właściwe organy nadzoru rynku oraz, wszelkimi dostępnymi środkami i w możliwym zakresie, użytkowników. Importerzy mają ten sam obowiązek powiadomienia, więc zawiadomienia dystrybutora i importera zwykle biegną równolegle.
Typowe pułapki
| Twierdzenie | Dlaczego zawodzi |
|---|---|
| „Dostawca jest w UE, więc nie jesteśmy importerem; to automatycznie czyni nas dystrybutorem.” | Status dystrybutora wymaga również, abyś nie wpływał na właściwości produktu. Przepakowanie, rebranding, preinstalowane oprogramowanie albo zmiany konfiguracji mogą uruchomić obowiązki producenta. |
| „Nie musimy niczego sprawdzać; importer już to zrobił.” | Kontrola dystrybutora jest osobna i oparta na obecności: CE obecne, informacje o produkcie po stronie producenta obecne, identyfikacja importera obecna, niezbędne dokumenty dostarczone. Weryfikacja importera nie zwalnia dystrybutora z jego własnej kontroli. |
| „Informacje dla użytkownika po angielsku wystarczą dla całej UE.” | Informacje dla użytkownika muszą być w języku łatwo zrozumiałym dla użytkowników i organów nadzoru rynku danego państwa członkowskiego. Dostarczanie wyłącznie wersji angielskiej do państwa członkowskiego, w którym organy i użytkownicy nie posługują się angielskim, nie przechodzi kontroli dystrybutora. |
| „Zgłoszenia o podatnościach przekazujemy raz w miesiącu razem z innymi aktualizacjami handlowymi.” | Informacje o podatnościach trafiają do producenta bez zbędnej zwłoki, a istotne ryzyka w cyberprzestrzeni natychmiast do organów nadzoru rynku. Comiesięczne zbiorcze przekazywanie łamie obie zasady. |
| „Zgłoszenia do ENISA to sprawa producenta, więc ignorujemy podatności.” | Strumień zgłoszeń do ENISA należy do producenta, ale obowiązek poinformowania producenta oraz, przy istotnym ryzyku, organów nadzoru rynku jest po stronie dystrybutora. Milczenie łamie obowiązek po wprowadzeniu produktu do obrotu. |
| „Możemy dalej sprzedawać jednostki z naszego magazynu po wykryciu luki językowej w informacjach dla użytkownika; zatrzymują się tylko nowe dostawy.” | Dalsze udostępnianie niezgodnego produktu wstrzymuje się niezależnie od tego, gdzie fizycznie znajdują się jednostki. Istniejący zapas pozostaje wstrzymany, a nie wyprzedawany. |
| „Usuwamy etykietę kontaktową importera, aby zachować poufność partnerów kanałowych.” | Identyfikacja importera musi pozostać na produkcie, opakowaniu lub dokumencie towarzyszącym. Jej usunięcie czyni produkt niezgodnym dla potrzeb dostawy dystrybutorskiej. |
| „Nie musimy trzymać dokumentów; jesteśmy tylko odsprzedawcą.” | Dystrybutor musi przedstawić zestaw dokumentacji na uzasadnione żądanie, w języku organu. Dystrybutor, który nie potrafi przedstawić odniesienia do deklaracji zgodności UE, informacji dla użytkownika ani punktów kontaktowych łańcucha dostaw, narusza obowiązki nawet wtedy, gdy produkt jest zgodny. |
Najczęściej zadawane pytania
Kim jest dystrybutor na gruncie CRA?
Ogniwem łańcucha dostaw UE, które przekazuje produkt bez zmian. Rolę definiuje pozycja (po importerze, przed użytkownikiem końcowym) i neutralność wobec produktu (bez rebrandingu, bez zmian oprogramowania, bez konfiguracji zmieniającej przeznaczenie). Odsprzedawcy, dystrybutorzy z wartością dodaną, którzy jedynie tworzą zestawy, oraz partnerzy kanałowi zajmujący się tylko wysyłką i fakturowaniem mieszczą się w tej roli, pod warunkiem że pozostawiają produkt w stanie, w jakim producent wprowadził go do obrotu. Jeżeli importer lub dystrybutor sprzedaje pod własną nazwą albo istotnie modyfikuje produkt, włącza się przełącznik obowiązków producenta.
Jestem dystrybutorem czy importerem?
Granicą jest pierwsze wprowadzenie do obrotu. Jesteś importerem, jeżeli jako pierwszy podmiot z UE wprowadzasz na rynek Unii produkt opatrzony marką spoza UE. Jesteś dystrybutorem, jeżeli udostępniasz produkt po importerze, bez wpływu na jego właściwości. Jeżeli kupujesz produkt spoza UE od innej spółki z UE, która już go zaimportowała, ta druga spółka jest importerem, a Ty dystrybutorem. Jeżeli kupujesz bezpośrednio od producenta spoza UE i sam wprowadzasz produkt na rynek UE, jesteś importerem, z cięższym zestawem weryfikacji i 10-letnim obowiązkiem przechowywania.
Jestem dystrybutorem czy producentem?
Artykuł 21 stanowi pomost prawny pomiędzy dystrybutorem (lub importerem) a producentem. Ma dwie przesłanki, a obie stosują się zarówno do importerów, jak i dystrybutorów:
"Importer lub dystrybutor uważany jest za producenta do celów niniejszego rozporządzenia i podlega on art. 13 i 14, jeżeli ten importer lub dystrybutor wprowadza produkt z elementami cyfrowymi do obrotu pod własną nazwą lub znakiem towarowym albo dokonuje istotnej modyfikacji produktu z elementami cyfrowymi już wprowadzonego do obrotu."
Te dwie przesłanki to zatem: (a) wprowadzenie produktu do obrotu pod własną nazwą lub znakiem towarowym, lub (b) dokonanie istotnej modyfikacji produktu już wprowadzonego do obrotu. White-label rebranding, preinstalowanie własnego oprogramowania, zmiana konfiguracji zabezpieczeń przed odsprzedażą, przepakowanie zmieniające zamierzone zastosowanie lub modyfikacja firmware łamią rolę dystrybutora. Dla importerów i dystrybutorów przełączenie jest bezpośrednie: stają się producentem i mają zastosowanie wszystkie obowiązki producenta. Pełen zakres obowiązków, które wtedy mają zastosowanie, zawiera przewodnik klastra producenta.
Odrębna, węższa reguła dotyczy osoby, która nie jest producentem, importerem ani dystrybutorem: zewnętrznego rekonfiguratora, integratora lub modyfikatora, który bierze produkt już wprowadzony do obrotu, dokonuje istotnej modyfikacji i udostępnia go na rynku. Taka osoba uważana jest za producenta. Zgodnie z artykułem 22 ust. 2 obowiązki producenta mają zastosowanie "w odniesieniu do części produktu z elementami cyfrowymi poddanej istotnej modyfikacji lub – jeżeli taka istotna modyfikacja ma wpływ na cyberbezpieczeństwo produktu z elementami cyfrowymi jako całości – w odniesieniu do całego produktu". Ta reguła nie ma zastosowania wobec importera lub dystrybutora. Ich przypadek obejmuje pomost importera i dystrybutora.
Co dokładnie dystrybutor musi zweryfikować przed udostępnieniem produktu?
Dwie kontrole: obecność CE oraz obecność dokumentów z góry łańcucha. Producent musi spełnić obowiązki identyfikacji produktu, identyfikacji producenta, informacji dla użytkownika w języku państwa członkowskiego, daty końca okresu wsparcia z miesiącem i rokiem oraz dostarczenia deklaracji zgodności UE. Importer musi spełnić swój obowiązek identyfikacji. Niezbędne dokumenty muszą być dostarczone. Kontrola jest oparta na obecności, a nie na ponownej ocenie zgodności.
Czy dystrybutor musi przechowywać deklarację zgodności UE przez 10 lat?
Nie. Obowiązek przechowywania deklaracji zgodności UE przez 10 lat lub okres wsparcia leży po stronie importera, a nie dystrybutora. Obowiązek dokumentacyjny dystrybutora polega na przekazywaniu, na uzasadnione żądanie organu nadzoru rynku, informacji i dokumentacji potrzebnej do wykazania zgodności, w języku łatwo zrozumiałym dla organu. Praktyczne minimum to zestaw dokumentów, który dystrybutor wykorzystuje do własnej kontroli przyjęcia: odniesienie do deklaracji zgodności UE, informacje dla użytkownika w języku państwa członkowskiego dostawy oraz punkty kontaktowe producenta i importera.
Co robi dystrybutor, gdy dowiaduje się o podatności w produkcie, który dostarczył?
Niezwłocznie informuje producenta, a przy istotnym ryzyku także organy nadzoru rynku. Pierwszym obowiązkiem jest powiadomienie w górę łańcucha bez zbędnej zwłoki. Drugim jest równoległe powiadomienie organów nadzoru rynku każdego państwa członkowskiego dostawy, ze szczegółami niezgodności i wszelkimi wdrożonymi środkami naprawczymi. Strumień zgłoszeń do ENISA pozostaje po stronie producenta, a nie dystrybutora.
Czy są wyłączenia dla MŚP po stronie dystrybutorów?
Nie. Obowiązki dystrybutora stosują się niezależnie od wielkości. Jedyne związane z MŚP złagodzenie kar administracyjnych w CRA dotyczy producentów i opiekunów otwartego oprogramowania. Dystrybutorzy nie są objęci tym wyłączeniem. Organy muszą też brać pod uwagę wielkość podmiotu przy ustalaniu wysokości kar w indywidualnych sprawach; to czynnik wymiaru kary, a nie zwolnienie z obowiązków.
Od kiedy obowiązki dystrybutora CRA mają zastosowanie?
Obowiązki dystrybutora stosuje się w pełni od 11 grudnia 2027 r. Inaczej niż producenci, dystrybutorzy nie mają osobnego, wcześniejszego terminu; strumień zgłoszeń do ENISA jest obowiązkiem producenta, a nie dystrybutora. Do tej daty dystrybutorzy udostępniający produkty na rynku Unii potrzebują wdrożonej kontroli przyjęcia, ścieżki odmowy, ścieżki świadomości podatności oraz zdolności do przedstawienia dokumentów.