Od 11 grudnia 2027 r. artykuł 20 unijnego Cyber Resilience Act (rozporządzenie (UE) 2024/2847) czyni dystrybutora odpowiedzialnym za kontrolę opartą na obecności w odniesieniu do każdego produktu z elementami cyfrowymi przed jego udostępnieniem na rynku Unii: oznakowanie CE, identyfikacja producenta wraz z informacjami z załącznika II, identyfikacja importera, data zakończenia okresu wsparcia oraz deklaracja zgodności UE. Niniejsza strona omawia w całości artykuł 20, granicę roli wobec importera z art. 3 pkt 16 i producenta z art. 3 pkt 13 oraz karę drugiego poziomu.
Podsumowanie
- Dystrybutorem jest wyłącznie ten, kto nie ingeruje w produkt. Każdy, kto udostępnia na rynku UE produkt z oznakowaniem CE po importerze, mieści się w tej kategorii, o ile produkt dociera do następnego ogniwa nienaruszony. Zmiana marki, przepakowanie w sposób zmieniający przeznaczenie, preinstalacja własnego oprogramowania albo zmiana konfiguracji bezpieczeństwa powodują, że ten podmiot staje się producentem (art. 3 pkt 17).
- Należy uruchomić kontrolę obecności dla każdej dostawy. Przed udostępnieniem egzemplarza należy potwierdzić, że oznakowanie CE znajduje się na produkcie, identyfikacja producenta i instrukcje z załącznika II towarzyszą produktowi, data zakończenia okresu wsparcia podaje co najmniej miesiąc i rok, deklaracja zgodności UE jest osiągalna, a dane kontaktowe importera są widoczne (art. 20 ust. 2).
- Przy braku któregokolwiek elementu należy wstrzymać dostępność. Jeżeli kontrola wypada negatywnie albo istnieją podstawy do podejrzeń, że produkt lub procesy producenta nie spełniają załącznika I, nie należy udostępniać produktu. W razie znaczącego ryzyka cyberbezpieczeństwa należy bez zbędnej zwłoki powiadomić producenta i organy nadzoru rynku (art. 20 ust. 3).
- Czujność po sprzedaży jest obowiązkowa. Należy egzekwować działania naprawcze lub wycofania, gdy coś jest nie tak, oraz przekazywać producentowi każdą podatność, o której dystrybutor się dowie, bez zbędnej zwłoki. W razie znaczącego ryzyka należy powiadomić organy nadzoru każdego państwa członkowskiego, do którego trafia dostawa (art. 20 ust. 4).
- Trzeba być gotowym na przedstawienie dokumentów. Organ nadzoru rynku może, z uzasadnieniem, zażądać dokumentów potrzebnych do wykazania zgodności w łatwo zrozumiałym dla niego języku. Należy przechowywać odniesienie do deklaracji zgodności UE, załącznik II w języku dostawy oraz kontakty łańcucha dostaw w sposób umożliwiający ich wyszukanie (art. 20 ust. 5).
- Najgorszy scenariusz musi być przewidziany. W przypadku zaprzestania działalności przez producenta należy poinformować organy oraz użytkowników wszystkimi dostępnymi środkami (art. 20 ust. 6).
- Poziom kary. Naruszenia po stronie dystrybutora plasują się w drugim przedziale kar, do 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym, w zależności od tego, która kwota jest wyższa (art. 64 ust. 3).
Artykuł 20 w czterech liczbach: sześć ustępów obowiązków, siedem elementów do sprawdzenia przed udostępnieniem na rynku, kara drugiego poziomu i data, od której wszystko startuje.
Kim jest dystrybutor na gruncie CRA?
Artykuł 3 pkt 17 definiuje dystrybutora dosłownie:
"Dystrybutor" oznacza osobę fizyczną lub prawną w łańcuchu dostaw, inną niż producent lub importer, która udostępnia na rynku Unii produkt z elementami cyfrowymi bez wpływu na jego właściwości.
Dystrybutorem dla celów CRA jest podmiot, jeśli wszystkie trzy elementy są spełnione:
| Element | Test |
|---|---|
| W łańcuchu dostaw | Podmiot przejmuje posiadanie lub kontrolę handlową nad produktem w trakcie jego przepływu od importera lub innego dystrybutora w stronę użytkownika końcowego |
| Inny niż producent lub importer | Produkt nie nosi nazwy ani znaku towarowego tego podmiotu (w przeciwnym razie art. 3 pkt 13 łapie go jako producenta), a podmiot ten nie jest pierwszą jednostką w UE wprowadzającą go do obrotu na rynku Unii (w przeciwnym razie art. 3 pkt 16 łapie go jako importera) |
| Bez wpływu na właściwości | Podmiot nie modyfikuje produktu, jego oprogramowania, opakowania w zakresie zmieniającym przeznaczenie ani konfiguracji bezpieczeństwa |
Jeżeli którykolwiek z tych trzech elementów nie zachodzi, podmiot nie jest dystrybutorem. Jeżeli produkt nosi własną nazwę lub znak towarowy podmiotu, jest on producentem na podstawie art. 3 pkt 13. Jeżeli jest pierwszą jednostką w UE wprowadzającą do obrotu produkt o marce spoza UE, jest importerem na podstawie art. 3 pkt 16. Jeżeli istotnie modyfikuje produkt po wprowadzeniu do obrotu, nie jest objęty artykułem 22 (który wyłącza dystrybutorów), ale modyfikacja może wciągnąć ten podmiot z powrotem do art. 3 pkt 13, gdy wprowadza zmodyfikowaną wersję na rynek pod własną nazwą. Pełną matrycę klasyfikacji ról zawiera strona kto musi spełnić wymogi CRA.
Artykuł 20 w skrócie
| Ust. | Obowiązek | Najważniejsze |
|---|---|---|
| 20(1) | Należyta staranność | Standard ogólny. Stosuje się do każdej czynności udostępnienia, przed i po wprowadzeniu do obrotu. |
| 20(2) | Weryfikacja przed wprowadzeniem do obrotu | Potwierdzić obecność oznakowania CE, zgodność producenta z art. 13 ust. 15, 16, 18, 19 i 20, zgodność importera z art. 19 ust. 4 oraz dostarczenie niezbędnych dokumentów. |
| 20(3) | Odmowa i powiadomienie | Przy podejrzeniu niezgodności z załącznikiem I nie udostępniać. Przy znaczącym ryzyku cyberbezpieczeństwa poinformować producenta i organy nadzoru rynku bez zbędnej zwłoki. |
| 20(4) | Działania naprawcze i świadomość podatności | Zapewnić działania naprawcze, wycofać z rynku lub odzyskać stosownie do okoliczności. Powiadomić producenta o podatnościach bez zbędnej zwłoki. Przy znaczącym ryzyku cyberbezpieczeństwa niezwłocznie poinformować organy nadzoru rynku każdego państwa członkowskiego dostawy. |
| 20(5) | Współpraca z nadzorem rynku | Na uzasadniony wniosek dostarczyć wszelkie informacje i dokumenty potrzebne do wykazania zgodności w języku łatwo zrozumiałym dla organu. |
| 20(6) | Zaprzestanie działalności przez producenta | Poinformować organy nadzoru rynku bez zbędnej zwłoki oraz, wszelkimi dostępnymi środkami, użytkowników. |
Dystrybutor a importer
Prawnym kryterium jest to, który podmiot jako pierwszy wprowadza produkt do obrotu na rynku Unii.
| Aspekt | Dystrybutor (artykuł 20) | Importer (artykuł 19) |
|---|---|---|
| Pozycja | Każdy w łańcuchu dostaw po importerze, inny niż producent | Pierwsza jednostka w UE wprowadzająca do obrotu produkt o marce spoza UE na rynek Unii |
| Weryfikacja | Oparta na obecności: CE, art. 13 ust. 15, 16, 18, 19 i 20 producenta, art. 19 ust. 4 importera, dostarczone dokumenty | Merytoryczna: pełny art. 19 ust. 2 lit. a) do d), w tym przeprowadzona ocena zgodności i sporządzona dokumentacja techniczna |
| Przesłanka odmowy | Art. 20 ust. 3: niezgodność z załącznikiem I | Art. 19 ust. 3: to samo plus niepowodzenie którejkolwiek kontroli z art. 19 ust. 2 |
| Świadomość podatności | Art. 20 ust. 4: powiadomić producenta; przy znaczącym ryzyku powiadomić organy nadzoru rynku w każdym państwie członkowskim dostawy | Art. 19 ust. 5: ten sam zakres |
| Dokumentacja | Brak osobnego wieloletniego okresu przechowywania; współpraca na uzasadniony wniosek (20 ust. 5) | Przechowywanie deklaracji zgodności UE przez 10 lat lub okres wsparcia, w zależności od tego, który z tych okresów jest dłuższy (art. 19 ust. 6) |
| Poziom kary | 10 000 000 EUR lub 2% (art. 64 ust. 3) | 10 000 000 EUR lub 2% (art. 64 ust. 3) |
Spojrzenie od strony importera na tę samą granicę zawiera importer a dystrybutor na stronie importera. Ocena zgodności, deklaracja zgodności UE oraz dokumentacja techniczna z załącznika VII to odpowiedzialność producenta; dystrybutor weryfikuje ich widoczne artefakty (oznakowanie CE, odniesienie do deklaracji zgodności UE, towarzyszenie z załącznika II) i współpracuje przy przedstawianiu dokumentów, a nie przechowuje plik źródłowy.
Kontrole weryfikacyjne przed wprowadzeniem do obrotu (art. 20 ust. 2)
Artykuł 20 ust. 2 wymaga od dystrybutora weryfikacji obecności identyfikacji, instrukcji i deklaracji zgodności UE producenta, a nie ponownego przeprowadzenia oceny zgodności. Lżejszy zestaw kontroli ma swoje odzwierciedlenie w ostrzejszej przesłance odmowy: na podstawie art. 20 ust. 3 jakakolwiek podstawa do podejrzeń, że produkt lub procesy producenta nie odpowiadają załącznikowi I, wstrzymuje dostępność na rynku do czasu przywrócenia zgodności.
Artykuł 20 ust. 2 ustala listę kontroli opartych na obecności. Należy ją przeprowadzić przed udostępnieniem jakiegokolwiek egzemplarza.
Oznakowanie CE (artykuł 30, poprzez art. 20 ust. 2)
Oznakowanie CE to deklaracja producenta, że produkt jest zgodny z załącznikiem I. Dystrybutor potwierdza, że jest ono umieszczone widocznie, czytelnie i nieusuwalnie na produkcie lub jego tabliczce znamionowej. Tam, gdzie wielkość lub charakter na to nie pozwalają, na opakowaniu i dokumentach towarzyszących. Tam, gdzie uczestniczyła jednostka notyfikowana, jej czterocyfrowy numer identyfikacyjny musi następować po oznakowaniu CE. Oznakowanie CE wyłącznie na zewnętrznym kartonie zbiorczym, gdy produkt może je nieść, jest niezgodne. Zob. przewodnik klastra oceny zgodności dotyczący znaczenia oznakowania CE w ramach każdego modułu z artykułu 32.
Identyfikacja i informacje producenta (art. 13 ust. 15, 16, 18, 19, 20)
Pięć odrębnych obowiązków producenta przywołanych w art. 20 ust. 2 lit. b):
| Odniesienie | Obowiązek | Kontrola dystrybutora |
|---|---|---|
| 13(15) | Numer typu, partii lub seryjny do identyfikacji produktu | Potwierdzić element na produkcie albo na opakowaniu lub dokumencie towarzyszącym, jeśli produkt nie może go nieść |
| 13(16) | Nazwa producenta, nazwa handlowa lub znak towarowy, adres pocztowy, kontakt cyfrowy, powtórzone także w załączniku II | Potwierdzić na produkcie, opakowaniu lub dokumencie towarzyszącym |
| 13(18) | Informacje i instrukcje z załącznika II towarzyszą produktowi, w języku łatwo zrozumiałym dla użytkowników i nadzoru rynku | Potwierdzić obecność zestawu dokumentów z załącznika II w języku/językach państwa członkowskiego dostawy |
| 13(19) | Data zakończenia okresu wsparcia określona w chwili zakupu, obejmująca co najmniej miesiąc i rok | Potwierdzić, że miesiąc i rok są widoczne w punkcie sprzedaży |
| 13(20) | Pełna deklaracja zgodności UE towarzyszy produktowi albo uproszczona deklaracja zgodności UE zawiera dokładny adres internetowy pełnej deklaracji zgodności UE | Potwierdzić obecność i osiągalność odniesienia do deklaracji zgodności UE |
Produkt bez zestawu dokumentów z załącznika II w języku państwa członkowskiego albo bez daty zakończenia okresu wsparcia z miesiącem i rokiem nie spełnia art. 20 ust. 2 i uruchamia art. 20 ust. 3.
Identyfikacja importera (art. 19 ust. 4, poprzez art. 20 ust. 2)
Artykuł 19 ust. 4 wymaga od importera podania nazwy, zarejestrowanej nazwy handlowej lub zarejestrowanego znaku towarowego, adresu pocztowego, e-maila i każdego innego kontaktu cyfrowego, na produkcie, na jego opakowaniu lub w dokumencie towarzyszącym produktowi. Dystrybutor potwierdza obecność identyfikacji importera. Brak lub usunięcie identyfikacji importera narusza art. 20 ust. 2 z tytułu art. 19 ust. 4.
Niezbędne dokumenty dostarczone (art. 20 ust. 2)
Artykuł 20 ust. 2 lit. b) zamyka się ogólnym wymogiem: producent i importer dostarczyli "wszystkie niezbędne dokumenty dystrybutorowi". W praktyce jest to zestaw dokumentów, którego dystrybutor potrzebuje do wypełnienia własnego obowiązku współpracy z art. 20 ust. 5: kopia lub odniesienie do deklaracji zgodności UE, informacje i instrukcje z załącznika II w języku państwa członkowskiego dostawy oraz punkty kontaktowe łańcucha dostaw (pojedynczy punkt kontaktowy producenta na podstawie art. 13 ust. 17, kontakt pocztowy i cyfrowy importera na podstawie art. 19 ust. 4). Dystrybutor, który nie jest w stanie ich przedstawić na uzasadniony wniosek nadzoru rynku, narusza art. 20 ust. 5, nawet jeśli sam produkt jest zgodny.
Gdy weryfikacja nie powiedzie się
Artykuł 20 ust. 3 tworzy obowiązek zatrzymania i poinformowania.
- Zatrzymać. Nie udostępniać produktu na rynku Unii do czasu przywrócenia zgodności. Magazynowanie i zwrot do dostawcy pozostają możliwe; sprzedaż użytkownikom końcowym nie.
- Udokumentować. Zapisać, który element art. 20 ust. 2 zawiódł, czy dotyczy produktu, czy procesów producenta, datę i sygnatariusza.
- Powiadomić upstream na piśmie. Poinformować producenta (oraz importera, jeśli ma to znaczenie) o luce i wymaganej dokumentacji.
- Ocenić ryzyko cyberbezpieczeństwa. Znaczące ryzyko cyberbezpieczeństwa: poinformować organy nadzoru rynku na podstawie art. 20 ust. 3, bez zbędnej zwłoki. Brak znaczącego ryzyka: kontynuować rozwiązanie sprawy upstream.
- Rozwiązać lub odrzucić. Udostępnić produkt dopiero, gdy wszystkie elementy art. 20 ust. 2 wypadną pozytywnie. W przeciwnym razie zwrot do dostawcy.
Obowiązki po wprowadzeniu do obrotu (art. 20 ust. 4)
Artykuł 20 ust. 4 obejmuje dwa obowiązki, które obowiązują przez cały okres udostępniania produktu.
Obowiązek działań naprawczych: gdy dystrybutor wie lub ma podstawy sądzić, na podstawie informacji w jego posiadaniu, że produkt lub procesy producenta nie są zgodne, dystrybutor zapewnia podjęcie niezbędnych działań naprawczych w celu przywrócenia zgodności albo wycofanie z rynku lub odzyskanie produktu, stosownie do okoliczności. "Zapewnia" nie przerzuca technicznej naprawy na dystrybutora; wymaga, by dystrybutor eskalował, monitorował i wstrzymał dalszą dostępność do czasu, gdy producent podejmie działania.
Obowiązek świadomości podatności: po powzięciu wiedzy o podatności w produkcie dystrybutor informuje producenta bez zbędnej zwłoki. Gdy produkt stwarza znaczące ryzyko cyberbezpieczeństwa, dystrybutor niezwłocznie informuje organy nadzoru rynku każdego państwa członkowskiego dostawy, ze szczegółami niezgodności i wszelkimi podjętymi działaniami naprawczymi. Wyzwalaczem jest powzięcie wiedzy o podatności, a nie powzięcie wiedzy o incydencie podlegającym zgłoszeniu z artykułu 14; producent osobno prowadzi zgłaszanie z artykułu 14 poprzez przepływ zgłaszania podatności.
Współpraca, dokumenty i zaprzestanie działalności przez producenta
Artykuł 20 ust. 5 wymaga od dystrybutora, na uzasadniony wniosek organu nadzoru rynku, dostarczenia wszystkich informacji i dokumentów, w formie papierowej lub elektronicznej, potrzebnych do wykazania zgodności produktu i procesów producenta, w języku łatwo zrozumiałym dla organu. Dystrybutor współpracuje z organem przy wszelkich działaniach podjętych w celu wyeliminowania ryzyka cyberbezpieczeństwa stwarzanego przez produkt.
Brak jest specyficznej dla artykułu 20 zasady wieloletniego przechowywania dokumentacji analogicznej do dziesięcioletniego lub okres-wsparcia okresu z art. 19 ust. 6 dla importerów. Praktyczne minimum to zestaw dokumentów wymieniony powyżej w sekcji "niezbędne dokumenty dostarczone": utrzymywany w czasie, gdy dystrybutor udostępnia produkt, możliwy do odzyskania na każdy uzasadniony wniosek w tym okresie, plus rozsądny ogon obejmujący zapytania organów po wprowadzeniu do obrotu.
Artykuł 20 ust. 6 dotyczy jednego konkretnego niepowodzenia: zaprzestania działalności przez producenta. Po powzięciu wiedzy o zaprzestaniu działalności dystrybutor informuje właściwe organy nadzoru rynku bez zbędnej zwłoki oraz, wszelkimi dostępnymi środkami i w miarę możliwości, użytkowników produktów wprowadzonych przez niego do obrotu. Artykuł 19 ust. 8 nakłada ten sam obowiązek na importera; w praktyce powiadomienia dystrybutora i importera biegną równolegle.
Typowe pułapki
| Twierdzenie | Dlaczego upada |
|---|---|
| "Nasz dostawca jest w UE, więc nie jesteśmy importerem; to czyni nas dystrybutorem domyślnie." | Status dystrybutora na podstawie art. 3 pkt 17 wymaga także, by podmiot nie wpływał na właściwości produktu. Przepakowywanie, zmiana marki, preinstalacja oprogramowania lub zmiany konfiguracji mogą wciągnąć podmiot z powrotem do art. 3 pkt 13 albo całkowicie wyłączyć go z kategorii dystrybutora. |
| "Nie musimy niczego sprawdzać; importer już to zrobił na podstawie artykułu 19." | Artykuł 20 ust. 2 to osobna kontrola oparta na obecności na poziomie dystrybutora. Obecność CE, zgodność z art. 13 ust. 15, 16, 18, 19 i 20 oraz art. 19 ust. 4, dostarczone niezbędne dokumenty. Praca importera z artykułu 19 nie zwalnia z pracy dystrybutora z artykułu 20. |
| "Załącznik II w języku angielskim wystarczy dla całej UE." | Artykuł 13 ust. 18 wymaga załącznika II w języku łatwo zrozumiałym dla użytkowników i nadzoru rynku danego państwa członkowskiego. Dystrybutor udostępniający produkt w państwie członkowskim, którego organy i użytkownicy nie pracują w angielskim, narusza art. 20 ust. 2. |
| "Powiadomienia o podatnościach przekazujemy raz w miesiącu wraz z innymi aktualizacjami handlowymi." | Artykuł 20 ust. 4 akapit drugi: powiadomić producenta "bez zbędnej zwłoki" po powzięciu wiedzy o podatności oraz "niezwłocznie" powiadomić nadzór rynku przy znaczącym ryzyku cyberbezpieczeństwa. Miesięczne grupowanie narusza oba standardy. |
| "Zgłaszanie z artykułu 14 to robota producenta, więc ignorujemy podatności." | Strumień ENISA z artykułu 14 należy do producenta, lecz obowiązek powiadomienia producenta z art. 20 ust. 4 i obowiązek powiadomienia organów nadzoru rynku przy znaczącym ryzyku należą do dystrybutora. Milczenie narusza art. 20 ust. 4. |
| "Możemy dalej sprzedawać egzemplarze już znajdujące się w naszym magazynie po wykryciu luki językowej w załączniku II; zatrzymują się tylko nowe dostawy." | Artykuł 20 ust. 3 wstrzymuje dalszą dostępność niezgodnego produktu, niezależnie od tego, gdzie egzemplarze fizycznie się znajdują. Istniejący zapas jest zatrzymany, a nie wyprzedawany. |
| "Usunięcie etykiety kontaktowej importera utrzymuje partnerów kanału w prywatności." | Artykuł 19 ust. 4 wymaga identyfikacji importera na produkcie, opakowaniu lub dokumencie towarzyszącym. Jej usunięcie czyni produkt niezgodnym na podstawie art. 20 ust. 2. |
| "Nie musimy przechowywać dokumentów; jesteśmy tylko sprzedawcą." | Artykuł 20 ust. 5 wymaga od dystrybutora dostarczenia zestawu dokumentów na uzasadniony wniosek, w języku organu. Dystrybutor, który nie jest w stanie przedstawić odniesienia do deklaracji zgodności UE, załącznika II ani punktów kontaktowych łańcucha dostaw, narusza obowiązek nawet wtedy, gdy produkt jest zgodny. |
Najczęściej zadawane pytania
Kim jest dystrybutor na gruncie CRA?
Unijne ogniwo łańcucha dostaw, które przekazuje produkt bez zmian. Rolę definiuje pozycja (po importerze, przed użytkownikiem końcowym) oraz neutralność wobec produktu: brak zmiany marki, brak zmian oprogramowania, brak konfiguracji zmieniającej przeznaczenie. Sprzedawcy, dystrybutorzy z wartością dodaną, którzy jedynie pakietują, oraz partnerzy kanałowi, którzy jedynie wysyłają i fakturują, mieszczą się w tej kategorii, pod warunkiem że pozostawiają produkt w stanie, w jakim producent wprowadził go do obrotu. (art. 3 pkt 17)
Jestem dystrybutorem czy importerem?
Granicą jest pierwsze wprowadzenie do obrotu. Importerem jest podmiot będący pierwszą jednostką w UE, która wprowadza do obrotu produkt o marce spoza UE. Dystrybutorem jest podmiot, który udostępnia produkt po importerze, bez wpływu na jego właściwości. Jeżeli podmiot kupuje produkt spoza UE od innej spółki z UE, która już go zaimportowała, to ta inna spółka jest importerem, a podmiot jest dystrybutorem. Jeżeli kupuje bezpośrednio od producenta spoza UE i sam wprowadza produkt na rynek UE, jest importerem, z cięższym zestawem weryfikacyjnym i dziesięcioletnim obowiązkiem przechowywania. (art. 3 pkt 16 i 17; obowiązki importera: art. 19; obowiązki dystrybutora: art. 20)
Jestem dystrybutorem czy producentem?
Dotknij produktu, a stajesz się producentem. Rebranding white-label, preinstalacja własnego oprogramowania, zmiana konfiguracji bezpieczeństwa przed odsprzedażą, przepakowanie w sposób zmieniający przeznaczenie albo modyfikacja oprogramowania układowego: każda z tych czynności łamie warunek "bez wpływu na jego właściwości". Po naruszeniu tego warunku analiza nie dotyczy już artykułu 20, lecz klasyfikacji producenta albo, dla modyfikatora spoza łańcucha producent/importer/dystrybutor, drogi przez istotną modyfikację. Artykuł 22 wprost wyłącza dystrybutorów, więc podmiot, który zmienia produkt, wraca do kategorii producenta. (art. 3 pkt 17 wymaga "bez wpływu na właściwości"; art. 3 pkt 13 obejmuje każdego, kto zmienia markę lub modyfikuje; art. 22 wyłącza dystrybutorów)
Co dokładnie dystrybutor musi zweryfikować przed udostępnieniem produktu?
Dwa sprawdzenia: oznakowanie CE obecne i dokumentacja od góry obecna. Producent musi mieć spełniony obowiązek identyfikacji produktu, identyfikacji producenta, towarzyszenia załącznika II w języku państwa członkowskiego, daty zakończenia okresu wsparcia z miesiącem i rokiem w chwili zakupu oraz obecności deklaracji zgodności UE. Importer musi mieć spełniony obowiązek identyfikacji. Niezbędne dokumenty muszą zostać dostarczone. Kontrola opiera się na obecności, a nie na ponownym przeprowadzeniu oceny zgodności. Niepowodzenie któregokolwiek elementu uruchamia art. 20 ust. 3. (art. 20 ust. 2 lit. a) w zakresie CE; art. 20 ust. 2 lit. b) w zakresie zgodności producenta z art. 13 ust. 15, 16, 18, 19 i 20 oraz importera z art. 19 ust. 4)
Czy dystrybutor musi przechowywać deklarację zgodności UE przez 10 lat?
Nie. Dziesięcioletni lub równy okresowi wsparcia obowiązek przechowywania deklaracji zgodności UE spoczywa na importerze. Obowiązek dystrybutora to dostarczyć, na uzasadniony wniosek organu nadzoru rynku, wszystkie informacje i dokumenty potrzebne do wykazania zgodności w języku łatwo zrozumiałym dla organu. Praktyczne minimum to zestaw używany do własnej kontroli: odniesienie do deklaracji zgodności UE, załącznik II w języku państwa członkowskiego dostawy, punkty kontaktowe producenta i importera, utrzymywany przez okres udostępniania produktu i przez rozsądny ogon obejmujący zapytania organów. (przechowywanie przez importera: art. 19 ust. 6; obowiązek dokumentacyjny dystrybutora: art. 20 ust. 5)
Co robi dystrybutor, gdy dowie się o podatności w produkcie, który wysłał?
Powiadom producenta natychmiast, a nadzór rynku przy znaczącym ryzyku. Pierwszy obowiązek to poinformowanie producenta o podatności bez zbędnej zwłoki. Drugi: gdy produkt stwarza znaczące ryzyko cyberbezpieczeństwa, niezwłocznie poinformować organy nadzoru rynku każdego państwa członkowskiego, w którym dystrybutor udostępnił produkt, ze szczegółami niezgodności i wszelkimi podjętymi działaniami naprawczymi. Strumień zgłaszania ENISA z artykułu 14 pozostaje po stronie producenta, nie dystrybutora. (art. 20 ust. 4; zgłaszanie ENISA z art. 14 to obowiązek producenta, nie dystrybutora)
Czy istnieją wyłączenia dla MŚP wśród dystrybutorów?
Obowiązki materialne z artykułu 20 obowiązują niezależnie od wielkości. Jedyna ulga karna specyficzna dla MŚP jest ograniczona do kar poziomu producenta powiązanych z terminami z art. 14 ust. 2 lit. a) i art. 14 ust. 4 lit. a) oraz do zarządców oprogramowania open source. Dystrybutorzy nie mieszczą się w zakresie tego wyjątku. Organy nadzoru rynku mają obowiązek należytego uwzględniania wielkości naruszającego (w tym MŚP i start-upów) przy ustalaniu kwot kar w indywidualnych przypadkach; to czynnik wymiaru kary w całym reżimie, a nie zwolnienie z obowiązku. (art. 20 obowiązuje wszystkich; wyjątek z art. 64 ust. 10 dla producentów i zarządców OSS, nie dystrybutorów; czynnik wymiaru: art. 64 ust. 5 lit. c))
Kiedy obowiązują obowiązki dystrybutora z CRA?
Artykuł 20 obowiązuje w pełni od 11 grudnia 2027. W odróżnieniu od producentów dystrybutorzy nie mają osobnego wcześniejszego terminu: zgłaszanie z artykułu 14 to obowiązek producenta, nie dystrybutora. Obowiązki świadomości podatności i powiadamiania organów nadzoru rynku przy znaczącym ryzyku startują wraz z pozostałą częścią artykułu 20 tej samej daty. Do tego terminu dystrybutor udostępniający produkty na rynku Unii potrzebuje kontroli przyjęcia z art. 20 ust. 2, przepływu odmowy z art. 20 ust. 3, przepływu świadomości podatności z art. 20 ust. 4 oraz zdolności przedstawiania dokumentów z art. 20 ust. 5. (obowiązywanie: art. 71; zgłaszanie z art. 14 to obowiązek producenta; obowiązki z art. 20 ust. 2, 3, 4 i 5 startują 11 grudnia 2027 r.)