Jeżeli Twój podmiot z UE jako pierwszy wprowadza na rynek UE produkt z elementami cyfrowymi oznaczony marką spoza UE, akt o cyberodporności zwykle traktuje Cię jako importera. Importerzy nie prowadzą pełnego programu zgodności producenta, ale muszą go zweryfikować przed wprowadzeniem na rynek, odmówić produktów niezgodnych, oznaczyć się na produkcie lub materiale towarzyszącym, współpracować z nadzorem rynku i przechowywać Deklarację Zgodności UE.
Podsumowanie
- Czy jesteś importerem? Zwykle jesteś importerem, gdy Twój podmiot z UE jako pierwszy wprowadza na rynek Unii cyfrowy produkt oznaczony marką spoza UE.
- Co trzeba sprawdzić przed wprowadzeniem na rynek? Ocenę zgodności, dokumentację techniczną, oznakowanie CE, Deklarację Zgodności UE, instrukcje użytkownika, identyfikację produktu, dane kontaktowe producenta i datę zakończenia okresu wsparcia.
- Kiedy trzeba odmówić? Nie wprowadzaj produktu na rynek, jeżeli produkt lub procesy obsługi podatności producenta są niezgodne. Powiadom producenta i nadzór rynku, gdy istnieje znaczące ryzyko dla cyberbezpieczeństwa.
- Co trwa po wprowadzeniu na rynek? Działania naprawcze, wycofanie z rynku lub od użytkowników, informowanie producenta o podatnościach, współpraca z nadzorem rynku i powiadomienie, gdy producent zaprzestaje działalności.
- Co trzeba przechowywać? Przechowuj Deklarację Zgodności UE przez 10 lat albo przez okres wsparcia, w zależności od tego, który jest dłuższy, i zapewnij możliwość udostępnienia dokumentacji technicznej na żądanie.
- Od kiedy to obowiązuje? Główne obowiązki importera obowiązują od 11 grudnia 2027 r.
Cztery sprawdzenia, przechowywanie ponad dziesięć lat, dwa poziomy kar w zależności od tego, czy podmiot rzeczywiście jest importerem.
Kto jest importerem w rozumieniu CRA?
W praktyce importer CRA to podmiot mający siedzibę w UE, który jako pierwszy wprowadza na rynek Unii produkt z elementami cyfrowymi oznaczony marką spoza UE. Test ma trzy części: podmiot ma siedzibę w Unii, jako pierwszy udostępnia produkt na rynku Unii, a produkt nosi nazwę lub znak towarowy osoby mającej siedzibę poza Unią.
Jeżeli produkt nosi Twoją własną nazwę lub markę, nie działasz jako importer tego produktu; wchodzisz w obszar producenta. Jeżeli inny podmiot z UE już wprowadził produkt na rynek, zwykle jesteś dystrybutorem. Jeżeli producent spoza UE jedynie wyznaczył Cię pisemnym mandatem, a Ty sam nie wprowadzasz produktu na rynek, jesteś upoważnionym przedstawicielem. Pełne drzewo decyzji ról znajdziesz w kto musi przestrzegać CRA.
Główne obowiązki importera
Obowiązki importera dzielą się na cztery bloki: co trzeba sprawdzić przed wprowadzeniem na rynek, kiedy importer musi się zatrzymać, jakie informacje identyfikacyjne importera muszą się pojawić i co trzeba przechowywać lub udostępniać po wprowadzeniu.
| Obowiązek | Kluczowy punkt |
|---|---|
| Ogólna zgodność | Wprowadzanie wyłącznie produktów, których wymagania cyberbezpieczeństwa i procesy producenta są gotowe na CRA. |
| Weryfikacja przed wprowadzeniem | Ocena zgodności + dokumentacja techniczna + CE/DoC/instrukcje użytkownika + ID produktu, dane producenta i data końca wsparcia. Importer musi być w stanie przedstawić dokumenty potwierdzające spełnienie wymogów. |
| Obowiązek odmowy | Brak wprowadzenia na rynek, gdy produkt lub procesy są niezgodne. Powiadomienie producenta i nadzoru rynku przy znaczącym ryzyku cyberbezpieczeństwa. |
| Identyfikacja importera | Własna nazwa, nazwa handlowa lub znak towarowy, adres pocztowy, kontakt cyfrowy na produkcie, opakowaniu lub dołączonym dokumencie. |
| Działania naprawcze posprzedażowe | Wycofanie z rynku lub od użytkowników w stosownych przypadkach. Świadomość podatności: powiadomienie producenta bez zbędnej zwłoki; powiadomienie organów nadzoru rynku każdego państwa członkowskiego dostawy przy znaczącym ryzyku cyberbezpieczeństwa. |
| Przechowywanie | DoC do dyspozycji organów przez 10 lat lub okres wsparcia, w zależności która wartość jest dłuższa. Zapewnienie udostępnienia dokumentacji technicznej na żądanie. |
| Współpraca | Na uzasadnione żądanie organów nadzoru rynku dostarczenie wszystkich informacji i dokumentów w języku zrozumiałym dla organu. |
| Producent zaprzestał działalności | Powiadomienie organów nadzoru rynku oraz, wszelkimi dostępnymi środkami, użytkowników. |
Żaden z tych obowiązków nie przewiduje progu dla MŚP. Ulga dla małych przedsiębiorstw jest wąska: nie znosi obowiązków importera dotyczących weryfikacji, odmowy, identyfikacji, przechowywania ani współpracy.
Importer a Dystrybutor
Prawnym kryterium jest to, który podmiot jako pierwszy wprowadza produkt na rynek Unii.
| Aspekt | Importer | Dystrybutor |
|---|---|---|
| Pozycja | Siedziba w Unii; wprowadza na rynek produkt opatrzony nazwą osoby spoza UE | Każdy podmiot udostępniający produkt po importerze, bez wpływu na jego właściwości |
| Weryfikacja | Pełna kontrola przed wprowadzeniem, w tym ID typu/partii, kontakt producenta i data końca wsparcia | Sprawdzenie obecności CE, identyfikacji producenta, okresu wsparcia i dokumentów DoC |
| Dokumentacja | Musi być w stanie przedstawić dokumenty potwierdzające zgodność; zapewnia udostępnienie dokumentacji technicznej na żądanie | Współpraca z organami; weryfikacja oparta na obecności |
| Odmowa | Zatrzymaj i poinformuj, gdy produkt lub procesy są niezgodne | Zatrzymaj i poinformuj, gdy brakuje CE, DoC lub wymaganych elementów |
| Świadomość podatności | Powiadom producenta bez zbędnej zwłoki; powiadom nadzór rynku przy znaczącym ryzyku w każdym państwie członkowskim dostawy | Ten sam obowiązek w swoim zakresie; ścieżka prowadzi przez producenta |
| Przechowywanie | DoC przez 10 lat lub okres wsparcia, w zależności która wartość jest dłuższa | Brak specyficznego; współpraca na żądanie |
| Poziom kary | 10 000 000 EUR lub 2% | 10 000 000 EUR lub 2% |
Nazywanie roli „dystrybucją" w umowie prywatnej nie przenosi obowiązku publicznoprawnego. Jeżeli podmiot jako pierwszy wprowadza produkt spoza UE na rynek Unii, jest importerem. Aby zobaczyć szczegóły po stronie dystrybutora tej samej granicy, zob. przewodnik klastra dystrybutora.
Cztery sprawdzenia przed wprowadzeniem na rynek
1. Ocena zgodności przeprowadzona
Producent musi przeprowadzić ścieżkę oceny odpowiednią dla klasy produktu. Zażądaj Deklaracji Zgodności UE wskazującej zastosowany moduł oceny, a gdy zaangażowana była jednostka notyfikowana, numeru certyfikatu; w przypadku produktów ocenianych w ramach pełnego zapewnienia jakości (Moduł H) czterocyfrowy numer identyfikacyjny jednostki notyfikowanej umieszcza się również po oznaczeniu CE.
| Moduł | Kiedy |
|---|---|
| A wewnętrzna kontrola produkcji | Produkty domyślne; Ważna Klasa I tylko wtedy, gdy odpowiednie normy, specyfikacje lub system są w pełni zastosowane |
| B + C badanie typu UE + kontrola produkcji | Ważna Klasa I, gdy odpowiednie normy, specyfikacje lub system nie są w pełni zastosowane; Ważna Klasa II; ścieżki zastępcze dla produktów krytycznych |
| H pełne zapewnienie jakości | Alternatywa dla B+C przy Ważnej Klasie I jako ścieżce zastępczej, Ważnej Klasie II i ścieżkach zastępczych dla produktów krytycznych |
| Europejski system certyfikacji cyberbezpieczeństwa | Produkty krytyczne, gdy ścieżka certyfikacji została uruchomiona i dostępny jest właściwy system; także tam, gdzie CRA na to pozwala |
Zapoznaj się z przewodnikiem klastra dotyczącym oceny zgodności.
2. Dokumentacja techniczna sporządzona
Importer nie musi posiadać pełnego pliku technicznego. Potrzebuje jednak dowodu, że plik istnieje i może zostać udostępniony organom na żądanie. W praktyce zażądaj od producenta spisu treści dokumentacji technicznej oraz pisemnego zobowiązania do dostarczenia pliku źródłowego w określonym terminie i języku. Zapoznaj się z przewodnikiem klastra dotyczącym dokumentacji technicznej.
3. CE, DoC UE i instrukcje użytkownika
Trzy artefakty muszą towarzyszyć produktowi.
| Artefakt | Wymóg |
|---|---|
| Oznakowanie CE | Widoczne, czytelne, nieusuwalne, na produkcie lub tabliczce znamionowej; wysokość oznakowania CE może być mniejsza niż 5 mm, pod warunkiem że pozostaje ono widoczne i czytelne. Czterocyfrowy numer identyfikacyjny jednostki notyfikowanej następuje po oznakowaniu wyłącznie w przypadku pełnego zapewnienia jakości (Moduł H). Oznakowanie CE może znaleźć się na opakowaniu tylko wtedy, gdy umieszczenie go na samym produkcie nie jest możliwe; w takim przypadku musi ono pojawić się również w deklaracji zgodności UE. |
| DoC UE | Pełna DoC towarzysząca produktowi albo uproszczona DoC zawierająca dokładny adres internetowy pełnej DoC. Ogólne „wymagania cyberbezpieczeństwa" bez odniesienia do konkretnych zasadniczych wymagań to wada. |
| Informacje i instrukcje użytkownika | W języku łatwo zrozumiałym dla użytkowników i organów nadzoru rynku zainteresowanego państwa członkowskiego. Tożsamość producenta, przeznaczenie, data zakończenia okresu wsparcia, bezpieczna konfiguracja, bezpieczne wycofanie z eksploatacji, adres do zgłaszania podatności. |
4. ID produktu, dane producenta i koniec wsparcia
Ostatnie sprawdzenie importera nie jest kolejnym certyfikatem. To sprawdzenie obecności: produkt musi być identyfikowalny, producent musi być identyfikowalny i kontaktowalny, a data zakończenia okresu wsparcia musi być dostępna w chwili zakupu.
| Obowiązek | Sprawdzenie importera |
|---|---|
| Numer typu, partii lub seryjny do identyfikacji produktu (lub na opakowaniu, jeżeli produkt nie może go nosić) | Potwierdź element na produkcie lub opakowaniu |
| Nazwa producenta, nazwa handlowa lub znak towarowy, adres pocztowy, kontakt cyfrowy, również w informacjach dla użytkownika | Potwierdź na produkcie, opakowaniu lub dołączonym dokumencie |
| Data zakończenia okresu wsparcia w chwili zakupu, co najmniej miesiąc i rok | Potwierdź widoczność miesiąca i roku w punkcie sprzedaży |
Produkt bez podanej daty zakończenia okresu wsparcia (miesiąc i rok) jest niezgodny niezależnie od spełnienia pozostałych sprawdzeń.
Obowiązek pokrewny do potraktowania jako przesłanka odmowy: pojedynczy punkt kontaktowy musi pozwalać użytkownikom wybrać preferowany środek komunikacji i nie może być ograniczony do narzędzi automatycznych. Kontakt wyłącznie przez chatbot jest niezgodny. Bez działającego pojedynczego punktu kontaktowego po stronie producenta przepływ zgłaszania podatności jest przerwany od pierwszego dnia.
9-punktowa lista informacji o produkcie (Załącznik II)
Każdy produkt z elementami cyfrowymi musi dotrzeć do importera z dziewięcioma konkretnymi informacjami. Załącznik II CRA ustala listę, a kontrola importera opiera się na obecności: jeżeli brakuje któregokolwiek z punktów, produkt nie może zostać wprowadzony na rynek.
Imię i nazwisko lub nazwa, zarejestrowana nazwa handlowa lub znak towarowy, adres pocztowy, adres e-mail lub cyfrowa forma kontaktu, a także strona internetowa, jeżeli jest dostępna.
Przy odbiorzeObecne na produkcie, opakowaniu lub w dołączonym dokumencie.
Pojedynczy punkt kontaktowy do zgłaszania podatności oraz dostępna polityka skoordynowanego ujawniania (CVD).
Przy odbiorzeKanał nieautomatyczny, polityka CVD dostępna.
Nazwa i rodzaj produktu oraz wszelkie dodatkowe informacje (partia, numer seryjny, model) umożliwiające jednoznaczną identyfikację.
Przy odbiorzeNumer typu, partii lub seryjny widoczny.
Przeznaczenie produktu, środowisko bezpieczeństwa, zasadnicze funkcje i informacje o zabezpieczeniach.
Przy odbiorzeWskazane w informacjach dla użytkownika.
Znane lub dające się przewidzieć okoliczności mogące powodować istotne ryzyko w cyberprzestrzeni.
Przy odbiorzeUdokumentowane w informacjach dla użytkownika.
W stosownych przypadkach adres strony internetowej, na której dostępna jest pełna deklaracja zgodności UE.
Przy odbiorzeAdres URL działa, DoC jest pełna.
Rodzaj wsparcia technicznego w zakresie bezpieczeństwa oraz data zakończenia okresu wsparcia.
Przy odbiorzeData zawiera co najmniej miesiąc i rok.
Szczegółowe instrukcje lub adres strony z instrukcjami bezpiecznego użytkowania, wpływu zmian, instalacji aktualizacji, bezpiecznego wycofania z użytku oraz wyłączenia automatycznej instalacji aktualizacji.
Przy odbiorzeWszystkie podpunkty obecne lub dostępne pod podanym adresem URL.
Jeżeli producent udostępnia użytkownikom SBOM, miejsce, w którym jest on dostępny.
Przy odbiorzeSprawdź, czy SBOM jest udostępniany i pod jakim adresem URL.
Szczegóły dotyczące tego, jak producent przygotowuje każdy punkt, znajdują się w odpowiedniej sekcji przewodnika klastra producenta.
Weryfikacja Zgodności Producenta Spoza UE
Ustne zapewnienia przedstawicieli handlowych nie stanowią dowodu wystarczającego dla kontroli importera. Wyślij żądanie dokumentacji przed podpisaniem jakiejkolwiek umowy importowej.
Szablon Żądania Dokumentacji
Wyślij poniższe żądanie przed podpisaniem jakiejkolwiek umowy importowej:
TEMAT: Żądanie Dokumentacji Zgodności CRA
Oceniamy [produkt / model] do importu do Unii Europejskiej na mocy
Rozporządzenia (UE) 2024/2847 (Cyber Resilience Act).
Prosimy o dostarczenie poniższych dokumentów przed podjęciem decyzji
o imporcie:
1. Deklaracja Zgodności UE (pełna albo uproszczona), powołująca się na
zasadnicze wymagania cyberbezpieczeństwa oraz zastosowany moduł oceny
zgodności, z numerem certyfikatu jednostki notyfikowanej tam, gdzie ma to
zastosowanie.
2. Spis treści dokumentacji technicznej oraz pisemne
zobowiązanie do udostępnienia pełnych akt w języku [język] w ciągu
[X] dni.
3. Potwierdzenie okresu wsparcia: co najmniej 5 lat albo przewidywany okres
używania, jeśli jest krótszy, wraz z uzasadnieniem.
4. Data zakończenia okresu wsparcia (miesiąc i rok), tak jak będzie
widoczna w punkcie zakupu.
5. Pojedynczy punkt kontaktowy, z potwierdzeniem, że nie ogranicza się do
narzędzi zautomatyzowanych.
6. Polityka skoordynowanego ujawniania podatności.
7. Dowód umieszczenia oznakowania CE na produkcie lub tabliczce znamionowej.
8. Instrukcje użytkownika w języku [język docelowego państwa członkowskiego].
Bez tej dokumentacji nie możemy wprowadzić produktu na rynek UE.
Wymagany termin odpowiedzi: [X] dni roboczych.
Ocena Odpowiedzi
| Odpowiedź | Działanie |
|---|---|
| Kompletna dokumentacja dostarczona | Przejdź do przeglądu weryfikacji importera |
| Częściowa dokumentacja, pozostała „w toku" | Wstrzymaj import; udokumentuj lukę; nie wprowadzaj na rynek |
| „Mamy oznakowanie CE na podstawie innego rozporządzenia" | Niewystarczające; CE dla EMC, RED lub LVD nie spełnia CRA. Zażądaj DoC i dokumentacji technicznej specyficznych dla CRA. |
| „Nasz produkt jest poza zakresem CRA" | Zażądaj pisemnej analizy zakresu z klasą produktu i podstawą wyłączenia; nie importuj na podstawie ustnego twierdzenia |
| „Certyfikat jednostki notyfikowanej jest w toku" | Ocena zgodności musi być ukończona przed wprowadzeniem na rynek; nie importuj |
| Pojedynczy punkt kontaktowy to wyłącznie chatbot | Brak niezautomatyzowanego kanału kontaktu; odmów |
| Data DoC sprzed 11 grudnia 2027 r., bez aktualizacji specyficznej dla CRA | Odmów |
| Brak numeru jednostki notyfikowanej dla produktu Ważnej Klasy II lub krytycznego | Odmów |
| Okres wsparcia krótszy niż 5 lat bez uzasadnienia przewidywanym okresem używania | Odmów |
| Brak daty zakończenia wsparcia z miesiącem i rokiem | Odmów |
| Instrukcje wyłącznie w języku krajowym producenta | Odmów dla danego państwa członkowskiego |
| Odmowa lub brak odpowiedzi | Nie importuj |
Sygnały Ostrzegawcze
- Tekst DoC skopiowany z szablonu, bez mapowania specyficznego dla produktu.
- Data DoC poprzedzająca 11 grudnia 2027 r. bez wskazania zaktualizowanej wersji specyficznej dla CRA.
- Brak numeru jednostki notyfikowanej dla produktu Ważnej Klasy II lub krytycznego.
- Brak pojedynczego punktu kontaktowego ds. podatności lub kontakt zwracający błąd przy teście.
- Zadeklarowany okres wsparcia krótszy niż pięć lat bez uzasadnienia przewidywanym okresem używania.
- Instrukcje wyłącznie w języku krajowym producenta dla rynku docelowego z innym językiem urzędowym.
Jeżeli producent spoza UE nie ma siedziby w Unii
Producent spoza UE, który nie ma głównej siedziby w Unii, kieruje zgłoszenia dotyczące podatności i incydentów przez kaskadę zapasową. Artykuł 14 ust. 7 ustala kolejność, a lokalizacja importera ma w niej znaczenie. Kaskada brzmi:
"a) państwo członkowskie, w którym ma siedzibę upoważniony przedstawiciel działający w imieniu producenta w odniesieniu do największej liczby produktów z elementami cyfrowymi tego producenta;
b) państwo członkowskie, w którym ma siedzibę importer wprowadzający do obrotu największą liczbę produktów z elementami cyfrowymi tego producenta;
c) państwo członkowskie, w którym ma siedzibę dystrybutor udostępniający na rynku największą liczbę produktów z elementami cyfrowymi tego producenta;
d) państwo członkowskie, w którym znajduje się największa liczba użytkowników produktów z elementami cyfrowymi tego producenta."
Dwie praktyczne konsekwencje dla importera. Po pierwsze, jeżeli jesteś największym podmiotem unijnym tego producenta poza upoważnionym przedstawicielem, lit. b) wskazuje prawdopodobnie Twoje państwo członkowskie jako CSIRT koordynujący w zakresie zgłoszeń podatności i poważnych incydentów. Potwierdź z producentem, czy istnieje upoważniony przedstawiciel objęty lit. a) oraz czy aktywną trasą jest państwo członkowskie tego przedstawiciela, czy Twoje.
Po drugie, lit. b) opiera się na wolumenie i może się przesuwać pomiędzy importerami w zależności od kohorty produktowej. Prowadź ewidencję wolumenów produktów na producenta i na państwo członkowskie, aby móc poprzeć przypisanie trasy, jeżeli CSIRT lub organ nadzoru rynku zwróci się z pytaniem.
Gdy Weryfikacja Nie Powiedzie Się: Krok po Kroku
Nieudana weryfikacja tworzy obowiązek zatrzymania i poinformowania. Importer musi utrzymać produkt poza rynkiem UE, dopóki produkt i procesy producenta nie zostaną doprowadzone do zgodności.
- Zatrzymaj. Nie wprowadzaj produktu na rynek UE. Towary mogą nadal trafiać do składów celnych lub być reeksportowane, lecz wprowadzenie na rynek jest zakazane do czasu usunięcia niezgodności.
- Udokumentuj. Zapisz, które sprawdzenie przed wprowadzeniem zawiodło, jakie dowody były brakujące lub niewystarczające, datę stwierdzenia niezgodności oraz historię komunikacji z producentem.
- Powiadom producenta na piśmie. Wskaż konkretną lukę zgodności, wymaganą dokumentację, termin odpowiedzi oraz konsekwencję (brak importu do czasu jej usunięcia).
- Oceń ryzyko cyberbezpieczeństwa. Jeżeli produkt stwarza znaczące ryzyko dla cyberbezpieczeństwa, poinformuj organ nadzoru rynku zainteresowanego państwa członkowskiego i udostępnij całą dostępną dokumentację.
- Rozwiąż lub odrzuć. Kontynuuj import wyłącznie po spełnieniu wszystkich czterech sprawdzeń i zamknięciu wszelkich obaw dotyczących ryzyka. Jeżeli luki nie można usunąć w deklarowanym przez producenta terminie, odrzuć import.
Po wprowadzeniu na rynek obowiązek importera przesuwa się na działania naprawcze, wycofanie z rynku lub od użytkowników, gdy jest to właściwe, informowanie producenta o podatnościach bez zbędnej zwłoki oraz powiadamianie nadzoru rynku w każdym państwie członkowskim dostawy, gdy produkt stwarza znaczące ryzyko dla cyberbezpieczeństwa. Jeżeli producent zaprzestał działalności, poinformuj nadzór rynku oraz, wszelkimi dostępnymi środkami, użytkowników.
Jeżeli dostawca zaprzestaje działalności
Gdy producent spoza UE zaprzestaje działalności, importer staje się posłańcem. Powstaje obowiązek powiadomienia, ale obowiązki wsparcia producenta nie przechodzą na importera. Artykuł 19 ust. 8 określa moment zadziałania:
"W przypadku gdy importer produktu z elementami cyfrowymi dowiaduje się, że producent tego produktu zaprzestał działalności i w związku z tym nie jest w stanie wypełnić obowiązków określonych w niniejszym rozporządzeniu, importer informuje o tej sytuacji odpowiednie organy nadzoru rynku, a także, za pomocą wszelkich dostępnych środków i w możliwie jak najszerszym zakresie, użytkowników produktów z elementami cyfrowymi wprowadzonych do obrotu."
Należy powiadomić dwie strony: odpowiednie organy nadzoru rynku oraz, w miarę możliwości, użytkowników produktów już wprowadzonych do obrotu (wszelkimi dostępnymi środkami i w możliwie najszerszym zakresie). Sam CRA nie wymaga, by importer przejął wsparcie na poziomie producenta, obsługę podatności, wydawanie aktualizacji zabezpieczeń ani jakikolwiek inny obowiązek producenta. Obowiązki po stronie producenta wygasają wraz z producentem.
Postępowanie z zapasami jest decyzją handlową, a nie obowiązkiem ustawowym. Importer zwykle wstrzymuje dalsze wprowadzanie produktów objętych sytuacją, aby ograniczyć ekspozycję na wsparcie po stronie odbiorców, lecz jest to zarządzanie ryzykiem, a nie obowiązek ustawowy. Jeżeli importer chce kontynuować sprzedaż, uruchamia się eskalacja roli: dalsze wprowadzanie produktu na rynek pod własną nazwą lub znakiem towarowym to ustawowy most do statusu producenta, ze wszystkimi obowiązkami inżynieryjnymi, oceny zgodności i okresu wsparcia, jakie z tego wynikają.
Importer, dystrybutor czy producent?
Strona importera nie powinna dźwigać całej macierzy ról. Użyj drzewa decyzji ról CRA, aby pełnie sklasyfikować podmiot.
Ustawowa przesłanka rebrandingu znajduje się w artykule 3 pkt 13:
„producent" oznacza osobę fizyczną lub prawną, która opracowuje lub wytwarza produkty z elementami cyfrowymi lub zleca zaprojektowanie, opracowanie lub wytworzenie produktów z elementami cyfrowymi i wprowadza te produkty do obrotu pod własną nazwą handlową lub znakiem towarowym, za opłatą, na zasadzie monetyzacji lub bezpłatnie
Zwrot „wprowadza te produkty do obrotu pod własną nazwą handlową lub znakiem towarowym" stanowi przesłankę rebrandingu. Umieszczenie własnej marki unijnej na produkcie OEM spoza UE czyni podmiot producentem od pierwszej sprzedaży. Ustawowy most do statusu producenta kieruje importera lub dystrybutora objętego tą przesłanką wprost do reżimu producenta. Odrębna klauzula resztowa obejmuje osoby trzecie, które nie są producentem, importerem ani dystrybutorem. Jeżeli sytuacja przesuwa podmiot do statusu producenta, zob. przewodnik klastra producenta dla pełnego zestawu obowiązków producenta.
Dla pracy importera praktyczna granica jest taka:
| Sytuacja | Rola CRA lub skutek |
|---|---|
| Podmiot z UE jako pierwszy wprowadza na rynek Unii produkt oznaczony marką spoza UE | Importer |
| Podmiot z UE odsprzedaje produkt po tym, jak inny podmiot z UE już wprowadził go na rynek | Dystrybutor |
| Podmiot z UE wprowadza produkt pod własną nazwą lub marką | Stosuje się obowiązki producenta |
| Importer lub dystrybutor istotnie modyfikuje produkt | Stosuje się obowiązki producenta poprzez ustawowy most importer-dystrybutor |
| Inna osoba trzecia istotnie modyfikuje produkt i udostępnia go na rynku | Stosuje się obowiązki producenta poprzez regułę dla podmiotów trzecich istotnie modyfikujących produkt |
Praktyczny koszt przejścia z importera na producenta jest wysoki: dokumentacja techniczna, ocena zgodności, Deklaracja Zgodności UE, obsługa podatności, aktualizacje bezpieczeństwa i zgłaszanie podatności muszą być wtedy po Twojej stronie lub umownie zabezpieczone.
Dokumentacja i Przechowywanie
Przechowuj Deklarację Zgodności UE do dyspozycji organów nadzoru rynku przez co najmniej 10 lat po wprowadzeniu produktu na rynek albo przez okres wsparcia, jeżeli jest dłuższy. Zapewnij również możliwość udostępnienia dokumentacji technicznej na żądanie. Produkt z 12-letnim okresem wsparcia wymaga więc 12-letniego planu przechowywania po stronie importera.
Importer przechowuje Deklarację Zgodności UE, spis treści dokumentacji technicznej i zobowiązanie producenta, własny rejestr weryfikacji, korespondencję, dokumenty celne i partie oraz zapisy działań naprawczych i powiadomień.
Gdy linia przechodzi w obowiązki producenta przez własną markę albo istotną modyfikację, stosuje się reguła przechowywania producenta: ten sam okres plus dokumentacja techniczna we własnym imieniu i pełny łańcuch dowodowy oceny zgodności.
Przechowywanie cyfrowe jest dopuszczalne. Pliki muszą pozostać dostępne i czytelne przez cały okres przechowywania.
Częste Błędy
| Twierdzenie | Dlaczego nie działa |
|---|---|
| "Oznakowanie CE oznacza zgodność." | CE jest tylko jednym punktem sprawdzenia importera; Deklaracja, dokumentacja techniczna, informacje dla użytkownika i data końca wsparcia nadal wymagają weryfikacji. |
| "Dostawca od lat jest wiarygodny." | Historia EMC, RED lub LVD nie obejmuje obowiązków CRA. |
| "Ustne zapewnienia." | Importer potrzebuje dokumentacji możliwej do prześledzenia. |
| "Sprawdzimy po przybyciu wysyłki." | Weryfikacja musi nastąpić przed wprowadzeniem na rynek. |
| "Reguła modyfikacji czyni nas producentem, jeśli modyfikujemy." | Dla importerów i dystrybutorów bezpośrednie przejście przy własnej marce lub istotnej modyfikacji jest automatyczne. Reguła resztowa dotyczy innych osób trzecich. |
Sygnały zamówień publicznych dotyczące określonych dostawców spoza UE. W 2021 r. Parlament Europejski głosował nad rezolucją ograniczającą wewnętrzne zamówienia publiczne na kamery termowizyjne Hikvision. Rezolucja stanowi sygnał polityczny dotyczący wymienionego z nazwy chińskiego dostawcy systemów dozoru wizyjnego, nie jest natomiast obowiązkiem CRA, ale due diligence importera w odniesieniu do marek dozoru wizyjnego spoza UE powinno traktować takie historie zamówień publicznych jako element szerszego obrazu ryzyka, obok czterech kontroli przedwprowadzeniowych.
Często Zadawane Pytania
Kim jest importer w rozumieniu CRA?
Podmiot z UE wprowadzający produkt o marce spoza UE na rynek Unii. Muszą być spełnione trzy warunki łącznie: siedziba w Unii, bycie pierwszym podmiotem udostępniającym produkt na rynku unijnym oraz produkt nosi nazwę lub znak towarowy osoby mającej siedzibę poza Unią. Jeżeli produkt nosi własną markę podmiotu, nie jest on importerem, lecz producentem.
Jestem importerem czy dystrybutorem?
Granicę wyznacza pierwsze wprowadzenie na rynek. Importer to pierwszy podmiot z UE, który wprowadza produkt o marce spoza UE na rynek unijny. Dystrybutor udostępnia produkt po importerze, nie zmieniając jego właściwości. Jeżeli produkt kupowany jest od innej firmy unijnej, która już go zaimportowała, ta firma jest importerem, a podmiot jest dystrybutorem. Jeżeli zakup następuje bezpośrednio od producenta spoza UE i to podmiot pierwszy wprowadza produkt na rynek UE, jest importerem.
Importer a upoważniony przedstawiciel: jaka jest różnica?
Różne zadania, a upoważniony przedstawiciel jest nieobowiązkowy. Artykuł 18 ust. 1 używa słowa „może", a nie „musi":
"Producent może, w drodze pisemnego pełnomocnictwa, wyznaczyć upoważnionego przedstawiciela."
Upoważniony przedstawiciel nie jest zatem wymagany ustawowo. Producent spoza UE może go wyznaczyć lub nie. W praktyce możesz potrzebować upoważnionego przedstawiciela lub umownie zobowiązanego importera jako kontaktu w UE, ale to realia handlowe, a nie obowiązek z CRA.
Opisy zadań różnią się. Upoważniony przedstawiciel sprawuje pieczę dokumentacyjną dla producenta. Importer fizycznie wprowadza produkt na rynek. Upoważniony przedstawiciel przechowuje DoC UE i dokumentację techniczną do dyspozycji organów nadzoru rynku oraz współpracuje z tymi organami, lecz sam nie wprowadza produktu na rynek. Importer natomiast przeprowadza czteropunktową weryfikację przed każdym wprowadzeniem na rynek. Producent spoza UE może mianować upoważnionego przedstawiciela do celów dokumentacyjnych i kontaktowych, ale nadal potrzebuje importera (lub własnej jednostki unijnej), by faktycznie wprowadzić produkt na rynek. Mianowanie upoważnionego przedstawiciela nie przenosi obowiązków inżynieryjnych, oceny ryzyka ani obsługi podatności.
Czy importerzy MŚP korzystają z wyjątków?
Brak wyjątku od samych obowiązków. Obowiązki importera dotyczą podmiotów niezależnie od wielkości. Ustępstwo CRA dla MŚP w zakresie kar jest przeznaczone dla producentów, nie importerów, i wyłącznie w odniesieniu do terminów wczesnego ostrzegania (24 h). Zwolnienie z grzywny dla zarządców oprogramowania open source na podstawie Artykułu 64(10)(b) dotyczy zarządców, nie importerów. Organy muszą uwzględnić wielkość naruszającego przy ustalaniu wysokości grzywny w indywidualnych sprawach, lecz jest to czynnik kary, a nie zwolnienie z obowiązku.
Od kiedy obowiązki importera CRA zaczynają obowiązywać?
Od 11 grudnia 2027 r. Od tej daty żaden produkt z elementami cyfrowymi nie może być wprowadzany na rynek UE bez przeprowadzenia przez importera weryfikacji przed wprowadzeniem. Zgłaszanie podatności i incydentów rozpoczyna się wcześniej, 11 września 2026 r., lecz jest to obowiązek producenta; rola importera polega na zapewnieniu, że pojedynczy punkt kontaktowy producenta jest uruchomiony i nie jest ograniczony do narzędzi automatycznych.
Czy sam rebranding czyni importera producentem?
Tak, w praktyce. Jeżeli podmiot z UE wprowadza produkt pod własną nazwą lub marką, musi spełnić obowiązki producenta dla tej linii. Dla importerów i dystrybutorów bezpośrednie przejście przy własnej marce lub istotnej modyfikacji jest automatyczne; osobna reguła dotyczy innych osób trzecich.
Czy poprawki bezpieczeństwa mogą stanowić istotną modyfikację?
Nie, jeżeli poprawki są wydane przez oryginalnego producenta i zachowują przeznaczenie, zachowanie i architekturę bezpieczeństwa produktu. Poprawka robiąca coś więcej niż naprawia podatność, na przykład dodająca funkcje, zmieniająca uwierzytelnianie lub rozszerzająca powierzchnię ataku, traci wyłączenie i staje się istotną modyfikacją. Obroną jest dokumentacja: zachowaj dowód, że poprawka pochodziła od producenta i nie zmieniła przeznaczenia.
Jak długo importer musi przechowywać Deklarację Zgodności UE?
Co najmniej 10 lat po wprowadzeniu produktu na rynek lub przez okres wsparcia, w zależności od tego, który jest dłuższy. Produkt wprowadzony w 2028 r. z 12-letnim okresem wsparcia oznacza obowiązek przechowywania do 2040 r. Importer musi też zapewnić, że dokumentacja techniczna może być udostępniona organom na żądanie. Przechowywanie w formie cyfrowej jest dopuszczalne.
Co zrobić, gdy dokumentacja producenta ma luki?
Zatrzymaj i poinformuj. Produktu nie można wprowadzić na rynek UE do czasu usunięcia luki. Producent otrzymuje pisemne powiadomienie ze wskazaniem braku, wymaganej dokumentacji i terminu. Gdy produkt stwarza znaczące ryzyko cyberbezpieczeństwa, organ nadzoru rynku zainteresowanego państwa członkowskiego musi zostać poinformowany. Towary mogą trafiać do składów celnych w czasie trwania luki.
Co dzieje się z oznaczeniem CE oryginalnego producenta, gdy podmiot staje się producentem?
Przestaje obejmować produkt w postaci, w jakiej podmiot wprowadza go na rynek. Podmiot jako producent wystawia własną Deklarację Zgodności UE i umieszcza CE na własną odpowiedzialność.
Czy pięcioletni okres wsparcia zaczyna się od nowa po przeklasyfikowaniu na producenta?
Tak. Okres wsparcia biegnie od daty, w której podmiot jako producent wprowadza rebrandowany lub zmodyfikowany produkt na rynek UE. Minimalny próg pięciu lat obowiązuje, z wyjątkiem produktów, które mają być używane przez okres krótszy niż 5 lat. Koszty pojawiają się w zasobach wsparcia i umowach z dostawcami: fabryka wyższego szczebla musi zobowiązać się do dostarczania danych wejściowych przez co najmniej własny okres wsparcia.
Czy podmiot po przeklasyfikowaniu na producenta potrzebuje jednostki notyfikowanej?
W przypadku produktów Ważnej Klasy II lub krytycznych istotnie zmodyfikowanych: niemal zawsze tak. Sam rebranding takiego produktu również wymaga nowej Deklaracji Zgodności UE. Bezpośrednie przejście dotyczy importerów i dystrybutorów. Zobacz przewodniki ocena zgodności oraz klasyfikacja produktu.