Cyber Resilience Act (Rozporządzenie (UE) 2024/2847) traktuje importera jako prawny kanał, przez który producent spoza UE dociera na rynek unijny. Od 11 grudnia 2027 roku artykuł 19 nakłada na importera osobistą odpowiedzialność za weryfikację zgodności z CRA, zanim jakikolwiek produkt z elementami cyfrowymi zostanie wprowadzony na rynek Unii. Niniejsza strona obejmuje cztery sprawdzenia przed wprowadzeniem na rynek z artykułu 19 ust. 2, obowiązki posprzedażowe z artykułu 19 ust. 3-8, zasadę przechowywania oraz granice roli wynikające z artykułu 3 pkt 13 i artykułu 3 pkt 16.
Podsumowanie
- Cztery sprawdzenia przed wprowadzeniem na rynek (artykuł 19 ust. 2): ocena zgodności przeprowadzona, dokumentacja techniczna sporządzona, CE + DoC UE + język załącznika II obecne, zgodność z artykułem 13 ust. 15, 16 i 19.
- Obowiązek odmowy (artykuł 19 ust. 3): jeśli produkt lub procesy producenta nie są zgodne, importer nie wprowadza produktu na rynek; informuje producenta oraz organy nadzoru rynku, gdy występuje znaczące ryzyko dla cyberbezpieczeństwa.
- Obowiązki posprzedażowe (artykuł 19 ust. 5-8): środki naprawcze i wycofanie w razie potrzeby, zgłaszanie podatności, współpraca z nadzorem rynku oraz powiadamianie, gdy producent zaprzestaje działalności.
- Przechowywanie (artykuł 19 ust. 6): 10 lat lub okres wsparcia, w zależności która wartość jest dłuższa.
- Importerem nie jest podmiot wprowadzający produkt pod własną nazwą. Artykuł 3 pkt 13 klasyfikuje go jako producenta, z pełnym zestawem obowiązków artykułu 13 i 14.
Cztery sprawdzenia, przechowywanie ponad dziesięć lat, dwa poziomy kar w zależności od tego, czy podmiot rzeczywiście jest importerem.
Oznakowanie CE na produkcie spoza UE to deklaracja producenta, że produkt jest zgodny z przepisami. Obowiązkiem importera z artykułu 19 jest weryfikacja dokumentacji źródłowej potwierdzającej tę deklarację. Oznakowanie CE bez Deklaracji Zgodności UE, bez dokumentacji technicznej zgodnej z Załącznikiem VII i bez oceny ryzyka zgodnie z Załącznikiem I nie stanowi obrony; jest to przesłanka z artykułu 19 ust. 2 do odmowy wprowadzenia produktu na rynek.
Kto jest importerem w rozumieniu CRA?
Artykuł 3 pkt 16 definiuje importera dosłownie:
„Importer" oznacza osobę fizyczną lub prawną mającą siedzibę w Unii, która wprowadza do obrotu produkt z elementami cyfrowymi opatrzony nazwą lub znakiem towarowym osoby fizycznej lub prawnej mającej siedzibę poza Unią.
Jesteś importerem na potrzeby CRA, jeśli spełnione są wszystkie trzy warunki:
| Element | Test |
|---|---|
| Siedziba w Unii | Podmiot prawny zarejestrowany w państwie członkowskim UE |
| Wprowadzanie do obrotu | Pierwsze udostępnienie produktu na rynku unijnym do dystrybucji lub użytku w ramach działalności handlowej (artykuł 3 pkt 21 i 22) |
| Marka spoza UE | Nazwa lub znak towarowy na produkcie, opakowaniu lub dokumentacji należy do osoby mającej siedzibę poza Unią |
Jeżeli którykolwiek z trzech warunków nie jest spełniony, podmiot nie jest importerem. Gdy produkt nosi własną nazwę lub znak towarowy podmiotu, podmiot jest producentem na mocy artykułu 3 pkt 13. Gdy podmiot nie jest pierwszym podmiotem unijnym wprowadzającym produkt na rynek Unii, jest dystrybutorem na mocy artykułu 3 pkt 17. Gdy producent spoza UE wyznaczył podmiot do działania w jego imieniu na podstawie pisemnego pełnomocnictwa bez samodzielnego wprowadzania produktu na rynek, podmiot jest upoważnionym przedstawicielem na mocy artykułu 18 i artykułu 3 pkt 15, nie importerem.
Importer jest pierwszym prawnym kanałem, przez który producent spoza UE dociera na rynek Unii, i ponosi osobistą odpowiedzialność za wszystko, co przez ten kanał przepływa.
Artykuł 19 w skrócie
| Ustęp | Obowiązek | Kluczowy punkt |
|---|---|---|
| 19 ust. 1 | Ogólna zgodność | Wprowadzanie wyłącznie produktów zgodnych z Częścią I Załącznika I, gdy procesy producenta są zgodne z Częścią II. |
| 19 ust. 2 | Weryfikacja przed wprowadzeniem (a)-(d) | Ocena zgodności + dokumentacja techniczna + CE/DoC/Załącznik II + artykuł 13 ust. 15, 16 i 19. Importer musi być w stanie przedstawić dokumenty potwierdzające spełnienie wymogów. |
| 19 ust. 3 | Obowiązek odmowy | Brak wprowadzenia na rynek, gdy produkt lub procesy są niezgodne. Powiadomienie producenta + nadzoru rynku przy znaczącym ryzyku cyberbezpieczeństwa. Czynniki ryzyka inne niż techniczne uruchamiają artykuł 54 ust. 2. |
| 19 ust. 4 | Identyfikacja importera | Własna nazwa, nazwa handlowa lub znak towarowy, adres pocztowy, kontakt cyfrowy na produkcie, opakowaniu lub dołączonym dokumencie. |
| 19 ust. 5 | Działania naprawcze posprzedażowe | Wycofanie z rynku lub od użytkowników w stosownych przypadkach. Świadomość podatności: powiadomienie producenta bez zbędnej zwłoki; powiadomienie organów nadzoru rynku każdego państwa członkowskiego dostawy przy znaczącym ryzyku cyberbezpieczeństwa. |
| 19 ust. 6 | Przechowywanie | DoC do dyspozycji organów przez 10 lat lub okres wsparcia, w zależności która wartość jest dłuższa. Zapewnienie udostępnienia dokumentacji technicznej na żądanie. |
| 19 ust. 7 | Współpraca | Na uzasadnione żądanie organów nadzoru rynku dostarczenie wszystkich informacji i dokumentów w języku zrozumiałym dla organu. |
| 19 ust. 8 | Producent zaprzestał działalności | Powiadomienie organów nadzoru rynku oraz, wszelkimi dostępnymi środkami, użytkowników. |
Żaden z tych obowiązków nie przewiduje progu dla MŚP. Wyjątek z artykułu 64 ust. 10 ogranicza się do terminów po stronie producenta z artykułu 14 ust. 2 lit. a) i 14 ust. 4 lit. a) oraz do opiekunów oprogramowania open source.
Importer a Dystrybutor
Prawnym kryterium jest to, który podmiot jako pierwszy wprowadza produkt na rynek Unii.
| Aspekt | Importer (artykuł 19) | Dystrybutor (artykuł 20) |
|---|---|---|
| Pozycja | Siedziba w Unii; wprowadza na rynek produkt opatrzony nazwą osoby spoza UE | Każdy podmiot udostępniający produkt po importerze, bez wpływu na jego właściwości |
| Weryfikacja | Pełen artykuł 19 ust. 2 (a)-(d) wraz z artykułem 13 ust. 15, 16 i 19 | Sprawdzenie CE oraz obecności artykułu 13 ust. 15, 16, 18, 19, 20 i artykułu 19 ust. 4 |
| Dokumentacja | Musi być w stanie przedstawić dokumenty potwierdzające artykuł 19; zapewnia udostępnienie Załącznika VII | Współpraca z organami; weryfikacja oparta na obecności |
| Odmowa | Artykuł 19 ust. 3 | Artykuł 20 |
| Świadomość podatności | Artykuł 19 ust. 5 | Artykuł 20 |
| Przechowywanie | DoC przez 10 lat lub okres wsparcia, w zależności która wartość jest dłuższa | Brak specyficznego; współpraca na żądanie |
| Poziom kary | 10 000 000 EUR lub 2% (artykuł 64 ust. 3) | 10 000 000 EUR lub 2% (artykuł 64 ust. 3) |
Nazywanie roli „dystrybucją" w umowie prywatnej nie przenosi obowiązku publicznoprawnego. Jeżeli podmiot jako pierwszy wprowadza produkt spoza UE na rynek Unii, jest importerem.
Cztery sprawdzenia przed wprowadzeniem na rynek
1. Ocena zgodności przeprowadzona (artykuł 19 ust. 2 lit. a; artykuł 32)
Producent musi przeprowadzić ścieżkę oceny odpowiednią dla klasy produktu. Zażądaj Deklaracji Zgodności UE wskazującej zastosowany moduł oceny, a gdy zaangażowana była jednostka notyfikowana, numeru certyfikatu oraz czterocyfrowego numeru identyfikacyjnego jednostki umieszczonego po oznaczeniu CE.
| Moduł | Kiedy |
|---|---|
| A wewnętrzna kontrola produkcji | Wyłącznie dla produktów klasy domyślnej |
| B + C badanie typu UE + kontrola produkcji | Domyślnie dla produktów Important Klasa II; Klasa I, jeżeli nie zastosowano właściwej normy zharmonizowanej |
| H pełne zapewnienie jakości | Alternatywa dla produktów Important; wymagany dla produktów Critical przy braku unijnego systemu certyfikacji cyberbezpieczeństwa |
Zapoznaj się z przewodnikiem klastra dotyczącym oceny zgodności.
2. Dokumentacja techniczna sporządzona (artykuł 19 ust. 2 lit. b; artykuł 31; Załącznik VII)
Importer nie jest zobowiązany do posiadania pełnej dokumentacji z Załącznika VII, ale musi być w stanie wykazać spełnienie artykułu 19 (zdanie końcowe ustępu 2) oraz zapewnić udostępnienie pliku organom nadzoru rynku na żądanie (artykuł 19 ust. 6). Zażądaj spisu treści obejmującego każdą sekcję Załącznika VII oraz pisemnego zobowiązania producenta do dostarczenia pliku źródłowego w określonym terminie i języku. Zapoznaj się z przewodnikiem klastra dotyczącym dokumentacji technicznej.
3. CE + DoC UE + załącznik II w odpowiednim języku (artykuł 19 ust. 2 lit. c; artykuły 28 i 30; Załącznik II)
Trzy artefakty muszą towarzyszyć produktowi.
| Artefakt | Wymóg |
|---|---|
| Oznakowanie CE (artykuł 30) | Co najmniej 5 mm wysokości, widoczne, czytelne, nieusuwalne, na produkcie lub tabliczce znamionowej. Numer identyfikacyjny jednostki notyfikowanej następuje po oznakowaniu w stosownych przypadkach. CE wyłącznie na opakowaniu zbiorczym jest niezgodne. |
| DoC UE (artykuł 13 ust. 20, pełna treść zgodnie z artykułem 28 + Załącznikiem V) | Pełna DoC towarzysząca produktowi albo uproszczona DoC zawierająca dokładny adres internetowy pełnej DoC. Ogólne „wymagania cyberbezpieczeństwa" bez odniesienia do Załącznika I to wada. |
| Informacje i instrukcje z Załącznika II | W języku łatwo zrozumiałym dla użytkowników i organów nadzoru rynku zainteresowanego państwa członkowskiego. Tożsamość producenta, przeznaczenie, data zakończenia okresu wsparcia, bezpieczna konfiguracja, bezpieczne wycofanie z eksploatacji, adres do zgłaszania podatności. |
4. Identyfikacja i identyfikowalność (artykuł 19 ust. 2 lit. d; artykuł 13 ust. 15, 16 i 19)
Trzy odrębne obowiązki producenta odsyłane z artykułu 19 ust. 2 lit. d:
| Odsyłacz | Obowiązek | Sprawdzenie importera |
|---|---|---|
| 13 ust. 15 | Numer typu, partii lub seryjny do identyfikacji produktu (lub na opakowaniu, jeżeli produkt nie może go nosić) | Potwierdź element na produkcie lub opakowaniu |
| 13 ust. 16 | Nazwa producenta, nazwa handlowa lub znak towarowy, adres pocztowy, kontakt cyfrowy, również w Załączniku II | Potwierdź na produkcie, opakowaniu lub dołączonym dokumencie |
| 13 ust. 19 | Data zakończenia okresu wsparcia w chwili zakupu, co najmniej miesiąc i rok | Potwierdź widoczność miesiąca i roku w punkcie sprzedaży |
Produkt bez podanej daty zakończenia okresu wsparcia (miesiąc i rok) jest niezgodny z artykułem 19 ust. 2 lit. d na podstawie artykułu 13 ust. 19, niezależnie od spełnienia pozostałych sprawdzeń.
Obowiązek pokrewny do potraktowania jako przesłanka odmowy: artykuł 13 ust. 17, pojedynczy punkt kontaktowy. Artykuł 13 ust. 17 wymaga, aby użytkownicy mogli wybrać preferowany środek komunikacji, a środek nie był ograniczony do narzędzi automatycznych. Kontakt wyłącznie przez chatbot jest niezgodny. Bez działającego pojedynczego punktu kontaktowego po stronie producenta przepływ zgłaszania podatności z artykułu 14 jest przerwany od pierwszego dnia.
Weryfikacja Zgodności Producenta Spoza UE
Ustne zapewnienia przedstawicieli handlowych nie stanowią dowodu w rozumieniu artykułu 19 ust. 1. Importer musi zebrać dokumentację, ocenić ją i podjąć decyzję.
Szablon Żądania Dokumentacji
Wyślij poniższe żądanie przed podpisaniem jakiejkolwiek umowy importowej:
TEMAT: Żądanie Dokumentacji Zgodności CRA
Oceniamy [produkt / model] do importu do Unii Europejskiej na mocy
Rozporządzenia (UE) 2024/2847 (Cyber Resilience Act).
Prosimy o dostarczenie poniższych dokumentów przed podjęciem decyzji
o imporcie:
1. Deklaracja Zgodności UE, podpisana i datowana, powołująca się na
wymagania zasadnicze z Załącznika I oraz zastosowany moduł oceny
zgodności z artykułu 32, z numerem certyfikatu jednostki notyfikowanej
tam, gdzie ma to zastosowanie.
2. Spis treści dokumentacji technicznej z Załącznika VII oraz pisemne
zobowiązanie do udostępnienia pliku źródłowego organom nadzoru rynku
UE na żądanie w ciągu [X] dni roboczych, w języku [język].
3. Potwierdzenie okresu wsparcia (minimum 5 lat od wprowadzenia na rynek
na mocy artykułu 13 ust. 8 lub przewidywanego okresu użytkowania
produktu, jeżeli jest krótszy, z datą i uzasadnieniem).
4. Polityka obsługi podatności oraz pojedynczy punkt kontaktowy (adres
URL lub e-mail) zgodnie z artykułem 13 ust. 16, z potwierdzeniem
monitorowania.
5. Polityka skoordynowanego ujawniania podatności zgodnie z Załącznikiem
I Część II.
6. Dowód umieszczenia oznakowania CE (zdjęcie oznakowania na produkcie
lub tabliczce znamionowej; informacja o rozmiarze i nieusuwalności).
7. Instrukcje użytkownika z Załącznika II w języku [język docelowego
państwa członkowskiego].
Bez tej dokumentacji nie możemy wprowadzić produktu na rynek UE.
Wymagany termin odpowiedzi: [X] dni roboczych.
Ocena Odpowiedzi
| Odpowiedź | Działanie |
|---|---|
| Kompletna dokumentacja dostarczona | Przejdź do przeglądu weryfikacji z artykułu 19(1) |
| Częściowa dokumentacja, pozostała „w toku" | Wstrzymaj import; udokumentuj lukę; nie wprowadzaj na rynek |
| „Mamy oznakowanie CE na podstawie innego rozporządzenia" | Niewystarczające; CE dla EMC, RED lub LVD nie spełnia CRA. Zażądaj DoC i Załącznika VII specyficznych dla CRA. |
| „Nasz produkt jest poza zakresem CRA" | Zażądaj pisemnej analizy zakresu powołującej się na artykuł 2 i Załącznik III/IV; nie importuj na podstawie ustnego twierdzenia o zakresie |
| „Certyfikat jednostki notyfikowanej jest w toku" | Artykuł 32 musi być ukończony przed wprowadzeniem na rynek; nie importuj |
| Odmowa lub brak odpowiedzi | Nie importuj |
Sygnały Ostrzegawcze
- Tekst DoC skopiowany z szablonu, bez mapowania specyficznego dla produktu na Załącznik I.
- Data DoC poprzedzająca 11 grudnia 2027 r. bez wskazania zaktualizowanej wersji specyficznej dla CRA.
- Brak numeru jednostki notyfikowanej przy produkcie należącym do Klasy II Załącznika III lub Załącznika IV (Critical).
- Brak pojedynczego punktu kontaktowego ds. podatności lub kontakt zwracający błąd przy teście.
- Zadeklarowany okres wsparcia krótszy niż pięć lat bez uzasadnienia na mocy artykułu 13 ust. 8.
- Instrukcje wyłącznie w języku krajowym producenta dla rynku docelowego z innym językiem urzędowym.
Gdy Weryfikacja Nie Powiedzie Się: Krok po Kroku
Artykuł 19 ust. 2 tworzy obowiązek zatrzymania i poinformowania. Sekwencja jest następująca:
- Zatrzymaj. Nie wprowadzaj produktu na rynek UE. Towary mogą nadal trafiać do składów celnych lub być reeksportowane, lecz wprowadzenie na rynek jest zakazane do czasu usunięcia niezgodności.
- Udokumentuj. Zapisz, które sprawdzenie z artykułu 19 ust. 1 zawiodło, jakie dowody były brakujące lub niewystarczające, datę stwierdzenia niezgodności oraz historię komunikacji z producentem.
- Powiadom producenta na piśmie. Wskaż konkretną lukę zgodności, wymaganą dokumentację, termin odpowiedzi oraz konsekwencję (brak importu do czasu jej usunięcia).
- Oceń ryzyko cyberbezpieczeństwa. Jeżeli produkt stwarza znaczące ryzyko dla cyberbezpieczeństwa (artykuł 19 ust. 2 zdanie drugie), poinformuj organ nadzoru rynku zainteresowanego państwa członkowskiego i udostępnij całą dostępną dokumentację.
- Rozwiąż lub odrzuć. Kontynuuj import wyłącznie po spełnieniu wszystkich sześciu sprawdzeń z artykułu 19 ust. 1 i zamknięciu wszelkich obaw dotyczących ryzyka. Jeżeli luki nie można usunąć w deklarowanym przez producenta terminie, odrzuć import.
Granice Roli: Czy Naprawdę Jesteś Importerem?
Najtrudniejsze pytanie klasyfikacyjne nie brzmi „co robi importer", lecz „czy w ogóle jestem importerem". Cyber Resilience Act odpowiada na nie przez definicje z artykułu 3, nie przez artykuł 22.
Artykuł 3 pkt 13, producent: opracowuje lub ma zaprojektowane, opracowane lub wyprodukowane produkty z elementami cyfrowymi i wprowadza je do obrotu pod własną nazwą lub znakiem towarowym.
Artykuł 3 pkt 16, importer: osoba mająca siedzibę w Unii, która wprowadza do obrotu produkt opatrzony nazwą lub znakiem towarowym osoby mającej siedzibę poza Unią.
Czytane łącznie: ta sama czynność logistyczna stanowi „import" tylko wtedy, gdy produkt nosi nazwę podmiotu spoza UE. Oznaczenie własną marką lokuje podmiot w artykule 3 pkt 13, nie w pkt 16. Dla tego produktu podmiot jest producentem i był nim od początku. Dla importerów nie istnieje żadna „eskalacja na mocy artykułu 22". Artykuł 22 wyraźnie wyłącza importerów („inna niż producent, importer lub dystrybutor"); obejmuje on modyfikujących będących osobami trzecimi, takich jak integratorzy systemów lub resellerzy z wartością dodaną, którzy znajdują się poza łańcuchem z artykułu 3.
Test Brandingu
| Sytuacja | Klasyfikacja |
|---|---|
| Sprzedaż pod marką „AcmeTech" | Producent (artykuł 3 pkt 13) |
| „Dystrybuowane przez AcmeTech" obok widocznej oryginalnej marki | Importer (artykuł 3 pkt 16) |
| Zastąpienie całego oryginalnego brandingu własnym | Producent (artykuł 3 pkt 13) |
| Mała naklejka dystrybutora obok oryginalnego brandingu | Zależnie od widoczności; test rozsądnego nabywcy |
| Marketing prezentuje podmiot jako źródło, mimo że na urządzeniu widnieje fabryka wyższego szczebla | Producent (artykuł 3 pkt 13) |
Test Istotnej Modyfikacji (artykuł 3 pkt 30)
Zmiana po wprowadzeniu do obrotu, która wpływa na zgodność z Załącznikiem I Część I lub modyfikuje przeznaczenie, dla którego produkt został oceniony.
| Prawdopodobnie istotne | Prawdopodobnie nieistotne |
|---|---|
| Instalacja niestandardowego oprogramowania układowego | Wydane przez producenta poprawki bezpieczeństwa zachowujące przeznaczenie |
| Dodanie zdalnego zarządzania lub telemetrii | Lokalizacja drukowanej dokumentacji |
| Zmiany sprzętowe funkcji bezpieczeństwa | Zmiany opakowania zewnętrznego |
| Zastąpienie implementacji kryptograficznych | Dołączanie kompatybilnych akcesoriów bez integracji |
| Zmiana uwierzytelniania lub autoryzacji | |
| Dodanie łączności sieciowej do produktu wcześniej offline |
Gdy importer istotnie modyfikuje produkt, artykuł 22 nie ma formalnego zastosowania (wyłącza importerów). Obronna wykładnia: istotna modyfikacja wyprowadza podmiot z artykułu 3 pkt 16, ponieważ produkt nie jest już tym samym produktem, który producent spoza UE wprowadził do obrotu. Bezpieczna ścieżka: traktować modyfikującego jak producenta tego wariantu na mocy artykułu 3 pkt 13.
Koszt Przeklasyfikowania
| Obszar kosztów | Importer (artykuł 3 pkt 16) | Producent (artykuł 3 pkt 13) |
|---|---|---|
| Ocena zgodności | Weryfikacja oceny producenta | Przeprowadzenie własnej (Moduł A) lub opłacenie jednostki notyfikowanej (Moduł B+C, Moduł H) |
| Dokumentacja techniczna | Weryfikacja dostępu | Sporządzenie i utrzymanie (artykuł 31, Załącznik VII) |
| Obsługa podatności | Przekazywanie zgłoszeń wyżej; działania naprawcze (artykuł 19 ust. 5) | Intake, triage, usuwanie, polityka CVD, zgłaszanie z artykułu 14 |
| Aktualizacje bezpieczeństwa | Przekazywanie | Opracowywanie, podpisywanie, dystrybucja przez okres wsparcia; dostępność 10 lat lub pozostały okres (artykuł 13 ust. 9) |
| Ekspozycja na kary | Do 10 000 000 EUR lub 2% (artykuł 64 ust. 3) | Do 15 000 000 EUR lub 2,5% (artykuł 64 ust. 2) |
Praktyczne Scenariusze
| Scenariusz | Klasyfikacja |
|---|---|
| Tablety white-label sprzedawane pod marką podmiotu z UE | Producent (artykuł 3 pkt 13) od pierwszego dnia |
| Wstępnie skonfigurowane routery korporacyjne pod oryginalną marką, z profilami konfiguracji istotnymi dla bezpieczeństwa | Producent (artykuł 3 pkt 13) skonfigurowanego wariantu; alternatywnie uzgodnić z oryginalnym producentem objęcie wariantu jego DoC |
| Wydane przez producenta poprawki bezpieczeństwa stosowane przed sprzedażą | Importer (artykuł 3 pkt 16); udokumentuj, że poprawki pochodziły od producenta |
| Niestandardowa kompilacja oprogramowania układowego dla klientów korporacyjnych | Dwie ścieżki: standardowe SKU jako importer, niestandardowe SKU jako producent |
| Pakiet sprzedawany jako zintegrowany system | Producent zestawu (artykuł 3 pkt 13) |
Strategie Pozostania Importerem
- Zachowaj widoczną nazwę oryginalnego producenta i identyfikację „wyprodukowano przez". Identyfikacja własna pozostaje jako „importowane przez" na mocy artykułu 19 ust. 4.
- Stosuj wyłącznie poprawki wydane przez producenta, które zachowują przeznaczenie.
- Nie zmieniaj konfiguracji istotnych dla bezpieczeństwa przed odsprzedażą; personalizację dla klienta prowadź przez oryginalnego producenta.
- Dokumentuj każdy produkt jako „niezmodyfikowany przez importera", z listą kontrolną odwołującą się do artykułu 3 pkt 30.
Dokumentacja i Przechowywanie
Artykuł 19 ust. 6 nakłada na importera obowiązek przechowywania kopii Deklaracji Zgodności UE do dyspozycji organów nadzoru rynku przez 10 lat od daty wprowadzenia na rynek produktu objętego tą deklaracją. W praktyce importer przechowuje:
- Deklarację Zgodności UE, podpisaną i datowaną, ze wszystkimi powołanymi załącznikami.
- Spis treści Załącznika VII oraz pisemne zobowiązanie producenta do udostępnienia pliku źródłowego organom na żądanie, z uzgodnionym terminem i językiem.
- Własny rejestr weryfikacji z artykułu 19 ust. 1 (lista kontrolna sześciu punktów, decyzja, data, sygnatariusz).
- Korespondencję z producentem dotyczącą żądań dokumentacji, zidentyfikowanych luk i rozwiązań.
- Dokumentację importową: dokumenty celne, listy przewozowe, identyfikatory partii oraz datę pierwszego wprowadzenia na rynek per partia.
- W przypadku reklasyfikacji na mocy artykułu 3 pkt 13 (własna marka) lub artykułu 3 pkt 30 (istotna modyfikacja): pełną dokumentację producenta, tj. ocenę ryzyka, dokumentację techniczną, dowody oceny zgodności, DoC wystawioną przez importera, dokumentację obsługi podatności, deklarację okresu wsparcia, znaczniki czasu świadomości z artykułu 14 tam, gdzie ma to zastosowanie.
Przechowywanie w formie cyfrowej jest dopuszczalne. Importer musi zapewnić, że pliki pozostają dostępne i czytelne przez pełny okres przechowywania oraz mogą być udostępnione w rozsądnym terminie na żądanie organów, w języku przez nie zrozumiałym.
Częste Błędy
„Oznakowanie CE oznacza, że są zgodni." Oznakowanie CE to deklaracja producenta. Artykuł 19 ust. 1 zobowiązuje importera do weryfikacji stojącej za nią dokumentacji. Oznakowanie CE bez DoC to najczęstsza przesłanka do odmowy wprowadzenia na rynek.
„Nasz dostawca był niezawodny przez lata." Dotychczasowa zgodność z EMC, RED lub LVD nie przenosi się na CRA. CRA wprowadza obowiązki (obsługa podatności zgodnie z Załącznikiem I Część II, okres wsparcia z artykułu 13 ust. 8, zgłaszanie z artykułu 14), których dotychczasowe unijne prawo dotyczące produktów nie obejmuje.
„Ustne zapewnienia naszego przedstawiciela handlowego." Artykuł 19 ust. 1 wymaga dokumentacji. Zapewnienie przedstawiciela handlowego nie ma żadnej wagi prawnej na mocy CRA. Uzyskaj je na piśmie lub odmów importu.
„Zweryfikujemy po przybyciu przesyłki." Weryfikacja z artykułu 19 ust. 1 musi nastąpić przed wprowadzeniem na rynek. Towary mogą trafiać do składów celnych, lecz nie mogą być sprzedawane ani w inny sposób udostępniane na rynku UE do czasu ukończenia weryfikacji.
„To tylko naklejka z naszym logo." Artykuł 3 pkt 13 nie zna progu rozmiaru. Naklejka prezentująca podmiot jako źródło produktu lokuje go w definicji producenta niezależnie od jakichkolwiek innych zmian; podmiot nigdy nie był importerem dla tego produktu, ponieważ produkt nosi jego nazwę, a nie nazwę osoby mającej siedzibę poza Unią (artykuł 3 pkt 16).
„Poprawiamy bezpieczeństwo, nie zmieniamy go." Ulepszenia zmieniające architekturę bezpieczeństwa, powierzchnię ataku lub mechanizmy uwierzytelniania są istotną modyfikacją w rozumieniu artykułu 3 pkt 30. Fakt, że ulepszenie zwiększa bezpieczeństwo, nie zachowuje pierwotnego zakresu oceny producenta i wyprowadza podmiot z artykułu 3 pkt 16.
„Producent wyraził zgodę na rebranding." Zgoda producenta nie przenosi obowiązków producenta. Definicja z artykułu 3 pkt 13 jest kategorią prawa publicznego; umowy prywatne nie mogą z niej rezygnować.
Często Zadawane Pytania
Kim jest importer w rozumieniu CRA?
Podmiot z UE wprowadzający produkt o marce spoza UE na rynek Unii. Muszą być spełnione trzy warunki łącznie: siedziba w Unii, bycie pierwszym podmiotem udostępniającym produkt na rynku unijnym oraz produkt nosi nazwę lub znak towarowy osoby mającej siedzibę poza Unią. Jeżeli produkt nosi własną markę podmiotu, nie jest on importerem, lecz producentem. (artykuł 3(16); pierwsze udostępnienie w artykule 3(21); rebranding lokuje podmiot w artykule 3(13))
Jestem importerem czy dystrybutorem?
Granicę wyznacza pierwsze wprowadzenie na rynek. Importer to pierwszy podmiot z UE, który wprowadza produkt o marce spoza UE na rynek unijny. Dystrybutor udostępnia produkt po importerze, nie zmieniając jego właściwości. Jeżeli produkt kupowany jest od innej firmy unijnej, która już go zaimportowała, ta firma jest importerem, a podmiot jest dystrybutorem. Jeżeli zakup następuje bezpośrednio od producenta spoza UE i to podmiot pierwszy wprowadza produkt na rynek UE, jest importerem. (artykuły 3(16) i 3(17); obowiązki importera w artykule 19; obowiązki dystrybutora w artykule 20)
Importer a upoważniony przedstawiciel: jaka jest różnica?
Różne zadania. Upoważniony przedstawiciel sprawuje pieczę dokumentacyjną dla producenta; importer fizycznie wprowadza produkt na rynek. Upoważniony przedstawiciel przechowuje DoC UE i dokumentację techniczną do dyspozycji organów nadzoru rynku oraz współpracuje z tymi organami, lecz sam nie wprowadza produktu na rynek. Importer natomiast przeprowadza czteropunktową weryfikację przed każdym wprowadzeniem na rynek. Producent spoza UE może mianować upoważnionego przedstawiciela do celów dokumentacyjnych i kontaktowych, ale nadal potrzebuje importera (lub własnej jednostki unijnej), by faktycznie wprowadzić produkt na rynek. Mianowanie upoważnionego przedstawiciela nie przenosi obowiązków inżynieryjnych, oceny ryzyka ani obsługi podatności. (mandat upoważnionego przedstawiciela w art. 3(15) i 18(1)-(3); importer w art. 3(16) i 19; mandat nie obejmuje art. 13(1)-(11), 13(12) pierwszego akapitu ani 13(14))
Czy importerzy MŚP korzystają z wyjątków?
Brak wyjątku od samych obowiązków. Artykuł 19 dotyczy importerów niezależnie od wielkości. Ustępstwo CRA dla MŚP w zakresie kar jest przeznaczone dla producentów, nie importerów, i wyłącznie w odniesieniu do terminów wczesnego ostrzegania (24 h). Wyjątek dla opiekunów OSS dotyczy opiekunów, nie importerów. Organy muszą uwzględnić wielkość naruszającego, w tym MŚP i start-upy, przy ustalaniu wysokości grzywny w indywidualnych sprawach, lecz jest to czynnik kary, a nie zwolnienie z obowiązku. (artykuł 19 stosuje się do wszystkich; ustępstwo dla MŚP w art. 64(10)(a) dotyczy producentów, nie importerów, i wyłącznie terminów z art. 14(2)(a) i 14(4)(a); wyjątek dla opiekunów OSS w art. 64(10)(b); czynnik kary w art. 64(5)(c))
Od kiedy obowiązki importera CRA zaczynają obowiązywać?
Od 11 grudnia 2027 r. Od tej daty żaden produkt z elementami cyfrowymi nie może być wprowadzany na rynek UE bez przeprowadzenia przez importera weryfikacji z artykułu 19 ust. 2. Zgłaszanie z artykułu 14 rozpoczyna się wcześniej, 11 września 2026 r., lecz jest to obowiązek producenta; rola importera polega na zapewnieniu, że pojedynczy punkt kontaktowy producenta jest uruchomiony i nie jest ograniczony do narzędzi automatycznych. (artykuł 71 w zakresie stosowania; artykuł 19 od 11 grudnia 2027 r.; artykuł 14 od 11 września 2026 r. dotyczy producenta; rola importera polega na weryfikacji punktu kontaktowego z artykułu 13(17))
Czy sam rebranding czyni importera producentem?
Nie. Rebranding ujawnia, że podmiot zawsze był producentem. Definicja importera ogranicza się do osób wprowadzających na rynek produkt noszący nazwę podmiotu spoza UE. Sprzedaż pod własną marką wyklucza podmiot z kategorii importera i umieszcza go w kategorii producenta. DoC i oznakowanie CE oryginalnego producenta przestają obejmować produkt po rebrandingu. Artykuł 22 nie ma tu zastosowania: dotyczy on modyfikujących będących osobami trzecimi, nie importerów. (artykuł 3(13); definicja importera w artykule 3(16) ogranicza się do marek spoza UE; artykuł 22 dotyczy modyfikujących będących osobami trzecimi, nie importerów)
Czy poprawki bezpieczeństwa mogą stanowić istotną modyfikację?
Nie, jeżeli poprawki są wydane przez oryginalnego producenta i zachowują przeznaczenie, zachowanie i architekturę bezpieczeństwa produktu. Poprawka robiąca coś więcej niż naprawia podatność, na przykład dodająca funkcje, zmieniająca uwierzytelnianie lub rozszerzająca powierzchnię ataku, traci wyłączenie i staje się istotną modyfikacją. Obroną jest dokumentacja: zachowaj dowód, że poprawka pochodziła od producenta i nie zmieniła przeznaczenia. (artykuł 3(30); Załącznik I Część II traktuje aktualizacje bezpieczeństwa wydane przez producenta jako element obsługi podatności)
Jak długo importer musi przechowywać Deklarację Zgodności UE?
Co najmniej 10 lat po wprowadzeniu produktu na rynek lub przez okres wsparcia, w zależności od tego, który jest dłuższy. Produkt wprowadzony w 2028 r. z 12-letnim okresem wsparcia oznacza obowiązek przechowywania do 2040 r. Importer musi też zapewnić, że dokumentacja techniczna może być udostępniona organom na żądanie. Przechowywanie w formie cyfrowej jest dopuszczalne. (artykuł 19(6))
Co zrobić, gdy dokumentacja producenta ma luki?
Zatrzymaj i poinformuj. Produktu nie można wprowadzić na rynek UE do czasu usunięcia luki. Producent otrzymuje pisemne powiadomienie ze wskazaniem braku, wymaganej dokumentacji i terminu. Gdy produkt stwarza znaczące ryzyko cyberbezpieczeństwa, organ nadzoru rynku zainteresowanego państwa członkowskiego musi zostać poinformowany. Towary mogą trafiać do składów celnych w czasie trwania luki. (artykuł 19(3); czynniki ryzyka o charakterze innym niż technicznym uruchamiają artykuł 54(2))
Co dzieje się z oznaczeniem CE oryginalnego producenta, gdy podmiot staje się producentem?
Przestaje obejmować produkt w postaci, w jakiej podmiot wprowadza go na rynek. Podmiot jako producent wystawia własną DoC i umieszcza oznakowanie CE na własną odpowiedzialność. (artykuł 3(13); nowa DoC na mocy artykułu 13(20); nowe CE na mocy artykułu 30)
Czy pięcioletni okres wsparcia zaczyna się od nowa po przeklasyfikowaniu na producenta?
Tak. Okres wsparcia biegnie od daty, w której podmiot jako producent wprowadza rebrandowany lub zmodyfikowany produkt na rynek UE. Minimalny próg pięciu lat obowiązuje, z wyjątkiem produktów, które mają być używane przez okres krótszy niż 5 lat. Koszty pojawiają się w zasobach wsparcia i umowach z dostawcami: fabryka wyższego szczebla musi zobowiązać się do dostarczania danych wejściowych przez co najmniej własny okres wsparcia. (artykuł 13(8))
Czy podmiot po przeklasyfikowaniu na producenta potrzebuje jednostki notyfikowanej?
W przypadku produktów Important Klasa II lub Critical istotnie zmodyfikowanych: niemal zawsze tak. Certyfikat jednostki notyfikowanej był powiązany z produktem w oryginalnej postaci; istotna modyfikacja go unieważnia. Sam rebranding produktu Klasy II lub Critical również wymaga nowej DoC w imieniu podmiotu jako producenta. Zapoznaj się z przewodnikiem klastra dotyczącym oceny zgodności w zakresie zasad modułów oraz z przewodnikiem klastra dotyczącym klasyfikacji produktów w zakresie list Załącznika III i IV. (artykuł 3(30); Moduł A wyłącznie dla klasy domyślnej; Moduł B+C lub H wymaga jednostki notyfikowanej dla Klasy II i Critical)