CRA-efterlevnad med flera roller: När du är tillverkare, importör och distributör

Ditt företag tillverkar smarta sensorer i Tyskland. Ni importerar även kompletterande produkter från en taiwanesisk leverantör och distribuerar en annan leverantörs programvara. Under CRA är ni samtidigt tillverkare, importör och distributör.

Den här guiden förklarar hur du hanterar efterlevnad när du innehar flera ekonomiska operatörsroller.

Sammanfattning

• Många företag innehar flera CRA-roller inom sin produktportfölj
• Varje roll har distinkta skyldigheter, och du måste uppfylla dem alla
• Roll bestäms per produkt, inte per organisation
• Vissa skyldigheter överlappar (positivt), andra skiljer sig (hanterbara)
• Enhetlig efterlevnadsinfrastruktur kan effektivt betjäna flera roller

Tips: Kartlägg varje produkt till dess specifika CRA-roll (tillverkare, importör, distributör) för att undvika efterlevnadsluckor.

Förstå CRA:s ekonomiska operatörsroller

CRA definierar fyra primära roller för att placera produkter på EU-marknaden:

Tillverkare

Den enhet som designar och producerar produkten, eller låter den designas/produceras och marknadsför den under sitt namn eller varumärke.

Nyckelskildigheter:

• Konformitetsbedömning
• Teknisk dokumentation
• CE-märkning
• Sårbarhethantering
• 5-årig supportperiod

Importör

En enhet etablerad i EU som placerar en produkt från ett tredjeland på EU-marknaden.

Nyckelskildigheter:

• Verifiera tillverkarens efterlevnad (DoC, CE-märkning, dokumentation)
• Säkerställa produktidentifiering och spårbarhet
• Bevara dokumentation i 10 år
• Rapportera bristande efterlevnad

Distributör

En enhet i leveranskedjan som tillgängliggör en produkt på marknaden (inte tillverkare eller importör).

Nyckelskildigheter:

• Verifiera att CE-märkning och erforderlig dokumentation finns
• Säkerställa att lagring/transport inte påverkar efterlevnaden
• Rapportera bristande efterlevnad
• Samarbeta med marknadsövervakning

Förvaltare av öppen källkod

En juridisk person (inte fysisk person) som systematiskt tillhandahåller stöd för OSS avsedd för kommersiell användning.

Nyckelskildigheter:

• Cybersäkerhetspolicy
• Samordnat sårbarhetavslöjande
• Samarbete med marknadsövervakning

Varför flera roller är vanligt

Scenario 1: Vertikal integration

Du tillverkar din kärnprodukt men sourcear komponenter:

DITT FÖRETAG:
├── Tillverkare av: Smart Home Hub (designad internt)
├── Importör av: Strömförsörjningsenheter (från Kina)
└── Distributör av: Kompatibla smart plugs (EU-partners produkt)

Scenario 2: Portföljdiversifiering

Du utökar utbudet genom inköp:

DITT FÖRETAG (Industriell automation):
├── Tillverkare av: PLC-styrenheter (originaldesign)
├── Tillverkare av: Sensorer (white-label, ditt varumärke)
├── Importör av: HMI-paneler (koreansk leverantör)
└── Distributör av: Industriell programvara (tyskt företag)

Scenario 3: Regional verksamhet

EU-dotterbolag till icke-EU-företag:

DITT FÖRETAG (EU-dotterbolag):
├── Importör av: Alla moderbolagets produkter
├── Distributör av: Partnerprodukter för EU-marknaden
└── Tillverkare av: EU-specifika konfigurationer

Rollbestämning per produkt

Kritisk princip: CRA-roll bestäms produkt för produkt, inte på organisationsnivå.

För varje produkt i din portfölj, fråga:

1. Designade du den och/eller satte du ditt varumärke på den? → Tillverkare
2. Är du den första att placera den på EU-marknaden från utanför EU? → Importör
3. Gör du den tillgänglig men importerade eller tillverkade den inte? → Distributör

Beslutsmatris

Skyldighetskartläggning per roll

Efterlevnadsdokumentation

Marknadsplacering

Skyldigheter efter marknadsplacering

Hantera flera roller: Enhetligt tillvägagångssätt

Delad infrastruktur

Vissa efterlevnadsfunktioner betjänar flera roller:

DELAD EFTERLEVNADSINFRASTRUKTUR

┌─────────────────────────────────────────────────┐
│           ENHETLIGT EFTERLEVNADSSYSTEM           │
├─────────────────────────────────────────────────┤
│  Dokumenthantering                               │
│  - Tekniska filer (tillverkarroll)               │
│  - Verifieringsregister (importörroll)           │
│  - Distributionsregister (distributörroll)       │
├─────────────────────────────────────────────────┤
│  Spårbarhetssystem                               │
│  - Alla roller kräver spårbarhet                │
│  - Enstaka system, olika data per roll          │
├─────────────────────────────────────────────────┤
│  Sårbarhethantering                              │
│  - Intag: Betjänar alla roller                  │
│  - Respons: Differentieras per roll             │
├─────────────────────────────────────────────────┤
│  Hantering av bristande efterlevnad              │
│  - Detektion: Alla roller                       │
│  - Respons: Rollspecifika åtgärder              │
└─────────────────────────────────────────────────┘

Rollspecifika processer

Vissa processer måste differentieras per roll:

Tillverkarprodukter:

• Fullständig konformitetsbedömning
• SBOM-skapande och -underhåll
• Uppdateringsutveckling och -distribution
• ENISA-rapportering (direkt)

Importerade produkter:

• Arbetsflöde för leverantörsverifiering
• Begäran/verifiering av dokumentation
• Vidarebefordran av sårbarhetrapporter
• ENISA-rapporteringssamordning med tillverkare

Distribuerade produkter:

• Förenklad verifiering (CE, dokument finns)
• Övervakning av lagringsförhållanden
• Rapportera problem uppströms

Organisationsstrukturalternativ

Alternativ 1: Rollbaserade team

Efterlevnadsavdelning
├── Team för tillverkarefterlevnad
│   └── Hanterar: Alla tillverkarskyldigheter
├── Team för importörefterlevnad
│   └── Hanterar: Leverantörsverifiering, importdokument
└── Team för distributörefterlevnad
    └── Hanterar: Partnerrelationer, distributionsregister

Alternativ 2: Produktbaserade team

Efterlevnadsavdelning
├── Team för produktlinje A (sensorer)
│   └── Hanterar: Alla roller för sensorprodukter
├── Team för produktlinje B (styrenheter)
│   └── Hanterar: Alla roller för styrenhetsprodukter
└── Gemensamma tjänster
    └── Dokumenthantering, SBOM-verktyg, utbildning

Alternativ 3: Hybrid (Rekommenderas för de flesta)

Efterlevnadsavdelning
├── Kärnefterlevnad
│   └── Delad: Dokumenthantering, sårbarhetintag, utbildning
├── Tillverkarefterlevnad
│   └── Konformitetsbedömning, tekniska filer, uppdateringar
└── Leverantörs-/partnerefterlevnad
    └── Importverifiering, distributörrelationer

Praktiska arbetsflöden

Introduktion av ny produkt

När du lägger till en produkt i din portfölj:

ARBETSFLÖDE FÖR EFTERLEVNAD VID NY PRODUKT

1. ROLLBESTÄMNING
   - Var designas/tillverkas den?
   - Vars varumärke sätts på den?
   - Hur når den EU-marknaden?
   → Bestäm: Tillverkare / Importör / Distributör

2. ROLLSPECIFIK INTRODUKTION

   Om TILLVERKARE:
   [ ] Genomför riskbedömning
   [ ] Skapa teknisk dokumentation
   [ ] Genomför konformitetsbedömning
   [ ] Förbered SBOM
   [ ] Etablera uppdateringsmekanism
   [ ] Inrätta sårbarhethantering

   Om IMPORTÖR:
   [ ] Begär tillverkardokumentation
   [ ] Verifiera DoC och CE-märkning
   [ ] Bekräfta SBOM-tillgänglighet
   [ ] Bekräfta sårbarhetskontak
   [ ] Inrätta leverantörsövervakning
   [ ] Lägg till din identifikation

   Om DISTRIBUTÖR:
   [ ] Verifiera att CE-märkning finns
   [ ] Verifiera att dokumentation följer med
   [ ] Upprätta lagringskontroller
   [ ] Inrätta kanal för problemrapportering

3. REGISTRERA I EFTERLEVNADSSYSTEM
   [ ] Registrera produkt med fastställd roll
   [ ] Ladda upp relevant dokumentation
   [ ] Sätt gransknings-/övervakningsscheman
   [ ] Tilldela ansvarigt team/person

Sårbarhetsrespons per roll

När en sårbarhet upptäcks som påverkar dina produkter:

För tillverkade produkter:

Sårbarhet → Ditt säkerhetsteam → Bedöm → Utveckla patch
                                      ↓
                                Släpp uppdatering
                                      ↓
                              Notifiera kunder
                                      ↓
                        ENISA-rapport (om exploaterad)

För importerade produkter:

Sårbarhet → Vidarebefordra till tillverkare → Spåra respons
                       ↓
              Ta emot uppdatering
                       ↓
     Säkerställ att EU-kunder tar emot den
                       ↓
    Stöd ENISA-rapportering (vid behov)

För distribuerade produkter:

Sårbarhet → Notifiera uppströms (tillverkare/importör)
                       ↓
          Pausa distribution (om allvarlig)
                       ↓
            Återuppta när löst

Hantering av bristande efterlevnad

När du upptäcker att en produkt inte efterlever:

Alla roller: Notifiera marknadsövervakningsmyndigheter om produkten utgör allvarlig risk.

Vanliga utmaningar med flera roller

Utmaning 1: Motstridiga tidslinjer

Problem: Dina tillverkade produkter har ett 90-dagars CVD-fönster, men din leverantör (vars produkter du importerar) insisterar på 120 dagar.

Lösning: Separata policies per roll. Din CVD-policy gäller produkter du tillverkar. För importerade produkter arbetar du inom leverantörens tidslinje medan du säkerställer att den uppfyller CRA-minimumet.

Utmaning 2: Dokumentationsinkonsistens

Problem: Olika dokumentationsstandarder för olika roller (dina tekniska filer kontra leverantörsdokumentation kontra distribuerade produkters dokument).

Lösning:

• Underhåll ett enhetligt dokumenthanteringssystem
• Skapa rollspecifika mallar och checklistor
• Tvinga inte in leverantörsdokumentation i din tillverkningsmall

Utmaning 3: Ansvarsförvirring

Problem: Internt oklart vem som hanterar vad när flera roller gäller.

Lösning:

• Tydligt produktregister med rolltilldelningar
• RACI-matris för efterlevnadsaktiviteter
• Eskaleringsvägar för kantfall

Utmaning 4: Leverantör som inte samarbetar

Problem: Du är importör men din leverantör vägrar att tillhandahålla dokumentation.

Lösning:

• Detta är en dealbreaker. Utan korrekt dokumentation kan du inte lagligen importera.
• Antingen erhåll dokumentation eller hitta en annan leverantör.
• Det är därför due diligence på leverantörer är viktigt.

Kostnadsöverväganden

Effektivitet genom enhetlighet

Företag med flera roller kan uppnå stordriftsfördelar:

Rollspecifika kostnader

Vissa kostnader skalas med rollantalet:

• Tillverkare: Konformitetsbedömning per produkt (kan inte delas)
• Importör: Leverantörsverifiering per leverantör (kan inte delas)
• Distributör: Partnerhantering per partner (kan inte delas)

Checklista för flerrollsefterlevnad

CHECKLISTA FÖR FLERROLLSEFTERLEVNAD

GRUNDLÄGGANDE:
[ ] Produktportfölj katalogiserad
[ ] Varje produkt tilldelad en CRA-roll
[ ] Rollbestämning dokumenterad
[ ] Enstaka efterlevnadssystem valt
[ ] Ansvarsfördelning per roll tilldelad

PER ROLL:

TILLVERKARPRODUKTER:
[ ] Tekniska filer kompletta
[ ] Konformitetsbedömningar genomförda
[ ] SBOM skapade och underhållna
[ ] Uppdateringsmekanism etablerad
[ ] CVD-policy publicerad
[ ] ENISA-rapporteringsförmåga

IMPORTERADE PRODUKTER:
[ ] Leverantörer verifierade (för varje)
[ ] Dokumentation erhållen och verifierad
[ ] Kopior av DoC i fil
[ ] Spårbarhet etablerad
[ ] Dina kontaktuppgifter tillagda på produkter
[ ] Leverantörsövervakning på plats

DISTRIBUERADE PRODUKTER:
[ ] CE-märkning verifierad (alla produkter)
[ ] Erforderlig dokumentation finns
[ ] Lagringsförhållanden lämpliga
[ ] Kanal för problemrapportering till tillverkare/importör
[ ] Distributionsregister underhållna

ENHETLIGA FUNKTIONER:
[ ] Dokumenthantering för alla roller
[ ] Spårbarhetssystem i drift
[ ] Procedur för hantering av bristande efterlevnad
[ ] Utbildning genomförd (rollspecifik)
[ ] Redo för marknadsövervakningssamarbete

KANTFALL:
[ ] White-label-produkter identifierade (→ tillverkare)
[ ] Väsentligt modifierade produkter identifierade (→ tillverkare)
[ ] Tredjelandsdotterbolagets produkter identifierade (→ importör)

När roller förändras

Din roll kan förändras över tid:

Distributör → Importör

Utlösare: Din EU-leverantör stänger; du börjar importera direkt från deras tillverkare.

Åtgärd:

• Fullständig importörverifiering av produkten
• Etablera direkt leverantörsrelation
• Uppdatera dokumentation

Importör → Tillverkare

Utlösare: Du börjar sätta ditt varumärke på den importerade produkten.

Åtgärd:

• Uppfyll alla tillverkarskyldigheter (konformitetsbedömning, teknisk fil, SBOM, etc.)
• Din leverantör är nu just det: en leverantör, inte tillverkaren
• Du äger efterlevnaden

Vilken roll som helst → Avsluta

Utlösare: Du slutar sälja en produkt.

Åtgärd:

• Dokumentbevarande fortsätter (10 år för tillverkare/importör)
• Supportkyligheter fortsätter för tillverkare (minst 5 år från sista enhet)
• Tydlig kommunikation till kunder

Hur CRA Evidence hjälper

CRA Evidence stöder organisationer med flera roller:

• Rollbaserat produktregister: Spåra varje produkts CRA-roll
• Rollspecifika arbetsflöden: Olika checklistor och processer per roll
• Enhetlig dokumentation: Enstaka system för alla tekniska filer, verifieringsregister
• Leverantörshantering: Spåra och verifiera leverantörer för importerade produkter
• Sårbarhetssamordning: Dirigera problem till lämpliga hanterare per roll

Hantera din flerrollsefterlevnad på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.