CRA med flera roller: tillverkare, importör, distributör
CRA-handbok för företag som tillverkar, importerar och distribuerar: rollkartläggning, staplade skyldigheter, sårbarhetsrouting, sanktioner och konflikter.
I denna artikel
- Sammanfattning
- Hur företag med flera roller misslyckas annorlunda
- Skyldighetsstack för flera roller
- Alternativ för organisationsstruktur
- Exempel på kostnadsfördelning
- Scenarier med motstridiga tidslinjer
- Sårbarhetsfanutlösare
- Triage av myndighetsbegäranden över roller
- Straffexponering när du har flera roller
- Gränsöverskridande flerrolltopologi
- När samma juridiska person är tillverkarens representant, importör och tillverkare
- När roller skiftar mitt i livscykeln
- Affärskontinuitet när flerrollsorganisationen avvecklas
- Vanliga frågor
Ditt företag tillverkar smarta sensorer i Tyskland, importerar kompletterande produkter från en taiwanesisk leverantör och distribuerar en annan leverantörs programvara. Under CRA är ni samtidigt tillverkare, importör och distributör. Klustergudierna för en enda roll täcker varje skyldighetsmängd var för sig. Den här sidan är vad team med flera roller faktiskt behöver: det operativa lagret där roller staplas, krockar och flödar in i varandra. För rollspecifika skyldigheter, följ länkarna till tillverkarklustret, importörklustret och distributörklustret.
Sammanfattning
- Roll bestäms per produkt, inte per organisation. Ett företag med flera roller har en annan skyldighetsmängd per produktlinje. Kartlägg varje produkt först.
- Viss efterlevnadsinfrastruktur konsolideras över roller, annan gör det inte. Ett enda dokumentarkiv, ett enda sårbarhetsintag och ett enda SBOM-verktyg fungerar över roller. En enda rapporteringsklocka, en enda bevarandepolicy och en enda CVD-policy gör det inte.
- Straffexponering staplas. En enda incident kan utlösa tillverkartiernivån för en produkt och importör- eller distributörnivån för en annan. Företag med flera roller modellerar exponering för dubbla nivåer.
- Gränsöverskridande flerrolltopologi förstärker allt. När du tillverkar i en medlemsstat, importerar till en annan och distribuerar i en tredje hanterar du tre olika marknadskontrollmyndigheter, tre olika nationella språk för användarinformation och tre parallella notifieringsvägar när en sårbarhet uppstår.
Hur företag med flera roller misslyckas annorlunda
Företag med en enda roll misslyckas med skyldigheterna för sin roll. Företag med flera roller misslyckas vid gränserna mellan roller. Tre felmönster återkommer.
Splittrad efterlevnad. Varje rolls team arbetar mot sin egen handbok utan en delad produkt-till-roll-karta. Säljavdelningen säljer white label-produkten under ert varumärke på måndag. Tillverkarteamet får aldrig rebrandingmeddelandet. Konformitetsbedömningen för den ombrandade produkten körs aldrig. Tre månader senare ber en marknadskontrollmyndighet om tillverkarens beviskedja för en enhet som såldes under ert varumärke men är dokumenterad som en importerad tredjepartsprodukt. Den rättsliga ställningen är omöjlig att försvara.
Policykollision. Två rollers policyer tillämpas på samma produkt för att rollen inte var fastslagen. Din CVD-policy säger 90 dagar. Din leverantörs policy säger 120 dagar. Utan tydlig tilldelning av roll per produkt använder ditt teknikteam den policy som är kopplad till den roll de tror att ni har, inte den roll CRA tilldelar den produkten.
Dubblerad leverantörsgranskning. Som importör genomför du förhandsgodkännandeverifiering av en leverantörs produkt. Som tillverkare med samma leverantör som komponentleverantör genomför du due diligence för komponenter hos samma leverantör. Samma leverantör, två bevisunderlag, två budgetar, två intervjuer. Granskningen kan konsolideras, men bara om din roll-per-produkt-karta är tillräckligt tydlig för att göra det dubbla syftet försvarbart.
Skyldighetsstack för flera roller
Viss efterlevnadsinfrastruktur konsolideras över roller. Annan förblir rollseparerad. Tabellen nedan är det operativa lager som företag med flera roller behöver innan de investerar i verktyg, processer eller organisationsstruktur.
| Infrastruktur | Konsolideras över roller | Förblir rollseparerad |
|---|---|---|
| Dokumentlagring | Ja. Ett filsystem med mappar per produkt fungerar. | Mappstrukturen måste ange den eller de roller som är kopplade till varje produkt. |
| Sårbarhetsintag | Ja. En inkorg och en ärendekö kan ta emot rapporter över produktlinjer. | Routningsreglerna skiljer sig. Tillverkarprodukter eskaleras till teknikteamet. Importerade produkter eskaleras till leverantören och till importörverifiering. |
| SBOM-verktyg | Ja. Samma generator fungerar för tillverkad firmware och för mottagna leverantörs-SBOM:er (när de tillhandahålls). | Ägarskapet av SBOM:en skiljer sig: ditt för tillverkade produkter, leverantörens för importerade. |
| Policy för samordnat sårbarhetsavslöjande (CVD) | Nej. | Tillverkarprodukter körs under din CVD-policy. För importerade produkter gäller tillverkarens policy och din roll är att verifiera att den finns och är tillgänglig. |
| Rapporteringsklocka | Nej. | Tillverkarprodukter använder tillverkarens rapporteringshandbok. Importör- och distributöreskalering stannar i marknadskontrollsidans körfält. |
| Enda kontaktpunkt för sårbarhetsrapporter | Nej. | Tillverkarens kontakt finns på dina tillverkade produkter. Mottagare av importerade produkter ser den ursprungliga tillverkarens kontakt (som du verifierade vid intag) och dirigerar via den kontakten. |
| Dokumentbevarande | Nej. | Bevarandetiden konfigureras utifrån produktrollen och bevisunderlaget. Tillämpa inte en arkiveringsregel på varje mapp. |
| Strafftier | Nej. | Tillverkartierstraffet gäller när den överträdande produkten är en du tillverkar. Importör- eller distributörtier gäller annars. |
| Beviskedja för bedömning av överensstämmelse | Nej. | Din för tillverkade produkter. Den ursprungliga tillverkarens för importerade och distribuerade produkter. Importören håller en pekare. Distributören håller en presenscheck. |
Den infrastruktur som konsolideras är effektivitetsvinsten med flera roller. Den infrastruktur som förblir rollseparerad är där efterlevnadsteam snubblar om de antar att en policy kan betjäna varje produkt.
Alternativ för organisationsstruktur
Tre mönster fungerar för en efterlevnadsorganisation med flera roller. Välj det som matchar din portfölj.
Alternativ 1: Rollbaserade team. Separata team för tillverkar-, importör- och distributörsaktivitet. Bäst när varje roll har betydande volym.
Efterlevnadsavdelning
├─ Tillverkarefterlevnadsteam → alla tillverkarskyldigheter
├─ Importefterlevnadsteam → leverantörsverifiering, importdokument
└─ Distributionsefterlevnadsteam → partnerrelationer, distributionsregister
Alternativ 2: Produktbaserade team. Ett team per produktlinje som äger varje roll för produkterna i den linjen. Bäst när produktlinjerna är smala och rollerna per linje är blandade.
Efterlevnadsavdelning
├─ Produktlinje A-team (sensorer) → alla roller för sensorprodukter
├─ Produktlinje B-team (styrenheter) → alla roller för styrenhetsprodukter
└─ Gemensamma tjänster → dokumenthantering, SBOM-verktyg, utbildning
Alternativ 3: Hybrid (rekommenderas för de flesta). Delade kärntjänster plus rollspecialiserade team. Ett dokumentarkiv och ett sårbarhetsintag, men separata team för tillverkning respektive leverantör/partner.
Efterlevnadsavdelning
├─ Kärnefterlevnad → dokumenthantering, sårbarhetsintag, utbildning
├─ Tillverkarefterlevnad → bedömning av överensstämmelse, tekniska filer, uppdateringar
└─ Leverantörs-/partnerefterlevnad → importverifiering, distributörsrelationer
Exempel på kostnadsfördelning
En praktisk budgetuppdelning för ett företag med flera roller med 5 tillverkade produkter, 10 importerade och 15 distribuerade.
ÅRSBUDGET FÖR EFTERLEVNAD MED FLERA ROLLER
DELAD INFRASTRUKTUR (40 % av budgeten):
System för efterlevnadshantering: 25 000 €
Dokumenthantering: 10 000 €
Utbildningsprogram: 15 000 €
Sårbarhetsintag: 10 000 €
DELSUMMA 60 000 €
TILLVERKARROLLEN (35 % av budgeten):
Bedömning av överensstämmelse (5 produkter): 25 000 €
SBOM-verktyg: 8 000 €
Uppdateringsinfrastruktur: 15 000 €
Underhåll av teknisk fil: 5 000 €
DELSUMMA 53 000 €
IMPORTÖRROLLEN (20 % av budgeten):
Leverantörsverifiering (10 produkter): 20 000 €
Dokumentationsförfrågningar: 5 000 €
Leverantörsövervakning: 5 000 €
DELSUMMA 30 000 €
DISTRIBUTÖRROLLEN (5 % av budgeten):
Partnerverifiering: 5 000 €
Registerföring: 2 500 €
DELSUMMA 7 500 €
TOTALT 150 500 €
De 40 % som går till en delad kärna är effektivitetsvinsten med flera roller. Tillverkarens andel på 35 % stiger kraftigt om en importerad produkt korsar till tillverkarstatus för att du börjar varumärka den eller väsentligt modifiera den.
Scenarier med motstridiga tidslinjer
Företag med flera roller stöter på tidslinjekonflikter som enpersonsrollföretag aldrig ser.
Motstridiga CVD-fönster. Dina tillverkade produkter har ett 90-dagars fönster för samordnat sårbarhetsavslöjande. Din leverantör (vars produkter du importerar) insisterar på 120 dagar. Lösning: separata policyer per roll. Din CVD-policy gäller bara produkter du tillverkar. För importerade produkter är det tillverkarens policy som gäller. Din roll är att verifiera att den finns, är tillgänglig och är förenlig med CRA-minimistandarden.
Felaktig matchning av dokumentationsstandard. Din mall för teknisk fil som tillverkare följer din interna dokumentationsstandard. Din leverantörs dokumentation är strukturerad efter dennes eget inhemska regelverk. Lösning: behåll separata mallar per roll. Tvinga inte in leverantörens dokumentation i din tillverkarmall, annars förlorar du verifierbarheten när en marknadskontrollmyndighet ber om den ursprungliga källan.
Leverantör som inte samarbetar. Du är importör, men din leverantör vägrar tillhandahålla den dokumentation du behöver för förhandsverifiering. Lösning: affären är bruten. Utan dokumentationen kan du inte lagligen placera produkten på EU-marknaden. Håll leveransen, formalisera dokumentationsförfrågan skriftligen och om leverantören fortfarande vägrar, byt leverantör.
Supportperiodens kaskad. Som tillverkare åtar du dig ett 7-årig supportperiod för din egen produkt. Samma produktlinje inkluderar en ombrandad OEM-komponent som du också importerat (så du är både tillverkare av en variant och importör av en annan). OEM-tillverkaren åtar sig bara 5 år för den importerade varianten. Dina kunder kan se båda varianterna på din hylla. Lösning: kommunicera supportperioden per variant tydligt vid försäljningstillfället. Låt inte din marknadsföring hävda ett enda löfte för båda varianterna.
ENISAs SRP:s åtkomstgräns. ENISAs gemensamma rapporteringsplattform är tillverkarens rapporteringskanal. Företag med flera roller konfigurerar SRP-åtkomst för sin tillverkarroll. För produkter du bara importerar eller distribuerar är det den ursprungliga tillverkaren som rapporterar via SRP. Din roll är att informera den tillverkaren och (där betydande cybersäkerhetsrisk föreligger) informera marknadskontrollen direkt, inte att rapportera till ENISA på den ursprungliga tillverkarens vägnar.
Sårbarhetsfanutlösare
En sårbarhet rapporteras. Den påverkar tre produktkohorter i din portfölj: produkter du tillverkar, produkter du importerat och produkter du distribuerar. Vad utlöses var, i vilken ordning och vem undertecknar.
| Kohort | Primär notifiering | Sekundär notifiering | Vem undertecknar |
|---|---|---|---|
| Produkter du tillverkar | ENISAs gemensamma rapporteringsplattform (tillverkarens rapporteringsström) | Koordinerande CSIRT för sårbarheten, CSIRT och marknadskontroll för allvarlig incident, plus berörda användare | Tillverkarens efterlevnadsansvarig |
| Produkter du importerat | Den ursprungliga tillverkaren, utan onödigt dröjsmål | Marknadskontroll i varje leveransmedlemsstat om betydande cybersäkerhetsrisk föreligger | Importörens efterlevnadsansvarig |
| Produkter du distribuerar | Den ursprungliga tillverkaren, utan onödigt dröjsmål | Marknadskontroll i varje leveransmedlemsstat om betydande cybersäkerhetsrisk föreligger | Distributörens efterlevnadsansvarig |
Vid en enda incident med flera kohorter körs notifieringarna parallellt, inte i sekvens. Tillverkarens notifieringsström har en regulatorisk klocka. Importörens och distributörens notifieringar körs på standarden "utan onödigt dröjsmål". Låt inte tillverkarens klocka dominera importör/distributör-eskaleringen, för importörens och distributörens skyldigheter är oberoende.
För kadenser per kohort, eskaleringströskel och rollspecifika rapporteringsflöden är tillverkarens rapporteringsflöde, importörens avslutskaskad och distributörens sårbarhetskännedom i klustret de kanoniska referenserna.
Triage av myndighetsbegäranden över roller
En marknadskontrollmyndighet utfärdar en motiverad begäran. Olika roller ger olika bevisunderlag som svar.
| Produktroll | Vad myndigheten förväntar sig | Var bevisunderlaget finns |
|---|---|---|
| Tillverkad av dig | Fullständig beviskedja: teknisk dokumentation, väg för bedömning av överensstämmelse, EU-försäkran om överensstämmelse, åtagande om supportperiod, register över sårbarhetshantering | Tillverkarefterlevnadsteam, dokumenthanteringssystem |
| Importerad av dig | Importörens verifieringsregister (kontroll av CE-märkning, tillverkarinformation, DoC-pekare), pekare till tillverkarens tekniska dokumentation, bevaranderegister för DoC | Importörefterlevnadsteam, dokumenthanteringssystem |
| Distribuerad av dig | Dokumentationsuppsättning som använts vid intagningstillfälle (DoC-referens, användarinformation, kontaktpunkter i leveranskedjan), bevis för presensbaserad verifiering | Distributörefterlevnadsteam, intagsregister |
Bygg roll-beviskartan per produkt innan en marknadskontrollmyndighet ber om den. Den dag en motiverad begäran anländer är frågan inte "var är bevisunderlaget". Frågan är "vilket bevisunderlag matchar den roll den här produkten har på det här datumet". Ett flerrollsteam som inte har förbyggt kartan kommer att bränna en arbetsdag på att återskapa fel beviskedja.
Straffexponering när du har flera roller
En enda sårbarhetshändelse kan utlösa mer än en strafftier när den sårbara koden finns i produkter över flera roller.
| Den överträdande produktens roll | Strafftier | Tak |
|---|---|---|
| Tillverkad av dig | Tillverkartier | 15 000 000 EUR eller 2,5 % av den globala årsomsättningen |
| Importerad av dig | Importörtier | 10 000 000 EUR eller 2 % av den globala årsomsättningen |
| Distribuerad av dig | Distributörtier | 10 000 000 EUR eller 2 % av den globala årsomsättningen |
Tiererna gäller per överträdelse, inte per produkt. Ett flerrollsföretag som kör samma sårbara komponent i tillverkade och importerade produktlinjer och underlåter att notifiera är exponerat för tillverkartieren för den tillverkade kohorten och importörtieren för den importerade kohorten, parallellt. Försäkringsgarantigivning och riskmodellering på styrelsenivå bör beakta båda taken, inte bara det högre.
Åtgärden är operativ, inte avtalsmässig. Roll-beviskartan plus notifieringsfanutlösaren per roll ger dig ett försvarbart underlag för vilka produkter som notifierats när, under vilken rolls protokoll. Utan det underlaget kan en myndighet pressa företaget att bevisa vilken roll som gällde för varje produkt innan strafftieren bedöms.
Gränsöverskridande flerrolltopologi
När en flerrollsorganisation verkar över medlemsstatsgränserna får roll-per-produkt-kartan en andra axel: vilka nationella myndighetskontakter att förstadiera per roll, och vilket språk varje leveransmedlemsstat förväntar sig på användarinformation.
Ta en EU-koncern som tillverkar sensorer i Tyskland, importerar styrenheter från en taiwanesisk leverantör via sin franska enhet och distribuerar en belgisk leverantörs programvara via sin italienska försäljningsarm.
| Produktkohort | Roll | Myndighetskontakter att förstadiera | Användarinformationsspråk |
|---|---|---|---|
| Tillverkade sensorer | Tillverkare | Koordinerande CSIRT och behörig marknadskontrollmyndighet för tillverkarens rapporteringsflöde, plus marknadskontrollkontakter i varje medlemsstat där produkten görs tillgänglig | Tyska för tyska marknadsanvändarinformation, plus per-medlemsstatsspråk för leveranser till andra marknader |
| Importerade styrenheter | Importör | Marknadskontrollmyndigheter i varje medlemsstat där du placerar produkten på marknaden | Franska, plus per-medlemsstatsspråk för vidareleverans |
| Distribuerad programvara | Distributör | Marknadskontrollmyndigheter i varje medlemsstat där du gör produkten tillgänglig, plus vägen tillbaka till tillverkarens primära myndighetskedja för uppströmseskalering | Italienska, plus per-medlemsstatsspråk som matchar där du gör produkten tillgänglig |
En sårbarhet som drabbar alla tre kohorter utlöser parallella notifieringar till tre olika nationella marknadskontrollmyndigheter samtidigt, var och en på lämpligt nationellt språk. CRA har ingen samlad kanal över medlemsstater för en flerrollsorganisation. Bygg myndighetskontaktkatalogen per kohort nu. Första gången du når efter den bör inte vara under en incident.
När samma juridiska person är tillverkarens representant, importör och tillverkare
Tillverkarens representantarrangemang är tillåtande, inte obligatoriskt. En tillverkare utanför EU kan utse en EU-etablerad enhet som sin tillverkarens representant under ett skriftligt mandat. Ingenting i CRA hindrar samma EU-enhet från att också vara importör för en annan leverantörs produkter utanför EU, eller tillverkare av sin egen produktlinje.
Det här är den mest koncentrerade flerrollsöverlappningen i CRA. Tre saker måste hållas separerade även om de befinner sig under samma företakstak:
Mandat är per leverantör. Varje tillverkarens representantrelation dokumenteras av ett skriftligt mandat. Om du agerar som tillverkarens representant för leverantör A utanför EU och importör för leverantör B utanför EU täcker AR-posten bara leverantör A. Leverantör B:s produkter körs på importörsregimet, utan mandat.
Ansvarsramar skiljer sig per roll. Tillverkarens representant håller dokumentation och samarbetar med marknadskontroll på den representerade tillverkarens vägnar, men placerar inte produkter på marknaden. Importören bär den fyrstegsvisa förhandsverifieringen, placerar produkten på marknaden och behåller EU-försäkran om överensstämmelse i 10 år eller supportperioden. Tillverkaren bär hela designens och teknikens skyldighetsuppsättning. Det är tre olika ansvarsytor som alla sitter under en juridisk person. Register måste stödja rolluppdelningen per produkt.
Avslutningsrouting är per roll. Om leverantör A, för vilken du är tillverkarens representant, upphör med verksamheten, kontrollera det skriftliga mandatet och bevara AR-dokumentationen och samarbetsfilen. Den lagstadgade upphörandeanmälan i sig sitter hos tillverkaren, såvida inte ett annat rollspecifikt utlösare också gäller. Om leverantör B (för vilken du är importör) upphör med verksamheten utlöses importörens medvetenhet om upphörande: informera marknadskontroll och användare om tillverkarens upphörande. Din egen tillverkarelinje, om den någonsin upphör, utlöser tillverkarens egenavslutningsanmälan med din egen kundkommunikationsväg. De tre utlösarna konsolideras inte till en routing.
Det praktiska golvet: en per-produkt-karta med rollmärket kopplat till varje produkt gör AR/importör/tillverkar-separationen försvarbar. Utan den kartan kommer en granskning av leverantör A:s produkter att spilla in i dina importör- och tillverkarposter och skapa onödiga kostnader för bevisavslöjande.
När roller skiftar mitt i livscykeln
Företag med flera roller ser produktroller skifta under en produkts livscykel. Fem händelser återkommer.
Distributör till importör. Din EU-leverantör stänger och du börjar importera direkt från tillverkaren utanför EU. Åtgärder: fullständig importörverifiering av produkten, direkt leverantörsrelation, uppdatering av all importdokumentation.
Importör till tillverkare. Du börjar placera den importerade produkten under ditt eget varumärke. Åtgärder: slutför tillverkarens skyldighetsuppsättning (bedömning av överensstämmelse, teknisk fil, SBOM, sårbarhetshantering, åtagande om supportperiod). Din leverantör är nu en kontraktstillverkare i affärsmässiga termer, inte CRA-tillverkaren. Efterlevnadsägarskapet flyttar till dig.
Distributör till paketmodifierare. Du börjar förinstallera anpassad firmware på en produkt du tidigare distribuerat oförändrad. Åtgärder: tillverkarskyldigheter gäller via rebrandingbryggan för den modifierade produkten eller, där modifieringen påverkar hela produktens cybersäkerhet, för hela produkten.
Tillverkare till distributör. Du slutar varumärka en produktlinje och lämnar tillbaka den till OEM-tillverkaren under OEM-tillverkarens eget varumärke. Åtgärder: den ursprungliga tillverkaren återfår tillverkarrollen från och med den tidpunkten. Du blir distributör av OEM-varumärkesprodukten. Dina tillverkarsidans bevarande- och supportskyldigheter fortsätter för enheter som redan placerats under ditt varumärke.
Vilken roll som helst till avslut. Du slutar sälja en produkt. Åtgärder: dokumentbevarande fortsätter (tillverkare och importör bär 10-årig eller supportperiodsbevarande). Tillverkarens supportskyldigheter fortsätter i minst 5 år från den sista enheten som placerats på marknaden, eller supportperioden om den utlovats längre. Om tillverkaren också upphör med verksamheten, leds anmälningsplikten via eventuella importörer och distributörer i kedjan.
Affärskontinuitet när flerrollsorganisationen avvecklas
CRA har en lagstadgad egenavslutningsanmälan: tillverkarens. När en tillverkare upphör med verksamheten och inte längre kan uppfylla skyldigheterna måste denne informera de relevanta marknadskontrollmyndigheterna och användarna av produkter som redan placerats på marknaden, innan avslutningen träder i kraft. Det finns ingen motsvarande egenavslutningsanmälan för importör- eller distributörsrollerna. Importörens och distributörens avslutningsplikter i CRA utlöses bara när tillverkaren av en produkt de hanterar upphör med verksamheten, inte när importören eller distributören själv upphör.
För en flerrollsorganisation som avvecklas innebär det:
| Kohort som den avvecklande enheten håller | Vad CRA kräver | Operativt kontinuitetsarbete |
|---|---|---|
| Tillverkade produkter | Lagstadgad egenavslutningsanmälan till marknadskontrollmyndigheter och, med alla tillgängliga medel, till användare. Kommunicera eventuella efterföljande supportarrangemang om sådana finns. | Dokumentera anmälan, datumet, mottagarna och supportperiodsimplikationerna. Bevara den tekniska filen och DoC vid bevarandegolvet (10 år eller supportperioden). |
| Importerade produkter | Ingen lagstadgad egenavslutningsanmälan på importörssidan. DoC och pekaren till teknisk dokumentation var redan på plats vid intag och stannar med registerarkivet. | Planera registerkontinuitet. Identifiera vilken enhet som ärver importörssidans DoC-bevarande. Kommunicera kanaländringar till affärsparter. |
| Distribuerade produkter | Ingen lagstadgad egenavslutningsanmälan på distributörssidan. | Sluta göra produkter tillgängliga. Kommunicera till affärsparter att de behöver söka källan på annat håll. Ingen lagstadgad användaranmälan krävs från distributören för att upphöra med distributionen. |
| AR-mandat för tillverkare utanför EU | Ingen lagstadgad egenavslutningsanmälan för tillverkarens representant. Mandatdokumentationen fortsätter att existera och tillverkarens representants roll är dokumentförvaring och samarbete. | Koordinera med varje representerad tillverkare för att antingen övergå AR-mandatet till en efterträdare eller avsluta mandatet rent. Bevara dokumentationsfilen per Artikel 18. |
Behandla tillverkarens egenavslutningsanmälan som det reglerade händelseförloppet. Behandla importör-, distributör- och AR-övergångarna som operativ registerkontinuitetsplanering, inte som ytterligare lagstadgade notifieringsströmmar. Flerrollsföretag som blandar ihop de fyra (och antar att importören och distributören har egna egenavslutningsanmälningsskyldigheter) bygger överdrivna handböcker och kan fördröja den enda lagstadgade anmälan som faktiskt spelar roll.
Vanliga frågor
Vad gör CRA när ett företag är både tillverkare och importör?
CRA tillämpar rollskyldigheter per produkt, inte per organisation. Om du tillverkar en produkt och importerar en annan bär du tillverkarskyldigheter på den första och importörsskyldigheter på den andra, parallellt. Om samma produkt är en du placerar under ditt eget varumärke eller väsentligt modifierar efter import gäller rebrandingbryggan och du blir tillverkare för den specifika produkten. Gränsen är produkt för produkt, inte företag för företag.
Kan jag lägga ut en CRA-roll på ett annat företag?
Du kan lägga ut uppgifter. Du kan inte lägga ut den rättsliga rollen. Det företag som placerar produkten på marknaden under sitt namn, importerar den till unionen eller gör den tillgänglig nedströms är fortsatt bärare av rollen och dess skyldigheter. Ett tredjepartsefterlevnadsföretag kan köra tester för bedömning av överensstämmelse, leverantörsgranskning eller dokumentationsunderhåll på kontrakt, men det regulatoriska ansvaret stannar hos dig.
Hur staplas rapporteringsskyldigheterna när jag innehar flera roller?
Tillverkarens rapporteringsström (ENISAs gemensamma rapporteringsplattform, koordinerande CSIRT, berörda användare) är den primära regulatoriska kanalen. Importör- och distributörsplikter körs parallellt som eskalering: informera tillverkaren om sårbarheter utan onödigt dröjsmål och informera marknadskontroll i varje leveransmedlemsstat om produkten utgör betydande cybersäkerhetsrisk. Ett flerrollsföretag kör båda strömmarna parallellt och undertecknar dem under olika rollansvariga med separata bevisunderlag.
När bör ett flerrollsföretag delas upp i separata juridiska dotterbolag?
Beslutet utlöses vanligtvis av modellering av straffexponering, inte av operativ komplexitet. När tillverkartierstaket (15 000 000 EUR eller 2,5 % av den globala omsättningen) för din tillverkade produktlinje vida överstiger importör- och distributörsintäkterna kan det vara värt att dela tillverkaraktiviteten i ett separat dotterbolag för att skydda importör- och distributörsintäkterna från en tillverkarsideincident. Uppdelning är också värd att överväga när dubblering av leverantörsgranskning eller tillsynsrapporteringskostnader blir en mätbar budgetpost snarare än en efterlevnadsnot. CRA kräver ingen viss juridisk struktur. Den knyter rollskyldigheter till den juridiska person som placerar produkten på marknaden.
Täcker ENISAs SRP-registrering alla mina roller?
Den gemensamma rapporteringsplattformen är tillverkarens rapporteringskanal. Ett flerrollsföretag registrerar sig på SRP för sin tillverkarroll och använder plattformen för produkter det tillverkar. För produkter du bara importerar eller distribuerar är det den ursprungliga tillverkaren som rapporterar via SRP. Din roll på de produkterna är att informera tillverkaren om sårbarheter och att notifiera marknadskontrollmyndigheter direkt när betydande cybersäkerhetsrisk föreligger i produkter du placerat på marknaden eller gjort tillgängliga.
Kan en leverantörsgranskning täcka både importörens och tillverkarens due diligence-behov?
Ja, när granskningen är utformad för dubbelt syfte och roll-per-produkt-kartan är tydlig. Granskningsomfånget måste täcka både importörens krav på förhandsverifiering för färdiga produkter och tillverkarens krav på due diligence för komponenter som integreras i din egen produkt. Dokumentera det dubbla syftet i granskningsuppdraget. Ett enda leverantörsbesök som ger två rollspecifika bevisunderlag är godtagbart. Ett enda underlag som blandar ihop de två rollerna är svårare att försvara när en marknadskontrollmyndighet frågar vilken rolls bevisunderlag som visas.
Kan en enda kontaktpunkt betjäna tillverkar-, importör- och distributörsroller?
En inkorg kan ta emot sårbarhetsrapporter över roller, men routningen måste delas per roll nedströms. Tillverkarens enda kontaktpunkt måste vara icke-automatiserad och låta användare välja önskat kommunikationsmedel. För importerade och distribuerade produkter förväntar sig mottagarna den ursprungliga tillverkarens kontakt. Ett flerrollsföretag som publicerar en inkorg bör säkerställa att rapporter bakom den inkorgen märks med produktrollen och vidarebefordras till rätt ansvarig inom samma arbetsdag. Att blanda ihop köerna utan intern routing lämnar tillverkarsidans rapporter i ett distributörsstilsärenden, vilket bryter standarden om utan onödigt dröjsmål.
Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.
Relaterade artiklar
CRA för tyska tillverkare: BSI, CERT-Bund och CE-märkning
Gäller CRA för din produkt?
Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.
Redo att uppnå CRA-efterlevnad?
Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.