När importörer blir tillverkare under CRA: Rolleskallering förklarad

Du importerar en router från Asien. Du sätter ditt företagslogotyp på lådan. Grattis: du är nu en tillverkare under CRA, med fullständiga skyldigheter för konformitetsbedömning.

Den här artikeln täcker exakt när importörer korsar gränsen till tillverkarterritorium, och vad det innebär för din efterlevnadsbörda.

Sammanfattning

• CRA artikel 22 definierar när en importör eller distributör blir tillverkare
• Tre utlösare: omärkning, väsentlig modifiering, marknadsföring under eget namn
• Rolleskallering innebär fullständiga tillverkarskyldigheter: konformitetsbedömning, SBOM, sårbarhethantering
• Kontraktuell omfördelning av ansvar till ursprunglig tillverkare hindrar inte CRA-ansvar
• Planera dina OEM/ODM-relationer noggrant för att undvika oavsiktlig rolleskallering

De tre utlösarna för rolleskallering

Utlösare 1: Omärkning

OMÄRKNING = TILLVERKARE

TYDLIGA FALL:
✓ Sätta ditt varumärke på produkten
✓ Ta bort ursprunglig tillverkares märkning och lägga till ditt
✓ Marknadsföra under ditt eget varumärke (även om liten etikettlapp)
✓ Sälja under "private label"-avtal

GRÅZONER:
? Co-branding (din logotyp + tillverkarens logotyp)
→ Sannolikt utlöser rolleskallering om du är primärt varumärke

? "Powered by X"-märkning
→ Troligen inte utlöser, men kontrollera noggrant

Utlösare 2: Väsentlig modifiering

VÄSENTLIG MODIFIERING = TILLVERKARE

UTLÖSER ROLLESKALLERING:
✓ Lägga till/ta bort hårdvarukomponenter som påverkar säkerhet
✓ Modifiera firmware eller operativsystem
✓ Ändra kommunikationsgränssnitt
✓ Integrera produkten i ett nytt system
✓ Aktivera nya funktioner som ändrar hotprofilen

UTLÖSER INTE:
✗ Kosmetiska förändringar (färg, form)
✗ Förpackningsförändringar
✗ Dokumentationsanpassningar
✗ Installera standard användarappar (om inte säkerhetspåverkan)

Utlösare 3: Marknadsföring under eget namn utan representation

MARKNADSFÖRING UNDER EGET NAMN = TILLVERKARE

SITUATION:
Ursprunglig tillverkare har ingen EU-etablering
Ingen auktoriserad EU-representant utsedd

KONSEKVENS:
Om du importerar och säljer en produkt vars icke-EU-
tillverkare har:
- Ingen EU-etablering
- Ingen utsedd auktoriserad representant i EU

Då kan du behöva ta tillverkarens roll, OR se till att
tillverkaren utser en auktoriserad representant.

Fullständiga tillverkarskyldigheter vid rolleskallering

Om du utlöser rolleskallering är du ansvarig för alla tillverkarskyldigheter:

ALLA TILLVERKARSKYLDIGHETER DU ÄRV:

1. KONFORMITETSBEDÖMNING
   ├── Genomför intern bedömning (Modul A) eller
   │   anlita anmält organ (Modul B+C/H)
   ├── Dokumentera i teknisk fil
   └── Utfärda EU-försäkran om överensstämmelse

2. TEKNISK FIL (Bilaga VII)
   ├── Produktbeskrivning
   ├── Riskbedömning
   ├── Design- och säkerhetsdokumentation
   └── Testresultat

3. SBOM
   └── Software Bill of Materials för produkten

4. SÅRBARHETHANTERING
   ├── CVD-policy
   ├── Patchutveckling och -leverans
   └── ENISA-rapportering

5. SUPPORTPERIOD
   └── Minst 5 år säkerhetsuppdateringar

6. MARKNADSÖVERVAKNINGSSAMARBETE
   └── Svar på regulatoriska förfrågningar

Avtalsöverväganden

Kontrakt med ursprunglig tillverkare

Om du tar tillverkaransvar, se till att dina avtal täcker:

AVTALSELEMENT VID ROLLESKALLERING

TEKNIK:
[ ] Tillgång till ursprunglig produktdokumentation
[ ] Tillgång till firmware-källkod (för uppdateringar)
[ ] SBOM från ursprunglig tillverkare
[ ] Teknisk assistans för konformitetsbedömning

SÄKERHET:
[ ] Sårbarhetinformation och -koordinering
[ ] Patchutveckling (vem gör vad?)
[ ] Incidentkommunikation
[ ] Åtkomst till säkerhetsarkitektur

LÖPANDE SUPPORT:
[ ] Firmware-uppdateringsrättigheter
[ ] Tillgång till produktdesigndata
[ ] Varumärkes-/designlicenser
[ ] Exportkontrollfrågor

ANSVAR:
[ ] Vem ansvarar för CRA-efterlevnadskostnader?
[ ] Hur delar ni sårbarhetskostnader?
[ ] Vad händer om ursprunglig tillverkare går i konkurs?

Riskhantering

SCENARIORISKBEDÖMNING

HÖG RISK:
- Omärka utan att förstå produktens säkerhetsarkitektur
- Köpa från tillverkare som inte kan ge tillräcklig dokumentation
- Inte ha tillgång till firmware-källkod

MEDEL RISK:
- Co-branding med tydlig primär tillverkare
- Modifiering av perifera (icke-säkerhetskritiska) funktioner
- Import från tillverkare med god dokumentation men inga EU-krav

LÅG RISK:
- Importera utan varumärkesändring
- Distributörroll utan modifiering
- Tydlig ursprunglig tillverkare med EU-etablering

Vanliga scenarier

Scenario A: Privat märkning av en kinesisk router

Situation: Du köper en router från en tillverkare i Kina, ersätter logotypen med din, säljer under ditt varumärke.

Analys:

• Omärkning = Rolleskallering
• Du är nu tillverkare
• Du behöver: konformitetsbedömning, SBOM, CVD-policy, 5-årig support

Rekommendation:

• Kräv fullständig teknisk dokumentation och SBOM från tillverkaren
• Kräv firmware-källkodsåtkomst
• Planera konformitetsbedömning (Modul A om standardprodukt)
• Etablera sårbarhethanteringsprocess

Scenario B: Integration av modul i ny produkt

Situation: Du integrerar ett tredjepartsmodul med WiFi-anslutning i din produkt.

Analys:

• Du är tillverkare för slutprodukten (din design)
• Modulens tillverkare ansvarar för modulens efterlevnad
• Du ansvarar för integration och slutproduktens CRA-efterlevnad

Rekommendation:

• Begär SBOM och dokumentation från modulens tillverkare
• Inkludera modulens komponenter i din produkt-SBOM
• Bedöm integrationsrisker

Scenario C: Importera utan varumärkesändring

Situation: Du importerar en produkt med sin ursprungliga märkning och dokumentation.

Analys:

• Du är importör, inte tillverkare
• Tillverkaren måste ha CE-märkning och dokumentation
• Du har importörsskyldigheter (verifiera, inte skapa)

Kontrollista för rollbedömning

ROLLBEDÖMNINGSCHECKLISTA

STEG 1: Bestäm din roll
[ ] Är produkten tillverkad av dig? → Tillverkare
[ ] Importerar du med omärkning? → Tillverkare
[ ] Modifierar du produkten väsentligt? → Tillverkare
[ ] Importerar du utan ändringar? → Importör
[ ] Distribuerar du utan ändringar? → Distributör

STEG 2: Vid rolleskallering
[ ] Kontakta ursprunglig tillverkare för dokumentation
[ ] Bedöm om konformitetsbedömning möjlig
[ ] Identifiera nödvändiga säkerhetsåtgärder
[ ] Etablera sårbarhethanteringsprocess
[ ] Planera supportperiod

STEG 3: Kontraktuell skydd
[ ] Avtala om åtkomst till teknisk dokumentation
[ ] Klargör ansvarsfördelning
[ ] Säkra firmware-uppdateringsrättigheter

Viktigt: Att sätta ditt varumärke på någon annans produkt utan att ta tillverkaransvar är inte tillåtet under CRA. Om du omärker, måste du ta fullt ansvar.

Hur CRA Evidence hjälper

CRA Evidence stöder omärkningsscenarier:

• Rollevalueringsverktyg: Bestäm din CRA-roll och skyldigheter
• Leverantörsdokumentation: Samla och verifiera tillverkarens SBOM och dokument
• Konformitetsbedömning: Guida dig genom processen vid rolleskallering
• Sårbarhethantering: Etablera CVD och ENISA-rapportering

Bedöm din CRA-roll på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare.