White-label och OEM-produkter under CRA: Vem är tillverkaren?

Du säljer surfplattor under ditt varumärke, men en fabrik i Asien tillverkar dem. Under CRA är du tillverkaren, med alla skyldigheter det medför. Att förstå white-label-produktefterlevnad är avgörande innan du sätter ditt logotyp på någon annans hårdvara.

Den här guiden täcker CRA-skyldigheter för white-label-, OEM- och private-label-arrangemang.

Sammanfattning

• Varumärkesägare = tillverkare under CRA, oavsett vem som fysiskt tillverkar produkten
• Alla tillverkarskyldigheter gäller: konformitetsbedömning, teknisk fil, sårbarhethantering, 5 år support
• Din leverantör blir just det: en leverantör, inte den juridiska tillverkaren
• Kontrakt måste adressera efterlevnadsansvar, dokumentationstillgång och supportperiod
• Planera för detta innan du undertecknar white-label-avtal

Viktigt: Om du placerar en produkt på EU-marknaden under ditt eget namn eller varumärke är du TILLVERKAREN under CRA — oavsett vem som faktiskt tillverkade den.

Varning: White-label-avtal måste tydligt definiera vem som hanterar sårbarhethantering, säkerhetsuppdateringar och ENISA-rapportering. Utan detta bär varumärkesägaren fullt ansvar.

Förstå white-label under CRA

Kärnregeln

Artikel 3 i CRA definierar "tillverkare" som:

"varje fysisk eller juridisk person som tillverkar en produkt med digitala element eller har en sådan produkt designad eller tillverkad och marknadsför den under sitt namn eller varumärke"

Nyckelformuleringen är "marknadsför den under sitt namn eller varumärke."

Om ditt varumärke är på produkten är du tillverkaren, även om du aldrig rörde ett lödkolv eller skrev en rad kod.

Terminologiklarläggning

Olika termer, samma CRA-utfall:

Skillnaden som spelar roll: Vems varumärke är på produkten?

Vad detta innebär i praktiken

Du är tillverkare, alltså...

Som white-label-tillverkare under CRA måste du:

Innan marknadsplacering:

1. Genomföra konformitetsbedömning (Modul A, B+C eller H)
2. Förbereda teknisk dokumentation (Bilaga VII)
3. Säkerställa att produkten uppfyller Bilaga I väsentliga krav
4. Underteckna EU-försäkran om överensstämmelse
5. Applicera CE-märkning
6. Skapa/underhålla SBOM

Under supportperioden:

1. Hantera sårbarhetrapporter
2. Tillhandahålla säkerhetsuppdateringar i 5+ år
3. Rapportera till ENISA (vid aktiv exploatering)
4. Notifiera kunder om säkerhetsproblem
5. Underhålla dokumentation

Löpande:

1. Eftermarknadsövervakning
2. Samarbete med myndigheter
3. Respons på icke-efterlevnad

Din leverantör blir din leverantör

Den faktiska tillverkaren (fabrik, ODM etc.) är nu din leverantör, inte den juridiska tillverkaren för CRA-syften. Detta förändrar relationen:

INNAN CRA:
ODM-fabrik → "Tillverkare" (deras produkt, deras efterlevnad)
     ↓
Ditt varumärke → "Återförsäljare/distributör"

UNDER CRA:
ODM-fabrik → "Leverantör" (bygger till spec)
     ↓
Ditt varumärke → "Tillverkare" (din produkt, din efterlevnad)

White-label efterlevnadsgapet

Många white-label-arrangemang var inte designade för detta. Vanliga problem:

Gap 1: Ingen tillgång till teknisk dokumentation

Din ODM har den tekniska filen, men du är nu skyldig att underhålla den.

Problem:

• Fabriken betraktar designer som proprietära
• Dokumentation kan vara ofullständig
• Kanske inte uppfyller CRA-formatkrav

Lösning:

• Kontraktsförplikta dokumentationstillgång
• Kräv Bilaga VII-efterlevnadsenlig teknisk fil
• Verifiera innan du undertecknar avtal

Gap 2: Sårbarhethantering odefinierad

Vem hanterar säkerhetsproblem när din märkesprodukt har en sårbarhet?

Problem:

• Fabriken upptäcker sårbarhet: berättar de för dig?
• Kund rapporterar till dig: kan fabriken åtgärda det?
• Tidslinjer inte anpassade

Lösning:

• Definiera sårbarhetrespons i kontrakt
• Etablera notifieringstidslinjer
• Kom överens om ansvar för uppdateringsutveckling
• Klargör ENISA-rapportering (din skyldighet)

Gap 3: Supportperiodsmissanpassning

Du lovade 5 år support, men din leverantörsrelation är 2 år.

Problem:

• Fabrik avvecklar produkt
• Fabrik går i konkurs
• Ingen källa för uppdateringar efter kontraktsslut

Lösning:

• Kontraktsförplikta supportperiodens varaktighet
• Escrow-arrangemang för källkod
• Beredskapsplanering för leverantörsändringar
• Överväg kvalificering av flera leverantörer

Gap 4: Ingen SBOM

Du behöver en SBOM. Din leverantör skapade aldrig en.

Problem:

• Kan inte tillhandahålla SBOM till tillsynsmyndigheter eller kunder
• Kan inte spåra sårbarheter i komponenter
• Kan inte visa transparens i leveranskedjan

Lösning:

• Kräv SBOM i upphandling
• Specificera format (CycloneDX, SPDX)
• Definiera uppdateringsfrekvens

Strukturera white-label-avtal för CRA

Väsentliga kontraktsvillkor

Ditt white-label/OEM-avtal bör inkludera:

1. Erkännande av CRA-efterlevnad

Leverantören erkänner att Köparen kommer att placera Produkten
på EU-marknaden under Köparens varumärke och att Köparen kommer
att betraktas som "tillverkare" under förordning (EU) 2024/2847
(Cyberresiliensakt). Leverantören samtycker till att stödja
Köparens efterlevnadsskyldigheter som fastställts i detta Avtal.

2. Teknisk dokumentation

Leverantören ska tillhandahålla Köparen:
(a) Komplett teknisk dokumentation som uppfyller krav i
    Bilaga VII i förordning (EU) 2024/2847
(b) All dokumentation nödvändig för Köparen att:
    - Genomföra konformitetsbedömning
    - Förbereda EU-försäkran om överensstämmelse
    - Svara på begäranden från marknadsövervakningsmyndigheter
(c) Uppdateringar av dokumentation inom [10] dagar för
    förändringar som påverkar efterlevnadsstatus

Leverantören beviljar Köparen en evig, oåterkallelig licens
att använda sådan dokumentation för efterlevnadsändamål.

3. SBOM-tillhandahållande

Leverantören ska tillhandahålla:
(a) Software Bill of Materials i [CycloneDX/SPDX]-format
(b) Uppdaterad SBOM inom [5] dagar för varje firmware/programvara-release
(c) SBOM inkluderande alla tredjepartskomponenter med:
    - Komponentnamn och version
    - Leverantörsinformation
    - Licensinformation
    - Kända sårbarheter vid leveranstillfället

4. Sårbarhethantering

Sårbarhetnotifiering:
Leverantören ska notifiera Köparen inom [24 timmar] från
att ha blivit medveten om en säkerhetssårbarhet i Produkten,
oavsett källa till upptäckt.

Patchutveckling:
Vid notifiering om sårbarhet ska Leverantören:
(a) Bekräfta inom [24 timmar]
(b) Tillhandahålla allvarlighetsgradbedömning inom [72 timmar]
(c) Leverera patch inom:
    - [7 dagar] för Kritisk allvarlighetsgrad
    - [30 dagar] för Hög allvarlighetsgrad
    - [90 dagar] för Medium/Låg allvarlighetsgrad

Köparen behåller slutgiltigt beslutanderätt om kundkommunikation
och timing för uppdateringsrelease.

5. Supportperiodåtagande

Leverantören åtar sig att:
(a) Tillhandahålla säkerhetsuppdateringar för Produkten under
    en minimiperiod av [5 år] från datumet för första
    leverans till Köparen
(b) Upprätthålla förmåga att producera uppdateringar under
    denna period
(c) Tillhandahålla [90 dagars] förvarsel innan planerad avveckling
(d) [Källkodsescrow / övergångsassistans] om
    Leverantören inte kan uppfylla detta åtagande

6. Riskallokering

Praktiskt arbetsflöde

Innan undertecknande av white-label-avtal

DUE DILIGENCE INNAN AVTAL

1. TEKNISK BEDÖMNING
   [ ] Granska produktarkitektur
   [ ] Bedöm säkerhetsfunktioner mot Bilaga I
   [ ] Identifiera luckor som kräver åtgärd
   [ ] Utvärdera uppdateringsmekanismförmåga

2. DOKUMENTATIONSBEDÖMNING
   [ ] Begär exempeldokumentation
   [ ] Verifiera fullständighet mot Bilaga VII
   [ ] Granska SBOM-tillgänglighet och kvalitet
   [ ] Bedöm riskbedömningsdokumentation

3. LEVERANTÖRSFÖRMÅGA
   [ ] Utvärdera säkerhetsutvecklingspraxis
   [ ] Granska sårbarhethanteringshistorik
   [ ] Bedöm supportinfrastruktur
   [ ] Verifiera uppdateringsutvecklingsförmåga
   [ ] Kontrollera finansiell stabilitet för 5-årsåtagande

4. KONTRAKTSFÖRHANDLING
   [ ] Inkludera alla CRA-specifika villkor
   [ ] Definiera dokumentationsleverabler
   [ ] Etablera sårbarhetrespons-SLA:er
   [ ] Säkra supportperiodåtagande
   [ ] Adressera källkodsescrow

5. KONFORMITETSBEDÖMNINGSPLANERING
   [ ] Fastställ produktklassificering
   [ ] Välj konformitetsbedömningsmodul
   [ ] Identifiera Anmält organ (om obligatoriskt)
   [ ] Planera förberedelse av teknisk fil

Vanliga white-label-scenarier

Scenario 1: Enkel omvarumärkning

Situation: Du köper färdiga surfplattor, sätter ditt logotyp på dem, säljer under ditt varumärke.

Dina skyldigheter:

• Fullständig tillverkarstatus
• Måste erhålla all dokumentation från leverantör
• Måste genomföra konformitetsbedömning (eller verifiera att leverantörens är giltig för din användning)
• Måste hantera alla eftermarknadsskyldigheter

Scenario 2: Anpassad ODM-produkt

Situation: ODM designar produkt till dina specifikationer, du varumärkesmärker och säljer den.

Dina skyldigheter:

• Fullständig tillverkarstatus
• Konformitetsbedömning är definitivt ditt ansvar (anpassad design)
• Teknisk fil måste återspegla dina anpassningar
• Sårbarhethantering för din version

Scenario 3: Flera varumärkesversioner

Situation: Samma produkt säljs under olika varumärken (ditt och andras).

Varje varumärkesägares skyldigheter:

• Var och en är tillverkare för sin märkesversion
• Var och en behöver egen DoC och CE-märkning
• Sårbarheter påverkar alla; samordning behövs

Scenario 4: Delvis white-label (komponenter)

Situation: Du designar övergripande produkt, anskaffar white-label-komponentmoduler.

Dina skyldigheter:

• Du är tillverkare av den övergripande produkten
• Komponentleverantör är din leverantör
• Du måste bedöma komponenters säkerhet
• Komponentens sårbarheter är ditt problem

När white-label inte fungerar

Vissa situationer gör white-label-efterlevnad väldigt svårt:

Fabrik vägrar tillhandahålla dokumentation

Om leverantören vägrar tillgång till teknisk dokumentation kan du inte:

• Slutföra konformitetsbedömning
• Skapa efterlevnadsenlig teknisk fil
• Visa efterlevnad för myndigheter

Alternativ:

• Hitta annan leverantör
• Förhandla hårdare (efterlevnad är icke-förhandlingsbar)
• Beställ oberoende testning (dyrt, ofullständigt)

Supportperiod kan inte garanteras

Om leverantören inte förbinder sig till 5 år support:

Alternativ:

• Förhandla källkodsescrow
• Identifiera backup-utvecklingsförmåga
• Förkorta din supportperiod (men fortfarande minimum 5 år obligatoriskt)
• Gå inte vidare

Produkt uppfyller inte krav

Om white-label-produkten har grundläggande säkerhetsluckor:

Alternativ:

• Kräv att leverantören åtgärdar (innan du tar leverans)
• Lägg till säkerhetslager själv (och engagera dig mer)
• Gå inte vidare

Aldrig: Ta icke-efterlevnadsenlig produkt till marknaden i antaganden om att du "fixar det senare."

Checklista för white-label CRA-efterlevnad

WHITE-LABEL CRA-EFTERLEVNADSCHECKLISTA

INNAN AVTAL:
[ ] Produktsäkerhetsbedömning genomförd
[ ] Leverantörsförmåga verifierad
[ ] Dokumentationstillgänglighet bekräftad
[ ] Supportperiodåtagande säkrat
[ ] Kontrakt inkluderar CRA-villkor

DOKUMENTATION:
[ ] Teknisk fil mottagen och granskad
[ ] SBOM mottagen i korrekt format
[ ] Riskbedömningsdokumentation tillgänglig
[ ] Testrapporter mottagna
[ ] Designdokumentation åtkomlig

KONFORMITETSBEDÖMNING:
[ ] Produktklassificering fastställd
[ ] Bedömningsmodul vald
[ ] Konformitetsbedömning genomförd
[ ] DoC undertecknad (av dig, varumärkesägaren)
[ ] CE-märkning applicerad

SÅRBARHETHANTERING:
[ ] Säkerhetskontakt etablerad
[ ] CVD-policy publicerad
[ ] Leverantörsnotifieringsprocess överenskommen
[ ] Uppdateringstestningsförmåga
[ ] Kundnotifieringsprocess

LÖPANDE:
[ ] SBOM-uppdateringar mottagna
[ ] Sårbarhetövervakning aktiv
[ ] Leverantörsrelation hanterad
[ ] Supportperiod spårad
[ ] Dokumentation underhållen

EFTER EOL:
[ ] Dokumentationsbevarande (10 år)
[ ] Avslöjande av kända sårbarheter (om nödvändigt)
[ ] Kundövergång hanterad

Hur CRA Evidence hjälper

CRA Evidence stödjer white-label-tillverkare:

• Leverantörshantering: Spåra white-label-leverantörsefterlevnad
• Dokumentlager: Lagra och hantera leverantörstillhandahållen dokumentation
• SBOM-aggregering: Kombinera komponent-SBOM:er
• Teknisk filsammansättning: Strukturera dokumentation för din märkesprodukt
• Sårbarhetarbetsflöde: Samordna leverantörs- och kundrespons

Hantera din white-label-efterlevnad på app.craevidence.com.

Relaterade guider

• När importörer blir tillverkare under CRA: Rolltrappning förklarad
• CRA leverantörs due diligence: Frageblankett och verifieringsprocess
• CRA konformitetsbedömning: Besluts­guide för Modul A kontra B+C kontra H

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare med kännedom om EU-produktregler.