CRA för white-label och OEM-produkter: tillverkarens guide

Du säljer surfplattor under ditt varumärke, och en ODM i Shenzhen bygger dem. Under cyberresiliensförordningen är du tillverkaren, ODM:en är din leverantör, och utlösaren är varumärket, inte bygget. Den här sidan är det operativa lagret för white-label. För hela paketet av tillverkarskyldigheter, se tillverkarklustret.

Varför white-label är en egen kategori

White-label sitter i ett specifikt hörn av CRA:s rollkarta. Gränsen mot intilliggande roller är skarp på papperet men suddig i upphandlingsverkligheten.

Tre gränser passeras ofta. Den första är gränsen mellan white-label (du är tillverkare från dag ett) och väsentlig ändring (någon ändrar en redan släppt produkt). White-label är en utlösare vid marknadsplacering; väsentlig ändring är en utlösare efter marknadsplacering. Den andra är gränsen mellan white-label och importör: om du sätter ditt varumärke på produkten har du gått ut ur importörsrollen och in i tillverkarrollen, även om du också fysiskt importerar enheten. Den tredje är gränsen mellan white-label och komponentinköp: om du släpper en produkt under ditt varumärke är du tillverkare av den produkten; om du integrerar en komponent i en produkt som du själv bygger är spelboken för leverantörsgranskning ditt operativa lager.

Försvaret "bara en dekal" och vad som faktiskt räknas

Inköpsansvariga hävdar ibland att en varumärkesdekal på en färdig produkt inte kan utlösa full tillverkarstatus. Importörklustrets fälltabell nämner exakt det här påståendet ("Det är bara en dekal med vår logotyp.") och avfärdar det: om dekalen presenterar dig som produktens källa gäller tillverkarskyldigheterna. Utlösaren är varumärkespresentation mot marknaden, inte ändringens djup.

Den operativa frågan är vad som räknas som "varumärkt som din" och vad som stannar inom distributörsterritoriet.

Den samlande regeln är källpresentation. Om en marknadskontrollmyndighet, tillfrågad "vem är tillverkaren av denna produkt?", skulle peka på ditt varumärke, är du tillverkaren under cyberresiliensförordningen. Dekalens djup, designinsatsen och anpassningsnivån är inte testet.

Scenariotaxonomi för white-label

Sju scenarier täcker det operativa landskapet. Varje scenario paras med en annan kombination av CRA-väg, djup på leverantörsgranskning och avtalsmässig exponering.

1. Enkel ommärkning (färdig produkt, bara ditt varumärke)

Du köper färdiga surfplattor, sätter på din logotyp och säljer under ditt varumärke. Standardfallet för white-label.

• CRA-väg: tillverkare från första försäljning.
• Bedömning av överensstämmelse: din. OEM:ens tidigare bedömning kan ligga som underlag i din tekniska fil men överförs inte.
• Granskningsdjup: högt på OEM:en som leverantör, särskilt för dokumentation, sårbarhetshantering och åtagande om supportperiod.
• Operativ risk: OEM:ens vilja att leverera säkerhetsuppdateringar avgör din förmåga att hålla ditt eget supportåtagande mot användarna.

2. Dold white-label (din återförsäljare märker om igen)

Du white-labelar en OEM-produkt som Märke-A och säljer till en återförsäljare. Återförsäljaren tar bort ditt varumärke och märker om till Märke-B utan att säga något, och släpper sedan Märke-B-enheter på EU-marknaden.

• CRA-väg: återförsäljaren blir tillverkare av Märke-B-enheterna. Du förblir tillverkare av Märke-A-enheterna du släppte. OEM:en förblir leverantör till båda.
• Operativ signal vid upptäckt: supportärenden som refererar till Märke-B men matchar Märke-A:s beteende, eller returer som kommer in i Märke-B-förpackning trots att du aldrig sålt till Märke-B.
• Avtalsmässig åtgärd: återförsäljaravtal bör förbjuda ny ommärkning utan skriftligt samtycke. Utan den klausulen är ditt enda rättsmedel uppsägning.
• Varför det spelar roll: en patch du levererar för en sårbarhet når inte Märke-B-enheterna om inte återförsäljaren slussar vidare den, och återförsäljaren kan sakna infrastruktur för det.

3. White-label i flera led (du white-labelar, din distributör white-labelar din produkt igen)

OEM bygger, du white-labelar under ditt varumärke, du säljer till en EU-distributör, distributören white-labelar din produkt under sitt eget varumärke.

• CRA-väg: tre rättsliga positioner staplade. OEM är leverantör, du är tillverkare av de enheter du släppte under ditt varumärke, distributören blir tillverkare av de enheter de släppte under sitt varumärke.
• Operativt mönster: vanligt inom industriell automation, AV-utrustning och B2B-IoT.
• Kritisk klausul: ditt avtal med distributören måste ange om ny ommärkning är tillåten och, om den är det, att distributören tar tillverkarstatus för den ommärkta varianten. Utan det kan båda parter sluta hävda distributörsstatus medan myndigheterna pekar på det synliga varumärket på varje enhet.

4. Samvarumärkta produkter (båda namnen på produkten)

Produkten bär både ditt varumärke och OEM-varumärket synligt för slutanvändaren.

• CRA-väg: vanligtvis bär det butiksvända varumärket tillverkarstatus, men båda parter kan utses till tillverkare om båda presenterar sig som källan.
• Avtalsmässig åtgärd: tillverkarutpekandet måste skrivas in i samvarumärkesavtalet. Standardtolkning: den part som undertecknar EU-försäkran om överensstämmelse är tillverkare för den enhetskohorten.
• Operativ risk: delad varumärkessynlighet kan förvirra användarna om vilken part de ska kontakta vid sårbarhetsrapporter. Det måste vara entydigt vem som är den enda kontaktpunkten för produkten.

5. Butikens private label (Amazon Basics, Lidl Silvercrest, Tesco)

En högvolymåterförsäljare beställer en produkt från en OEM under återförsäljarens private label-varumärke. Återförsäljaren är white-label-varumärkesägaren.

• CRA-väg: återförsäljaren är tillverkaren. Volymen ändrar inte analysen, varumärkespresentationen gör det.
• Operativ skala: hundratals SKU:er över flera OEM:er är typiskt. Tekniska filer per SKU, EU-försäkran om överensstämmelse per SKU, supportperiodsklocka per SKU. En butiksinköpare som behandlar CRA-efterlevnad som en engångsfråga i upphandlingen underskattar belastningen.
• Avtalsmönster: långsiktiga ramavtal med OEM:en, klausuler om supportperiodspegling (OEM åtar sig MINST lika länge som återförsäljaren åtar sig mot användarna), källkodsdeponering för firmware och uttrycklig vidareföring av CRA-krav till delkomponenter.

6. Endast hårdvara från ODM plus din firmware

Du beställer ODM-hårdvara (industrikort, ruggad surfplatta, IoT-gatewayskal) och levererar din egen firmware på den. Hårdvarusubstratet är OEM-levererat, säkerhetshöljet är ditt.

• CRA-väg: du är tillverkare av den integrerade produkten. ODM:en är din hårdvaruleverantör. Skiljer sig från den enkla ommärkningen eftersom du faktiskt bygger något ovanpå substratet.
• Granskningsform: lutar sig mot spelboken för enbart-hårdvara-ODM (BOM-kontroller, källa till säkra element, fabriksnyckelinjektion, EOL-fönster för hårdvaruplattformen).
• Vanligt operativt fel: att skriva på ett flerårigt kundsupportåtagande med en ODM vars EOL-fönster för hårdvaran är kortare. När kislet går EOL mjuknar inte din supportskyldighet.

7. White-label SaaS eller fjärrdatabehandlingskomponent

Det "produkten" kunderna ser är din varumärkta SaaS eller ditt varumärkta API. Den faktiska bearbetningen körs på en OEM-plattform som white-labelats till dig (ett managed Kafka-kluster, en SaaS för autentisering, en managed device-fleet-tjänst).

• CRA-väg: beror på om SaaS:en själv är en "produkt med digitala element" enligt cyberresiliensförordningen. Förordningen täcker "fjärrdatabehandlingslösningar" bara där de är integrerade i en släppt produkt. Ren SaaS som inte integreras i en släppt produkt faller vanligtvis utanför. Om din SaaS är en integrerad komponent i en släppt produkt (firmware som hör av sig hem, fleet management för IoT-enheter) ingår SaaS-leverantören i din leverantörskedja och spelboken för molntjänstkomponenter gäller.
• Avtalsmönster: portfölj av SaaS-attestationer (SOC 2, ISO/IEC 27001, ISO/IEC 27017), personuppgiftsbiträdesavtal, lista över underbiträden, varselperiod för tjänstens avveckling.

Firmware-anpassning: var rebrandingbryggan slutar och uppsamlingsregeln tar vid

Den vanligaste sammanblandningen i white-label-efterlevnad är mellan rebrandingbryggan (en importör eller distributör som väsentligt ändrar en produkt som redan släppts på marknaden blir tillverkare för den ändrade produkten) och uppsamlingsregeln (varje annan tredje part som väsentligt ändrar en släppt produkt blir tillverkare). Båda vägarna finns i cyberresiliensförordningen, och de täcker olika aktörer.

Gränsen, översatt till de firmware-anpassningar som varumärkesägare för white-label stöter på:

Två operativa följder. För det första kan inte varumärkesägaren för white-label "fly" in i uppsamlingsregeln genom att hävda att den väsentliga ändringen gjordes av någon annan. Om du släpper den ändrade produkten på marknaden under ditt varumärke ingår ändringen i ditt tillverkaransvar. För det andra: när en av dina distributörer anpassar din white-label-firmware landar rebrandingbryggan på dem, inte på dig, för just de enheterna. Spåra vilka enheter som lämnade din kontroll oförändrade och vilka som ändrades nedströms; ansvaret för supportperioden för de ändrade enheterna flyttas till den som ändrar.

För den ordagranna texten i rebrandingbryggan och uppsamlingsregeln, se distributörklustrets vanliga frågor där båda citeras sida vid sida.

Supportperiodens klocka för white-label

CRA:s supportperiodsklocka startar när tillverkaren släpper produkten på EU-marknaden. För white-label är du tillverkaren, så klockan startar när du först släpper din ommärkta version på EU-marknaden, inte när OEM:en först släppte den omärkta originalprodukten eller sålde till dig.

TIDPUNKTER FÖR SUPPORTPERIOD (WHITE-LABEL)

År 0    OEM släpper den omärkta versionen på EU-marknaden för första gången
        OEM:ens supportklocka startar på dess egen försäkran om överensstämmelse

År 0    OEM skickar din första ommärkta batch till ditt lager
        (Ingen CRA-klocka startar på dig än, inte på EU-marknaden)

År 1    Du släpper dina första ommärkta enheter på EU-marknaden
        DIN supportklocka startar på DIN försäkran om överensstämmelse (minst 5 år)

År 1    OEM fortsätter sälja den omärkta originalprodukten parallellt
        (Två oberoende klockor löper nu; OEM:ens täcker OEM-enheter, din täcker dina)

År 4    OEM stoppar produktionen
        Din supportskyldighet löper minst fram till år 6
        (och längre om du släppte enheter efter år 1)

Spegelklausulen som följer: ditt OEM-avtal måste binda OEM:en att leverera säkerhetsuppdateringar till dig i MINST lika lång tid som du åtar dig mot dina användare. Om du åtar dig fem år mot användarna och OEM:en åtar sig tre år mot dig bär du ett tvåårigt glapp utan källa till patchar. Källkodsdeponering och kvalificering av en andra leverantör är de två vanliga åtgärderna.

När OEM:en upphör med verksamheten

En vanlig missuppfattning: när OEM:en går i konkurs lägger cyberresiliensförordningen en anmälningsplikt på dig som överför en del av OEM:ens skyldigheter.

Två förtydliganden är viktiga. För det första vilar CRA:s anmälningsplikt vid en tillverkares upphörande på importören, inte på dig. När du är varumärkesägare för white-label är du CRA-tillverkaren av din ommärkta produkt; OEM:en var din leverantör, inte tillverkaren av din varumärkta produkt. Bestämmelsen om importörens anmälningsplikt gäller inte dig i det här scenariot, eftersom OEM:en inte var CRA-tillverkaren av din varumärkta produkt. Importörklustrets avsnitt om upphörande går igenom importörens plikt i detalj.

För det andra "överförs" inte supportskyldigheten från OEM:en till dig, eftersom den alltid var din. Du åtog dig mot dina användare vid första marknadsplaceringen; att OEM:en upphör ändrar din försörjningssituation, inte ditt lagstadgade åtagande. Den praktiska reservplanen är vad avtalet föreskrev (källkodsdeponering, andra källa, övergångstjänster), inte importörens upphörandebestämmelse.

Den enda lagstadgade anmälningsplikten vid upphörande som DÅ gäller dig, varumärkesägaren för white-label, är tillverkarens egen plikt: om DU som tillverkare upphör med verksamheten måste du informera marknadskontrollmyndigheterna och, med alla tillgängliga medel, dina användare.

Gränsöverskridande white-label

Du köper in från en asiatisk ODM, white-labelar och släpper produkten på EU-marknaden via ditt EU-dotterbolag. White-label-utlösaren (du är tillverkare från första försäljning) kombineras med frågan om saknad EU-etablering för sårbarhets- och incidentrapportering.

Om ditt white-label-varumärke ägs av en moder utanför EU och EU-dotterbolaget är den enhet som släpper produkten på marknaden, finns två möjliga vägar. Väg A: EU-dotterbolaget är den juridiska tillverkaren, med modern som kommersiell varumärkesägare; dotterbolagets medlemsstat är hemmamyndighet. Väg B: modern utanför EU är den juridiska tillverkaren (registrerad varumärkesägare) och EU-dotterbolaget är importören; reservkaskaden för tillverkare utanför EU dirigerar incidentrapporteringen via tillverkarens representants medlemsstat, sedan importörens, sedan distributörens, sedan medlemsstaten med flest användare.

Välj vägen medvetet i koncernens juridiska struktur. Låt den inte falla ut som en bieffekt av varumärkesägandet. En varumärkesägare utanför EU utan EU-etablering och utan utsedd tillverkarens representant dirigerar sin incidentrapportering till importörens medlemsstat som standard, vilket innebär att EU-dotterbolagets marknadskontrollmyndighet får rapporterna oavsett om dotterbolaget är rustat för att hantera dem.

SBOM-proveniens för white-label

Leverantörssyskonet behandlar SBOM-klausuler i avtal på allmän nivå. För white-label är den operativa verkligheten skarpare: du kan inte generera SBOM:en från din egen byggpipeline eftersom du inte byggde koden.

Tre operativa följder.

För det första är SBOM:en en avtalad leverabel från OEM:en, inte en intern artefakt. Ditt avtal måste ange format (CycloneDX eller SPDX), uppdateringskadens (per release), djup (transitiva beroenden, inte bara direkta) och uppdateringsutlösare (varje firmware-versionshöjning). Utan detta kan OEM:en leverera en direktnivå-SBOM som missar 90 procent av den faktiska riskytan.

För det andra bär SBOM:ens auktoritet ditt varumärke även om du inte skrev komponenterna. När SBOM:en listar ett sårbart transitivt beroende landar komponent-due-diligence-plikten hos dig. Granskningsbeviset kan inte vara en copy-paste från OEM:en; det måste vara ditt eget beslut och din egen riskaccept per integrerad komponent. Använd spelboken för leverantörsgranskning för delfallen FOSS, moln, enbart hårdvara och OSS-förvaltare inom OEM:ens SBOM.

För det tredje delar sig enbart-hårdvara-ODM-scenarier i hårdvaru-BOM (BOM över fysiska komponenter) och programvaru-SBOM (BOM över firmwaren du levererar). Hårdvaru-BOM är OEM-levererad; programvaru-SBOM är din (eftersom firmwaren är din). Den tekniska filen måste skilja på de två, och uppdelningen av sårbarhetsövervakning måste matcha: övervakningen av hårdvaru-BOM flödar från OEM:en till dig, programvaru-SBOM-övervakningen är ditt direkta ansvar.

Avtalsklausuler för ansvarsfördelning

Sju avtalsklausuler bär white-label-uppställningen under cyberresiliensförordningen. Varje klausul ansluter till en specifik tillverkarskyldighet som börjar hos dig, varumärkesägaren, och är beroende av att OEM:en levererar.

1. Bekräftelse av CRA-tillverkarstatus

Leverantören bekräftar att Köparen kommer att släppa Produkten
på EU-marknaden under Köparens namn eller varumärke och att
Köparen kommer att betraktas som "tillverkare" enligt Förordning
(EU) 2024/2847 (cyberresiliensförordningen). Leverantören
samtycker till att stödja Köparens efterlevnadsskyldigheter
enligt detta Avtal.

2. Teknisk dokumentation (Bilaga VII)

Leverantören ska tillhandahålla Köparen:
(a) Fullständig teknisk dokumentation som uppfyller kraven i
    Bilaga VII till Förordning (EU) 2024/2847
(b) All dokumentation som krävs för att Köparen ska kunna:
    - Genomföra bedömningen av överensstämmelse
    - Upprätta EU-försäkran om överensstämmelse
    - Svara på motiverade förfrågningar från marknadskontrollmyndighet
(c) Uppdateringar av dokumentationen inom [10] arbetsdagar
    efter varje ändring som påverkar efterlevnadsstatus

Leverantören beviljar Köparen en evig, oåterkallelig och
royaltyfri licens att använda sådan dokumentation för
efterlevnadsändamål, inklusive uppvisning för marknadskontroll-
myndighet på ett språk myndigheten förstår.

3. SBOM-leverans (med transitivt djup)

Leverantören ska tillhandahålla:
(a) Software Bill of Materials i [CycloneDX/SPDX]-format
(b) Uppdaterad SBOM inom [5] arbetsdagar efter varje
    firmware-release som ändrar direkta eller transitiva komponenter
(c) SBOM med transitiva beroenden, inte enbart direkta
(d) Komponentidentifikation med namn, version, leverantör,
    licens och kända sårbarheter vid leverans

4. Sårbarhetsanmälan (timmar, inte "skyndsamt")

Leverantören ska anmäla till Köparen inom [24/48] timmar efter
att ha fått kännedom om en säkerhetssårbarhet i Produkten eller
i någon transitivt integrerad komponent som:
(a) Aktivt utnyttjas
(b) Har en CVSS-poäng på 7,0 eller högre
(c) Är föremål för offentliggörande

Patchutveckling:
(a) Bekräfta inom [24] timmar
(b) Allvarlighetsbedömning inom [72] timmar
(c) Leverera patch inom [7/30/90] dagar för
    Kritisk/Hög/Medel-allvarlighet

Köparen behåller slutgiltig beslutanderätt om kundkommunikation
och tidpunkt för uppdateringssläpp.

5. Supportperiodspegling

Leverantören åtar sig att tillhandahålla säkerhetsuppdateringar
för Produkten under en minimiperiod som motsvarar eller
överskrider Köparens supportperiodsåtagande mot slutanvändarna,
och under alla omständigheter i minst [5/7/10] år från datumet
för Köparens första marknadsplacering i EU.

Leverantören ska ge [90] dagars skriftligt varsel före varje
planerad avveckling. Vid avveckling ska Leverantören frige
källkod och byggartefakter under [källkodsdeponering /
övergångsvillkor].

6. Stöd för bedömning av överensstämmelse och revisionsrätt

Leverantören ska:
(a) Stödja Köparens arbete med bedömning av överensstämmelse,
    inklusive att tillhandahålla testrapporter, certifikat och
    bevis på rimlig begäran
(b) Tillåta Köparen eller Köparens anmälda organ att revidera
    produktionsanläggningar med [30] dagars skriftligt varsel
(c) Upprätthålla kvalitetskontroller i linje med den bedömda
    produkttypen

7. Vidareföring och redovisning av delkomponenter

Leverantören ska:
(a) Tillhandahålla och underhålla en lista över delkomponentleverantörer
    som bidrar till eller har tillgång till säkerhetsrelevanta
    delar av Produkten
(b) Föra vidare relevanta CRA-krav till delkomponenter
(c) Meddela Köparen inom [30] dagar efter varje materiell
    ändring i listan över delkomponentleverantörer
(d) Behålla kvalificeringsdokument för delkomponentleverantörer
    under Köparens supportperiod plus 10 år

Sammanfattning av riskfördelning

Ärvda white-label-uppställningar efter förvärv

Du köper ett varumärke och upptäcker att halva katalogen är white-labelad utan efterlevnadsspår. Cyberresiliensförordningen ger ingen respit för förvärv; den förvärvande enheten ärver tillverkarskyldigheter dag ett för varje produkt som för närvarande finns på EU-marknaden under det förvärvade varumärket.

TRIAGE FÖR WHITE-LABEL EFTER FÖRVÄRV (90 DAGAR)

DAG 1-15: Inventering
[ ] Hämta SKU-listan från den förvärvade enhetens affärssystem
[ ] Märk varje SKU som egendesignad / white-label / OEM-ändrad
[ ] Identifiera OEM:en bakom varje white-label-SKU
[ ] Korskontrollera mot nuvarande leveransstatus (aktiv vs EOL-lager)

DAG 15-30: Gapanalys av dokumentation
[ ] För varje aktiv white-label-SKU: finns en EU-försäkran om överensstämmelse i Köparens namn?
[ ] För varje aktiv white-label-SKU: finns en teknisk fil i Köparens namn?
[ ] För varje aktiv white-label-SKU: finns en SBOM?
[ ] Märk SKU:er efter gapets allvarlighet (ingen försäkran > ofullständig teknisk fil > ingen SBOM)

DAG 30-60: Åtgärder i nivå 1
[ ] SKU:er utan försäkran: dra tillbaka från EU-marknaden tills försäkran finns på plats
[ ] SKU:er utan teknisk fil: bygg från OEM-bevis plus din egen bedömning
[ ] SKU:er utan SBOM: avtala med OEM:en om SBOM-leverans; om OEM:en vägrar eller har upphört, planera ersättning eller avveckling

DAG 60-90: Beslutspunkt
[ ] Varje white-label-SKU klassificerad: behåll / avveckla / ersätt OEM
[ ] OEM-avtal bedömda mot uppsättningen av sju klausuler; gap kartlagda
[ ] Täckning av supportperiodspegling analyserad från början till slut

LÖPANDE:
[ ] Märk förvärvsursprung i varje SKU-post för revision
[ ] Rulla in ärvda SKU:er i normal release-cykel för SBOM och sårbarhetsövervakning

Triagen är ingen pappersövning. Myndigheter som frågar varför en tolv år gammal white-label-SKU saknar EU-försäkran om överensstämmelse efter ett förvärv accepterar lättare "vi upptäckte gapet i vår 90-dagars triage efter förvärvet och drog tillbaka SKU:n tills den åtgärdats" än "vi försöker fortfarande lista ut vilken OEM som tillverkade den".

Vanliga fällor

Den här artikeln är enbart avsedd som information och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning bör du rådfråga en kvalificerad jurist med erfarenhet av EU:s produktreglering.