Från och med den 11 december 2027 gör artikel 20 i EU:s cyberresilienslag (förordning (EU) 2024/2847) distributören ansvarig för en närvarobaserad kontroll av varje produkt med digitala element innan den tillhandahålls på unionsmarknaden: CE-märkning, tillverkaridentifiering och bilaga II-information, importöridentifiering, slutdatum för supportperioden och DoC. Den här sidan täcker artikel 20 i sin helhet, rollgränsen mot importören enligt artikel 3.16 och tillverkaren enligt artikel 3.13, samt sanktionsnivån i andra ledet.
Sammanfattning
- Du är distributör endast om du inte rör produkten. Var och en som tillhandahåller en CE-märkt produkt på EU-marknaden efter importören räknas, så länge produkten når nästa länk oförändrad. Märk om den, paketera om den på ett sätt som ändrar dess avsedda ändamål, förinstallera din egen programvara eller ändra dess säkerhetskonfiguration, så blir du tillverkaren i stället (artikel 3.17).
- Kör en närvarokontroll på varje leverans. Innan en enhet tillhandahålls, bekräfta att CE-märkningen finns på produkten, att tillverkarens identifiering och bilaga II-instruktioner medföljer, att supportperiodens slutdatum visar månad och år, att DoC är åtkomlig och att importörens kontaktuppgifter är synliga (artikel 20.2).
- Stoppa flödet om något saknas. Om kontrollen misslyckas, eller om du har anledning att tro att produkten eller tillverkarens processer inte uppfyller bilaga I, tillhandahåll inte produkten. Vid betydande cybersäkerhetsrisk, varna tillverkaren och marknadskontrollmyndigheterna utan dröjsmål (artikel 20.3).
- Var uppmärksam efter försäljning. Driv på korrigerande åtgärder eller tillbakadragande när något är fel, och vidarebefordra varje sårbarhet du får kännedom om till tillverkaren utan onödigt dröjsmål. Vid betydande risk, underrätta marknadskontrollmyndigheterna i varje medlemsstat du levererar till (artikel 20.4).
- Var redo att lämna ut handlingar. En marknadskontrollmyndighet kan, med motivering, begära de handlingar som behövs för att visa överensstämmelse, på ett språk de lätt förstår. Håll DoC-referens, bilaga II på leveransspråket och leveranskedjekontakter åtkomliga (artikel 20.5).
- Täck värsta fallet. Om tillverkarens verksamhet har upphört, informera myndigheterna och användarna med alla tillgängliga medel (artikel 20.6).
- Sanktionsnivå. Distributörsöverträdelser ligger i andra bötesnivån, upp till 10 000 000 EUR eller 2 % av total global årsomsättning, beroende på vilket belopp som är högst (artikel 64.3).
Artikel 20 i fyra siffror: sex punkter med skyldigheter, sju kontrollpunkter före marknadstillhandahållande, sanktionsnivån i andra ledet och datumet då allt börjar.
Vem är distributör enligt CRA?
Artikel 3.17 definierar distributören ordagrant:
"Distributör" avser en fysisk eller juridisk person i leveranskedjan, utöver tillverkaren eller importören, som tillhandahåller en produkt med digitala element på unionsmarknaden utan att påverka dess egenskaper.
Du är distributör i CRA-mening om alla tre följande gäller:
| Element | Test |
|---|---|
| I leveranskedjan | Du tar besittning eller kommersiell kontroll över produkten medan den rör sig från importören eller en annan distributör mot slutanvändaren |
| Utöver tillverkaren eller importören | Produkten bär inte ditt namn eller varumärke (annars fångar artikel 3.13 dig som tillverkare) och du är inte den första EU-enheten som släpper ut den på unionsmarknaden (annars fångar artikel 3.16 dig som importör) |
| Utan att påverka dess egenskaper | Du modifierar inte produkten, dess programvara, dess förpackning i den mån det ändrar avsett ändamål, eller dess säkerhetskonfiguration |
Om något av de tre elementen brister är du inte distributören. Om produkten bär ditt eget namn eller varumärke är du tillverkare enligt artikel 3.13. Om du är den första EU-enheten som släpper ut en produkt utan EU-varumärke på unionsmarknaden är du importör enligt artikel 3.16. Om du väsentligt modifierar produkten efter utsläppande på marknaden omfattas du inte av artikel 22 (som utesluter distributörer), men modifieringen kan dra in dig i artikel 3.13 när du marknadsför den modifierade versionen under ditt eget namn. För den fullständiga rollklassificeringsmatrisen, se vem som måste följa CRA.
Artikel 20 i ett ögonkast
| Punkt | Skyldighet | Huvudpoäng |
|---|---|---|
| 20.1 | Tillbörlig aktsamhet | Den allmänna standarden. Gäller varje akt av tillhandahållande, före och efter utsläppande på marknaden. |
| 20.2 | Verifiering före marknad | Bekräfta att CE-märkning finns, att tillverkaren följer artikel 13.15, 13.16, 13.18, 13.19 och 13.20, att importören följer artikel 19.4 och att de nödvändiga handlingarna har tillhandahållits. |
| 20.3 | Vägran + informera | Om bristande överensstämmelse med bilaga I misstänks, tillhandahåll inte. Vid betydande cybersäkerhetsrisk, informera tillverkaren och marknadskontrollmyndigheterna utan onödigt dröjsmål. |
| 20.4 | Korrigerande åtgärder + sårbarhetsmedvetenhet | Säkerställ korrigerande åtgärder, dra tillbaka eller återkalla efter behov. Informera tillverkaren om sårbarheter utan onödigt dröjsmål. Vid betydande cybersäkerhetsrisk, informera omedelbart marknadskontrollmyndigheterna i varje leveransmedlemsstat. |
| 20.5 | Samarbete med marknadskontroll | På motiverad begäran, tillhandahåll all information och dokumentation som behövs för att visa överensstämmelse, på ett språk myndigheten lätt förstår. |
| 20.6 | Tillverkarens verksamhet har upphört | Informera marknadskontrollmyndigheterna utan onödigt dröjsmål, och informera användarna med alla tillgängliga medel. |
Distributör jämfört med importör
Den juridiska utlösaren är vilken part som först släpper ut produkten på unionsmarknaden.
| Aspekt | Distributör (artikel 20) | Importör (artikel 19) |
|---|---|---|
| Position | Var och en i leveranskedjan efter importören, utöver tillverkaren | Första EU-enhet som släpper ut en produkt utan EU-varumärke på unionsmarknaden |
| Verifiering | Närvarobaserad: CE, tillverkare 13.15, 13.16, 13.18, 13.19, 13.20, importör 19.4, handlingar tillhandahållna | Materiell: full artikel 19.2 a till d, inklusive genomförd bedömning av överensstämmelse och upprättad teknisk dokumentation |
| Vägransutlösare | Artikel 20.3: bristande överensstämmelse med bilaga I | Artikel 19.3: detsamma plus brist i någon kontroll enligt 19.2 |
| Sårbarhetsmedvetenhet | Artikel 20.4: informera tillverkaren; vid betydande risk informera marknadskontrollmyndigheterna i varje leveransmedlemsstat | Artikel 19.5: samma räckvidd |
| Dokumentation | Inget specifikt fleråringt bevarande; samarbeta på motiverad begäran (20.5) | Bevarande av DoC i 10 år eller under supportperioden, beroende på vilket som är längst (artikel 19.6) |
| Sanktionsnivå | 10 000 000 EUR eller 2 % (artikel 64.3) | 10 000 000 EUR eller 2 % (artikel 64.3) |
För importörssidan av samma gräns, se importör jämfört med distributör på importörssidan. Bedömningen av överensstämmelse, EU-DoC och den tekniska akten enligt bilaga VII är tillverkarens ansvar; distributören verifierar deras synliga artefakter (CE-märkning, DoC-referens, medföljande bilaga II) och samarbetar om dokumentframtagning snarare än att hålla själva akten.
Verifieringskontroller före marknad (artikel 20.2)
Artikel 20.2 ber distributören att verifiera att tillverkarens identifiering, instruktioner och DoC finns på plats, inte att köra om bedömningen av överensstämmelse. Den lättare kontrolluppsättningen kompletteras av en skarpare vägransutlösare: enligt artikel 20.3 stoppar varje skäl att tro att produkten eller tillverkarens processer inte uppfyller bilaga I tillhandahållandet på marknaden tills överensstämmelse är återställd.
Artikel 20.2 fastställer en närvarobaserad checklista. Kör den innan någon enhet tillhandahålls.
CE-märkning (artikel 30, via artikel 20.2)
CE-märkningen är tillverkarens påstående om att produkten uppfyller bilaga I. Distributören bekräftar att den anbringats synligt, läsligt och outplånligt på produkten eller dess dataplåt. Där storlek eller art inte tillåter, på förpackning och medföljande dokument. Där ett anmält organ medverkat följer dess fyrsiffriga identifieringsnummer efter CE-märket. CE enbart på den yttre kartongen när produkten kan bära det är inte överensstämmande. Se klusterguiden för bedömning av överensstämmelse för vad CE-märket står för under varje modul i artikel 32.
Tillverkaridentifiering och information (artikel 13.15, 13.16, 13.18, 13.19, 13.20)
Fem separata tillverkarskyldigheter korsrefererade från artikel 20.2 b:
| Citering | Skyldighet | Distributörens kontroll |
|---|---|---|
| 13.15 | Typ-, parti- eller serienummer för produktidentifiering | Bekräfta elementet på produkten, eller på förpackning eller medföljande dokument om produkten inte kan bära det |
| 13.16 | Tillverkarens namn, firmanamn eller varumärke, postadress, digital kontakt, även återgivna i bilaga II | Bekräfta på produkt, förpackning eller medföljande dokument |
| 13.18 | Bilaga II-information och instruktioner medföljer produkten, på ett språk som lätt förstås av användare och marknadskontroll | Bekräfta att en bilaga II-dokumentuppsättning finns, på leveransmedlemsstatens språk |
| 13.19 | Slutdatum för supportperiod angivet vid köptillfället, inklusive åtminstone månad och år | Bekräfta att månad + år är synliga vid försäljningstillfället |
| 13.20 | Fullständig DoC medföljer produkten, eller förenklad DoC innehåller den exakta internetadressen till den fullständiga DoC | Bekräfta att DoC-referensen finns och är åtkomlig |
En produkt utan en bilaga II-dokumentuppsättning på medlemsstatens språk, eller utan ett slutdatum för supportperioden med månad och år, brister i artikel 20.2 och utlöser artikel 20.3.
Importöridentifiering (artikel 19.4, via artikel 20.2)
Artikel 19.4 kräver att importören anger sitt namn, registrerade firmanamn eller registrerade varumärke, postadress, e-post och varje annan digital kontakt, på produkten, på dess förpackning eller i ett dokument som medföljer produkten. Distributören bekräftar att importöridentifieringen finns på plats. Saknad eller borttagen importöridentifiering brister i artikel 20.2 på artikel 19.4-grund.
Nödvändiga handlingar tillhandahållna (artikel 20.2)
Artikel 20.2 b avslutas med ett allmänt krav: tillverkaren och importören har försett distributören med "alla nödvändiga handlingar". I praktiken är detta den dokumentuppsättning distributören behöver för att uppfylla sin egen samarbetsskyldighet enligt artikel 20.5: en kopia eller referens av EU-DoC, bilaga II-information och instruktioner på leveransmedlemsstatens språk, samt leveranskedjans kontaktpunkter (tillverkarens gemensamma kontaktpunkt enligt artikel 13.17, importörens postadress och digitala kontakt enligt artikel 19.4). En distributör som inte kan ta fram dessa på en motiverad begäran från marknadskontroll bryter mot artikel 20.5, även om den underliggande produkten är överensstämmande.
När verifieringen misslyckas
Artikel 20.3 skapar en stoppa-och-informera-skyldighet.
- Stoppa. Tillhandahåll inte produkten på unionsmarknaden förrän överensstämmelse är återställd. Lagring och retur till leverantör är fortfarande möjliga; försäljning till slutanvändare är det inte.
- Dokumentera. Registrera vilken punkt enligt artikel 20.2 som brast, om det rör produkten eller tillverkarens processer, datum och undertecknare.
- Underrätta uppströms skriftligen. Informera tillverkaren (och importören där det är relevant) om bristen och den dokumentation som krävs.
- Bedöm cybersäkerhetsrisken. Betydande cybersäkerhetsrisk: informera marknadskontrollmyndigheterna enligt artikel 20.3, utan onödigt dröjsmål. Icke-betydande: fortsätt lösningen uppströms.
- Lös eller avvisa. Tillhandahåll produkten endast när alla punkter enligt artikel 20.2 godkänns. Annars retur till leverantören.
Eftermarknadsskyldigheter (artikel 20.4)
Artikel 20.4 täcker två skyldigheter som löper under hela den period produkten tillhandahålls.
Skyldigheten avseende korrigerande åtgärder: där distributören vet eller har anledning att tro, på grundval av information i sin besittning, att produkten eller tillverkarens processer inte är överensstämmande, säkerställer distributören att de nödvändiga korrigerande åtgärderna vidtas för att bringa dem i överensstämmelse, eller att produkten dras tillbaka eller återkallas efter behov. "Säkerställ" lägger inte den tekniska korrigeringen på distributören; det kräver att distributören eskalerar, följer upp och stoppar ytterligare tillhandahållande tills tillverkaren har agerat.
Skyldigheten avseende sårbarhetsmedvetenhet: vid kännedom om en sårbarhet i produkten informerar distributören tillverkaren utan onödigt dröjsmål. Där produkten utgör en betydande cybersäkerhetsrisk informerar distributören omedelbart marknadskontrollmyndigheterna i varje leveransmedlemsstat, med detaljer om den bristande överensstämmelsen och eventuella vidtagna korrigerande åtgärder. Utlösaren är kännedom om sårbarheten, inte kännedom om en rapporteringspliktig incident enligt artikel 14; tillverkaren kör artikel 14-rapportering separat genom flödet för sårbarhetsrapportering.
Samarbete, handlingar och tillverkarens upphörande
Artikel 20.5 kräver att distributören, på motiverad begäran från en marknadskontrollmyndighet, lämnar all information och dokumentation, i pappersform eller elektronisk form, som behövs för att visa produktens och tillverkarens processers överensstämmelse, på ett språk myndigheten lätt förstår. Distributören samarbetar med myndigheten om varje åtgärd som vidtas för att eliminera cybersäkerhetsrisker som produkten utgör.
Det finns ingen artikel 20-specifik fleråring regel om bevarande av handlingar analog med tioårsregeln eller supportperiodregeln i artikel 19.6 för importörer. Det praktiska golvet är dokumentuppsättningen som listas under "Nödvändiga handlingar tillhandahållna" ovan: bevarad medan distributören tillhandahåller produkten, åtkomlig för varje motiverad begäran under den perioden, plus en rimlig svans för att täcka eftermarknadsfrågor från myndigheter.
Artikel 20.6 hanterar ett specifikt fall: tillverkarens verksamhet har upphört. Vid kännedom om upphörandet informerar distributören de relevanta marknadskontrollmyndigheterna utan onödigt dröjsmål, och informerar användarna av de produkter den har släppt ut på marknaden med alla tillgängliga medel och i den utsträckning det är möjligt. Artikel 19.8 lägger samma skyldighet på importören; i praktiken löper distributörens och importörens underrättelser parallellt.
Vanliga fallgropar
| Påstående | Varför det inte håller |
|---|---|
| "Vår leverantör finns i EU, så vi är inte importören; det gör oss till distributör per automatik." | Distributörsstatus enligt artikel 3.17 kräver också att du inte påverkar produktens egenskaper. Ompaketering, ommärkning, förinstallation av programvara eller konfigurationsändringar kan dra dig in i artikel 3.13 eller helt ut ur distributörskategorin. |
| "Vi behöver inte kontrollera något; importören gjorde redan det enligt artikel 19." | Artikel 20.2 är en separat, närvarobaserad kontroll på distributörsnivå. CE finns, efterlevnad av artikel 13.15, 13.16, 13.18, 13.19, 13.20 och artikel 19.4, samt nödvändiga handlingar tillhandahållna. Importörens artikel 19-arbete undantar inte distributörens artikel 20-arbete. |
| "Bilaga II på engelska räcker för hela EU." | Artikel 13.18 kräver bilaga II på ett språk som lätt förstås av användare och marknadskontroll i den berörda medlemsstaten. Distributören som tillhandahåller produkten i en medlemsstat vars myndigheter och användare inte arbetar på engelska brister i artikel 20.2. |
| "Vi vidarebefordrar bara sårbarhetsmeddelanden månadsvis tillsammans med våra övriga kommersiella uppdateringar." | Artikel 20.4 andra stycket: informera tillverkaren "utan onödigt dröjsmål" vid kännedom om en sårbarhet, och "omedelbart" informera marknadskontrollen vid betydande cybersäkerhetsrisk. Månadsbatchning bryter mot båda standarderna. |
| "Artikel 14-rapportering är tillverkarens jobb, så vi ignorerar sårbarheter." | ENISA-strömmen enligt artikel 14 är tillverkarens, men skyldigheten enligt artikel 20.4 att informera tillverkaren och skyldigheten vid betydande risk att informera marknadskontrollmyndigheterna är distributörens. Tystnad bryter mot artikel 20.4. |
| "Vi kan fortsätta sälja enheter som redan finns i vårt lager efter att ha upptäckt en språkbrist i bilaga II; bara nya leveranser stoppas." | Artikel 20.3 stoppar ytterligare tillhandahållande av den icke-överensstämmande produkten, oavsett var enheterna fysiskt befinner sig. Befintligt lager hålls kvar, det säljs inte ut. |
| "Att ta bort importörens kontaktetikett håller våra kanalpartners privata." | Artikel 19.4 kräver importöridentifiering på produkten, förpackningen eller medföljande dokument. Att ta bort den gör produkten icke-överensstämmande enligt artikel 20.2. |
| "Vi behöver inte bevara handlingar; vi är bara återförsäljare." | Artikel 20.5 kräver att distributören tillhandahåller dokumentuppsättningen på motiverad begäran, på myndighetens språk. En distributör som inte kan ta fram DoC-referens, bilaga II eller leveranskedjans kontaktpunkter bryter mot regeln även när produkten är överensstämmande. |
Vanliga frågor
Vad är en distributör enligt CRA?
En EU-länk i leveranskedjan som lämnar produkten oförändrad vidare. Rollen definieras av position (efter importören, före slutanvändaren) och av neutralitet gentemot produkten: ingen ommärkning, inga programvaruändringar, ingen konfiguration som ändrar avsett ändamål. Återförsäljare, mervärdesdistributörer som bara buntar och kanalpartner som bara skickar och fakturerar passar in, förutsatt att de lämnar produkten som tillverkaren släppte ut den på marknaden. *(Artikel 3.17; tillverkarflippregeln i artikel 3.13 fångar den som märker om eller på annat sätt påverkar produkten.)*
Är jag distributör eller importör?
Gränsen är det första utsläppandet på marknaden. Du är importör om du är den första EU-enheten som släpper ut en produkt utan EU-varumärke på unionsmarknaden. Du är distributör om du tillhandahåller produkten efter importören, utan att påverka dess egenskaper. Om du köper en icke-EU-produkt från ett annat EU-företag som redan importerat den, är det andra företaget importören och du är distributören. Om du köper direkt från tillverkaren utanför EU och själv släpper ut produkten på EU-marknaden, är du importören, med den tyngre verifieringsuppsättningen och tioårigt bevarandekrav. *(Artikel 3.16 och 3.17; importörsskyldigheter i artikel 19; distributörsskyldigheter i artikel 20.)*
Är jag distributör eller tillverkare?
Rör produkten, och du blir tillverkaren. White-label-ommärkning gör dig till tillverkaren oavsett var produkten byggdes. Att förinstallera din egen programvara, ändra säkerhetskonfigurationen före återförsäljning, paketera om på ett sätt som ändrar avsett ändamål eller modifiera firmware bryter alla mot villkoret "utan att påverka dess egenskaper". När det villkoret brister är analysen inte längre om distribution; den handlar om tillverkarklassificering, eller för tredjepartsmodifieringar utanför kedjan tillverkare/importör/distributör, om vägen via väsentlig ändring. *(Artikel 3.17 kräver "utan att påverka dess egenskaper"; artikel 3.13 fångar den som märker om eller modifierar; artikel 22 utesluter uttryckligen distributörer.)*
Vad exakt måste distributören verifiera innan en produkt tillhandahålls?
Två kontroller: CE finns, och uppströmsdokumentationen finns. Tillverkaren måste ha uppfyllt produktidentifiering, tillverkaridentifiering, bilaga II-information och instruktioner på ett medlemsstatsspråk, slutdatum för supportperiod med månad och år, samt DoC-leverans. Importören måste ha uppfyllt sin identifieringsskyldighet. Nödvändiga handlingar måste ha tillhandahållits. Kontrollen är närvarobaserad, inte en omkörning av bedömningen av överensstämmelse. Brist i någon punkt utlöser artikel 20.3. *(Artikel 20.2 a för CE; artikel 20.2 b för tillverkarens efterlevnad av 13.15, 13.16, 13.18, 13.19, 13.20, och importörens efterlevnad av 19.4.)*
Måste distributören bevara EU-försäkran om överensstämmelse i 10 år?
Nej. Tioårigt bevarandekrav för DoC ligger på importören, inte distributören. Distributörens dokumentationsskyldighet är att på motiverad begäran från en marknadskontrollmyndighet tillhandahålla all information och dokumentation som behövs för att visa överensstämmelse, på ett språk myndigheten lätt förstår. Det praktiska golvet är dokumentuppsättningen distributören använder för sin egen intagskontroll (DoC-referens, bilaga II på leveransmedlemsstatens språk, kontaktpunkter för tillverkare och importör), bevarad medan produkten tillhandahålls och under en rimlig tid därefter för att täcka myndighetsfrågor. *(Bevarandekravet ligger på importören enligt artikel 19.6; distributörens dokumentationsskyldighet i artikel 20.5.)*
Vad gör distributören när den får kännedom om en sårbarhet i en produkt den levererat?
Informera tillverkaren omedelbart, och informera marknadskontrollmyndigheterna vid betydande risk. Den första skyldigheten är uppströmsunderrättelse utan onödigt dröjsmål. Den andra är parallell underrättelse till marknadskontrollmyndigheterna i varje medlemsstat där produkten tillhandahållits, med detaljer om den bristande överensstämmelsen och eventuella vidtagna korrigerande åtgärder. ENISA-rapporteringsströmmen förblir tillverkarens. *(Artikel 20.4; artikel 14 ENISA-rapportering är tillverkarens skyldighet.)*
Finns det SMF-undantag för distributörer?
De materiella skyldigheterna enligt artikel 20 gäller oavsett storlek. Den enda SMF-specifika eftergiften på administrativa böter är begränsad till tillverkarnivåböter knutna till fristerna i artikel 14.2 a och 14.4 a, och till förvaltare av öppen källkod. Distributörer ingår inte i det undantaget. Myndigheter ska ta vederbörlig hänsyn till storleken på den som överträdde (inklusive SMF och nystartade företag) när bötesbelopp fastställs; det är en straffmätningsfaktor, inte ett undantag från skyldigheter. *(Artikel 20 gäller alla storlekar; artikel 64.10-undantaget avser tillverkare och förvaltare av öppen källkod, inte distributörer; straffmätningsfaktor i artikel 64.5 c.)*
När gäller CRA:s distributörsskyldigheter?
Artikel 20 gäller i sin helhet från och med 11 december 2027. Distributörer har ingen separat tidigare frist; artikel 14-rapportering är tillverkarens skyldighet, inte distributörens. Skyldigheterna avseende sårbarhetsmedvetenhet och underrättelse till marknadskontrollmyndigheter vid betydande risk startar tillsammans med resten av artikel 20. Senast det datumet behöver distributörer som tillhandahåller produkter på unionsmarknaden en intagskontroll, ett vägransflöde, ett flöde för sårbarhetsmedvetenhet och en kapacitet att ta fram handlingar på plats. *(Artikel 71 för tillämpbarhet; artikel 14-rapportering är tillverkarens ström, inte distributörens; skyldigheterna i artikel 20.2, 20.3, 20.4 och 20.5 börjar samtliga den 11 december 2027.)*