Om ditt företag återförsäljer eller levererar en produkt med digitala element på EU-marknaden efter tillverkaren eller importören, och inte ändrar produkten, behandlar cyberresiliensförordningen er normalt som distributör. Distributörer gör inte om bedömningen av överensstämmelse, men måste kontrollera att de synliga efterlevnadsartefakterna finns på plats innan produkten tillhandahålls, stoppa försäljning när något saknas eller inte är förenligt, föra sårbarhetsinformation uppåt, samarbeta med marknadskontroll och informera myndigheter och användare om tillverkaren upphör med verksamheten.
Sammanfattning
- Är ni distributören? Vanligen ja om ni tillhandahåller produkten efter importören eller en annan distributör och inte påverkar dess egenskaper.
- Vad måste kontrolleras före försäljning eller leverans? CE-märkning, produkt-ID, tillverkaruppgifter, användarinformation, slutdatum för supportperiod, åtkomst till EU-försäkran om överensstämmelse, importörsidentifiering och nödvändiga handlingar.
- När måste ni stoppa? Tillhandahåll inte produkten om produkten eller tillverkarens processer verkar avvika från kraven. Informera tillverkare och marknadskontroll vid betydande cybersäkerhetsrisk.
- Vad fortsätter efter försäljning? Uppföljning av korrigerande åtgärder, tillbakadragande eller återkallelse där det är lämpligt, sårbarhetsinformation till tillverkaren och anmälan till marknadskontroll vid betydande risk.
- Vilka dokument måste vara redo? Distributören måste kunna lämna överensstämmelseinformation och dokumentation på motiverad begäran; det finns ingen egen tioårig bevaranderegel för distributörer.
- När gäller skyldigheterna? Huvudplikterna för distributörer gäller från den 11 december 2027.
Distributörsefterlevnad i fyra tal: sex pliktblock, sju punkter att kontrollera före leverans, den andra sanktionsnivån och startdatumet.
Vem är distributör enligt CRA?
I praktiken är CRA-distributören den aktör i leveranskedjan som tillhandahåller en produkt med digitala element på unionsmarknaden efter tillverkaren, importören eller en annan distributör, utan att ändra produktens egenskaper. Testet har tre delar: ni finns i leveranskedjan, ni är varken tillverkare eller importör, och ni tillhandahåller produkten oförändrad.
Om ni är den första EU-enheten som släpper ut en produkt med icke-EU-varumärke på unionsmarknaden är ni importören. Om ni släpper ut produkten på marknaden under eget namn eller varumärke, eller väsentligt modifierar en produkt som redan släppts ut på marknaden, gäller tillverkarens skyldigheter för er via omvarumärkningsbryggan. Den fullständiga uppsättningen tillverkarskyldigheter som då gäller hittar ni i guiden för tillverkarklustret. En separat fångstregel omfattar andra tredje parter som varken är tillverkare, importör eller distributör. För hela rollklassificeringsmatrisen, se vem som måste följa CRA.
Distributörens kärnplikter
| Skyldighet | Huvudpunkt | Källa |
|---|---|---|
| Tillbörlig aktsamhet | Den allmänna standarden. Gäller varje akt av tillhandahållande, före och efter utsläppande på marknaden. | Artikel 20.1 |
| Verifiering före marknad | Bekräfta att CE-märkning finns, att tillverkaren följer produktinformationsplikten, att importörsidentifiering finns och att nödvändiga handlingar har tillhandahållits. | Artikel 20.2 |
| Vägran och informera | Vid misstanke om bristande överensstämmelse med the essential cybersecurity requirements, tillhandahåll inte produkten. Vid betydande cybersäkerhetsrisk, informera tillverkaren och marknadskontrollmyndigheterna utan onödigt dröjsmål. | Artikel 20.3 |
| Korrigerande åtgärder och sårbarhetsmedvetenhet | Säkerställ korrigerande åtgärder, dra tillbaka eller återkalla där det är lämpligt. Informera tillverkaren om sårbarheter utan onödigt dröjsmål. Vid betydande cybersäkerhetsrisk, informera omedelbart marknadskontrollmyndigheterna i varje leveransmedlemsstat. | Artikel 20.4 |
| Samarbete med marknadskontroll | På motiverad begäran, tillhandahåll all information och dokumentation som behövs för att visa överensstämmelse, på ett språk som myndigheten lätt förstår. | Artikel 20.5 |
| Tillverkaren har upphört med verksamheten | Informera marknadskontrollmyndigheterna utan onödigt dröjsmål, och informera användarna med alla tillgängliga medel. | Artikel 20.6 |
Distributör jämfört med importör
Den juridiska utlösaren är vilken part som först släpper ut produkten på unionsmarknaden.
| Aspekt | Distributör | Importör |
|---|---|---|
| Position | Var och en i leveranskedjan efter importören, annan än tillverkaren | Första EU-enhet som släpper ut en produkt med icke-EU-varumärke på unionsmarknaden |
| Verifiering | Närvarobaserad: CE, tillverkarens produktinformationsplikt, importörsidentifiering och nödvändiga handlingar | Materiell: fullständig importörskontroll före marknadsplacering, inklusive genomförd bedömning av överensstämmelse och upprättad teknisk dokumentation |
| Vägransutlösare | Bristande överensstämmelse med the essential cybersecurity requirements | Detsamma plus brist i någon kontroll före marknad |
| Sårbarhetsmedvetenhet | Informera tillverkaren; vid betydande risk informera marknadskontrollmyndigheterna i varje leveransmedlemsstat | Samma räckvidd |
| Dokumentation | Inget specifikt flerårigt bevarande; samarbeta på motiverad begäran | Bevarande av EU-försäkran om överensstämmelse i 10 år eller under supportperioden, beroende på vilket som är längst |
| Sanktionsnivå | 10 000 000 EUR eller 2 % | 10 000 000 EUR eller 2 % (samma nivå) |
För importörssidan av samma gräns, se importör jämfört med distributör på importörssidan. Bedömningen av överensstämmelse, EU-försäkran om överensstämmelse och den tekniska akten är tillverkarens ansvar; distributören verifierar de synliga artefakterna: CE-märkning, hänvisning till EU-försäkran om överensstämmelse, användarinformation och dokumentberedskap.
Vad distributörer måste kontrollera före leverans
Er uppgift är inte att göra om bedömningen av överensstämmelse. Er uppgift är att bekräfta att de synliga efterlevnadsartefakterna finns och att stoppa leverans om något saknas, har tagits bort, är inaktuellt eller ger skäl att tvivla på överensstämmelsen.
Kör denna checklista innan någon enhet tillhandahålls på EU-marknaden.
- CE är synlig, läsbar och outplånlig på produkten eller dataskylten.
- CE enbart på förpackningen används bara där produktmärkning inte är möjlig.
- Anmält organs nummer följer CE-märket där ett sådant medverkat.
CE är tillverkarens påstående om överensstämmelse. Se guiden för bedömning av överensstämmelse.
- Typ, parti, serienummer eller annan produktidentifierare finns.
- Identifieraren finns på produkten, förpackningen eller medföljande dokument där så är lämpligt.
- Identifieraren matchar leveransen, SKU eller den parti som levereras.
Utan en spårbar identifierare blir återkallelse och korrigerande åtgärder omöjliga.
- Tillverkarens namn, firmanamn eller varumärke finns.
- Postadress och digital kontaktväg finns.
- Uppgifterna förekommer också i användarinformationen där så krävs.
Använd dessa för att slussa frågor, fel och sårbarhetsinformation uppåt i kedjan.
- Användarinformation och instruktioner följer med produkten.
- Språket passar användare och marknadskontroll i leveransmedlemsstaten.
- Säker konfiguration, support och uppgifter om sårbarhetsrapportering ingår.
Instruktioner enbart på engelska räcker inte för varje EU-marknad.
- Supportperiodens slutdatum visas före köp.
- Slutdatumet innehåller minst månad och år.
- Fullständig EU-försäkran om överensstämmelse ingår eller förenklad försäkran anger exakt URL till den fullständiga versionen.
Saknad månad/år eller en onåbar försäkran blockerar leverans.
- EU-importörens namn, postadress och digitala kontaktväg finns där det finns en importör.
- Importörsidentifieringen har inte tagits bort eller dolts.
- Hänvisning till EU-försäkran om överensstämmelse, användarinformation och kontakter i leveranskedjan kan lämnas till myndigheter.
Myndigheter förväntar sig den här uppsättningen vid första begäran; saknade poster utlöser ett vägransflöde.
Leveransen stoppas tills bristen är stängd. En produkt utan användarinformation på det lokala språket, utan importörsidentifiering där sådan krävs, utan nåbar EU-försäkran om överensstämmelse eller utan slutdatum med månad och år för supporten ska inte tillhandahållas.
När verifieringen misslyckas
En misslyckad distributörskontroll betyder att produkten hålls utanför marknaden tills överensstämmelsen är återställd. Om problemet skapar betydande cybersäkerhetsrisk måste distributören informera tillverkaren och marknadskontroll utan onödigt dröjsmål.
- Stoppa. Tillhandahåll inte produkten på unionsmarknaden förrän överensstämmelsen är återställd. Lagring och retur till leverantör är fortfarande möjligt; försäljning till slutanvändare är det inte.
- Dokumentera. Notera vilken punkt på checklistan som föll, om det gäller produkten eller tillverkarens processer, datum och undertecknare.
- Meddela uppåt skriftligen. Informera tillverkaren (och importören där det är relevant) om bristen och den dokumentation som krävs.
- Bedöm cybersäkerhetsrisken. Betydande risk går till marknadskontroll utan onödigt dröjsmål. Icke-betydande brister fortsätter i det uppströms lösningsflödet.
- Lös eller avvisa. Tillhandahåll produkten först när alla punkter klarar kontrollen. Annars returnera den till leverantören.
Efter leverans: korrigerande åtgärder och sårbarhetsmedvetenhet
Två plikter fortsätter under hela perioden då produkten tillhandahålls:
Om ni vet eller har skäl att tro att produkten eller tillverkarens processer inte är förenliga, eskalera uppåt i kedjan och se till att korrigerande åtgärder, tillbakadragande eller återkallelse sker där det är lämpligt. Den tekniska lösningen ligger kvar hos tillverkaren, men vidare leverans stoppas tills problemet är hanterat.
När ni får kännedom om en sårbarhet, informera tillverkaren utan onödigt dröjsmål. Om produkten utgör betydande cybersäkerhetsrisk, anmäl till marknadskontroll i varje medlemsstat där ni levererat den. Tillverkaren driver separat ENISA-rapporteringsströmmen genom flödet för sårbarhetsrapportering.
Myndighetsbegäranden och tillverkarens upphörande
Lämna det som efterfrågas, på det lokala språket. När en marknadskontrollmyndighet gör en motiverad begäran, tillhandahåll den information och dokumentation som behövs för att visa produktens och tillverkarprocessernas överensstämmelse, på papper eller elektroniskt och på ett språk som myndigheten lätt förstår. Samarbeta också kring åtgärder som vidtas för att undanröja de cybersäkerhetsrisker som produkter ni levererat utgör.
Distributören har ingen tioårig bevarandeplikt. Det finns ingen distributörsspecifik flerårig bevaranderegel motsvarande importörens regel om att bevara EU-försäkran om överensstämmelse i 10 år eller under supportperioden. Det praktiska minimumet är den dokumentuppsättning som listas ovan under "Importör och dokumentuppsättning": bevarad medan distributören tillhandahåller produkten, åtkomlig för varje motiverad begäran under den perioden, plus en rimlig svans för att täcka myndighetsfrågor efter marknadsplacering.
Om tillverkaren upphör med verksamheten, informera myndigheter och användare. Om tillverkaren upphör med verksamheten och inte längre kan uppfylla kraven, informera de berörda marknadskontrollmyndigheterna utan onödigt dröjsmål och informera användarna med alla tillgängliga medel och i möjlig mån. Importörer har samma anmälningsplikt vid upphörande, så distributörens och importörens anmälningar löper vanligtvis parallellt.
Vanliga fallgropar
| Påstående | Varför det faller |
|---|---|
| "Vår leverantör finns i EU, så vi är inte importör; då är vi distributör automatiskt." | Distributörsstatus kräver också att ni inte påverkar produktens egenskaper. Ompaketering, rebranding, förinstallerad programvara eller konfigurationsändringar kan utlösa tillverkarplikter. |
| "Vi behöver inte kontrollera något; importören gjorde redan det." | Distributörens kontroll är separat och närvarobaserad: CE finns, tillverkarens produktinformation finns, importörsidentifiering finns och nödvändiga handlingar har tillhandahållits. Importörens verifiering undantar inte distributören från sin egen kontroll. |
| "Användarinformation på engelska räcker för hela EU." | Användarinformation måste vara på ett språk som lätt förstås av användarna och marknadskontrollen i den berörda medlemsstaten. Att leverera enbart engelska till en medlemsstat där myndigheter och användare inte arbetar på engelska klarar inte distributörskontrollen. |
| "Vi vidarebefordrar bara sårbarhetsmeddelanden månadsvis med övriga kommersiella uppdateringar." | Sårbarhetsinformation ska till tillverkaren utan onödigt dröjsmål, och betydande cybersäkerhetsrisker ska omedelbart till marknadskontroll. Månadsvis buntning bryter mot båda standarderna. |
| "ENISA-rapporteringen är tillverkarens jobb, så vi ignorerar sårbarheter." | ENISA-rapporteringsströmmen är tillverkarens, men plikten att informera tillverkaren och plikten att informera marknadskontrollmyndigheterna vid betydande risk är distributörens. Tystnad bryter skyldigheten efter marknadsplacering. |
| "Vi kan fortsätta sälja enheter som redan ligger i vårt lager när vi upptäcker en språkbrist i användarinformationen; bara nya leveranser stoppas." | Vidare tillhandahållande av den icke förenliga produkten stoppas oavsett var enheterna fysiskt finns. Befintligt lager hålls kvar, det rensas inte ut. |
| "Vi tar bort importörens kontaktetikett för att hålla våra kanalpartner privata." | Importörsidentifieringen måste finnas kvar på produkten, förpackningen eller medföljande dokument. Att ta bort den gör produkten icke förenlig för distributörsleverans. |
| "Vi behöver inte spara dokument; vi är bara återförsäljare." | Distributören måste lämna dokumentuppsättningen på motiverad begäran, på myndighetens språk. En distributör som inte kan presentera hänvisning till EU-försäkran om överensstämmelse, användarinformation eller kontaktpunkter i leveranskedjan bryter mot skyldigheterna även när produkten är förenlig. |
Vanliga frågor
Vad är en distributör enligt CRA?
Ett EU-led i leveranskedjan som skickar produkten vidare oförändrad. Rollen definieras av position (efter importören, före slutanvändaren) och av neutralitet gentemot produkten (ingen rebranding, inga programvaruändringar, ingen konfiguration som ändrar avsett ändamål). Återförsäljare, värdeskapande distributörer som enbart paketerar och kanalpartner som bara skickar och fakturerar passar alla in, förutsatt att de lämnar produkten i det skick som tillverkaren släppte ut den på marknaden. Om en importör eller distributör säljer under eget namn eller väsentligt modifierar produkten slår tillverkarplikten in.
Är jag distributör eller importör?
Gränsen går vid första utsläppandet på marknaden. Ni är importör om ni är den första EU-enheten som släpper ut en produkt med icke-EU-varumärke på unionsmarknaden. Ni är distributör om ni tillhandahåller produkten efter importören, utan att påverka dess egenskaper. Om ni köper en icke-EU-produkt från ett annat EU-bolag som redan har importerat den, är det andra bolaget importören och ni är distributören. Om ni köper direkt från tillverkaren utanför EU och själva släpper ut produkten på EU-marknaden, är ni importören, med den tyngre verifieringsuppsättningen och den tioåriga bevarandeplikten.
Är jag distributör eller tillverkare?
Artikel 21 är den rättsliga bryggan mellan distributör (eller importör) och tillverkare. Den har två rekvisit, och båda gäller både för importörer och distributörer:
"En importör eller distributör ska anses som tillverkare enligt denna förordning och omfattas av artiklarna 13 och 14 om importören eller distributören släpper ut en produkt med digitala element på marknaden i eget namn eller under eget varumärke eller utför en väsentlig ändring av en produkt med digitala element som redan har släppts ut på marknaden."
De två rekvisiten är alltså: (a) att släppa ut produkten på marknaden i eget namn eller under eget varumärke, eller (b) att utföra en väsentlig ändring av en produkt som redan släppts ut på marknaden. White-label-ombranding, förinstallation av egen mjukvara, ändring av säkerhetskonfigurationen före återförsäljning, omförpackning som ändrar avsett ändamål eller modifiering av firmware bryter distributörsrollen. För importörer och distributörer är omkopplingen direkt: ni blir tillverkare och hela tillverkarregimet gäller. Den fullständiga uppsättningen skyldigheter som då gäller hittar ni i guiden för tillverkarklustret.
En separat och snävare regel gäller för en person som inte är tillverkare, importör eller distributör: en tredjepartsrekonfigurerare, integratör eller modifierare som tar en redan utsläppt produkt, utför en väsentlig ändring och tillhandahåller den på marknaden. Denna person anses som tillverkare. Enligt artikel 22.2 gäller tillverkarens skyldigheter "när det gäller den del av produkten med digitala element som påverkas av den väsentliga ändringen eller, om den väsentliga ändringen påverkar cybersäkerheten för produkten med digitala element som helhet, för hela produkten". Denna fångstregel är inte tillämplig på er om ni redan är importör eller distributör. Importör-distributör-omvarumärkningsbryggan omfattar ert fall.
Vad exakt måste distributören verifiera innan produkten tillhandahålls?
Två kontroller: att CE finns, och att den uppströms dokumentationen finns. Tillverkaren måste ha uppfyllt produktidentifiering, tillverkaridentifiering, användarinformation på ett medlemsstatsspråk, supportperiodens slutdatum med månad och år, och leverans av EU-försäkran om överensstämmelse. Importören måste ha uppfyllt sin identifieringsplikt. Nödvändiga handlingar måste ha tillhandahållits. Kontrollen är närvarobaserad, inte en omkörning av bedömningen av överensstämmelse.
Måste distributören bevara EU-försäkran om överensstämmelse i 10 år?
Nej. Plikten att bevara EU-försäkran om överensstämmelse i 10 år eller under supportperioden ligger på importören, inte på distributören. Distributörens dokumentationsplikt är att, på motiverad begäran från en marknadskontrollmyndighet, tillhandahålla den information och dokumentation som behövs för att visa överensstämmelse, på ett språk som myndigheten lätt förstår. Det praktiska minimumet är den dokumentuppsättning som distributören använder för sin egen mottagningskontroll: hänvisning till EU-försäkran om överensstämmelse, användarinformation på leveransmedlemsstatens språk och kontaktpunkter för tillverkare och importör.
Vad gör distributören när den får kännedom om en sårbarhet i en produkt den har levererat?
Underrätta tillverkaren omedelbart, och underrätta marknadskontroll om risken är betydande. Den första plikten är uppströms underrättelse utan onödigt dröjsmål. Den andra är parallell underrättelse till marknadskontrollmyndigheterna i varje leveransmedlemsstat, med uppgifter om den bristande överensstämmelsen och eventuella korrigerande åtgärder som vidtagits. ENISA-rapporteringsströmmen ligger kvar hos tillverkaren, inte hos distributören.
Finns det SME-undantag för distributörer?
Nej. Distributörsplikter gäller oavsett storlek. CRA:s enda SME-specifika lättnad för administrativa böter avser tillverkare och förvaltare av öppen källkod. Distributörer omfattas inte av det undantaget. Myndigheterna måste också beakta överträdarens storlek när bötesbeloppen sätts i enskilda fall; det är en straffmätningsfaktor, inte ett undantag från skyldigheter.
När gäller distributörsplikterna enligt CRA?
Distributörsplikterna gäller fullt ut från 11 december 2027. Till skillnad från tillverkare har distributörer ingen separat tidigare tidsfrist; ENISA-rapporteringsströmmen är tillverkarens plikt, inte distributörens. Vid den tidpunkten behöver distributörer som tillhandahåller produkter på unionsmarknaden en mottagningskontroll, ett vägransflöde, ett sårbarhetsmedvetenhetsflöde och en förmåga att producera dokument på plats.