Om din EU-enhet är först med att släppa ut en icke-EU-märkt produkt med digitala element på EU-marknaden behandlar cyberresiliensförordningen dig normalt som importör. Importörer driver inte tillverkarens fulla program för överensstämmelse, men de måste verifiera det före marknadsplacering, vägra produkter som inte uppfyller kraven, identifiera sig på produkten eller medföljande material, samarbeta med marknadskontroll och bevara EU-försäkran om överensstämmelse.
Sammanfattning
- Är du importören? Du är normalt importör när din EU-enhet är först med att släppa ut en icke-EU-märkt digital produkt på unionsmarknaden.
- Vad måste kontrolleras före marknadsplacering? Konformitetsbedömning, teknisk dokumentation, CE-märkning, EU-försäkran om överensstämmelse, användarinstruktioner, produkt-ID, tillverkarens kontaktuppgifter och supportperiodens slutdatum.
- När måste du vägra? Placera inte produkten på marknaden om produkten eller tillverkarens sårbarhetshanteringsprocesser inte uppfyller kraven. Informera tillverkaren och marknadskontroll när det finns en betydande cybersäkerhetsrisk.
- Vad fortsätter efter placering? Korrigerande åtgärder, tillbakadragande eller återkallelse, sårbarhetsinformation till tillverkaren, samarbete med marknadskontroll och information om tillverkaren upphör med verksamheten.
- Vad måste bevaras? Bevara EU-försäkran om överensstämmelse i 10 år eller under supportperioden, beroende på vilket som är längst, och säkerställ att teknisk dokumentation kan tas fram på begäran.
- När gäller det? De huvudsakliga importörsplikterna gäller från den 11 december 2027.
Fyra kontroller, bevarande längre än tio år, två sanktionsnivåer beroende på om du faktiskt är importör.
Vem är importör enligt CRA?
I praktiken är CRA-importören den EU-etablerade enhet som först släpper ut en icke-EU-märkt produkt med digitala element på unionsmarknaden. Testet har tre delar: din enhet är etablerad i unionen, din enhet gör produkten tillgänglig på unionsmarknaden först, och produkten bär namn eller varumärke från en person etablerad utanför unionen.
Om produkten bär ditt eget namn eller varumärke agerar du inte som importör för den produkten; du är i tillverkarområdet. Om en annan EU-enhet redan har placerat produkten på marknaden är du normalt distributör. Om tillverkaren utanför EU bara har utsett dig genom skriftligt mandat och du inte själv placerar produkten på marknaden är du tillverkarens representant. För hela rollträdet, se vem som måste följa CRA.
Centrala importörsplikter
Importörsplikterna grupperas i fyra block: vad som måste kontrolleras före marknadsplacering, när importören måste stoppa, vilken importörsidentitet som måste visas och vad som måste bevaras eller tillhandahållas efter placering.
| Skyldighet | Kärnpunkt |
|---|---|
| Allmän efterlevnad | Placera bara produkter vars cybersäkerhetskrav och tillverkarprocesser är CRA-klara. |
| Verifiering före marknadsplacering | Konformitetsbedömning + teknisk dokumentation + CE/DoC/användarinstruktioner + produkt-ID, tillverkaruppgifter och supportperiodens slutdatum. Importören måste kunna lägga fram dokument som styrker uppfyllandet. |
| Skyldighet att vägra | Placera inte på marknaden om produkten eller processerna inte uppfyller kraven. Informera tillverkaren och marknadskontroll vid betydande cybersäkerhetsrisk. |
| Importörsidentifiering | Eget namn, handelsnamn eller varumärke, postadress, digital kontakt på produkten, förpackningen eller medföljande dokument. |
| Korrigerande åtgärder efter marknadsplacering | Tillbakadragande eller återkallelse vid behov. Sårbarhetskännedom: informera tillverkaren utan onödigt dröjsmål; informera marknadskontrollmyndigheterna i varje leveransmedlemsstat vid betydande cybersäkerhetsrisk. |
| Bevarande | Håll DoC tillgänglig för myndigheterna i 10 år eller supportperioden, beroende på vilket som är längst. Säkerställ att teknisk dokumentation kan tillhandahållas på begäran. |
| Samarbete | På motiverad begäran från marknadskontroll, tillhandahåll all information och dokumentation på ett språk myndigheten förstår. |
| Tillverkaren har upphört med verksamheten | Informera marknadskontrollmyndigheterna och, med alla tillgängliga medel, användarna. |
Ingen av dessa skyldigheter har något SME-undantag. Lättnaden för små företag är snäv: den tar inte bort importörens plikter att verifiera, vägra, identifiera sig, bevara dokumentation eller samarbeta.
Importör mot distributör
Den juridiska gränsen är vilken part som för första gången placerar produkten på unionsmarknaden.
| Aspekt | Importör | Distributör |
|---|---|---|
| Position | Etablerad inom unionen; placerar en produkt som bär en icke-EU-persons namn på marknaden | Den som gör produkten tillgänglig efter importören, utan att påverka dess egenskaper |
| Verifiering | Fullständig kontroll före marknadsplacering inklusive typ-/batch-ID, tillverkarkontakt och supportperiodens slutdatum | Verifierar att CE, tillverkaridentifiering, supportperiod och DoC-artefakter finns |
| Dokumentation | Måste kunna lägga fram dokument som styrker efterlevnad; säkerställer att teknisk dokumentation kan tillhandahållas på begäran | Samarbetar med myndigheter; närvaro-baserad verifiering |
| Skyldighet att vägra | Stoppa och informera när produkt eller processer inte uppfyller kraven | Stoppa och informera när CE, DoC eller nödvändiga artefakter saknas |
| Sårbarhetskännedom | Informera tillverkaren utan onödigt dröjsmål; informera marknadskontroll vid betydande risk i varje levererat medlemsland | Samma plikt inom sitt omfång; vägen går via tillverkaren |
| Bevarande | DoC i 10 år eller supportperioden, beroende på vilket som är längst | Inget specifikt; samarbeta på begäran |
| Sanktionsnivå | 10 000 000 euro eller 2 % | 10 000 000 euro eller 2 % |
Att kalla rollen "distribution" i ett privaträttsligt avtal flyttar inte den offentligrättsliga skyldigheten. Om din enhet för första gången placerar en icke-EU-produkt på unionsmarknaden är du importör. För distributörssidans detalj av samma gräns, se guiden för distributörsklustret.
De fyra kontrollerna före marknadsplacering
1. Konformitetsbedömning genomförd
Tillverkaren måste ha genomfört den bedömningsväg som är lämplig för produktklassen. Begär den EU-försäkran om överensstämmelse som anger vilken bedömningsmodul som använts och, där ett anmält organ medverkat, certifikatets nummer; för produkter bedömda under fullständig kvalitetssäkring (Modul H) följer organets fyrsiffriga identifieringsnummer även CE-märket.
| Modul | När |
|---|---|
| A intern produktionskontroll | Standardprodukter; Viktig klass I endast när relevanta standarder, specifikationer eller system tillämpas fullt ut |
| B + C EU-typkontroll + intern produktionskontroll | Viktig klass I när relevanta standarder, specifikationer eller system inte tillämpas fullt ut; Viktig klass II; reservvägar för Kritiska produkter |
| H fullständig kvalitetssäkring | Alternativ till B+C för Viktig klass I som reserv, Viktig klass II och reservvägar för Kritiska produkter |
| Europeiskt cybersäkerhetscertifieringssystem | Kritiska produkter när certifieringsvägen har aktiverats och ett tillämpligt system finns; även där CRA tillåter det |
Se klusterguiden för konformitetsbedömning.
2. Teknisk dokumentation upprättad
Importören behöver inte inneha den fullständiga tekniska filen. Importören behöver däremot bevis för att filen finns och kan tas fram för myndigheter på begäran. Begär i praktiken en innehållsförteckning för den tekniska dokumentationen samt ett skriftligt åtagande från tillverkaren att tillhandahålla den underliggande filen inom ett angivet tidsfönster och på ett angivet språk. Se klusterguiden för teknisk dokumentation.
3. CE-märkning, EU-DoC och användarinstruktioner
Tre dokument måste följa produkten.
| Dokument | Krav |
|---|---|
| CE-märkning | Synlig, läsbar, outplånlig, på produkten eller märkningsplåten. Enligt artikel 30.2 får höjden på CE-märkningen understiga 5 mm, förutsatt att den förblir synlig och läsbar. Det anmälda organets identifieringsnummer följer märket endast vid fullständig kvalitetssäkring (Modul H). CE-märkningen får placeras enbart på förpackningen om märkning av själva produkten inte är möjlig, och i så fall måste den även anges i EU-försäkran om överensstämmelse. |
| EU-DoC | Antingen fullständig DoC med produkten eller förenklad DoC som innehåller exakt internetadress till den fullständiga DoC. Generiska "cybersäkerhetskrav" utan konkret koppling till de väsentliga kraven är ett fel. |
| Användarinformation och instruktioner | På ett språk som lätt förstås av användare och marknadskontroll i den berörda medlemsstaten. Tillverkarens identitet, avsett ändamål, supportperiodens slutdatum, säker konfiguration, säker avveckling, adress för sårbarhetrapportering. |
4. Produkt-ID, tillverkaruppgifter och supportslut
Den sista importörskontrollen är inte ytterligare ett certifikat. Den är en närvarokontroll: produkten måste vara identifierbar, tillverkaren måste vara identifierbar och kontaktbar, och supportperiodens slutdatum måste vara tillgängligt vid köptillfället.
| Skyldighet | Importörens kontroll |
|---|---|
| Typ-, batch- eller serienummer för produktidentifiering (eller på förpackningen om produkten inte kan bära det) | Bekräfta att elementet finns på produkten eller förpackningen |
| Tillverkarens namn, handelsnamn eller varumärke, postadress, digital kontakt, också återgivet i användarinformationen | Bekräfta på produkten, förpackningen eller medföljande dokument |
| Supportperiodens slutdatum angivet vid köptillfället, inklusive åtminstone månad och år | Bekräfta att månad + år är synligt vid försäljningsstället |
En produkt utan angivet slutdatum med månad och år uppfyller inte kraven, oavsett om alla andra kontroller är godkända.
Angränsande skyldighet värd att behandla som avslagsgrund: den enda kontaktpunkten måste låta användare välja sitt föredragna kommunikationssätt och får inte vara begränsad till automatiserade verktyg. En kontaktpunkt som bara är en chattbot uppfyller inte kraven. Utan en fungerande enda kontaktpunkt uppströms är flödet för sårbarhetrapportering brutet från dag ett.
9-punktslistan över produktinformation (Bilaga II)
Varje produkt med digitala element ska nå importören med nio specifika uppgifter. Bilaga II i CRA fastställer listan och importörens kontroll är närvarobaserad: saknas en enda punkt får produkten inte placeras på marknaden.
Namn, registrerat firmanamn eller varumärke, postadress, e-post eller digital kontakt och, om tillgänglig, webbplats.
Vid mottagandetFinns på produkten, förpackningen eller medföljande dokument.
Gemensam kontaktpunkt för sårbarhetsrapportering, med en nåbar CVD-policy (Coordinated Vulnerability Disclosure).
Vid mottagandetIcke-automatiserad kanal, med CVD-policyn nåbar.
Produktens namn, typ och eventuell ytterligare information (batch, serienummer, modell) som möjliggör unik identifiering.
Vid mottagandetTyp-, batch- eller serienummer är synligt.
Avsett ändamål, säkerhetsmiljö, väsentliga funktioner och säkerhetsegenskaper.
Vid mottagandetAngivet i användarinformationen.
Kända eller förutsebara omständigheter som kan leda till betydande cybersäkerhetsrisker.
Vid mottagandetDokumenterat i användarinformationen.
I tillämpliga fall, internetadressen där den fullständiga EU-försäkran om överensstämmelse finns.
Vid mottagandetURL fungerar och DoC är fullständig.
Typ av tekniskt säkerhetsstöd samt slutdatum för stödperioden.
Vid mottagandetSlutdatumet innehåller åtminstone månad och år.
Detaljerade instruktioner eller en internetadress med säker användning, ändringspåverkan, installation av uppdateringar, säker avveckling och avstängning av automatiska uppdateringar.
Vid mottagandetAlla delpunkter finns eller är nåbara via den länkade URL:en.
Om tillverkaren gör programvaruförteckningen tillgänglig för användarna, var den kan nås.
Vid mottagandetKontrollera om SBOM erbjuds och var.
För hur tillverkaren tar fram varje punkt, se motsvarande avsnitt i klusterguiden för tillverkare.
Verifiering av tillverkares efterlevnad utanför EU
Muntliga försäkringar är inte importörsbevis. Skicka dokumentationsförfrågan innan något importavtal undertecknas.
ÄMNE: Begäran om CRA-efterlevnadsdokumentation
Vi utvärderar [produkt / modell] för import till Europeiska unionen under
Förordning (EU) 2024/2847 (cyberresiliensförordningen). Vänligen tillhandahåll
följande innan vi fortsätter:
1. EU-försäkran om överensstämmelse (fullständig eller förenklad),
med hänvisning till de väsentliga cybersäkerhetskraven och den använda konformitetsbedömningsmodulen, med
anmält organs certifikatnummer i förekommande fall.
2. Innehållsförteckning för teknisk dokumentation, plus ett
skriftligt åtagande att tillhandahålla den underliggande filen på [språk]
inom [X] dagar.
3. Bekräftelse av supportperioden: minst 5 år eller förväntad
användningstid om denna är kortare, med motivering.
4. Supportperiodens slutdatum (månad och år) som det kommer att visas vid
köptillfället.
5. Enda kontaktpunkt, med bekräftelse att den inte är
begränsad till automatiserade verktyg.
6. Policy för samordnad sårbarhetutlämning.
7. Bevis på CE-märkningens placering på produkten eller märkningsplåten.
8. Bruksanvisningar på [målmedlemsstatens språk].
Begärt svarsfönster: [X] arbetsdagar.
Vad du ska vägra och varför
| Signal | Åtgärd |
|---|---|
| Fullständig dokumentation | Fortsätt med importörens verifieringsgranskning |
| Ofullständig, resten "pågår" | Håll kvar; dokumentera bristen |
| "CE under EMC, RED eller LVD" | Otillräckligt. Begär CRA-specifik DoC och teknisk dokumentation. |
| Muntligt påstående om undantag från CRA | Begär skriftlig omfångsanalys med produktklass och undantagsgrund |
| "Anmält organs certifikat under behandling" | Konformitetsbedömningen måste vara genomförd före marknadsplacering |
| Enda kontaktpunkt är bara en chattbot | Icke-automatiserad kontaktkanal saknas; vägra |
| DoC-datum före 11 december 2027, ingen CRA-specifik uppdatering | Vägra |
| Saknat anmält organs nummer på Viktig klass II / kritisk | Vägra |
| Supportperiod under 5 år utan motivering | Vägra |
| Saknat slutdatum med månad + år | Vägra |
| Instruktioner bara på tillverkarens inhemska språk | Vägra för den berörda medlemsstaten |
| Vägran eller inget svar | Importera inte |
Om tillverkaren utanför EU saknar verksamhetsställe i unionen
En tillverkare utanför EU som inte har något huvudsakligt verksamhetsställe i unionen styr sina sårbarhets- och incidentanmälningar genom en reservkaskad. Artikel 14.7 fastställer ordningen, och importörens etableringsort spelar roll i den ordningen. Kaskaden lyder:
"a) Den medlemsstat där tillverkarens representant som agerar för tillverkarens räkning för det största antalet produkter med digitala element från den tillverkaren är etablerad.
b) Den medlemsstat där den importör som släpper ut det största antalet produkter med digitala element från den tillverkaren är etablerad.
c) Den medlemsstat där den distributör som tillhandahåller det största antalet produkter med digitala element från den tillverkaren är etablerad.
d) Den medlemsstat där det största antalet användare av produkter med digitala element från den tillverkaren finns."
Två praktiska konsekvenser för importören. Först, om du är den största icke-AR EU-närvaron för denna tillverkare, gör punkt b) sannolikt din medlemsstat till samordnande CSIRT för sårbarhets- och allvarliga incidentrapporter. Bekräfta med tillverkaren om en tillverkarens representant finns enligt punkt a) och om representantens medlemsstat eller din är den aktiva vägen. För det andra är punkt b) volymbaserad och kan flyttas mellan importörer över produktkohorter. Spåra produktvolymer per tillverkare och medlemsstat så att routingen kan styrkas om en CSIRT eller marknadskontrollmyndighet frågar.
När verifiering misslyckas
En misslyckad verifiering skapar en stoppa-och-informera-plikt. Importören måste hålla produkten borta från EU-marknaden tills produkten och tillverkarens processer uppfyller kraven.
- Stopp. Placera inte på EU-marknaden. Tullagerhantering eller återexport är möjligt tills efterlevnaden är återställd.
- Dokumentera. Registrera vilken kontroll före marknadsplacering som misslyckades, om det gäller produkten eller tillverkarens processer, datum och undertecknare.
- Underrätta tillverkaren skriftligen. Ange bristen, den dokumentation som krävs och tidsfristen.
- Bedöm cybersäkerhetsrisken. Betydande risk: informera marknadskontrollmyndigheten i den berörda medlemsstaten. Icke-tekniska riskfaktorer behöver också en myndighetsväg, men importörsflödet är detsamma: dokumentera, underrätta och håll produkten.
- Lös eller avvisa. Fortsätt bara när alla fyra kontroller är godkända. Avvisa annars importen.
Efter marknadsplacering övergår importörens plikt till korrigerande åtgärder, tillbakadragande eller återkallelse där det är lämpligt, sårbarhetsinformation till tillverkaren utan onödigt dröjsmål och information till marknadskontroll i varje leveransmedlemsstat när produkten innebär en betydande cybersäkerhetsrisk. Om tillverkaren har upphört med verksamheten, informera marknadskontroll och, med alla tillgängliga medel, användarna.
Om leverantören upphör med sin verksamhet
När tillverkaren utanför EU upphör med sin verksamhet blir importören budbäraren. Det uppstår en upplysningsplikt, men tillverkarens stödskyldigheter överförs inte till importören. Artikel 19.8 anger när det utlöses:
"När en importör av en produkt med digitala element får kännedom om att produktens tillverkare upphört med sin verksamhet och därmed inte kan uppfylla de skyldigheter som fastställs i denna förordning ska importören underrätta berörda marknadskontrollmyndigheter om detta och även, i möjligaste mån och på alla tillgängliga sätt, underrätta användarna av de produkter med digitala element som släppts ut på marknaden."
Två parter ska underrättas: berörda marknadskontrollmyndigheter och, i möjligaste mån och på alla tillgängliga sätt, användarna av de produkter som redan släppts ut på marknaden. CRA kräver inte att importören tar över skyldigheter på tillverkarnivå för stöd, sårbarhetshantering, utfärdande av säkerhetsuppdateringar eller någon annan tillverkarplikt. Tillverkarens skyldigheter upphör med tillverkaren.
Hantering av kvarvarande lager är ett kommersiellt beslut, inte en lagstadgad plikt. Importören avbryter normalt vidare placering av berört lager för att begränsa nedströms exponering, men det är riskhantering och inte en lagstadgad skyldighet. Om importören vill fortsätta sälja slår en rolleskalering till. Att placera produkten på marknaden under eget namn eller varumärke från och med den tidpunkten är ommärkningsbron till tillverkarstatus, med alla skyldigheter för konstruktion, konformitetsbedömning och stödperiod som följer.
Importör, distributör eller tillverkare?
Importörssidan bör inte bära hela rollmatrisen. Använd CRA-rollträdet för fullständig klassificering över tillverkare, importör, distributör, tillverkarens representant och förvaltare av öppen källkod.
Den lagstadgade ommärkningstriggern finns i artikel 3.13:
"tillverkare: en fysisk eller juridisk person som utvecklar eller tillverkar produkter med digitala element, eller som låter utforma, utveckla eller tillverka produkter med digitala element, och saluför dessa under eget namn eller varumärke, vare sig mot betalning, för monetarisering eller kostnadsfritt"
Klausulen "saluför dessa under eget namn eller varumärke" är ommärkningstriggern. Att sätta ditt EU-varumärke på en OEM-produkt från ett företag utanför EU gör dig till tillverkare från och med första försäljningen. Ommärkningsbron skickar en importör eller distributör som fångas av denna trigger direkt in i tillverkarregelverket. En separat restregel täcker tredje parter som varken är tillverkare, importör eller distributör. Om din situation för dig över i tillverkarstatus, se guiden för tillverkarklustret för den fullständiga uppsättningen tillverkarplikter.
För importörsarbete är den praktiska gränsen denna:
| Situation | CRA-roll eller följd |
|---|---|
| EU-enhet släpper först ut en icke-EU-märkt produkt på unionsmarknaden | Importör |
| EU-enhet återförsäljer efter att en annan EU-enhet redan placerat produkten | Distributör |
| EU-enhet släpper ut produkten under eget namn eller varumärke | Tillverkarplikter gäller |
| Importör eller distributör ändrar produkten väsentligt | Tillverkarplikter gäller |
| Annan tredje part ändrar produkten väsentligt och gör den tillgänglig | Tillverkarplikter gäller |
Kostnaden för att gå från importör till tillverkare är hög: teknisk dokumentation, konformitetsbedömning, egen DoC, sårbarhetshantering, säkerhetsuppdateringar och sårbarhetsrapportering måste då ordnas.
Dokumentation och bevarande
Bevara EU-försäkran om överensstämmelse tillgänglig för marknadskontrollmyndigheterna i minst 10 år efter att produkten placerats på marknaden eller under supportperioden om den är längre. Säkerställ också att teknisk dokumentation kan tillhandahållas på begäran. En produkt med 12 års supportperiod kräver därför en 12-årig bevarandeplan för importören.
Importören bevarar EU-försäkran, innehållsförteckning för teknisk dokumentation och tillverkarens åtagande, egen verifieringspost, kommunikation, tull- och batchdokument samt poster om korrigerande åtgärder och underrättelser.
När produktlinjen växlar till tillverkarplikter genom eget varumärke eller väsentlig ändring gäller samma bevarandetid plus teknisk dokumentation i eget namn och hela beviskedjan för konformitetsbedömningen.
Digital lagring är godtagbart. Filerna måste förbli tillgängliga och läsbara.
Vanliga fallgropar
| Påstående | Varför det brister |
|---|---|
| "CE innebär att de uppfyller kraven." | CE är bara en punkt i importörens kontroll; DoC, teknisk dokumentation, användarinformation och supportslut måste fortfarande verifieras. |
| "Vår leverantör har varit tillförlitlig i år." | EMC, RED och LVD täcker inte CRA:s nya skyldigheter. |
| "Muntliga försäkringar." | Importören behöver spårbar dokumentation. |
| "Vi verifierar efter att leveransen anländer." | Verifiering måste ske före marknadsplacering. |
| "Modifieringsregeln gör oss till tillverkare om vi ändrar." | För importörer och distributörer är den direkta växlingen vid eget varumärke eller väsentlig ändring automatisk. Restregeln gäller andra tredje parter. |
Upphandlingssignaler om specifika leverantörer utanför EU. År 2021 röstade Europaparlamentet om en resolution som begränsar intern upphandling av Hikvisions värmekameror. Resolutionen är en politisk signal om en namngiven kinesisk videoövervakningsleverantör, inte en CRA-skyldighet, men importörens due diligence avseende videoövervakningsmärken utanför EU bör behandla sådana upphandlingsärenden som en del av den bredare riskbilden, vid sidan av de fyra förhandskontrollerna.
Vanliga frågor
Vad är en importör enligt CRA?
En EU-aktör som släpper ut en icke-EU-märkt produkt på unionsmarknaden. Tre element måste alla vara uppfyllda: etablerad inom unionen, den som för första gången gör produkten tillgänglig på unionsmarknaden, och produkten bär en icke-EU-persons namn eller varumärke. Om produkten bär ditt eget varumärke är du inte importör utan tillverkare.
Är jag importör eller distributör?
Gränsen är den första placeringen på marknaden. Du är importör om du är den första EU-aktören som placerar en icke-EU-märkt produkt på unionsmarknaden. Du är distributör om du gör produkten tillgänglig efter importören, utan att påverka dess egenskaper. Köper du en icke-EU-produkt från ett annat EU-företag som redan importerat den är det företaget importör och du är distributör. Köper du direkt från tillverkaren utanför EU och placerar produkten på EU-marknaden själv är du importör.
Importör kontra tillverkarens representant: vad är skillnaden?
Olika jobb, och tillverkarens representant är frivillig. Artikel 18.1 använder ordet "får", inte "ska":
"En tillverkare får genom skriftlig fullmakt utse en tillverkarens representant."
En tillverkarens representant är därmed inte obligatoriskt enligt lag. En tillverkare utanför EU kan välja att utse en, eller låta bli. I praktiken kan du behöva antingen en representant eller en avtalsbunden importör som EU-kontakt, men det är en kommersiell realitet, inte en CRA-skyldighet.
Arbetsbeskrivningarna skiljer sig åt. Tillverkarens representant ansvarar för dokumentförvar åt tillverkaren. Importören släpper fysiskt ut produkten på marknaden. Representanten håller EU-DoC och teknisk dokumentation tillgänglig för marknadskontrollmyndigheterna och samarbetar med dessa myndigheter, men placerar inte produkten på marknaden. Importören bär fyrpunktskontrollskyldigheten före marknadsplacering. En tillverkare utanför EU som utser en representant för dokumentation och samarbete behöver fortfarande en importör (eller en egen EU-enhet) för att faktiskt placera produkten på marknaden. Ett representantsutseende överför inte konstruktions-, riskbedömnings-, sårbarhetshantering- eller konformitetsbedömningsskyldigheter.
Finns det SME-undantag för importörer?
Inget undantag från skyldigheterna i sig. Importörsplikter gäller oavsett storlek. CRA:s SME-koncession på böter gäller tillverkare, inte importörer, och bara för deadlines för tidig varning inom 24 timmar. Bötesfrihet för förvaltare av programvara med fri och öppen källkod enligt Artikel 64(10)(b) gäller förvaltare, inte importörer. Myndigheterna ska ta vederbörlig hänsyn till storleken på den som begår överträdelsen när de fastställer bötesbelopp i enskilda fall, men det är en straffmätningsfaktor, inte ett skyldighetsundantag.
När gäller CRA:s importörsskyldigheter?
Från och med den 11 december 2027. Från det datumet får ingen produkt med digitala element placeras på EU-marknaden om inte importören har genomfört verifieringen före marknadsplacering. Sårbarhets- och incidentrapportering börjar tidigare, den 11 september 2026, men är en tillverkarskyldighet; importörens roll är att verifiera att tillverkarens enda kontaktpunkt finns på plats och inte är begränsad till automatiserade verktyg.
Gör ommärkning ensamt importören till tillverkare?
Ja, i praktiken. Om EU-enheten släpper ut produkten under eget namn eller varumärke måste den uppfylla tillverkarplikterna för den produktlinjen. För importörer och distributörer är den direkta växlingen vid eget varumärke eller väsentlig ändring automatisk; en separat regel gäller andra tredje parter.
Är säkerhetspatchar någonsin en väsentlig ändring?
Inte när patcharna är utgivna av den ursprungliga tillverkaren och bevarar avsett ändamål, beteende och säkerhetsarkitektur. En patch som gör mer än att åtgärda en sårbarhet (lägger till funktioner, ändrar autentisering, utökar attackytan) lämnar undantaget.
Hur länge måste en importör bevara EU-försäkran om överensstämmelse?
Minst 10 år efter att produkten placerades på marknaden eller under supportperioden, beroende på vilket som är längst. En produkt placerad 2028 med 12 års supportperiod driver bevarande till 2040. Samma skyldighet kräver att importören säkerställer att den tekniska dokumentationen kan tillhandahållas på begäran. Digital lagring är godtagbart.
Vad måste importören göra om dokumentationen har brister?
Stoppa och informera. Placera inte på marknaden förrän bristen är stängd. Underrätta tillverkaren skriftligen. Om produkten innebär en betydande cybersäkerhetsrisk, informera marknadskontrollmyndigheten i den berörda medlemsstaten. Skyldigheten sträcker sig även till icke-tekniska riskfaktorer; myndigheterna följer sedan relevant förfarande. Varor kan lagras i tullager medan bristen är öppen.
Vad händer med den ursprungliga CE-märkningen när EU-aktören blir tillverkare?
Den täcker inte längre produkten som EU-aktören placerar den på marknaden. EU-aktören utfärdar sin egen DoC och anbringar CE på eget ansvar.
Startar femårssupportperioden om när EU-aktören blir tillverkare?
Ja. Supportperioden löper från det datum EU-aktören placerar den ommärkta eller ändrade produkten på marknaden. Golvet om "minst 5 år" gäller, med undantaget att produkter som förväntas användas i mindre än 5 år tar en supportperiod som motsvarar förväntad användningstid. Kostnaden landar på supportresurser och leverantörsavtal (den ursprungliga fabriken måste åta sig insatsvaror under minst din supportperiod).
Behöver EU-aktören ett anmält organ om den ursprungliga tillverkaren använde ett?
För Viktig klass II- eller kritiska produkter som är väsentligt ändrade nästan alltid ja. Ommärkning av en sådan produkt kräver också en ny DoC i EU-aktörens namn. Den direkta växlingen gäller importörer och distributörer. Se guiderna bedömning av överensstämmelse och produktklassificering.