EU:s cyberresiliensförordning (Förordning (EU) 2024/2847) behandlar importören som den juridiska kanal genom vilken en tillverkare utanför EU når unionsmarknaden. Från och med den 11 december 2027 gör artikel 19 importören personligen ansvarig för att verifiera CRA-efterlevnad innan en produkt med digitala element placeras på unionsmarknaden. Den här sidan täcker de fyra kontrollerna före marknadsplacering enligt artikel 19(2), skyldigheterna efter marknadsplacering enligt artikel 19(3) till (8), bevaranderegeln och de rollgränser som avgör om du ens är importör enligt artikel 3(13) och artikel 3(16).
Sammanfattning
- Fyra kontroller före marknadsplacering (artikel 19(2)): konformitetsbedömning genomförd, teknisk dokumentation upprättad, CE + EU-DoC + bilaga II på rätt språk, och efterlevnad av artikel 13(15), (16) och (19).
- Skyldighet att vägra (artikel 19(3)): om produkten eller tillverkarens processer inte är i överensstämmelse, placera inte på marknaden; informera tillverkaren och marknadsövervakningsmyndigheterna vid betydande cybersäkerhetsrisk.
- Skyldigheter efter marknadsplacering (artikel 19(5) till (8)): korrigerande åtgärder och återkallelse vid behov, rapportering om sårbarhetskännedom, samarbete med marknadskontroll och rapportering om tillverkaren upphör med verksamheten.
- Bevarande (artikel 19(6)): 10 år eller supportperioden, beroende på vilket som är längst.
- Du är inte importör om du marknadsför under eget namn. Artikel 3(13) träffar dig som tillverkare i stället, med de fullständiga skyldigheterna enligt artikel 13 och 14.
Fyra kontroller, bevarande längre än tio år, två sanktionsnivåer beroende på om du faktiskt är importör.
CE-märkningen är tillverkarens förklaring om att produkten uppfyller kraven. Artikel 19(2) gör importören ansvarig för att verifiera den underliggande dokumentationen bakom påståendet. CE utan DoC och utan tillgänglig teknisk dokumentation är inget försvar; det är ett skäl att enligt artikel 19(3) vägra marknadsplacering.
Vem är importör enligt CRA?
Artikel 3(16) definierar importören:
"Importör" avser en fysisk eller juridisk person som är etablerad inom unionen och som släpper ut en produkt med digitala element som bär namn eller varumärke från en fysisk eller juridisk person etablerad utanför unionen på marknaden.
Du är importör enligt CRA om alla tre kriterierna är uppfyllda:
| Element | Test |
|---|---|
| Etablerad inom unionen | Din juridiska enhet är registrerad i en EU-medlemsstat |
| Placera på marknaden | Du är den som för första gången gör produkten tillgänglig på unionsmarknaden för distribution eller användning inom ramen för en kommersiell verksamhet (artikel 3(21) och (22)) |
| Bär ett namn eller varumärke från utanför EU | Namnet eller varumärket på produkten, förpackningen eller dokumentationen tillhör en person etablerad utanför unionen |
Om något av de tre inte stämmer är du inte importör. Om produkten bär ditt eget namn eller varumärke är du tillverkare enligt artikel 3(13). Om du inte är den första EU-aktören som placerar produkten på unionsmarknaden är du distributör enligt artikel 3(17). Om en tillverkare utanför EU har gett dig ett skriftligt mandat att agera för dess räkning utan att du själv placerar produkten på marknaden, är du tillverkarens representant enligt artikel 18 och artikel 3(15), inte importör.
Importören är den första juridiska kanal genom vilken en tillverkare utanför EU når unionsmarknaden och bär personligt ansvar för vad som flödar genom den kanalen.
Artikel 19 i korthet
| Para | Skyldighet | Kärnpunkt |
|---|---|---|
| 19(1) | Allmän efterlevnad | Placera bara produkter som uppfyller bilaga I del I, och där tillverkarens processer uppfyller del II. |
| 19(2) | Verifiering före marknadsplacering (a) till (d) | Konformitetsbedömning + teknisk dokumentation + CE/DoC/bilaga II + artikel 13(15), (16), (19). Importören måste kunna lägga fram dokument som styrker uppfyllandet. |
| 19(3) | Skyldighet att vägra | Placera inte på marknaden om produkten eller processerna inte uppfyller kraven. Informera tillverkaren + marknadskontroll vid betydande cybersäkerhetsrisk. Icke-tekniska riskfaktorer utlöser artikel 54(2). |
| 19(4) | Importörsidentifiering | Eget namn, handelsnamn eller varumärke, postadress, digital kontakt på produkten, förpackningen eller medföljande dokument. |
| 19(5) | Korrigerande åtgärder efter marknadsplacering | Tillbakadragande eller återkallelse vid behov. Sårbarhetskännedom: informera tillverkaren utan onödigt dröjsmål; informera marknadskontrollmyndigheterna i varje leveransmedlemsstat vid betydande cybersäkerhetsrisk. |
| 19(6) | Bevarande | Håll DoC tillgänglig för myndigheterna i 10 år eller supportperioden, beroende på vilket som är längst. Säkerställ att teknisk dokumentation kan tillhandahållas på begäran. |
| 19(7) | Samarbete | På motiverad begäran från marknadskontroll, tillhandahåll all information och dokumentation på ett språk myndigheten förstår. |
| 19(8) | Tillverkaren har upphört med verksamheten | Informera marknadskontrollmyndigheterna och, med alla tillgängliga medel, användarna. |
Ingen av dessa skyldigheter har något SME-undantag. Undantaget i artikel 64(10) är begränsat till tillverkarens deadlines enligt artikel 14(2)(a) och 14(4)(a), och till förvaltare av programvara med öppen källkod.
Importör mot distributör
Den juridiska gränsen är vilken part som för första gången placerar produkten på unionsmarknaden.
| Aspekt | Importör (artikel 19) | Distributör (artikel 20) |
|---|---|---|
| Position | Etablerad inom unionen; placerar en produkt som bär en icke-EU-persons namn på marknaden | Den som gör produkten tillgänglig efter importören, utan att påverka dess egenskaper |
| Verifiering | Fullständig artikel 19(2) (a) till (d) inklusive artikel 13(15), (16), (19) | Verifierar CE, plus artikel 13(15), (16), (18), (19), (20) och förekomst av artikel 19(4) |
| Dokumentation | Måste kunna lägga fram dokument som styrker artikel 19; säkerställer att bilaga VII kan tillhandahållas | Samarbetar med myndigheter; närvaro-baserad verifiering |
| Skyldighet att vägra | Artikel 19(3) | Artikel 20 |
| Sårbarhetskännedom | Artikel 19(5) | Artikel 20 |
| Bevarande | DoC i 10 år eller supportperioden, beroende på vilket som är längst | Inget specifikt; samarbeta på begäran |
| Sanktionsnivå | 10 000 000 euro eller 2 % (artikel 64(3)) | 10 000 000 euro eller 2 % (artikel 64(3)) |
Att kalla rollen "distribution" i ett privaträttsligt avtal flyttar inte den offentligrättsliga skyldigheten. Om din enhet för första gången placerar en icke-EU-produkt på unionsmarknaden är du importör.
De fyra kontrollerna före marknadsplacering
1. Konformitetsbedömning genomförd (artikel 19(2)(a), artikel 32)
Tillverkaren måste ha genomfört den bedömningsväg som är lämplig för produktklassen. Begär den EU-försäkran om överensstämmelse som anger vilken bedömningsmodul som använts och, där ett anmält organ medverkat, certifikatets nummer och organets fyrsiffriga identifieringsnummer efter CE-märket.
| Modul | När |
|---|---|
| A intern produktionskontroll | Endast produkter i standardklass |
| B + C EU-typkontroll + intern produktionskontroll | Viktig klass II som standard; klass I när ingen relevant harmoniserad standard tillämpas |
| H fullständig kvalitetssäkring | Alternativ för viktiga produkter; krävs för kritiska produkter utan europeiskt cybersäkerhetscertifieringssystem |
Se klusterguiden för konformitetsbedömning.
2. Teknisk dokumentation upprättad (artikel 19(2)(b), artikel 31, bilaga VII)
Importören behöver inte inneha den fullständiga filen enligt bilaga VII men måste kunna styrka uppfyllandet av artikel 19 (sista meningen i 19(2)) och säkerställa att filen kan tillhandahållas myndigheterna på begäran (artikel 19(6)). Begär: en innehållsförteckning som täcker varje avsnitt i bilaga VII, plus ett skriftligt åtagande från tillverkaren att tillhandahålla den underliggande filen inom ett angivet tidsfönster och på ett angivet språk. Se klusterguiden för teknisk dokumentation.
3. CE-märkning, EU-DoC och bilaga II-instruktioner (artikel 19(2)(c), artikel 30, artikel 13(20), bilaga II)
Tre dokument måste följa produkten.
| Dokument | Krav |
|---|---|
| CE-märkning (artikel 30) | Minst 5 mm hög, synlig, läsbar, outplånlig, på produkten eller märkningsplåten. Anmält organs identifieringsnummer följer märket om tillämpligt. CE enbart på ytterförpackningen uppfyller inte kraven. |
| EU-DoC (artikel 13(20), fullständigt innehåll per artikel 28 + bilaga V) | Antingen fullständig DoC med produkten eller förenklad DoC som innehåller exakt internetadress till den fullständiga DoC. Generiska "cybersäkerhetskrav" utan hänvisning till bilaga I är ett fel. |
| Bilaga II-information och instruktioner | På ett språk som lätt förstås av användare och marknadskontroll i den berörda medlemsstaten. Tillverkarens identitet, avsett ändamål, supportperiodens slutdatum, säker konfiguration, säker avveckling, adress för sårbarhetrapportering. |
4. Efterlevnad av artikel 13(15), (16) och (19) (artikel 19(2)(d))
Tre specifika tillverkarskyldigheter som korsrefereras från artikel 19(2)(d):
| Citat | Skyldighet | Importörens kontroll |
|---|---|---|
| 13(15) | Typ-, batch- eller serienummer för produktidentifiering (eller på förpackningen om produkten inte kan bära det) | Bekräfta att elementet finns på produkten eller förpackningen |
| 13(16) | Tillverkarens namn, handelsnamn eller varumärke, postadress, digital kontakt, också återgivet i bilaga II | Bekräfta på produkten, förpackningen eller medföljande dokument |
| 13(19) | Supportperiodens slutdatum angivet vid köptillfället, inklusive åtminstone månad och år | Bekräfta att månad + år är synligt vid försäljningsstället |
En produkt utan angivet slutdatum med månad och år är inte i överensstämmelse enligt artikel 19(2)(d) på grund av artikel 13(19), oavsett om alla andra kontroller är godkända.
Angränsande skyldighet värd att behandla som avslagsgrund: Artikel 13(17) enda kontaktpunkt. Artikel 13(17) kräver att användare kan välja sitt föredragna kommunikationssätt och att kommunikationssättet inte får vara begränsat till automatiserade verktyg. En kontaktpunkt som bara är en chattbot uppfyller inte kraven. Utan en fungerande enda kontaktpunkt uppströms är flödet för sårbarhetrapportering enligt artikel 14 brutet från dag ett.
Verifiering av tillverkares efterlevnad utanför EU
Muntliga försäkringar är inte bevis enligt artikel 19(2). Skicka dokumentationsförfrågan innan något importavtal undertecknas.
ÄMNE: Begäran om CRA-efterlevnadsdokumentation
Vi utvärderar [produkt / modell] för import till Europeiska unionen under
Förordning (EU) 2024/2847 (cyberresiliensförordningen). Vänligen tillhandahåll
följande innan vi fortsätter:
1. EU-försäkran om överensstämmelse (fullständig eller förenklad per artikel 13(20)),
med hänvisning till bilaga I-kraven och den artikel 32-modul som använts, med
anmält organs certifikatnummer i förekommande fall.
2. Innehållsförteckning för teknisk dokumentation enligt bilaga VII, plus ett
skriftligt åtagande att tillhandahålla den underliggande filen på [språk]
inom [X] dagar.
3. Bekräftelse av supportperioden (artikel 13(8): minst 5 år eller förväntad
användningstid om denna är kortare, med motivering).
4. Supportperiodens slutdatum (månad och år) som det kommer att visas vid
köptillfället enligt artikel 13(19).
5. Enda kontaktpunkt enligt artikel 13(17), med bekräftelse att den inte är
begränsad till automatiserade verktyg.
6. Policy för samordnad sårbarhetutlämning (bilaga I del II).
7. Bevis på CE-märkningens placering på produkten eller märkningsplåten.
8. Bilaga II-bruksanvisningar på [målmedlemsstatens språk].
Begärt svarsfönster: [X] arbetsdagar.
Vad du ska vägra och varför
| Signal | Åtgärd |
|---|---|
| Fullständig dokumentation | Fortsätt med granskning enligt artikel 19(2) |
| Ofullständig, resten "pågår" | Håll kvar; dokumentera bristen |
| "CE under EMC, RED eller LVD" | Otillräckligt. Begär CRA-specifik DoC och bilaga VII. |
| Muntligt påstående om undantag från CRA | Begär skriftlig analys med hänvisning till artikel 2 och bilaga III/IV |
| "Anmält organs certifikat under behandling" | Artikel 32 måste vara genomförd före marknadsplacering |
| Enda kontaktpunkt är bara en chattbot | Artikel 13(17)-brott; vägra |
| DoC-datum före 11 december 2027, ingen CRA-specifik uppdatering | Vägra |
| Saknat anmält organs nummer på klass II / kritisk | Vägra |
| Supportperiod under 5 år utan motivering | Vägra |
| Saknat slutdatum med månad + år | Vägra |
| Instruktioner bara på tillverkarens inhemska språk | Vägra för den berörda medlemsstaten |
| Vägran eller inget svar | Importera inte |
När verifiering misslyckas
Artikel 19(3) skapar en skyldighet att stoppa och informera.
- Stopp. Placera inte på EU-marknaden. Tullagerhantering eller återexport är möjligt tills efterlevnaden är återställd.
- Dokumentera. Registrera vilken kontroll enligt artikel 19(2) som misslyckades, om det gäller produkten eller tillverkarens processer, datum och undertecknare.
- Underrätta tillverkaren skriftligen. Ange bristen, den dokumentation som krävs och tidsfristen.
- Bedöm cybersäkerhetsrisken. Betydande risk: informera marknadskontrollmyndigheten i den berörda medlemsstaten (artikel 19(3) första stycket). Icke-tekniska riskfaktorer: informera enligt artikel 19(3) andra stycket; myndigheterna följer sedan artikel 54(2).
- Lös eller avvisa. Fortsätt bara när alla fyra kontroller är godkända. Avvisa annars importen.
Efter marknadsplacering tar artikel 19(5) vid: korrigerande åtgärder, tillbakadragande eller återkallelse vid behov, underrättelse till tillverkaren om sårbarheter utan onödigt dröjsmål, underrättelse till marknadskontrollmyndigheterna i varje leveransmedlemsstat där produkten innebär en betydande cybersäkerhetsrisk. Artikel 19(8): om tillverkaren har upphört med verksamheten, informera marknadskontroll och, med alla tillgängliga medel, användarna.
Rollgränser: är du egentligen importör?
Den svåraste klassificeringsfrågan är inte "vad gör en importör" utan "är jag importör över huvud taget". Cyberresiliensförordningen besvarar den frågan via definitionerna i artikel 3, inte via artikel 22.
Artikel 3(13), tillverkare: utvecklar eller låter utveckla, konstruera eller tillverka produkter med digitala element och marknadsför dem under sitt eget namn eller varumärke.
Artikel 3(16), importör: en person som är etablerad inom unionen och som släpper ut en produkt med digitala element som bär namn eller varumärke från en person etablerad utanför unionen på marknaden.
Lästa tillsammans: samma logistiska handling är "import" enbart när produkten bär en aktörs namn utanför EU. Sätter du ditt eget varumärke på produkten faller du under artikel 3(13), inte 3(16). Du är, och var hela tiden, tillverkare för den produkten. Det finns ingen "artikel 22-eskalering" för importörer. Artikel 22 utesluter uttryckligen importörer ("annan än tillverkaren, importören eller distributören"); den täcker tredjepartsaktörer som systemintegratörer eller value-added resellers utanför artikel 3-kedjan.
Varumärkestestet
| Situation | Klassificering |
|---|---|
| Sälja under eget varumärke "AcmeTech" | Tillverkare (artikel 3(13)) |
| "Distribuerad av AcmeTech" jämte tydligt ursprungligt varumärke | Importör (artikel 3(16)) |
| Ersätta all ursprunglig märkning med din egen | Tillverkare (artikel 3(13)) |
| Liten distributörsetikett jämte ursprunglig märkning | Beror på framträdande; rimlig-köpare-test |
| Marknadsföringen presenterar dig som källan trots att enheten visar uppströmsfabriken | Tillverkare (artikel 3(13)) |
Test för väsentlig ändring (artikel 3(30))
En ändring efter att produkten placerats på marknaden som påverkar överensstämmelsen med bilaga I del I eller ändrar det avsedda ändamål för vilket produkten bedömts.
| Sannolikt väsentlig | Sannolikt inte väsentlig |
|---|---|
| Installation av anpassad firmware | Tillverkarens egna säkerhetspatchar som bevarar avsett ändamål |
| Tillägg av fjärrhantering eller telemetri | Lokalisering av tryckt dokumentation |
| Hårdvaruändringar som påverkar säkerhetsfunktioner | Ändringar av ytterförpackning |
| Utbyte av kryptografiska implementationer | Paketering av kompatibla tillbehör utan integration |
| Ändring av autentisering eller auktorisering | |
| Tillägg av nätverksanslutning till en tidigare offlineprodukt |
När en importör väsentligt ändrar en produkt är artikel 22 formellt inte tillämplig (importörer är uteslutna). Den hållbara tolkningen: en väsentlig ändring lyfter dig ur artikel 3(16) eftersom produkten inte längre är samma produkt som tillverkaren utanför EU placerade på marknaden. Den säkra vägen är att behandla den som ändrar produkten som tillverkare för den varianten enligt artikel 3(13).
Kostnaden för omklassificering
| Kostnadsområde | Importör (artikel 3(16)) | Tillverkare (artikel 3(13)) |
|---|---|---|
| Konformitetsbedömning | Verifiera tillverkarens | Genomföra egen (modul A) eller anlita anmält organ (modul B+C, modul H) |
| Teknisk dokumentation | Verifiera tillgång | Upprätta och underhålla (artikel 31, bilaga VII) |
| Sårbarhetshantering | Vidarebefordra rapporter uppströms; korrigerande åtgärder (artikel 19(5)) | Driva intag, triagering, avhjälpande, CVD-policy, rapportering enligt artikel 14 |
| Säkerhetsuppdateringar | Vidarebefordra | Utveckla, signera, distribuera under supportperioden; tillgängliga i 10 år eller återstående tid (artikel 13(9)) |
| Bötesexponering | Upp till 10 000 000 euro eller 2 % (artikel 64(3)) | Upp till 15 000 000 euro eller 2,5 % (artikel 64(2)) |
Praktiska scenarier
| Scenario | Klassificering |
|---|---|
| White label-surfplattor som säljs under EU-aktörens varumärke | Tillverkare (artikel 3(13)) från dag ett |
| Förkonfigurerade företagsrouters under ursprungligt varumärke, med säkerhetsrelevanta konfigurationsprofiler | Tillverkare (artikel 3(13)) för den konfigurerade varianten; eller kom överens med den ursprungliga tillverkaren om att täcka under dennes DoC |
| Tillverkarens egna säkerhetspatchar applicerade före försäljning | Importör (artikel 3(16)); dokumentera att patcharna kom från tillverkaren |
| Anpassad firmwarebyggnad för företagskunder | Två spår: standard-SKU som importör, anpassad SKU som tillverkare |
| Bunt marknadsförd som ett integrerat system | Tillverkare av bunten (artikel 3(13)) |
Strategier för att förbli importör
- Håll den ursprungliga tillverkarens namn och "tillverkad av"-identifiering synliga. Din egen stannar som "importerad av" enligt artikel 19(4).
- Applicera bara tillverkarens egna patchar som bevarar avsett ändamål.
- Ändra inte säkerhetsrelevant konfiguration före återförsäljning; led kundanpassning genom den ursprungliga tillverkaren.
- Dokumentera varje produkt som "oförändrad av importör" med en checklista kartlagd mot artikel 3(30).
Dokumentation och bevarande
Artikel 19(6): importören bevarar EU-försäkran om överensstämmelse tillgänglig för marknadskontrollmyndigheterna i minst 10 år efter att produkten placerats på marknaden eller under supportperioden, beroende på vilket som är längst, och säkerställer att den tekniska dokumentationen kan tillhandahållas på begäran. En produkt med 12 års supportperiod driver en 12-årig bevarandeskyldighet.
Importören bevarar: DoC (fullständig eller förenklad per artikel 13(20)), innehållsförteckning enligt bilaga VII och tillverkarens åtagande att tillhandahålla den underliggande filen, importörens egna fyrpunktsverifieringsprotokoll (beslut, datum, undertecknare), kommunikation med tillverkaren, tull- och batchdokument med datum för första marknadsplacering, och protokoll för korrigerande åtgärder och underrättelser enligt artikel 19(5).
När artikel 3(13)-klassificering gäller (eget varumärke eller väsentlig ändring) blir regimen artikel 13(13): samma 10-år-eller-supportperiod-bevarande plus den tekniska dokumentationen i EU-aktörens eget namn och den fullständiga beviskedjan för konformitetsbedömning.
Digital lagring är godtagbart. Filerna måste förbli tillgängliga, läsbara och möjliga att ta fram inom ett rimligt tidsfönster på ett språk myndigheten förstår.
Vanliga fallgropar
| Påstående | Varför det brister |
|---|---|
| "CE innebär att de uppfyller kraven." | CE är tillverkarens påstående. Artikel 19(2) kräver verifiering av den underliggande dokumentationen. |
| "Vår leverantör har varit tillförlitlig i år." | Efterlevnad av EMC, RED och LVD överförs inte till CRA:s bilaga I del II för sårbarhetshantering, supportperiod och rapportering enligt artikel 14. |
| "Muntliga försäkringar från vår säljkontakt." | Artikel 19(2) kräver dokumentation; en säljrepresentant har ingen juridisk tyngd. |
| "Vi verifierar efter att leveransen anländer." | Verifiering måste ske före marknadsplacering. Tullager fungerar; marknaden gör det inte. |
| "Det är bara en etikett med vår logotyp." | Om etiketten presenterar dig som källan utlöses artikel 3(13). Det finns ingen storleksgräns. |
| "Artikel 22 gör oss till tillverkare om vi ändrar." | Artikel 22 utesluter importörer. Den rättsliga grunden är artikel 3(13), inte artikel 22 (det praktiska utfallet är detsamma). |
| "Tillverkaren sa att vi fick omärka." | Artikel 3(13) är definitional. Privaträttsliga avtal kan inte skriva om definitionen. |
| "Vår chattbot är den enda kontaktpunkten." | Artikel 13(17) kräver att användaren kan välja kommunikationssätt, inte begränsat till automatiserade verktyg. |
Vanliga frågor
Vad är en importör enligt CRA?
En EU-aktör som släpper ut en icke-EU-märkt produkt på unionsmarknaden. Tre element måste alla vara uppfyllda: etablerad inom unionen, den som för första gången gör produkten tillgänglig på unionsmarknaden, och produkten bär en icke-EU-persons namn eller varumärke. Om produkten bär ditt eget varumärke är du inte importör utan tillverkare (artikel 3(16); första placering vid artikel 3(21); ommärkning lyfter dig till tillverkare vid artikel 3(13)).
Är jag importör eller distributör?
Gränsen är den första placeringen på marknaden. Du är importör om du är den första EU-aktören som placerar en icke-EU-märkt produkt på unionsmarknaden. Du är distributör om du gör produkten tillgänglig efter importören, utan att påverka dess egenskaper. Köper du en icke-EU-produkt från ett annat EU-företag som redan importerat den är det företaget importör och du är distributör. Köper du direkt från tillverkaren utanför EU och placerar produkten på EU-marknaden själv är du importör (artiklarna 3(16) och 3(17); importörsskyldigheter vid artikel 19; distributörsskyldigheter vid artikel 20).
Importör kontra tillverkarens representant: vad är skillnaden?
Olika jobb. Den auktoriserade representanten är dokumenthållare åt tillverkaren; importören släpper fysiskt ut produkten på marknaden. Tillverkarens representant håller EU-DoC och teknisk dokumentation tillgänglig för marknadskontrollmyndigheterna och samarbetar med dessa myndigheter, men placerar inte produkten på marknaden. Importören bär fyrpunktskontrollskyldigheten före marknadsplacering. En tillverkare utanför EU kan utse en representant för dokumentation och samarbete; det krävs ändå en importör (eller en egen EU-enhet) för att faktiskt placera produkten på marknaden. En representantsutseende överför inte konstruktions-, riskbedömnings-, sårbarhetshantering- eller konformitetsbedömningsskyldigheter (representantmandat vid artiklarna 3(15) och 18(1)-(3); importör vid artiklarna 3(16) och 19; mandat kan inte täcka artiklarna 13(1)-(11), 13(12) första stycket eller 13(14)).
Finns det SME-undantag för importörer?
Inget undantag från skyldigheterna i sig. Artikel 19 gäller importörer oavsett storlek. CRA:s SME-koncession på böter gäller tillverkare, inte importörer, och bara för deadlines för tidig varning inom 24 timmar. OSS-förvaltarundantaget gäller förvaltare, inte importörer. Myndigheterna ska ta vederbörlig hänsyn till storleken på den som begår överträdelsen (inklusive SME och nystartade företag) när de fastställer bötesbelopp i enskilda fall, men det är en straffmätningsfaktor, inte ett skyldighetsundantag (artikel 19 gäller alla storlekar; SME-koncessionen vid artikel 64(10)(a) gäller tillverkare, inte importörer, och bara för deadlines i 14(2)(a) och 14(4)(a); OSS-förvaltarundantag vid artikel 64(10)(b); straffmätningsfaktor vid artikel 64(5)(c)).
När gäller CRA:s importörsskyldigheter?
Från och med den 11 december 2027. Från det datumet får ingen produkt med digitala element placeras på EU-marknaden om inte importören har genomfört verifieringen enligt artikel 19(2). Artikel 14-rapportering börjar tidigare (11 september 2026) men är en tillverkarskyldighet; importörens roll är att verifiera att tillverkarens enda kontaktpunkt finns på plats och inte är begränsad till automatiserade verktyg (artikel 71 om tillämpning; artikel 19 från 11 december 2027; artikel 14-rapportering från 11 september 2026 gäller tillverkaren; importörens roll är att verifiera den enda kontaktpunkten enligt artikel 13(17)).
Gör ommärkning ensamt importören till tillverkare?
Nej. Ommärkningen avslöjar att du alltid varit tillverkaren. Importördefinitionen är begränsad till personer som placerar på marknaden produkter som bär en icke-EU-persons namn. Marknadsföring under eget varumärke lyfter dig ur importörkategorin och placerar dig i tillverkarkategorin. Den ursprungliga tillverkarens DoC och CE täcker inte längre den ommärkta produkten. Det finns ingen artikel 22-eskalering här; artikel 22 täcker tredjepartsaktörer som är varken tillverkare, importör eller distributör (artikel 3(13); importördefinitionen vid artikel 3(16) är begränsad till icke-EU-varumärken; artikel 22 täcker tredjepartsaktörer, inte importörer).
Är säkerhetspatchar någonsin en väsentlig ändring?
Inte när patcharna är utgivna av den ursprungliga tillverkaren och bevarar avsett ändamål, beteende och säkerhetsarkitektur. En patch som gör mer än att åtgärda en sårbarhet (lägger till funktioner, ändrar autentisering, utökar attackytan) lämnar undantaget (artikel 3(30); bilaga I del II behandlar tillverkarens säkerhetsuppdateringar som en del av sårbarhetshantering).
Hur länge måste en importör bevara EU-försäkran om överensstämmelse?
Minst 10 år efter att produkten placerades på marknaden eller under supportperioden, beroende på vilket som är längst. En produkt placerad 2028 med 12 års supportperiod driver bevarande till 2040. Samma skyldighet kräver att importören säkerställer att den tekniska dokumentationen kan tillhandahållas på begäran. Digital lagring är godtagbart (artikel 19(6)).
Vad måste importören göra om dokumentationen har brister?
Stoppa och informera. Placera inte på marknaden förrän bristen är stängd. Underrätta tillverkaren skriftligen. Om produkten innebär en betydande cybersäkerhetsrisk, informera marknadskontrollmyndigheten i den berörda medlemsstaten. Skyldigheten sträcker sig även till icke-tekniska riskfaktorer; myndigheterna följer sedan relevant förfarande. Varor kan lagras i tullager medan bristen är öppen (artikel 19(3); icke-tekniska riskfaktorer utlöser artikel 54(2)).
Vad händer med den ursprungliga CE-märkningen när EU-aktören blir tillverkare?
Den täcker inte längre produkten som EU-aktören placerar den på marknaden. EU-aktören utfärdar sin egen DoC och anbringer CE på eget ansvar (artikel 3(13); ny DoC under artikel 13(20); ny CE under artikel 30).
Startar femårssupportperioden om när EU-aktören blir tillverkare?
Ja. Supportperioden löper från det datum EU-aktören placerar den ommärkta eller ändrade produkten på marknaden. Golvet om "minst 5 år" gäller, med undantaget att produkter som förväntas användas i mindre än 5 år tar en supportperiod som motsvarar förväntad användningstid. Kostnaden landar på supportresurser och leverantörsavtal (den ursprungliga fabriken måste åta sig insatsvaror under minst din supportperiod) (artikel 13(8)).
Behöver EU-aktören ett anmält organ om den ursprungliga tillverkaren använde ett?
För klass II- eller kritiska produkter som är väsentligt ändrade nästan alltid ja. Det ursprungliga certifikatet var knutet till produkten som den konstruerades; väsentlig ändring ogiltigförklarar det. Ommärkning ensamt av en klass II- eller kritisk produkt kräver också en ny DoC i EU-aktörens namn. Se guiderna för konformitetsbedömning och produktklassificering (artikel 3(30); modul A bara för standardklass; modul B+C eller H kräver anmält organ för klass II / kritisk).