Is appointing an authorised representative mandatory under the CRA?

No. Article 18(1) of Regulation (EU) 2024/2847 reads, verbatim: 'A manufacturer may, by a written mandate, appoint an authorised representative.' This is permissive, not mandatory. The CRA does not impose AR appointment as a condition for placing products on the EU market, even for manufacturers established outside the Union. This differs from MDR Article 11 and RED Article 5, both of which require an AR for non-EU manufacturers. If a CRA product is also covered by MDR or RED, the AR requirement under those instruments still applies.

Why would a non-EU manufacturer still appoint an AR under the CRA?

Several practical reasons. A single EU-established legal contact point reduces friction with market surveillance authorities, who prefer correspondence with an entity in their jurisdiction and language. The AR can hold the Declaration of Conformity and Annex VII technical documentation locally for the 10-year retention period under Article 18(3)(a). Many non-EU manufacturers already use an MDR or RED AR and find it operationally simpler to extend that arrangement to CRA scope. Finally, a clearly named EU AR can shorten authority response cycles when a reasoned request arrives under Article 18(3)(b).

What can and cannot be delegated to a CRA authorised representative?

Article 18(2) explicitly excludes the obligations in Article 13(1) to (11), Article 13(12) first subparagraph, and Article 13(14) from the AR mandate. In plain terms: the substantive cybersecurity obligations (essential requirements, vulnerability handling, conformity assessment) cannot be passed to the AR. Article 18(3) sets the maximum scope of what an AR can do: hold the DoC and technical documentation for 10+ years, provide information and documentation to authorities on reasoned request, and cooperate on actions taken to eliminate risks. The manufacturer always remains the entity legally responsible for the substantive cybersecurity duties.

What is the difference between a CRA authorised representative and an EU importer?

They are independent roles. An importer is, by Article 3 definition, an EU-established person who places a product bearing a non-EU manufacturer's name or trademark on the EU market. Importers carry their own Article 19 obligations (conformity verification, document retention for 10 years, authority cooperation, vulnerability notification) regardless of whether an AR exists. An AR, when appointed, takes on the Article 18(3) tasks listed in the mandate. They are not substitutes: the importer role is triggered by the commercial supply route, the AR role by a written mandate. One EU entity may hold both, with separate paperwork.

Can my EU importer or distributor act as my authorised representative?

Yes. The CRA does not forbid one EU-established entity from holding both a commercial importer or distributor role and an AR mandate. The functions remain legally distinct: the importer carries Article 19 obligations from the commercial supply relationship, the AR carries Article 18(3) duties from a written mandate. To combine them, you need a separate written AR mandate that explicitly covers Article 18(3), professional indemnity sufficient for both roles, and a clear contractual line between the two functions.

Is the AR liable for product defects, or only for documentation duties?

The AR is responsible only for the duties listed in the written mandate, which under the CRA are bounded by Article 18(3): document custody, authority responsiveness, and cooperation on corrective action. Article 18(2) explicitly excludes the substantive Article 13 obligations from the mandate. Product defect liability and the underlying cybersecurity obligations remain with the manufacturer. National law in some Member States may extend AR exposure further, so the mandate should be drafted carefully.

Is a CRA authorised representative the same as an MDR or RED authorised representative?

The AR concept is shared across EU product regulations, but the regimes are not identical. MDR Article 11 makes AR appointment mandatory for non-EU manufacturers and imposes broader medical-specific duties including vigilance reporting. RED Article 5 also makes AR appointment mandatory for non-EU manufacturers. CRA Article 18(1) makes it optional. The Article 18(3) duties are narrower and centred on documentation, authority requests, and corrective-action cooperation. An incumbent MDR or RED AR can be a strong starting point, but the mandate must be re-papered for CRA scope and Article 18(2) non-delegation rules.

Does the AR sign the EU Declaration of Conformity?

No. The EU Declaration of Conformity is drawn up and signed by the manufacturer under Article 28. The AR, when appointed, holds the signed DoC and the technical documentation at the disposal of market surveillance authorities under Article 18(3)(a), but the act of declaring conformity is a manufacturer responsibility that Article 18(2) keeps out of the AR mandate.

Can I change my AR after appointment?

Yes. The mandate is a contract between the manufacturer and the AR, and either party can terminate subject to its terms. On change, the new AR takes over custody of the technical documentation and Declaration of Conformity, and the manufacturer should update the contact information communicated to market surveillance authorities. Plan for an explicit handover step in the mandate template.

Tillverkarens representant enligt cyberresiliensförordningen (artikel 18)

Sammanfattning

Fem saker att känna till om artikel 18 i cyberresiliensförordningen innan du bestämmer dig för att utse en tillverkarens representant.

Rättslig grund: Artikel 18.1 i Förordning (EU) 2024/2847 (cyberresiliensförordningen) är tillåtande: "En tillverkare får genom skriftlig fullmakt utse en tillverkarens representant." Utseendet är frivilligt. Det finns ingen särskild bestämmelse som kräver det för tillverkare utanför EU (till skillnad från artikel 11 i MDR eller artikel 5 i RED).
Varför utse en ändå: En enda juridisk kontaktpunkt etablerad i unionen för marknadskontrollmyndigheterna, dokumentförvaring hos en aktör inom den relevanta jurisdiktionen och praktisk samordning med de MDR/RED-uppdrag som många tillverkare utanför EU redan har. Praktisk fördel, inte rättslig skyldighet.
Vad tillverkarens representant får göra: Artikel 18.3 sätter den yttersta ramen: inneha EU-försäkran om överensstämmelse och teknisk dokumentation i minst tio år (eller stödperioden, beroende på vilken som är längst); lämna information till marknadskontrollmyndigheterna på motiverad begäran; samarbeta om åtgärder som vidtas för att undanröja risker.
Vad som stannar hos tillverkaren: Artikel 18.2 undantar skyldigheterna i artikel 13.1–13.11, artikel 13.12 första stycket och artikel 13.14 från fullmakten. Väsentliga cybersäkerhetskrav, sårbarhetshantering och bedömning av överensstämmelse får inte delegeras till tillverkarens representant.
Importör enligt artikel 19: Om produkten från en tillverkare utanför EU släpps ut på unionsmarknaden via en kommersiell aktör etablerad i unionen, är den aktören importör per definition (art. 3.14) och har skyldigheterna enligt artikel 19 oberoende av eventuellt utseende av tillverkarens representant.
Här passar vi in: CRA Evidence är bevisplattformen för dokumentförvaring enligt artikel 18.3, myndighetssvar och register över korrigerande åtgärder, som används direkt av tillverkare, av representantfirmor eller av båda. Vi bygger också ett partnernätverk av representantfirmor etablerade i unionen; vi håller inte själva några fullmakter i dag.

Bör du utse en tillverkarens representant?

Att utse tillverkarens representant är frivilligt enligt artikel 18.1 i cyberresiliensförordningen. Beslutet är operativt, inte rättsligt: väger de praktiska fördelarna med en juridisk kontaktpunkt i unionen tyngre än kostnaden för fullmakten? Faktorerna nedan täcker det vanliga resonemanget.

Faktor

Lutar mot att utse

Lutar mot att inte utse

Tillverkarens närvaro i EU

Tillverkaren är etablerad utanför unionen och har inget EU-kontor som trovärdigt kan ta emot korrespondens från marknadskontrollmyndigheterna.

Tillverkaren är etablerad i unionen eller har ett EU-dotterbolag som redan hanterar regulatorisk korrespondens.

Andra EU-instrument

Produkten omfattas även av MDR eller RED, som båda kräver tillverkarens representant för tillverkare utanför EU. Att återanvända samma firma för CRA-omfånget är operativt enklare.

Produkten omfattas endast av cyberresiliensförordningen och det finns ingen parallell skyldighet enligt MDR eller RED att ha en representant.

Korrespondens med myndigheterna

Du vill att korrespondensen med marknadskontrollmyndigheterna ska gå via en lokal EU-kontakt på den relevanta medlemsstatens språk och i dess tidszon.

Du är bekväm med att svara på motiverade begäranden enligt artikel 18.3 b direkt från tillverkarens huvudkontor.

Dokumentförvaring

Du vill att försäkran om överensstämmelse och den tekniska dokumentationen ska bevaras i tio år hos en förvarare etablerad i unionen.

Du driver redan en intern bevisplattform som håller dokumentationen tillgänglig för myndigheterna på begäran.

Importörsväg

Du har flera importörer eller distributörer i EU och vill ha en namngiven representant i hela kanalen i stället för att splittra ansvaret.

Du har en enda betrodd importör i EU som redan sköter kontrollerna enligt artikel 19 och dokumentbevarandet.

Ingen av dessa faktorer skapar någon rättslig skyldighet. Cyberresiliensförordningen straffar inte avsaknaden av en tillverkarens representant. Det är praktiska överväganden; de flesta tillverkare utanför EU i reglerade branscher utser ändå en eftersom den operativa förenklingen är värd mer än kostnaden för fullmakten.

Bestämt dig för att en tillverkarens representant är rätt val? Vi bygger ett partnernätverk av representantfirmor etablerade i unionen, med erfarenhet av MDR, RED och RoHS. Berätta om din produkt och medlemsstat, så presenterar vi dig när en lämplig partner är på plats →

Vad tillverkarens representant ansvarar för, artikel 18.3

Fullmaktens omfattning fastställs av tillverkaren skriftligen, men den ska minst omfatta de tre uppgifterna nedan. Det är dem marknadskontrollmyndigheterna kommer att pröva först.

Art. 18.3 a)

Inneha EU-försäkran om överensstämmelse och den tekniska dokumentationen enligt bilaga VII i tio år.

inneha den EU-försäkran om överensstämmelse som avses i artikel 28 och den tekniska dokumentation som avses i artikel 31 för att kunna uppvisa dem för marknadskontrollmyndigheterna i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst

Art. 18.3 b)

Lämna dokumentation och information till myndigheterna på motiverad begäran.

på motiverad begäran av en marknadskontrollmyndighet förse denna med all information och dokumentation som behövs för att visa överensstämmelsen för en produkt med digitala element

Art. 18.3 c)

Samarbeta med myndigheterna om korrigerande åtgärder och undanröjande av risker.

på marknadskontrollmyndigheternas begäran samarbeta med dem om åtgärder som vidtas för att undanröja riskerna med en produkt med digitala element som omfattas av fullmakten för tillverkarens representant

Tillverkarens representant och importören: oberoende roller

Tillverkarens representant enligt artikel 18 och importören enligt artikel 19 är åtskilda roller med åtskilda utlösande omständigheter. Representanten finns när tillverkaren väljer att utse en; importören finns som kommersiellt faktum när en aktör etablerad i unionen släpper ut en produkt från en tillverkare utanför EU på marknaden. Ingen ersätter den andra i någon riktning.

Tillverkarens representant · art. 18

Importör i EU · art. 19

Utlösande omständighet

Frivilligt. En tillverkare får utse en representant genom skriftlig fullmakt (art. 18.1).

Ställning per definition. Den som är etablerad i unionen och släpper ut en produkt som bär namnet eller varumärket från en tillverkare utanför EU på marknaden är importör (art. 3.14).

Uppstår genom

Skriftlig fullmakt från tillverkaren till en juridisk eller fysisk person etablerad i unionen.

Den kommersiella leveranskedjan. Inget utseende, ingen fullmakt.

Yttersta omfång

Inneha försäkran om överensstämmelse och teknisk dokumentation i minst tio år; tillhandahålla dem på motiverad begäran från marknadskontrollmyndigheten; samarbeta om korrigerande åtgärder (art. 18.3). Artikel 18.2 undantar de materiella skyldigheterna i artikel 13.

Kontrollera bedömningen av överensstämmelse, CE-märkningen, försäkran om överensstämmelse och bruksanvisningen; bevara dokumentationen i minst tio år; samarbeta med myndigheterna; underrätta om misstänkt bristande överensstämmelse och om kännedom om sårbarheter (art. 19.1–19.8).

Ersätter den andra?

Nej. Att utse en tillverkarens representant tar inte bort importörens skyldigheter från den som släpper ut produkten på unionsmarknaden.

Nej. Importörens skyldigheter enligt artikel 19 finns oberoende. De varken skapar eller upphäver utseende av tillverkarens representant.

Får det vara samma aktör?

Ja. En och samma firma etablerad i unionen får inneha både fullmakten som tillverkarens representant och importörsrollen, med separata skriftliga fullmakter och en ansvarsförsäkring som täcker båda.

Praktisk följd: valet att utse tillverkarens representant är oberoende av vem som importerar produkten. En importör i EU befriar inte tillverkaren från någon cybersäkerhetsskyldighet, och en tillverkarens representant befriar inte importören från någon skyldighet enligt artikel 19. Vill du att en och samma EU-partner ska ha båda rollerna är det tillåtet; du behöver en skriftlig representantfullmakt skild från det kommersiella leveransavtalet och en ansvarsförsäkring som täcker båda funktionerna.

Vad du ska leta efter när du utser tillverkarens representant

Om ditt leverantörslandskap redan rymmer aktörer från MDR, RED eller RoHS är det en rimlig utgångspunkt. De CRA-specifika kontrollerna nedan är det som skiljer en användbar representant från en som kommer att få det svårt när det första myndighetsbrevet landar.

Säte: Juridisk person etablerad i unionen i en medlemsstat, med registrerat säte och en lokal kontaktpunkt.
Försäkring: Professionell ansvarsförsäkring med täckning som uttryckligen omfattar CRA-omfånget och produktklassificeringarna i bilaga III.
Branscherfarenhet: Påvisbar erfarenhet från MDR, RED:s delegerade akt om cybersäkerhet eller RoHS, de firmor som trovärdigt ställer om till CRA-arbete i dag.
Dokumentförvaring: Plattform som uppfyller skyldigheten att bevara i tio år, med en manipulationssäker revisionslogg och exporter som är klara för myndigheterna.
Ansvarsutkrävande: En namngiven fysisk person som är ansvarig inför myndigheterna, inte en generisk juridikbrevlåda.
Språk: Förmåga att hantera samarbete om korrigerande åtgärder enligt artikel 18.3 c på den berörda medlemsstatsmyndighetens språk.

Vet du vad du letar efter, men inte var du ska börja? Hoppa över kallkontaktsfasen. Begär en presentation av en tillverkarens representant när vårt partnernätverk är i drift →

Så stöder CRA Evidence artikel 18

Oavsett om tillverkaren håller dokumentförvaringen internt, lämnar den till en extern tillverkarens representant eller delar arbetet med en importör i EU är de operativa uppgifterna desamma: hålla ett komplett tekniskt underlag, lämna det till myndigheterna på motiverad begäran och dokumentera korrigerande åtgärder. CRA Evidence är plattformen som driver det arbetet, med eller utan representant.

Art. 18.3 a)

Inneha EU-försäkran om överensstämmelse och den tekniska dokumentationen enligt bilaga VII i minst tio år

Bilaga VII-paket, undertecknade EU-försäkringar om överensstämmelse och underliggande SBOM:er, VEX och riskbedömningar lagras med en strikt tioårig bevarandepolicy och en manipulationssäker revisionslogg.

Export av tekniskt underlag som paketerar bilaga VII i en maskinläsbar ZIP med manifest.
Efterlevnadsintyg utfärdar flerspråkiga EU-försäkringar om överensstämmelse i PDF (modul A / B+C / H / EUCC); oföränderliga när de väl är utfärdade.
Signering av artefakter (Sigstore med eller utan nyckel) skriver signaturerna till en transparensslogg för oavvislighet.
Bevarande i tio år av SBOM:er, dokument, revisionshändelser och sårbarhetsregister, utan förtida radering vid planbyte.

Art. 18.3 b)

Lämna allt till en marknadskontrollmyndighet på motiverad begäran

När en myndighet skriver har tillverkarens representant en numrerad begäran, en tidsfrist och ett bevispaket på ett klick. Inget letande i mappar, inga saknade dokument.

Hantering av myndighetsbegäranden tar emot begäranden från marknadskontrollmyndigheterna med spårning AUTH-ÅÅÅÅ-NNNN, tidsfrister och detektion av försenade ärenden.
Sammanställning av svarspaket komprimerar manifest, produktinformation, kontroller av leverantörskedjan, revisionslogg och README, klart att skickas.
Enhetlig bevisvy normaliserar SBOM, HBOM, VEX, dokument, intyg och bruksanvisning enligt bilaga II i ett sökbart index.
Leverantörsportal ger tokenbegränsad och revisionsspårad extern åtkomst för myndigheter eller motparter i leverantörskedjan.

Art. 18.3 c)

Samarbeta om korrigerande åtgärder och undanröjande av risker

Sårbarhetshantering, VEX och register över korrigerande åtgärder skrivs alla till samma revisionsspårade bevisbas, så att tillverkarens representant kan visa myndigheterna vad som gjordes, när och av vem.

Livscykel för myndighetsbegäran: mottagen → bekräftad → pågående → besvarad → avslutad, med svarsmetod, referens och dokumentlista registrerade.
VEX-automation (CycloneDX, CSAF, OpenVEX) registrerar beslut om utnyttjbarhet per fynd.
ENISA-rapporteringsflöde för meddelanden enligt artikel 14 inom 24 timmar, 72 timmar och 14 dagar (under aktiv utveckling).
Revisionslogg registrerar varje versionsuppdatering, dokumentändring och godkännande, hela kedjan av korrigerande åtgärder.

Om du utser en tillverkarens representant ligger fullmakten hos dem. Oavsett vilket körs bevisen på CRA Evidence. Se hur en överlämning enligt artikel 18 faktiskt fungerar på plattformen, gratis i 14 dagar, utan kort.

Prova det i CRA Evidence Behöver du hjälp att hitta en tillverkarens representant?

Artikel 18 och artikel 19, fullständig text

Från Europaparlamentets och rådets förordning (EU) 2024/2847 av den 23 oktober 2024 om övergripande cybersäkerhetskrav för produkter med digitala element. Återges som referens; det är den konsoliderade texten på EUR-Lex som gäller.

Artikel 18 · Tillverkarens representanter

1. En tillverkare får genom skriftlig fullmakt utse en tillverkarens representant.

2. Skyldigheterna enligt artikel 13.1–13.11 och artikel 13.12 första stycket samt artikel 13.14 får inte delegeras till tillverkarens representant.

3. Tillverkarens representant ska utföra de uppgifter som anges i fullmakten från tillverkaren. Tillverkarens representant ska på begäran lämna en kopia av fullmakten till marknadskontrollmyndigheterna. Fullmakten ska ge tillverkarens representant rätt att göra minst följande:

a) Inneha den EU-försäkran om överensstämmelse som avses i artikel 28 och den tekniska dokumentation som avses i artikel 31 för att kunna uppvisa dem för marknadskontrollmyndigheterna i minst tio år efter det att produkten med digitala element har släppts ut på marknaden, eller under stödperioden, beroende på vilken period som är längst.

b) På motiverad begäran av en marknadskontrollmyndighet förse denna med all information och dokumentation som behövs för att visa överensstämmelsen för en produkt med digitala element.

c) På marknadskontrollmyndigheternas begäran samarbeta med dem om åtgärder som vidtas för att undanröja riskerna med en produkt med digitala element som omfattas av fullmakten för tillverkarens representant.

Källa · EUR-Lex CELEX 32024R2847, artikel 18 (ordagrant)

Artikel 19 · Importörers skyldigheter (oberoende av utseende av tillverkarens representant)

1. Importörer får på marknaden endast släppa ut sådana produkter med digitala element som uppfyller de väsentliga cybersäkerhetskraven i del I i bilaga I och för vilka de processer som införts av tillverkaren uppfyller de väsentliga cybersäkerhetskraven i del II i bilaga I.

2. Innan en produkt med digitala element släpps ut på marknaden ska importörerna säkerställa att

a) de tillämpliga förfaranden för bedömning av överensstämmelse som avses i artikel 32 har genomförts av tillverkaren,

b) tillverkaren har upprättat den tekniska dokumentationen, och

c) produkten med digitala element är försedd med den CE-märkning som avses i artikel 30 och åtföljs av den EU-försäkran om överensstämmelse som avses i artikel 13.20 och den information och de instruktioner till användaren som anges i bilaga II på ett språk som lätt kan förstås av användarna och marknadskontrollmyndigheterna,

d) tillverkaren har uppfyllt kraven i artikel 13.15, 13.16 och 13.19.

De följande punkterna i artikel 19 (punkterna 3–8) reglerar hantering av bristande överensstämmelse, importörens identifiering på produkten, korrigerande åtgärder och sårbarhetsmeddelanden, dokumentbevarande i tio år, svar på motiverade begäranden från marknadskontrollmyndigheterna och skyldigheten att underrätta myndigheter och användare när tillverkaren upphör med sin verksamhet. Dessa skyldigheter gäller den som agerar som importör i EU, oberoende av eventuellt utseende av tillverkarens representant enligt artikel 18.

Källa · EUR-Lex CELEX 32024R2847, artikel 19 (ordagrant, punkterna 1 och 2; 3–8 sammanfattade)

Vanliga frågor

Är det obligatoriskt att utse en tillverkarens representant enligt cyberresiliensförordningen?

Nej. Artikel 18.1 i Förordning (EU) 2024/2847 lyder, ordagrant: "En tillverkare får genom skriftlig fullmakt utse en tillverkarens representant." Den är tillåtande. Cyberresiliensförordningen ställer inte utseendet som villkor för att släppa ut produkter på unionsmarknaden, inte ens för tillverkare etablerade utanför unionen. Detta skiljer sig från artikel 11 i MDR och artikel 5 i RED, som båda kräver en representant för tillverkare utanför EU. Om en CRA-produkt även omfattas av MDR eller RED gäller representantkravet i de instrumenten fortfarande.

Varför skulle en tillverkare utanför EU ändå utse en tillverkarens representant enligt cyberresiliensförordningen?

Av flera praktiska skäl. En enda juridisk kontaktpunkt etablerad i unionen minskar friktionen med marknadskontrollmyndigheterna, som föredrar korrespondens med en aktör i sin jurisdiktion och på sitt språk. Representanten kan lokalt inneha försäkran om överensstämmelse och den tekniska dokumentationen under den tioåriga bevarandeperioden enligt artikel 18.3 a. Många tillverkare utanför EU har redan en MDR- eller RED-representant och tycker det är operativt enklare att utvidga den ordningen till CRA-omfånget. Slutligen kan en tydligt namngiven representant i EU förkorta svarstiderna mot myndigheterna när en motiverad begäran kommer enligt artikel 18.3 b.

Vad får och vad får inte delegeras till tillverkarens representant enligt cyberresiliensförordningen?

Artikel 18.2 undantar uttryckligen skyldigheterna i artikel 13.1–13.11, artikel 13.12 första stycket och artikel 13.14 från fullmakten. De materiella cybersäkerhetsskyldigheterna (väsentliga krav, sårbarhetshantering, bedömning av överensstämmelse) får inte föras över till representanten. Artikel 18.3 sätter den yttersta ramen för vad representanten får göra: inneha försäkran om överensstämmelse och teknisk dokumentation i minst tio år, lämna information och dokumentation till myndigheterna på motiverad begäran och samarbeta om åtgärder som vidtas för att undanröja risker. Tillverkaren förblir alltid den aktör som är rättsligt ansvarig för de materiella cybersäkerhetsskyldigheterna.

Vad är skillnaden mellan tillverkarens representant enligt cyberresiliensförordningen och en importör i EU?

Det är oberoende roller. En importör är enligt definitionen i artikel 3 en aktör etablerad i unionen som släpper ut en produkt som bär namnet eller varumärket från en tillverkare utanför EU på unionsmarknaden. Importörer har sina egna skyldigheter enligt artikel 19, oavsett om det finns en tillverkarens representant eller inte. Representanten, när en sådan utses, åtar sig de uppgifter enligt artikel 18.3 som anges i fullmakten. De är inte ersättare för varandra: importörsrollen utlöses av den kommersiella leveranskedjan, representantrollen av en skriftlig fullmakt. En och samma EU-aktör får inneha båda, med separat dokumentation.

Får min importör eller distributör i EU agera som min tillverkarens representant?

Ja. Cyberresiliensförordningen förbjuder inte en och samma aktör etablerad i unionen att inneha både en kommersiell roll som importör eller distributör och fullmakten som tillverkarens representant. Funktionerna förblir rättsligt åtskilda: importören har skyldigheterna enligt artikel 19 från den kommersiella leveransrelationen, representanten har uppgifterna enligt artikel 18.3 från en skriftlig fullmakt. För att kombinera dem behöver du en separat skriftlig representantfullmakt som uttryckligen omfattar artikel 18.3, en professionell ansvarsförsäkring som räcker för båda rollerna och en tydlig avtalsmässig gränsdragning mellan de två funktionerna.

Ansvarar tillverkarens representant för produktfel, eller bara för dokumentationsskyldigheter?

Representanten ansvarar endast för de uppgifter som anges i den skriftliga fullmakten, vilka enligt cyberresiliensförordningen avgränsas av artikel 18.3: dokumentförvaring, svar till myndigheterna och samarbete om korrigerande åtgärder. Artikel 18.2 undantar uttryckligen de materiella skyldigheterna i artikel 13 från fullmakten. Ansvar för produktfel och de underliggande cybersäkerhetsskyldigheterna stannar hos tillverkaren. Nationell rätt i vissa medlemsstater kan utöka representantens exponering ytterligare, så fullmakten bör skrivas med omsorg.

Är tillverkarens representant enligt cyberresiliensförordningen samma sak som en representant enligt MDR eller RED?

Konceptet representant finns i flera EU-produktförordningar, men regimerna är inte identiska. Artikel 11 i MDR gör utseendet obligatoriskt för tillverkare utanför EU och ålägger bredare medicinspecifika skyldigheter, inklusive vigilansrapportering. Artikel 5 i RED gör också utseendet obligatoriskt för tillverkare utanför EU. Artikel 18.1 i cyberresiliensförordningen gör det frivilligt. Uppgifterna enligt artikel 18.3 är snävare och fokuserar på dokumentation, myndighetsförfrågningar och samarbete om korrigerande åtgärder. En befintlig MDR- eller RED-representant kan vara en bra utgångspunkt, men fullmakten måste skrivas om för CRA-omfånget och reglerna om indelegerbarhet i artikel 18.2.

Är det tillverkarens representant som undertecknar EU-försäkran om överensstämmelse?

Nej. EU-försäkran om överensstämmelse upprättas och undertecknas av tillverkaren enligt artikel 28. Representanten, när en sådan utses, håller den undertecknade försäkran och den tekniska dokumentationen tillgänglig för marknadskontrollmyndigheterna enligt artikel 18.3 a, men själva handlingen att försäkra överensstämmelse är ett tillverkaransvar som artikel 18.2 håller utanför fullmakten.

Kan jag byta tillverkarens representant efter utseendet?

Ja. Fullmakten är ett avtal mellan tillverkaren och representanten, och båda parter kan säga upp den enligt dess villkor. Vid byte tar den nya representanten över förvaringen av den tekniska dokumentationen och försäkran om överensstämmelse, och tillverkaren bör uppdatera den kontaktinformation som lämnats till marknadskontrollmyndigheterna. Planera in ett uttryckligt överlämningssteg i fullmaktsmallen.