Art. 3(18)Un distributeur est toute personne physique ou morale dans la chaîne d'approvisionnement, autre que le fabricant ou l'importateur, qui met à disposition un produit comportant des éléments numériques sur le marché de l'Union sans en modifier les propriétés.
11 décembre 2024 — Le CRA entre en vigueur
Le règlement est juridiquement en vigueur. Les produits mis sur le marché à compter de cette date devront être conformes au CRA une fois les dates d'application atteintes.
11 septembre 2026 — Les obligations de signalement des vulnérabilités s'appliquent
Le signalement des vulnérabilités et incidents à l'ENISA conformément à l'art. 14 devient obligatoire. Il s'agit de la première échéance ferme. Les fabricants doivent avoir mis en place leurs processus de signalement avant cette date.
11 juin 2027 — Notification des organismes d'évaluation de la conformité
Les États membres doivent notifier à la Commission les organismes d'évaluation de la conformité.
11 décembre 2027 — Le règlement s'applique intégralement
Toutes les exigences du CRA s'appliquent à tous les produits concernés. Aucun nouveau produit non conforme ne peut être mis sur le marché de l'UE.
Lors de la mise à disposition d'un produit comportant des éléments numériques sur le marché, les distributeurs doivent agir avec diligence et vérifier que le produit porte le marquage CE, est accompagné de la documentation et des informations requises, et que le fabricant et l'importateur (le cas échéant) ont respecté leurs obligations d'étiquetage et d'identification.
Lorsqu'un distributeur considère ou a des raisons de croire qu'un produit n'est pas conforme aux exigences essentielles du CRA, il ne doit pas mettre le produit à disposition sur le marché jusqu'à ce que la conformité soit assurée, et doit notifier le fabricant et, le cas échéant, l'autorité de surveillance du marché.
Les distributeurs doivent veiller à ce que, tant qu'un produit comportant des éléments numériques relève de leur responsabilité, les conditions de stockage et de transport ne compromettent pas sa conformité aux exigences essentielles de cybersécurité.
Si un distributeur apprend qu'un produit qu'il a mis à disposition sur le marché n'est pas conforme, il doit immédiatement prendre des mesures correctives, y compris le retrait ou le rappel si nécessaire. Lorsque le produit présente un risque significatif de cybersécurité, il doit immédiatement notifier l'autorité nationale de surveillance du marché compétente.
Sur demande motivée d'une autorité compétente, les distributeurs doivent fournir toutes les informations et la documentation nécessaires pour démontrer la conformité d'un produit, et coopérer à toute action corrective requise par cette autorité.
Un importateur ou un distributeur est considéré comme un fabricant — et est donc soumis à l'ensemble des articles 13 et 14 — s'il met sur le marché un produit comportant des éléments numériques sous son propre nom ou sa propre marque, ou s'il procède à une modification substantielle d'un produit déjà mis sur le marché.
Toute personne physique ou morale — autre que le fabricant, l'importateur ou le distributeur d'origine — qui procède à une modification substantielle d'un produit et le met à disposition sur le marché est considérée comme le fabricant. Cette personne est alors soumise aux articles 13 et 14, soit pour la partie affectée du produit, soit, si la modification affecte la cybersécurité de l'ensemble du produit, pour l'intégralité du produit.
Tous les opérateurs économiques doivent être en mesure, sur demande des autorités de surveillance du marché, d'identifier (a) tout opérateur économique qui leur a fourni un produit et (b) tout opérateur économique auquel ils ont fourni un produit. Les registres doivent être conservés pendant 10 ans à compter de chaque transaction.
Explorez la bibliothèque complète des obligations, comprenez votre rôle ou consultez le calendrier.