Art. 3(18)Een distributeur is elke natuurlijke of rechtspersoon in de toeleveringsketen, anders dan de fabrikant of importeur, die een product met digitale elementen op de Uniemarkt beschikbaar stelt zonder de eigenschappen ervan te wijzigen.
11 december 2024 — CRA treedt in werking
De verordening is juridisch van kracht. Producten die vanaf deze datum op de markt worden gebracht, moeten voldoen aan de CRA zodra de toepassingsdata zijn bereikt.
11 september 2026 — Meldingsverplichtingen voor kwetsbaarheden zijn van toepassing
Het melden van kwetsbaarheden en incidenten aan ENISA op grond van art. 14 wordt verplicht. Dit is de eerste harde deadline. Fabrikanten moeten hun meldingsprocessen vóór deze datum op orde hebben.
11 juni 2027 — Kennisgeving conformiteitsbeoordelingsinstanties
Lidstaten moeten conformiteitsbeoordelingsinstanties bij de Commissie aanmelden.
11 december 2027 — Volledige verordening is van toepassing
Alle CRA-vereisten zijn van toepassing op alle betrokken producten. Er mogen geen nieuwe niet-conforme producten op de EU-markt worden gebracht.
Bij het beschikbaar stellen van een product met digitale elementen op de markt moeten distributeurs met gepaste zorgvuldigheid handelen en verifiëren dat het product de CE-markering draagt, vergezeld gaat van de vereiste documentatie en informatie, en dat de fabrikant en importeur (indien van toepassing) hebben voldaan aan hun labelings- en identificatieverplichtingen.
Wanneer een distributeur van mening is of redenen heeft om aan te nemen dat een product niet voldoet aan de essentiële vereisten van de CRA, mag de distributeur het product niet beschikbaar stellen op de markt totdat de conformiteit is bereikt, en moet de fabrikant en, indien van toepassing, de markttoezichtautoriteit worden geïnformeerd.
Distributeurs moeten ervoor zorgen dat, zolang een product met digitale elementen onder hun verantwoordelijkheid valt, de opslag- en transport- omstandigheden de conformiteit met de essentiële cyberbeveiligingsvereisten niet in gevaar brengen.
Als een distributeur ontdekt dat een product dat hij beschikbaar heeft gesteld op de markt niet conform is, moet hij onmiddellijk corrigerende maatregelen nemen, inclusief terugtrekking of terugroeping indien nodig. Wanneer het product een significant cyberbeveiligingsrisico vormt, moet de distributeur onmiddellijk de relevante nationale markttoezichtautoriteit informeren.
Op een gemotiveerd verzoek van een bevoegde autoriteit moeten distributeurs alle informatie en documentatie verstrekken die nodig is om de conformiteit van een product aan te tonen, en samenwerken bij eventuele corrigerende maatregelen die door die autoriteit worden vereist.
Een importeur of distributeur wordt beschouwd als fabrikant — en is daarmee volledig onderworpen aan de artikelen 13 en 14 — als hij een product met digitale elementen onder zijn eigen naam of handelsmerk op de markt brengt, of als hij een substantiële wijziging aanbrengt in een reeds op de markt gebracht product.
Elke natuurlijke of rechtspersoon — anders dan de oorspronkelijke fabrikant, importeur of distributeur — die een substantiële wijziging aanbrengt in een product en het op de markt aanbiedt, wordt beschouwd als fabrikant. Die persoon is vervolgens onderworpen aan de artikelen 13 en 14, ofwel voor het getroffen deel van het product, ofwel voor het gehele product als de wijziging de cyberveiligheid van het gehele product beïnvloedt.
Alle marktdeelnemers moeten op verzoek van markttoezichtautoriteiten in staat zijn (a) elke marktdeelnemer te identificeren die hen een product heeft geleverd en (b) elke marktdeelnemer aan wie zij een product hebben geleverd. Gegevens moeten 10 jaar worden bewaard vanaf elke transactie.
Verken de volledige verplichtingenbibliotheek, begrijp uw rol of bekijk de tijdlijn.