Art. 3(18)Dystrybutor to każda osoba fizyczna lub prawna w łańcuchu dostaw, inna niż producent lub importer, która udostępnia produkt z elementami cyfrowymi na rynku Unii bez zmiany jego właściwości.
11 grudnia 2024 r. — CRA wchodzi w życie
Rozporządzenie obowiązuje prawnie. Produkty wprowadzane na rynek od tej daty muszą być zgodne z CRA po osiągnięciu dat stosowania.
11 września 2026 r. — Obowiązki zgłaszania podatności mają zastosowanie
Zgłaszanie podatności i incydentów do ENISA zgodnie z art. 14 staje się obowiązkowe. To pierwszy nieprzekraczalny termin. Producenci muszą mieć wdrożone procesy zgłaszania przed tą datą.
11 czerwca 2027 r. — Powiadomienie jednostek oceny zgodności
Państwa członkowskie muszą notyfikować Komisji jednostki oceny zgodności.
11 grudnia 2027 r. — Pełne rozporządzenie ma zastosowanie
Wszystkie wymagania CRA mają zastosowanie do wszystkich objętych produktów. Na rynek UE nie mogą być wprowadzane nowe produkty niezgodne z przepisami.
Udostępniając produkt z elementami cyfrowymi na rynku, dystrybutorzy muszą działać z należytą starannością i zweryfikować, że produkt nosi oznakowanie CE, jest dostarczany z wymaganą dokumentacją i informacjami oraz że producent i importer (w stosownych przypadkach) spełnili swoje obowiązki w zakresie etykietowania i identyfikacji.
W przypadku gdy dystrybutor uważa lub ma podstawy, aby sądzić, że produkt nie spełnia zasadniczych wymogów CRA, dystrybutor nie może udostępniać produktu na rynku do czasu osiągnięcia zgodności, a także musi powiadomić producenta i, w stosownych przypadkach, organ nadzoru rynku.
Dystrybutorzy muszą zapewnić, że gdy produkt z elementami cyfrowymi pozostaje pod ich odpowiedzialnością, warunki przechowywania i transportu nie zagrażają jego zgodności z zasadniczymi wymogami cyberbezpieczeństwa.
Jeżeli dystrybutor dowie się, że udostępniany przez niego na rynku produkt nie spełnia wymogów, musi niezwłocznie podjąć działania naprawcze — w tym wycofanie z obrotu lub odwołanie, jeżeli jest to konieczne. W przypadku gdy produkt stwarza znaczne ryzyko cyberbezpieczeństwa, musi niezwłocznie powiadomić właściwy krajowy organ nadzoru rynku.
Na uzasadnione żądanie właściwego organu dystrybutorzy muszą dostarczyć wszelkie informacje i dokumentację niezbędne do wykazania zgodności produktu oraz współpracować przy wszelkich wymaganych działaniach naprawczych.
Importer lub dystrybutor jest traktowany jako producent — i w związku z tym podlega w pełni art. 13 i 14 — jeżeli wprowadza do obrotu produkt z elementami cyfrowymi pod własną nazwą lub znakiem towarowym, bądź jeżeli wprowadza istotną modyfikację produktu już wprowadzonego do obrotu.
Każda osoba fizyczna lub prawna — inna niż pierwotny producent, importer lub dystrybutor — która wprowadza istotną modyfikację do produktu i udostępnia go na rynku, jest uznawana za producenta. Osoba ta podlega następnie art. 13 i 14, albo w odniesieniu do części produktu objętej modyfikacją, albo całego produktu, jeśli modyfikacja wpływa na cyberbezpieczeństwo całego produktu.
Wszyscy podmioty gospodarcze muszą być w stanie, na żądanie organów nadzoru rynku, wskazać (a) każdy podmiot gospodarczy, który dostarczył im produkt, oraz (b) każdy podmiot gospodarczy, któremu dostarczyły produkt. Rejestry muszą być przechowywane przez 10 lat od każdej transakcji.
Przeglądaj pełną bibliotekę obowiązków, poznaj swoją rolę lub sprawdź harmonogram.