Art. 3(17)Importer to każda osoba fizyczna lub prawna mająca siedzibę w Unii, która wprowadza do obrotu produkt z elementami cyfrowymi noszący nazwę lub znak towarowy osoby fizycznej lub prawnej mającej siedzibę poza Unią.
11 grudnia 2024 r. — CRA wchodzi w życie
Rozporządzenie obowiązuje prawnie. Produkty wprowadzane na rynek od tej daty muszą być zgodne z CRA po osiągnięciu dat stosowania.
11 września 2026 r. — Obowiązki zgłaszania podatności mają zastosowanie
Zgłaszanie podatności i incydentów do ENISA zgodnie z art. 14 staje się obowiązkowe. To pierwszy nieprzekraczalny termin. Producenci muszą mieć wdrożone procesy zgłaszania przed tą datą.
11 czerwca 2027 r. — Powiadomienie jednostek oceny zgodności
Państwa członkowskie muszą notyfikować Komisji jednostki oceny zgodności.
11 grudnia 2027 r. — Pełne rozporządzenie ma zastosowanie
Wszystkie wymagania CRA mają zastosowanie do wszystkich objętych produktów. Na rynek UE nie mogą być wprowadzane nowe produkty niezgodne z przepisami.
Przed wprowadzeniem produktu z elementami cyfrowymi na rynek UE importerzy muszą zweryfikować, czy producent przeprowadził właściwą ocenę zgodności, sporządził dokumentację techniczną, umieścił oznakowanie CE oraz udostępnił unijną deklarację zgodności lub deklarację właściwości użytkowych.
W przypadku gdy importer uważa lub ma podstawy, aby sądzić, że produkt z elementami cyfrowymi nie spełnia zasadniczych wymogów cyberbezpieczeństwa, importer nie może wprowadzić produktu do obrotu, dopóki nie zostanie osiągnięta zgodność.
Importerzy muszą podać swoją nazwę, zarejestrowaną nazwę handlową lub znak towarowy, adres pocztowy oraz, jeżeli dostępny, adres strony internetowej lub e-mail, na samym produkcie, na jego opakowaniu lub w dokumencie dołączonym do produktu.
Gdy produkt z elementami cyfrowymi pozostaje pod odpowiedzialnością importera, importer musi zapewnić, że warunki przechowywania i transportu nie zagrażają jego zgodności z zasadniczymi wymogami cyberbezpieczeństwa.
Jeżeli importer dowie się, że wprowadzony przez niego do obrotu produkt nie spełnia wymogów, musi niezwłocznie podjąć działania naprawcze — w tym wycofanie z obrotu lub odwołanie, jeżeli jest to konieczne. W przypadku gdy produkt stwarza znaczne ryzyko cyberbezpieczeństwa, importer musi niezwłocznie powiadomić właściwy krajowy organ.
Importerzy muszą przechowywać kopię unijnej deklaracji zgodności lub deklaracji właściwości użytkowych przez 10 lat od daty wprowadzenia produktu do obrotu oraz zapewnić możliwość udostępnienia dokumentacji technicznej organom nadzoru rynku na żądanie.
Na uzasadnione żądanie właściwego organu importerzy muszą dostarczyć wszelkie informacje i dokumentację — w formie papierowej lub elektronicznej — niezbędne do wykazania zgodności produktu z elementami cyfrowymi. Muszą również współpracować przy wszelkich wymaganych działaniach naprawczych.
Importer lub dystrybutor jest traktowany jako producent — i w związku z tym podlega w pełni art. 13 i 14 — jeżeli wprowadza do obrotu produkt z elementami cyfrowymi pod własną nazwą lub znakiem towarowym, bądź jeżeli wprowadza istotną modyfikację produktu już wprowadzonego do obrotu.
Każda osoba fizyczna lub prawna — inna niż pierwotny producent, importer lub dystrybutor — która wprowadza istotną modyfikację do produktu i udostępnia go na rynku, jest uznawana za producenta. Osoba ta podlega następnie art. 13 i 14, albo w odniesieniu do części produktu objętej modyfikacją, albo całego produktu, jeśli modyfikacja wpływa na cyberbezpieczeństwo całego produktu.
Wszyscy podmioty gospodarcze muszą być w stanie, na żądanie organów nadzoru rynku, wskazać (a) każdy podmiot gospodarczy, który dostarczył im produkt, oraz (b) każdy podmiot gospodarczy, któremu dostarczyły produkt. Rejestry muszą być przechowywane przez 10 lat od każdej transakcji.
Przeglądaj pełną bibliotekę obowiązków, poznaj swoją rolę lub sprawdź harmonogram.