SkarpSkarp
Get the App

Chapter 8 of 13

Andra ekonomiska aktörer och fjärrdatabehandling (artiklar om importörer, distributörer, leverantörer)

Genomgång artikel för artikel av skyldigheter för importörer, distributörer och leverantörer av fjärrdatabehandlingstjänster, inklusive spårbarhet, märkning och informationskrav.

15 min readsv

Översikt: Varför andra ekonomiska aktörer är viktiga i CRA

I de två tidigare modulerna fokuserade du på tillverkarens skyldigheter enligt EU:s Cyber Resilience Act (CRA). Men säkra produkter med digitala element når användaren via en hel leveranskedja:

  • Tillverkare
  • Importörer
  • Distributörer (inkl. återförsäljare, e‑handelsplattformar i vissa roller)
  • Leverantörer av fjärrdatabehandlingstjänster (t.ex. molnplattformar, backend‑tjänster)

CRA (antagen 2024, börjar tillämpas stegvis från 2027 räknat från idag) lägger tydliga, delvis parallella skyldigheter på dessa aktörer, liknande mönstret i andra EU‑produktförordningar (t.ex. maskinförordningen och medicinteknikförordningen).

I den här modulen går vi artikel för artikel‑logik, men på en praktisk nivå:

  1. Vad importörer måste göra innan de släpper ut en produkt på EU‑marknaden.
  2. Vad distributörer måste göra när de lagerhåller och säljer produkter.
  3. Vad leverantörer av fjärrdatabehandlingstjänster måste säkerställa för att stödja cybersäkerheten.
  4. Hur aktörerna ska samarbeta och dela information, särskilt kring sårbarheter och incidenter.

> Målbild: Efter modulen ska du kunna titta på ett scenario (t.ex. en smart hem‑produkt som säljs via en webbutik och använder molnbackend) och säga vem som är vilken aktör och vilka skyldigheter den aktören har enligt CRA.

Importörer – kärnansvar steg för steg

En importör är den som för in en produkt med digitala element från ett land utanför EU/EES till EU‑marknaden, och släpper ut den på marknaden i eget namn.

1. Kontroll före utsläppande på marknaden

Importören får inte släppa ut produkten om följande inte är uppfyllt:

  • Produkten är CE‑märkt enligt CRA.
  • Det finns en EU‑försäkran om överensstämmelse från tillverkaren (eller tillgänglig digitalt).
  • Produkten åtföljs av bruksanvisningar och säkerhetsinformation, inklusive cybersäkerhetsrelaterad info, på ett språk som slutanvändaren kan förstå (i praktiken: medlemsstatens språk, t.ex. svenska i Sverige).
  • Produkten uppfyller spårbarhetskrav:
  • tillverkarens namn, postadress och kontaktuppgifter,
  • importörens namn och kontaktuppgifter på produkten, etiketten eller förpackningen.

2. Eget ansvar för märkning och dokumentation

Importören måste:

  • Säkerställa att eget namn och kontaktuppgifter finns på:
  • produkten, eller
  • en etikett, eller
  • förpackningen eller medföljande dokument.
  • Förvara en kopia av EU‑försäkran om överensstämmelse under den tid som anges i CRA (typiskt 10 år efter att produkten släppts ut på marknaden, i linje med annan produktlagstiftning).
  • Säkerställa att teknisk dokumentation kan tillhandahållas till marknadskontrollmyndigheter på begäran.

3. Hantering av brister och risker

Om importören misstänker eller får kännedom om att en produkt inte uppfyller CRA‑kraven:

  • Stoppa utsläppandet på marknaden (om produkten ännu inte är såld) eller vidta korrigerande åtgärder (t.ex. återkallelse, rättelse) om den redan finns på marknaden.
  • Informera tillverkaren och, vid allvarlig cybersäkerhetsrisk, även nationella myndigheter (t.ex. tillsynsmyndighet och CSIRT enligt NIS2‑strukturen).

> Nyckelidé: Importören får inte bara lita på att tillverkaren säger att allt är i ordning. Importören måste aktivt kontrollera centrala formella krav (CE, dokumentation, märkning, språk).

Exempel: Import av en smart dörrklocka

Föreställ dig att företaget Nordic Gadgets AB i Sverige importerar en smart dörrklocka från en tillverkare i USA.

  1. Kontroll av CE‑märkning

Nordic Gadgets får en leverans från USA. På produkten finns en CE‑märkning och en QR‑kod som länkar till EU‑försäkran om överensstämmelse.

  1. Språk och information

Bruksanvisningen är bara på engelska och franska. För försäljning i Sverige räcker inte det. Importören måste säkerställa att:

  • det finns svensk säkerhetsinformation om t.ex. lösenordshantering, uppdateringar och integritetsinställningar,
  • användaren får veta hur säkerhetsuppdateringar levereras och under vilken period.
  1. Märkning med importörens uppgifter

På förpackningen lägger Nordic Gadgets till en etikett med:

  • "Importerad av Nordic Gadgets AB"
  • svensk adress
  • e‑postadress/telefonnummer.
  1. Misstanke om brist

Efter en tid upptäcker ett säkerhetsföretag att dörrklockan har en allvarlig sårbarhet som möjliggör fjärråtkomst via internet.

Nordic Gadgets måste då:

  • kontakta tillverkaren för att få en säkerhetsuppdatering eller annan åtgärd,
  • samverka med återförsäljare (distributörer) om ev. återkallelse eller varning,
  • vid allvarlig risk: informera relevanta myndigheter enligt CRA och relaterade regler (t.ex. NIS2‑genomförandet i Sverige).

> Reflektionsfråga: Vad händer om Nordic Gadgets säljer produkten vidare under sitt eget varumärke och ändrar vissa funktioner?

> → Då kan Nordic Gadgets i CRA‑mening betraktas som tillverkare, med fullt tillverkaransvar.

Snabbkoll: Importörens skyldigheter

Välj det bästa svaret.

Vilken av följande skyldigheter ligger **typiskt** på importören enligt CRA‑logiken?

  1. Genomföra hela cybersäkerhetsriskbedömningen av produkten från grunden.
  2. Kontrollera att CE‑märkning och EU‑försäkran om överensstämmelse finns innan produkten släpps ut på EU‑marknaden.
  3. Fastställa vilka säkerhetsuppdateringar som ska utvecklas för produkten under dess hela livscykel.
Show Answer

Answer: B) Kontrollera att CE‑märkning och EU‑försäkran om överensstämmelse finns innan produkten släpps ut på EU‑marknaden.

Importören måste kontrollera formella krav som CE‑märkning, EU‑försäkran om överensstämmelse, märkning och språk. Den fulla riskbedömningen och planeringen av säkerhetsuppdateringar är i första hand tillverkarens ansvar, även om importören måste agera om brister upptäcks.

Distributörer – skyldigheter i lager och försäljningsled

En distributör är en aktör i leveranskedjan (t.ex. grossist, återförsäljare, webbutik) som tillhandahåller en produkt på marknaden utan att vara tillverkare eller importör.

1. Grundkontroller innan produkten säljs

Distributören ska, innan produkten tillhandahålls användaren:

  • Kontrollera att produkten är CE‑märkt.
  • Kontrollera att den åtföljs av nödvändig dokumentation och säkerhetsinformation på relevant språk.
  • Säkerställa att tillverkarens och importörens kontaktuppgifter finns på produkt/förpackning/dokument.

Distributören behöver inte göra en egen teknisk riskbedömning, men får inte sälja en produkt där det är uppenbart att kraven inte följs (t.ex. ingen CE‑märkning, avsaknad av info om uppdateringar).

2. Lagring och transport

Under lagring och transport ska distributören:

  • Inte hantera produkten på ett sätt som försämrar dess cybersäkerhet eller överensstämmelse, t.ex.:
  • manipulera firmware,
  • ändra konfigurationer som påverkar säkerheten,
  • ta bort säkerhetsrelaterad märkning eller dokumentation.

3. Åtgärder vid misstanke om brist

Om distributören misstänker att en produkt inte uppfyller CRA‑kraven eller utgör en cybersäkerhetsrisk:

  • Får inte tillhandahålla produkten förrän den är åtgärdad.
  • Ska kontakta tillverkare och/eller importör för att utreda och vidta korrigerande åtgärder.
  • Ska, vid allvarlig risk, samarbeta med dessa aktörer och myndigheter kring återkallelser, varningar och information till användare.

> Nyckelidé: Distributören är "sista kontrollstationen" innan produkten når användaren och måste agera när något verkar fel, även om den inte designat produkten.

Tillämpa: Vem är vad i kedjan?

Läs scenariot och fundera på vilken aktör som har vilket ansvar enligt CRA.

Scenario

  1. Företag A i Sydkorea utvecklar och tillverkar en smart termostat.
  2. Företag B i Tyskland importerar termostaten till EU.
  3. Företag C i Sverige köper termostaten från B och säljer den i sin webbutik till svenska konsumenter.

Uppgift: Matcha aktör och centralt ansvar.

  1. Företag A
  2. Företag B
  3. Företag C

Ansvar (blandat):

  • a) Kontroll av CE‑märkning, märkning med eget namn och adress som importör, språkkrav.
  • b) Genomföra cybersäkerhetsriskbedömning, säker design, sårbarhetshanteringsprocesser, ta fram EU‑försäkran om överensstämmelse.
  • c) Kontrollera att CE‑märkning och dokumentation finns innan försäljning, inte sälja produkten vid kända brister, samverka vid återkallelser.

> Reflektera innan du kollar förslag till svar nedan.

<details>

<summary>Föreslaget svar</summary>

  • Företag A → Tillverkare → b)
  • Företag B → Importör → a)
  • Företag C → Distributör → c)

Om Företag C hade satt sitt eget varumärke på termostaten och marknadsfört den som sin egen produkt, skulle C kunna bli tillverkare i CRA‑mening och få utökade skyldigheter.

</details>

Leverantörer av fjärrdatabehandlingstjänster – vad är speciellt i CRA?

Många produkter med digitala element fungerar bara fullt ut tillsammans med fjärrdatabehandlingstjänster (remote data processing), t.ex.:

  • molnplattformar (IaaS/PaaS/SaaS),
  • backend‑servrar för autentisering, uppdateringar, datalagring,
  • analys‑ och loggningstjänster som produkten är beroende av.

CRA inför särskilda krav på leverantörer av sådana tjänster när tjänsten behövs för att produkten ska uppfylla sina cybersäkerhetskrav.

Centrala skyldigheter (översikt)

Leverantören ska bl.a.:

  1. Inte försämra produktens överensstämmelse med CRA:s väsentliga cybersäkerhetskrav.
  • Exempel: en uppdateringsserver får inte tvinga fram osäkra kommunikationsprotokoll.
  1. Stödja tillverkarens sårbarhetshantering
  • ge tillverkaren tillräcklig loggning, åtkomst och information för att upptäcka och hantera sårbarheter,
  • inte hindra eller fördröja säkerhetsuppdateringar.
  1. Tillgänglighet och kontinuitet
  • upprätthålla rimlig tillgänglighet för de funktioner som är nödvändiga för produktens säkerhet (t.ex. uppdateringskanaler),
  • informera tillverkaren i god tid om planerade förändringar som kan påverka säkerheten.
  1. Samarbete vid incidenter
  • samarbeta med tillverkaren vid säkerhetsincidenter och sårbarheter,
  • bidra med nödvändig information för att möjliggöra tillverkarens rapportering enligt CRA artikel 14 (t.ex. till CSIRT).

> Viktigt: Leverantören av fjärrdatabehandlingstjänsten blir inte automatiskt "tillverkare" av produkten, men får egna, uttryckliga skyldigheter när dess tjänst är en del av produktens cybersäkerhetskedja.

Exempel: Molnplattform för en uppkopplad bil

En biltillverkare säljer uppkopplade bilar i EU. Bilen är en produkt med digitala element enligt CRA och är beroende av en molnplattform för:

  • OTA‑uppdateringar (Over‑the‑Air),
  • telemetri och loggning,
  • fjärrdiagnostik.

Molnplattformen tillhandahålls av CloudX, ett separat företag.

Hur CRA påverkar CloudX

  1. Säker kommunikation

CloudX får inte tvinga bilen att använda osäkra protokoll för OTA‑uppdateringar. Om CloudX byter till en ny uppdateringslösning måste den bibehålla eller förbättra säkerhetsnivån.

  1. Loggning och insyn

Biltillverkaren måste kunna få loggar och teknisk information från CloudX för att:

  • upptäcka intrångsförsök,
  • analysera incidenter,
  • uppfylla rapporteringsskyldigheter (t.ex. inom 24 timmar enligt artikel 14 för vissa incidenter).
  1. Driftsstörning

Om CloudX har en större driftstörning som påverkar möjligheten att leverera säkerhetsuppdateringar, måste CloudX:

  • informera biltillverkaren,
  • samarbeta för att minimera risker för slutanvändarna.
  1. Avtalsstyrning

I praktiken måste biltillverkaren och CloudX ha avtal som speglar CRA‑kraven, t.ex. om:

  • säkerhetsnivåer,
  • incidentrapportering,
  • loggning och dataåtkomst,
  • ändringar i tjänsten.

> Poäng: CRA driver fram att leverantörer av fjärrdatabehandlingstjänster blir aktiva medspelare i cybersäkerheten, inte bara "neutrala molnleverantörer".

Samarbete i leveranskedjan – mini‑case

Föreställ dig följande kedja:

  • Tillverkare: utvecklar en smart medicinsk sensor (klassas som medicinteknik men omfattas också av CRA för cybersäkerhetsaspekter).
  • Importör: för in sensorn till EU.
  • Distributör: säljer den till sjukhus.
  • Fjärrdatabehandlingstjänst: driver backend för dataöverföring och uppdateringar.

En allvarlig sårbarhet upptäcks i kommunikationsprotokollet mellan sensorn och backend.

Uppgift: Fundera på vem som ska göra vad, och skriv (mentalt eller på papper) korta roller:

  1. Tillverkaren – vilka åtgärder måste den ta?
  2. Importören – vad måste kontrolleras och kommuniceras?
  3. Distributören – hur ska den agera mot sjukhusen?
  4. Leverantören av fjärrdatabehandlingstjänsten – vilket tekniskt och informationsmässigt stöd krävs?

<details>

<summary>Föreslagen rollfördelning</summary>

  1. Tillverkaren
  • Analyserar sårbarheten, tar fram uppdatering eller mitigering.
  • Initierar incidentrapportering enligt CRA artikel 14.
  • Informerar importörer, distributörer och användare (sjukhus) om risk och åtgärder.
  1. Importören
  • Säkerställer att inga nya osäkra sensorer släpps ut på marknaden.
  • Stödjer tillverkaren vid kontakt med myndigheter i sin medlemsstat.
  • Hjälper till att identifiera vilka kunder som fått berörda produkter (spårbarhet).
  1. Distributören
  • Pausar försäljning av berörda produkter.
  • Informerar sjukhusen om sårbarheten och tillverkarens rekommenderade åtgärder.
  • Samverkar vid eventuell återkallelse eller uppdateringskampanj.
  1. Leverantören av fjärrdatabehandlingstjänsten
  • Ger loggar och teknisk data för analys.
  • Stödjer utrullning av uppdateringar (t.ex. via säkrare protokoll).
  • Säkerställer att förändringar i backend inte skapar nya risker.

</details>

Repetition: Nyckelbegrepp

Använd korten för att repetera centrala begrepp kopplade till andra ekonomiska aktörer och fjärrdatabehandling i CRA.

Importör (enligt CRA‑logik)
En fysisk eller juridisk person i EU som släpper ut en produkt från ett tredjeland på EU‑marknaden i eget namn. Måste bl.a. kontrollera CE‑märkning, EU‑försäkran om överensstämmelse, märkning och språk, samt märka produkten med sina egna kontaktuppgifter.
Distributör
En aktör i leveranskedjan (t.ex. grossist, butik, webbutik) som tillhandahåller en produkt på marknaden utan att vara tillverkare eller importör. Ska bl.a. kontrollera CE‑märkning och dokumentation, samt inte sälja produkter med kända brister.
Leverantör av fjärrdatabehandlingstjänst
En aktör som tillhandahåller en tjänst (t.ex. moln/ backend) som en produkt med digitala element är beroende av för sin funktion och cybersäkerhet. Har särskilda skyldigheter att inte försämra produktens säkerhet och att stödja sårbarhetshantering och incidentrespons.
Spårbarhet
Förmågan att identifiera och följa en produkt genom leveranskedjan (tillverkare, importör, distributör, användare). I CRA innebär det bl.a. krav på märkning, dokumentation och bevarande av uppgifter för att möjliggöra återkallelser och incidenthantering.
EU‑försäkran om överensstämmelse
Ett dokument där tillverkaren intygar att produkten uppfyller tillämpliga EU‑krav (inkl. CRA). Importörer måste säkerställa att en sådan finns och kunna visa upp den för marknadskontrollmyndigheter.
Samarbetsskyldighet mellan aktörer
Krav på att tillverkare, importörer, distributörer och leverantörer av fjärrdatabehandlingstjänster samarbetar och delar information, särskilt vid sårbarheter, incidenter, återkallelser och marknadskontroll.

Key Terms

Importör
Aktör som för in en produkt från tredjeland till EU‑marknaden och släpper ut den i eget namn. Har ansvar för att kontrollera CE‑märkning, dokumentation, märkning och språkkrav samt för spårbarhet.
Spårbarhet
Möjlighet att följa en produkt genom hela leveranskedjan med hjälp av märkning och dokumentation, för att kunna genomföra t.ex. återkallelser och incidenthantering.
Distributör
Aktör i leveranskedjan som tillhandahåller en produkt på marknaden utan att vara tillverkare eller importör. Måste bl.a. kontrollera formella krav och avstå från att sälja produkter med kända brister.
CE‑märkning
EU‑märkning som visar att en produkt uppfyller tillämpliga krav i relevant EU‑lagstiftning, inklusive CRA för produkter med digitala element.
Sårbarhetshantering
Process för att identifiera, analysera, åtgärda och kommunicera sårbarheter i produkter med digitala element, i CRA särskilt reglerad för tillverkare men stödd av andra aktörer.
Marknadskontrollmyndighet
Nationell myndighet i en EU‑medlemsstat som övervakar att produkter på marknaden uppfyller EU‑krav (inkl. CRA) och kan kräva information, förbjuda produkter m.m.
Fjärrdatabehandlingstjänst
Tjänst för bearbetning/lagring/överföring av data på distans (t.ex. moln, backend‑servrar) som en produkt med digitala element kan vara beroende av.
EU‑försäkran om överensstämmelse
Formell försäkran från tillverkaren att produkten uppfyller alla relevanta EU‑krav. Måste kunna uppvisas för myndigheter.