Modul 5 – Kapitel II, del 3 (Art. 16–22): Importörer, distributörer och andra ekonomiska aktörer

Översikt: Var passar artiklarna 16–22 in?

I den här modulen fördjupar vi oss i artiklarna 16–22 i EU:s Cyber Resilience Act (CRA), alltså förordningen om cybersäkerhetskrav för produkter med digitala element.

Sedan CRA antogs (2024) och framåt har fokus inte bara legat på tillverkarna (Modul 4), utan också på andra ekonomiska aktörer:

• Importörer (Art. 16–18)
• Distributörer (Art. 16–18)
• Fall där de blir att betrakta som tillverkare (Art. 19)
• Spårbarhet, kontaktuppgifter och informationskrav (Art. 20–21)
• Samarbete med myndigheter (Art. 22)

Syftet med dessa artiklar är att säkerställa att hela leveranskedjan tar ansvar för cybersäkerheten – inte bara den ursprungliga tillverkaren.

I den här modulen kopplar vi tillbaka till:

• Modul 3: riskkategorier och väsentliga cybersäkerhetskrav (Art. 6–10)
• Modul 4: tillverkarens skyldigheter och sårbarhetshantering (Art. 11–15)

Nu fokuserar vi på vad som måste kontrolleras och göras innan produkter släpps ut på EU-marknaden, och hur aktörer ska agera vid brister eller risker.

Rollerna: Tillverkare, importör, distributör

För att förstå artiklarna 16–22 behöver vi ha klart för oss vem som är vem.

Tillverkare (från Modul 4):

• Den som utvecklar eller låter tillverka produkten och sätter sitt namn/varumärke på den.
• Har huvudansvaret för design, riskbedömning, teknisk dokumentation, CE-märkning, EU-försäkran om överensstämmelse, uppdateringar m.m.

Importör (Art. 16–18):

• En aktör i EU som för in en produkt från ett land utanför EU/EES till EU-marknaden.
• Måste kontrollera att tillverkarens skyldigheter är uppfyllda innan produkten släpps ut på marknaden.

Distributör (Art. 16–18):

• En aktör som tillhandahåller produkten i leveranskedjan (t.ex. grossist, återförsäljare, webbutik), men utan att vara tillverkare eller importör.
• Ska säkerställa att produkten framstår som compliant när den säljs vidare.

Viktigt:

• Importörer och distributörer har inte samma djupa tekniska ansvar som tillverkaren, men de har kontroll- och informationsskyldigheter.
• I vissa fall (Art. 19) blir de juridiskt att betrakta som tillverkare – då får de hela paketet av skyldigheter.

Exempel: Vem är vad i praktiken?

Tänk dig en smart hem-kamera som säljs i Sverige.

1. Företag A i Sydkorea utvecklar och producerar kameran.
2. Företag B i Tyskland köper in kameran från Sydkorea och tar in den till EU.
3. Företag C i Sverige köper kameran från Företag B och säljer den vidare till konsumenter via en webbutik.

Roller enligt CRA:

• Företag A (utanför EU) → Tillverkare (men utanför EU, behöver ofta en auktoriserad representant inom EU).
• Företag B (för in produkten från tredje land till EU) → Importör.
• Företag C (köper inom EU och säljer vidare) → Distributör.

Om Företag C däremot sätter sitt eget varumärke på kameran (rebranding) eller gör en väsentlig ändring av dess funktion eller cybersäkerhet, kan C enligt Art. 19 bli att betrakta som tillverkare.

Fundera (vi återkommer i en quiz):

• Vem måste kontrollera att CE-märkning och EU-försäkran om överensstämmelse finns?
• Vem måste se till att uppdateringar och sårbarhetsinformation kommuniceras till slutanvändare?

Importörens skyldigheter (Art. 16–18)

En importör fungerar som en "grindvakt" till EU-marknaden. Innan produkten släpps ut på marknaden ska importören kontrollera bland annat:

1. Överensstämmelse och dokumentation

• Finns CE-märkning korrekt anbringad?
• Finns EU-försäkran om överensstämmelse (eller åtminstone garanterad tillgång till den)?
• Finns teknisk dokumentation att tillgå vid behov (t.ex. på begäran av myndigheter)?

1. Tillverkarens identitet och kontaktuppgifter

• Är tillverkarens namn, registrerade firmanamn eller varumärke och postadress tydligt angivna på produkten, dess förpackning eller medföljande dokument?
• Om inte, måste importören säkerställa att dessa uppgifter finns innan produkten släpps ut.

1. Egen spårbarhet

• Importören ska ange sitt eget namn och kontaktuppgifter på produkten, förpackningen eller medföljande dokument.
• Detta möjliggör spårbarhet (Art. 20–21).

1. Lagring och transport

• Importören ska säkerställa att lagring och transport inte äventyrar produktens överensstämmelse med cybersäkerhetskraven.

1. Reaktion vid misstänkta brister

• Om importören misstänker att produkten inte uppfyller CRA-kraven eller utgör en cybersäkerhetsrisk, ska den:
• Inte släppa ut produkten på marknaden, eller
• Vid redan utsläppta produkter: vidta korrigerande åtgärder, inklusive återkallelse eller tillbakadragande.
• Informera tillverkaren och relevanta marknadskontrollmyndigheter.

I praktiken innebär detta att en importör måste ha rutiner och checklistor för att kontrollera varje ny produktlinje innan den når EU-marknaden.

Distributörens skyldigheter (Art. 16–18)

En distributör kommer in efter att produkten redan har släppts ut på EU-marknaden, men innan den når slutanvändaren.

Distributören ska inte göra full teknisk kontroll som en tillverkare, men måste säkerställa att produkten framstår som compliant:

1. Kontroll innan tillhandahållande

• Finns CE-märkning synlig och korrekt?
• Finns nödvändig märkning och kontaktinformation för tillverkare och, där det är relevant, importör?
• Medföljer instruktioner och säkerhetsinformation, inklusive cybersäkerhetsrelaterad info, på ett språk som slutanvändarna i berört medlemsland förstår (t.ex. svenska i Sverige)?

1. Lagring och transport

• Distributören får inte hantera produkten på ett sätt som försämrar cybersäkerheten (t.ex. manipulera firmware, bryta plomberingar, ändra konfigurationer utan kontroll).

1. Reaktion vid misstänkta brister eller risker

• Om distributören har skäl att tro att en produkt inte uppfyller CRA-kraven eller utgör en risk ska den:
• Inte tillhandahålla produkten vidare.
• Kontakta tillverkare eller importör för klarläggande.
• Vid bekräftad brist: medverka i korrigerande åtgärder, t.ex. återkallelse.

1. Samarbete med myndigheter

• Distributören ska på begäran tillhandahålla information och samarbeta med marknadskontrollmyndigheter (se Art. 22).

Nyckeln för distributörer är att ha rutiner vid inleverans (t.ex. stickprovskontroll av märkning och dokumentation) och klara processer för hur man agerar vid larm om sårbarheter eller incidenter.

Snabbtest: Importör vs distributör

Besvara frågan nedan för att testa att du kan skilja på rollerna.

När blir importör eller distributör tillverkare? (Art. 19)

En central bestämmelse i CRA är Artikel 19, som reglerar när en importör eller distributör juridiskt anses vara tillverkare.

En importör eller distributör blir att betrakta som tillverkare om den:

1. Släpper ut produkten på marknaden under sitt eget namn eller varumärke

• Exempel: Ett svenskt företag köper generiska IoT-sensorer från Asien, sätter sitt eget varumärke på produkten och säljer den i EU.

1. Modifierar en redan utsläppt produkt på ett sätt som kan påverka överensstämmelsen med CRA

• Exempel: En distributör flashar egen firmware i en uppkopplad router innan den säljs vidare.
• Exempel: En aktör lägger till nya digitala funktioner (t.ex. molnanslutning, fjärrstyrning) som förändrar produktens cybersäkerhetsprofil.

I dessa fall får aktören hela tillverkaransvaret enligt Art. 11–15, bland annat:

• Utföra riskbedömning enligt riskkategorierna (Modul 3).
• Upprätta teknisk dokumentation.
• Säkerställa väsentliga cybersäkerhetskrav är uppfyllda.
• Utfärda EU-försäkran om överensstämmelse och CE-märka.
• Hantera sårbarheter och säkerhetsuppdateringar under produktens livscykel.

Detta är viktigt i dagens marknad med white-label-produkter och omprogrammerade IoT-enheter. Många aktörer som tror att de "bara är återförsäljare" kan i praktiken bli tillverkare enligt lagen.

Tillämpningsövning: Är du distributör eller tillverkare?

Fundera på följande tre scenarier. För varje scenario: skriv för dig själv om aktören är distributör eller tillverkare enligt Art. 19, och motivera kort.

1. Scenario A

Ett svenskt företag köper smarta lampor från en EU-importör. Företaget ändrar bara förpackningen (lägger till en svensk bruksanvisning) men behåller tillverkarens varumärke och ändrar inte mjukvaran.

1. Scenario B

Ett danskt företag köper billiga WiFi-kameror från Kina, tar bort originalvarumärket, sätter sitt eget varumärke och säljer dem i hela EU.

1. Scenario C

En tysk återförsäljare köper uppkopplade väderstationer från en EU-importör men lägger in egen molnkoppling genom att flasha en modifierad firmware innan försäljning.

Reflektion (jämför med facit nedan):

• A: Distributör (ingen väsentlig ändring, inget eget varumärke).
• B: Tillverkare enligt Art. 19 (eget varumärke).
• C: Tillverkare enligt Art. 19 (väsentlig ändring av mjukvaran och cybersäkerhetsprofilen).

Om du är osäker i gränsfall är tumregeln: "Påverkar jag produktens cybersäkerhet eller framstår jag utåt som den som står bakom produkten?" Om ja, ligger du nära tillverkarrollen.

Spårbarhet och kontaktuppgifter (Art. 20–21)

Artiklarna 20–21 handlar om spårbarhet och informationskrav – centralt för att kunna hantera sårbarheter, incidenter och återkallelser effektivt.

Spårbarhet (Art. 20)

Alla ekonomiska aktörer (tillverkare, importörer, distributörer) ska:

• Kunna identifiera:
• Vilka aktörer de har köpt produkten av (uppströms), och
• Vilka aktörer de har sålt produkten till (nedströms), åtminstone på grossistnivå.
• Behålla denna information under en period som anges i CRA (typiskt flera år efter att produkten släppts ut eller tillhandahållits).

Syftet är att:

• Snabbt kunna spåra vilka partier av en produkt som är berörda vid en allvarlig sårbarhet.
• Underlätta riktade återkallelser istället för att behöva dra in alla produkter.

Kontaktuppgifter och informationskrav (Art. 21)

• Tillverkarens namn, registrerade firmanamn eller varumärke samt postadress ska finnas på produkten, dess förpackning eller medföljande dokument.
• Importörens namn och kontaktuppgifter ska också finnas när produkten är importerad från tredje land.
• Instruktioner och säkerhetsinformation (inklusive cybersäkerhetsrelaterad information, t.ex. om uppdateringar, standardlösenord, konfigurationsråd) ska vara:
• Tydliga, begripliga och läsbara.
• På ett språk som slutanvändarna i berörd medlemsstat förstår.

I praktiken betyder detta att ett företag måste ha ordnade register och system (t.ex. ERP, CRM) för att kunna svara på frågor som: "Vilka kunder fick routrar av modell X tillverkade mellan januari och mars?"

Samarbete med myndigheter och hantering av risker (Art. 22)

Artikel 22 reglerar hur ekonomiska aktörer ska samarbeta med marknadskontrollmyndigheter (t.ex. i Sverige: Konsumentverket, Post- och telestyrelsen, eller annan utsedd myndighet beroende på produktkategori).

Alla ekonomiska aktörer (tillverkare, importörer, distributörer) ska:

1. På begäran tillhandahålla information och dokumentation

• Exempel: teknisk dokumentation, försäljningsvolymer, listor över kunder, uppgifter om underleverantörer.

1. Vidta korrigerande åtgärder när myndigheter kräver det

• T.ex. begränsa tillhandahållande, dra tillbaka produkter från marknaden eller återkalla redan sålda produkter.

1. Aktivt informera myndigheter vid allvarliga risker

• Om en aktör upptäcker att en produkt på marknaden har en allvarlig cybersäkerhetsbrist (t.ex. sårbarhet som möjliggör massangrepp, intrång i kritisk infrastruktur eller storskalig dataläcka), ska den:
• Informera relevanta marknadskontrollmyndigheter i de medlemsstater där produkten finns.
• Samarbeta kring riskbedömning, varningar till användare och åtgärdsplaner.

Detta hänger nära ihop med sårbarhetshanteringen i Modul 4 (Art. 12–15), men här ligger fokus på kommunikation och samarbete hela vägen genom leveranskedjan.

Nyckelbudskap: Tystnad eller passivitet är inte ett alternativ när en allvarlig risk upptäcks. CRA förutsätter proaktiv dialog mellan företag och myndigheter.

Check: Hur ska aktörer agera vid upptäckt risk?

Testa din förståelse för hur en distributör ska agera vid upptäckt av en allvarlig cybersäkerhetsrisk.

Repetition av nyckelbegrepp

Använd korten för att repetera centrala begrepp från artiklarna 16–22.