Source: OJ L 2024/2847, 20.11.2024

Current language: FR

Article 19 Obligations incombant aux importateurs

Summary What does Article 19 of the CRA regulation say?

This article sets out the full range of obligations that fall on importers — that is, EU-established entities placing on the market products bearing the name or trademark of a non-EU manufacturer.

It sits alongside Article 13 (manufacturer obligations) and Article 20 (distributor obligations), forming part of the regulation's broader framework for holding all supply chain actors accountable.

Importers must verify compliance before placing a product on the market, maintain ongoing responsibilities after the fact, and act as a conduit between non-EU manufacturers and EU market surveillance authorities when problems arise.

Important points:

  • Verify, before placing any product on the market, that the manufacturer has completed the required conformity assessment, drawn up technical documentation, affixed the CE marking, and provided an EU declaration of conformity and user instructions.
  • Immediately take corrective action — including withdrawal or recall — if a product already on the market is found to be non-compliant, and inform the manufacturer without undue delay upon becoming aware of any vulnerability.
  • Retain a copy of the EU declaration of conformity and ensure technical documentation is available to market surveillance authorities for at least 10 years after placing the product on the market, or for the duration of the support period, whichever is longer.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Un importateur ne met sur le marché que des produits comportant des éléments numériques conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II.

    1. Avant de mettre sur le marché un produit comportant des éléments numériques, l’importateur veille à ce que:

      1. les procédures appropriées d’évaluation de la conformité visées à l’article 32 aient été menées à bien par le fabricant;

      2. le fabricant ait établi la documentation technique;

      3. le produit comportant des éléments numériques porte le marquage CE visé à l’article 30 et soit accompagné de la déclaration UE de conformité visée à l’article 13, paragraphe 20, ainsi que des informations et instructions destinées à l’utilisateur figurant à l’annexe II, rédigées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché;

      4. le fabricant ait respecté les exigences prévues à l’article 13, paragraphes 15, 16 et 19.

    2. Aux fins du présent paragraphe, les importateurs doivent être en mesure de fournir les documents nécessaires prouvant le respect des exigences énoncées dans le présent article.

    1. Lorsqu’un importateur considère ou a des raisons de croire qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes au présent règlement, il ne met pas le produit sur le marché tant que ce produit ou les processus mis en place par le fabricant n’ont pas été mis en conformité avec le présent règlement. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe le fabricant et les autorités de surveillance du marché.

    2. Lorsqu’un importateur a des raisons de croire qu’un produit comportant des éléments numériques peut présenter un risque de cybersécurité important à la lumière de facteurs de risque non techniques, il en informe les autorités de surveillance du marché. Dès réception de cette information, les autorités de surveillance du marché appliquent les procédures visées à l’article 54, paragraphe 2.

    1. L’importateur indique son nom, sa raison sociale ou sa marque déposée et les adresses postale, électronique ou autre moyen numérique, ainsi que, le cas échéant, l’adresse du site internet auxquelles il peut être contacté sur le produit comportant des éléments numériques, sur l’emballage ou dans un document accompagnant le produit comportant des éléments numériques. Les coordonnées sont indiquées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché.

    1. Tout importateur qui considère ou a des raisons de croire qu’un produit comportant des éléments numériques, qu’il a mis sur le marché n’est pas conforme au présent règlement prend immédiatement les mesures correctives nécessaires pour veiller à ce que ce produit comportant des éléments numériques soit mis en conformité avec le présent règlement, ou pour procéder au retrait ou au rappel du produit, si nécessaire.

    2. Lorsqu’il prend connaissance d’une vulnérabilité du produit comportant des éléments numériques, l’importateur en informe le fabricant sans retard injustifié. En outre, si le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe immédiatement les autorités de surveillance du marché des États membres dans lesquels il a mis ce produit à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et toute mesure corrective adoptée.

    1. Pendant au moins dix ans à partir de la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue, l’importateur tient à la disposition des autorités de surveillance du marché une copie de la déclaration UE de conformité et s’assure que la documentation technique peut être fournie à ces autorités, sur demande.

    1. Sur requête motivée d’une autorité de surveillance du marché, l’importateur communique à cette dernière toutes les informations et tous les documents nécessaires, sur support papier ou par voie électronique, pour démontrer la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ainsi que la conformité des processus mis en place par le fabricant aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II, dans une langue aisément compréhensible par cette autorité. Il coopère avec cette autorité, à la demande de cette dernière, concernant toute mesure prise en vue d’éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’il a mis sur le marché.

    1. Lorsque l’importateur d’un produit comportant des éléments numériques a connaissance du fait que le fabricant de ce produit a cessé ses activités et, de ce fait, n’est pas en mesure de se conformer aux obligations prévues par le présent règlement, l’importateur informe les autorités de surveillance du marché concernées de cette situation, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits concernés comportant des éléments numériques mis sur le marché.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod