Source: OJ L 2024/2847, 20.11.2024

Current language: FR

Article 20 Obligations des distributeurs

Summary What does Article 20 of the CRA regulation say?

This article sets out the obligations that apply specifically to distributors — those in the supply chain who make products with digital elements available on the EU market without affecting their properties.

It sits alongside Articles 13 and 19, which cover manufacturers and importers respectively, and together these articles form the framework of obligations across the supply chain.

Distributors are cast as a final checkpoint before a product reaches the market: they must verify that the CE marking is in place and that manufacturers and importers have met their key documentation and information obligations.

Beyond pre-market checks, the article also governs what distributors must do when they discover non-compliance or vulnerabilities after a product is already on the market, including their duty to report to manufacturers and market surveillance authorities and to cooperate with those authorities on request.

Important points:

  • Verify, before making a product available, that it bears the CE marking and that all required documentation from the manufacturer and importer has been provided.
  • If you become aware of a vulnerability or non-compliance after the product is on the market, inform the manufacturer without undue delay and, where a significant cybersecurity risk exists, immediately notify the relevant market surveillance authorities.
  • If the manufacturer has ceased operations and can no longer meet its obligations under this Regulation, inform the relevant market surveillance authorities without undue delay and, to the extent possible, the users of the affected products.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Lorsqu’ils mettent un produit comportant des éléments numériques à disposition sur le marché, les distributeurs agissent avec la diligence requise en ce qui concerne les exigences énoncées au présent règlement.

    1. Avant de mettre un produit comportant des éléments numériques à disposition sur le marché, les distributeurs vérifient que:

      1. le produit comportant des éléments numériques porte le marquage CE;

      2. le fabricant et l’importateur se sont conformés aux obligations énoncées à l’article 13, paragraphes 15, 16, 18, 19 et 20, et à l’article 19, paragraphe 4, et ont communiqué tous les documents nécessaires au distributeur.

    1. Lorsqu’un distributeur considère ou a des raisons de croire, sur la base des informations en sa possession, qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, il ne met pas le produit comportant des éléments numériques à disposition sur le marché tant que ce produit ou les processus mis en place par le fabricant n’a pas été mis en conformité avec le présent règlement. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, le distributeur en informe le fabricant et les autorités de surveillance du marché sans retard injustifié.

    1. Les distributeurs sachant ou ayant des raisons de croire, sur la base des informations en sa possession, qu’un produit comportant des éléments numériques, qu’ils ont mis à disposition sur le marché, ou bien les processus mis en place par son fabricant ne sont pas conformes au présent règlement veillent à ce que soient prises les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus mis en place par son fabricant en conformité, ou pour retirer ou rappeler le produit, si nécessaire.

    2. Lorsqu’ils prennent connaissance d’une vulnérabilité du produit comportant des éléments numériques, les distributeurs en informent le fabricant sans retard injustifié. En outre, si le produit comportant des éléments numériques présente un risque de cybersécurité important, les distributeurs en informent immédiatement les autorités de surveillance du marché des États membres dans lesquels ils ont mis ce produit à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et toute mesure corrective adoptée.

    1. Sur requête motivée d’une autorité de surveillance du marché, les distributeurs communiquent à cette dernière toutes les informations et tous les documents, sur support papier ou par voie électronique, nécessaires pour démontrer la conformité du produit comportant des éléments numériques et des processus mis en place par son fabricant avec le présent règlement dans une langue aisément compréhensible par cette autorité. Ils coopèrent avec cette autorité, à sa demande, à toute mesure prise en vue d’éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’ils ont mis à disposition sur le marché.

    1. Lorsque le distributeur d’un produit comportant des éléments numériques apprend, sur la base des informations en sa possession, que le fabricant de ce produit a cessé ses activités et, de ce fait, n’est pas en mesure de se conformer aux obligations prévues par le présent règlement, il informe sans retard injustifié les autorités de surveillance du marché concernées de cette situation, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits concernés comportant des éléments numériques mis sur le marché.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod