Article 21 Cas dans lesquels les obligations des fabricants s’appliquent aux importateurs et aux distributeurs

Summary What does Article 21 of the CRA regulation say?

This article establishes a key role-shifting rule: importers and distributors lose their status as such and are treated as manufacturers when they either place a product with digital elements on the market under their own name or trademark, or carry out a substantial modification to a product already on the market.

This is an important bridging provision that connects back to Articles 13 and 14, which set out the core obligations of manufacturers, meaning these reclassified parties inherit the full weight of those manufacturer responsibilities.

Important points:

Importers and distributors are reclassified as manufacturers if they market a product under their own name/trademark or substantially modify it.
Once reclassified, they become subject to Articles 13 and 14, the primary manufacturer obligations under this regulation.
This rule closes a potential loophole, ensuring that rebranding or modifying a product cannot be used to avoid manufacturer-level cybersecurity responsibilities.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Un importateur ou un distributeur est considéré comme un fabricant aux fins du présent règlement et est soumis au respect de l’article 13 et de l’article 14 lorsque cet importateur ou ce distributeur met un produit comportant des éléments numériques sur le marché sous son propre nom ou sa propre marque, ou lorsqu’il apporte une modification substantielle à un produit comportant des éléments numériques déjà mis sur le marché.

Relevant recitals

Considérant 38 Serial manufacturing, subsequent modifications and repairs

Afin de garantir que les produits comportant des éléments numériques, lorsqu’ils sont mis sur le marché, ne présentent pas de risques de cybersécurité pour les personnes et les organisations, il convient de fixer des exigences essentielles de cybersécurité pour ces produits. Ces exigences, y compris celles qui ont trait à la gestion des vulnérabilités, s’appliquent à chaque produit comportant des éléments numériques lors de sa mise sur le marché, qu’il ait été fabriqué individuellement ou produit en série. Par exemple, pour un type de produit, chaque produit comportant des éléments numériques devrait, lors de sa mise sur le marché, avoir reçu individuellement tous les correctifs et mises à jour de sécurité qui existent pour remédier aux problèmes de sécurité pertinents. Lorsque des produits comportant des éléments numériques sont modifiés ultérieurement, par des moyens physiques ou numériques, d’une manière qui n’est pas prévue par le fabricant dans l’évaluation initiale des risques et qui peut impliquer qu’ils ne satisfont plus aux exigences essentielles de cybersécurité pertinentes, la modification devrait être considérée comme substantielle. Par exemple, les réparations pourraient être assimilées à des opérations d’entretien pour autant qu’elles ne modifient pas un produit comportant des éléments numériques déjà mis sur le marché d’une manière qui soit susceptible d’en compromettre la conformité aux exigences applicables ou de modifier l’utilisation prévue pour laquelle le produit a été évalué.

Considérant 39 Guidance on substantial modifications

Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques devrait être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel modifie l’utilisation prévue de ce produit et que ces modifications n’ont pas été prévues par le fabricant dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque de cybersécurité a augmenté en raison de la mise à jour du logiciel, et que la version mise à jour est mise à disposition sur le marché. Une mise à jour de sécurité destinée à réduire le niveau de risque de cybersécurité d’un produit comportant des éléments numériques qui ne modifie pas l’utilisation prévue de ce produit n’est pas considérée comme une modification substantielle. Il s’agit généralement des situations où une mise à jour de sécurité ne comporte que des ajustements mineurs du code source. Ce pourrait être le cas, par exemple, d’une mise à jour de sécurité qui remédie à une vulnérabilité connue, y compris en modifiant les fonctions ou les performances d’un produit comportant des éléments numériques dans le seul but de réduire le niveau de risque de cybersécurité. De même, une mise à jour mineure de fonctionnalités, telle qu’une amélioration visuelle ou l’ajout de nouveaux pictogrammes ou de nouvelles langues ou d’un nouvel ensemble de pictogrammes à l’interface utilisateur, ne devrait pas, en règle générale, être considérée comme une modification substantielle. À l’inverse, une mise à jour de caractéristiques qui modifie les fonctions initialement prévues d’un produit comportant des éléments numériques, son type ou ses performances et qui remplit les critères susmentionnés devrait être considérée comme une modification substantielle, étant donné que l’ajout de nouvelles caractéristiques accroît généralement la surface d’attaque et, partant, les risques de cybersécurité. Ce peut être le cas, par exemple, lorsque l’ajout d’un nouvel élément de saisie à une application nécessite que le fabricant procède à une validation adéquate de la saisie. Le fait qu’une mise à jour de caractéristiques soit apportée de façon indépendante ou qu’elle soit combinée à une mise à jour de sécurité n’est pas pertinent pour déterminer si elle constitue une modification substantielle. La Commission devrait publier des orientations sur la manière de déterminer ce qui constitue une modification substantielle.

Considérant 41 Verification of compliance after substantial modification

Conformément à la notion généralement établie de modification substantielle pour les produits régis par la législation d’harmonisation de l’Union, lorsque se produit une modification substantielle de nature à affecter la conformité d’un produit comportant des éléments numériques au présent règlement ou lorsque l’utilisation prévue de ce produit change, il convient de vérifier la conformité du produit comportant des éléments numériques et, le cas échéant, de le soumettre à une nouvelle évaluation de la conformité. Le cas échéant, si le fabricant a recours à une évaluation de la conformité faisant intervenir un tiers, une modification susceptible d’entraîner une modification substantielle devrait être notifiée à ce dernier.

Considérant 42 Substantial modification via refurbishment, maintenance and repair

Lorsqu’un produit comportant des éléments numériques fait l’objet d’une «remise à neuf», d’un «entretien» et d’une «réparation», au sens de l’article 2, points 18), 19) et 20), du règlement (UE) 2024/1781 du Parlement européen et du Conseil(¹⁹), cela n’entraîne pas nécessairement une modification substantielle du produit, par exemple si l’utilisation et les fonctionnalités prévues ne sont pas modifiées et que le niveau de risque demeure inchangé. Toutefois, la mise à niveau d’un produit comportant des éléments numériques par le fabricant pourrait entraîner des modifications dans la conception et le développement de ce produit et donc avoir une incidence sur son utilisation prévue et sa conformité aux exigences énoncées dans le présent règlement.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.