Role a povinnosti

Výrobce, dovozce, distributor: kdo má podle CRA jaké povinnosti

Publikováno 6. května 20268 min čtení

Cyber Resilience Act nemluví jen o „firmách“ – přesně rozlišuje role v dodavatelském řetězci. Každá role má jinou míru odpovědnosti a jiné povinnosti. První otázka, kterou si musíte zodpovědět, proto není „co máme dělat“, ale „kdo vlastně jsme“.

Tři role, tři úrovně odpovědnosti

CRA pracuje primárně s rolemi výrobce, dovozce a distributora. Jejich povinnosti nejsou stejné – tvoří jakousi pyramidu, na jejímž vrcholu stojí výrobce s nejvyšší odpovědností. Ujasnit si vlastní roli je nutný předpoklad pro jakoukoli další přípravu.

Výrobce – nese hlavní tíhu

Výrobce je ten, kdo produkt navrhuje nebo vyrábí a uvádí ho na trh pod svým jménem či značkou. Na výrobce dopadá naprostá většina povinností CRA:

navrhovat a vyrábět produkt podle zásad security by design,
provést a dokumentovat posouzení kybernetických rizik,
řídit zranitelnosti po celou dobu podpory a poskytovat aktualizace,
vést technickou dokumentaci a vystavit EU prohlášení o shodě,
oznamovat aktivně zneužívané zranitelnosti a závažné incidenty,
poskytnout uživatelům informace a návod k bezpečnému použití.

Dovozce – kontrolní role

Dovozce uvádí na trh EU produkt od výrobce ze třetí země. Nepřebírá automaticky povinnosti výrobce, ale má vlastní – především ověřovací. Dovozce musí před uvedením produktu na trh ověřit, že výrobce splnil své povinnosti: že provedl posouzení shody, vypracoval technickou dokumentaci, opatřil produkt označením CE a přiložil potřebné informace.

ověřit soulad výrobce a nesmět uvést na trh produkt, o němž ví, že požadavky nesplňuje,
zajistit, aby technická dokumentace byla k dispozici,
spolupracovat s orgány dozoru a informovat o zjištěných rizicích.

Distributor – jednat s řádnou péčí

Distributor produkt dodává na trh, ale není výrobcem ani dovozcem. Jeho povinností je jednat s řádnou péčí – ověřit zejména, že produkt nese označení CE a je doprovázen požadovanými informacemi, a nedodávat produkt, o jehož nesouladu ví.

Pozor: kdy se role změní

Nejčastější chyba je předpokládat, že „jsme jen dovozce, takže se nás to skoro netýká“. CRA přitom obsahuje pravidla, kdy se na dovozce nebo distributora začnou vztahovat povinnosti výrobce:

uvedete produkt na trh pod vlastním jménem nebo značkou (typicky private label),
provedete na produktu podstatnou změnu poté, co byl uveden na trh.

Hlavní body

CRA rozlišuje role výrobce, dovozce a distributora – každá má jiné povinnosti.
Výrobce nese naprostou většinu povinností; dovozce ověřuje, distributor jedná s řádnou péčí.
Private label nebo podstatná změna produktu mění dovozce/distributora ve výrobce.
Roli je třeba určit pro každý produkt zvlášť.

Související služba

Dodavatelé a výrobci

Zpět na blog

Všechny články

Zranitelnosti7 min čtení

SBOM a řízení zranitelností: praktický základ souladu s CRA

Bez přehledu o komponentách produktu nelze řídit zranitelnosti. Proč je SBOM jádrem souladu s CRA.

18. května 2026Číst článek

Termíny7 min čtení

Cyber Resilience Act: všechny termíny a fáze, které musíte stihnout do roku 2027

CRA se nezavádí naráz. Projděte si tři klíčová data – a proč „máme čas do 2027“ je nebezpečná past.

22. dubna 2026Číst článek

Začněte s CRA dřív, než vás dožene termín

Nezávazná konzultace vám během chvíle ukáže, kde stojíte a jaký je nejkratší cestou k souladu.

Domluvit konzultaci