1.2 角色与职责

CRA 法规下的角色

CRA 定义了三类经济运营方 (Economic Operators)，各有其义务：

制造商（Art. 10 CRA）

制造商对 CRA 合规承担主要责任。制造商是指开发或已开发含数字元素产品并以自己的名义或商标进行市场销售的任何人。

义务：

• 确保符合 Annex I
• 进行网络安全风险评估
• 编制技术文档（Annex VII）
• 进行合格评定 (Conformity Assessment)
• 发布欧盟符合性声明（Annex V）
• 粘贴 CE 标志
• 在支持期内处理漏洞
• 履行报告义务（Art. 14）
• 编制和维护 SBOM

进口商（Art. 13 CRA）

进口商 (Importer) 将欧盟外制造商的产品投放到欧盟市场。

义务：

• 确保制造商已履行其义务
• 验证符合性声明和技术文档
• 验证 CE 标志和制造商联系方式

分销商（Art. 14 CRA）

分销商 (Distributor) 在不制造或进口产品的情况下将产品提供到市场上。

义务：

• 尽职调查：验证 CE 标志和符合性声明
• 如发现不合格：停止提供该产品

授权代表 / 欧盟授权代表（Art. 16 CRA）

非欧盟制造商的义务

在欧盟境外设立的、将含数字元素产品投放欧盟市场的制造商必须指定一名欧盟境内的授权代表 (Authorised Representative)。没有授权代表，产品不得在欧盟市场上提供。

法律依据：

"制造商可通过书面委托指定授权代表。授权代表应执行与制造商商定的委托中规定的任务。" — Art. 16(1) CRA

何时需要授权代表？

情景	是否需要授权代表？
制造商在欧盟境内设立	否
制造商在欧盟境外设立，在欧盟销售	是
非欧盟制造商的欧盟子公司作为进口商	是（或由进口商承担义务）
开源软件管理者 (Art. 24)	特殊规定

授权代表的义务（Art. 16(2)）：

1. 保存合规文档 – 将欧盟符合性声明和技术文档保存至少10年，以供市场监管机构查阅
2. 告知义务 – 根据合理请求，向主管机构提供证明合规所需的所有信息和文档
3. 合作义务 – 与市场监管机构合作，采取措施消除风险
4. 不合格报告义务 – 如授权代表有理由认为产品不合格，应立即通知制造商
5. 委托终止 – 委托终止后，义务仍适用于已投放市场的产品

书面委托的要求：

委托必须至少涵盖以下任务：

任务	描述
文件保留	保留技术文档和欧盟符合性声明10年
机构联络	作为市场监管机构的联系点
信息提供	应要求提供委托书副本
合作	参与纠正措施和召回

对 BAUER GROUP 的相关性：

情景	需要的操作
BAUER GROUP 作为欧盟制造商	不需要授权代表——直接适用制造商义务
BAUER GROUP 从非欧盟制造商采购	验证义务：供应商是否有授权代表？--> 6.3 第三方评估
非欧盟子公司在欧盟销售	必须指定欧盟境内的授权代表
BAUER GROUP 作为进口商	适用 Art. 13 项下的进口商义务（验证 CE + 文档）

实用提示

从非欧盟制造商采购含数字元素的产品时，必须在第三方评估中（--> 6.3）验证供应商是否已指定欧盟授权代表。这是在欧盟境内合法投放市场的前提条件。

内部角色分配

角色	职责	CRA 参考
安全负责人	CRA 合规的总体责任，ENISA 通知，事件响应	Art. 10, Art. 14
产品负责人	产品分类，支持期，用户信息	Art. 10(16), Annex II
DevOps 负责人	SBOM 生成，签名，CI/CD 流水线维护	Art. 10(12), Art. 13(23)
开发团队	安全设计，漏洞修复，代码审查	Art. 10(1)
质量保证 / 发布经理	合格评定，发布审批	Annex VII
管理层	资源分配，升级决策	Art. 10(2)

RACI 矩阵

活动	安全负责人	产品负责人	DevOps	开发团队	管理层
CRA 风险评估	R	C	I	C	A
SBOM 生成	I	I	R	C	A
CVE 监控	R	I	C	I	A
补丁管理	C	I	C	R	A
事件响应	R	C	C	C	A
ENISA 通知	R	I	I	I	A
技术文档	C	R	C	C	A
欧盟符合性声明	C	R	I	I	A
支持期定义	C	R	I	I	A

R = 负责执行 (Responsible)，A = 最终责任人 (Accountable)，C = 被咨询 (Consulted)，I = 被告知 (Informed)