GPSR i NIS 2 zmieniają warunki w dystrybucji

Od 13 grudnia 2024 roku obowiązuje unijne rozporządzenie GPSR (General Product Safety Regulation) dotyczące ogólnego bezpieczeństwa produktów. Jego celem jest zwiększenie poziomu ochrony konsumentów przy jednoczesnym dążeniu do ujednolicenia warunków działań przedsiębiorstw. Nowe prawo wprowadza wiele nowych rozwiązań, które zmuszone będą wdrożyć przede wszystkim podmioty działające w obszarze e-commerce, czyli także dystrybutorzy i firmy handlowe działające w elektronice.

Rozporządzenie dotyczy wszystkich produktów będących w sprzedaży – zarówno nowych, używanych, odnowionych, jak i naprawionych, w formie gotowego produktu lub części (modułu) niezależnie od tego, w jaki sposób trafiły one na rynek Unii Europejskiej. Innymi słowy, rozporządzenie stosuje się do każdego towaru, który jest oferowany konsumentom rozumianym jako firmy i osoby fizyczne, i to niezależnie od kanału sprzedaży.

Wprowadza ono ogólną zasadę, zgodnie z którą poszczególne podmioty, operujące na rynku, muszą działać zgodnie z zasadą ostrożności i nadzorować bezpieczeństwo towaru, który otrzymują od producenta. W szczególności chodzi o możliwość identyfikacji towaru poprzez umieszczenie na nim (bezpośrednio lub na opakowaniu albo załączonym dokumencie) numeru typu, partii lub serii. Do tego konieczne jest podanie danych kontaktowych producenta, udostępnienie instrukcji na temat bezpiecznego użytkowania produktu. Poza tym są jeszcze wymagania na temat zgłaszania incydentów bezpieczeństwa oraz opracowania procedur w firmie, które pozwalają na spełnienie wymagań rozporządzenia w ciągu 3 dni.

Nietrudno zauważyć, że dystrybucja ma sporo pracy do wykonania. Bardzo często brakuje instrukcji obsługi, dokumentacji fotograficznej, pozwalającej na identyfikację produktu, dokumentacji technicznej, a wiele produktów nie ma danych identyfikacyjnych. Zdjęcie często jest poglądową ilustracją, często dotyczy innego elementu lub wariantu z rodziny, a nie tego kupowanego. Jeśli nawet instrukcja jest dostępna, to najczęściej ma ona bardzo ogólny charakter „jedna dla całego sklepu”, więc formalnie można traktować ją jako nieistniejącą. Częstą praktyką jest to, że towar, taki jak komponenty elektroniczne i moduły, jest kompletnie nieoznakowany na produkcie i jego opakowaniu. Marka, dane importera, oznaczenie typu, kod partii, EAN, certyfikaty, deklaracje i normy (CE, RoHS, EN/IEC) powinny być pokazywane na etykietach i GPSR jest początkiem zmian takich, aby to stało się obowiązkowe.

Drugą regulacją jest dyrektywa NIS2 o cyberbezpieczeństwie, która weszła w życie 17 października 2024 r. Nakłada ona na firmy obowiązki wdrożenia odpowiedniej polityki bezpieczeństwa po to, aby ograniczyć szeroko rozumiane ryzyko biznesu wynikające z działania w Internecie. NIS2 oznacza konieczność monitorowania oraz reagowania na incydenty, w tym obowiązkowego zgłaszania problemów.

Jest to bardzo szeroka regulacja, obejmująca wiele aspektów, dla branży elektronicznej wiąże się z zapewnieniem bezpieczeństwa łańcucha dostaw, używanych systemów IT, konieczności szkoleń pracowników oraz posiadania narzędzi software’owych zapewniających kryptografię i uwierzytelnianie wieloskładnikowe, dokonywania aktualizacji oprogramowania tak, aby w użytku nie było wersji starych itp. Nie dotyczy ona najmniejszych firm, ale z drugiej strony pułap 50 pracowników i obrót 10 mln euro rocznie nie jest też jakiś ogromny i obejmie wiele firm.

Wczytanie się w zapisy dyrektywy przekonuje, że w tym obszarze też wiele firm ma dużo pracy do wykonania, a podejście „nie zmieniać nic, póki to, co jest, działa” od paru miesięcy jest już przeszłością.