CRA-conformiteitsbeoordeling: Module A vs. B+C vs. H beslissingsgids

De conformiteitsbeoordelingsroute die u kiest, bepaalt uw kosten, tijdlijn en wie uw compliance valideert. Voor de meeste producten is zelfbeoordeling voldoende. Voor andere is een aangemelde instantie verplicht.

Deze gids helpt u de juiste route te kiezen.

Samenvatting

• Drie routes: Module A (zelfbeoordeling), Module B+C (aangemelde instantie), Module H (volledig kwaliteitsborging)
• Module A is voldoende voor standaardproducten en Klasse I met geharmoniseerde normen
• Module B+C of H is verplicht voor Klasse II en Kritische producten
• Module H is efficiënter voor fabrikanten met veel producten
• De route begint bij uw productclassificatie

Overzicht conformiteitsbeoordelingsroutes

CONFORMITEITSBEOORDELINGSROUTES

MODULE A (Interne productiecontrole):
┌────────────────────────────────────────────────┐
│ Zelfbeoordeling door fabrikant                  │
│ Geen externe auditor vereist                    │
│ Beschikbaar voor: Standaard, Klasse I (*)       │
│ Kosten: Laag (alleen interne arbeid)            │
└────────────────────────────────────────────────┘

MODULE B+C (EU-typeonderzoek + Productconformiteit):
┌────────────────────────────────────────────────┐
│ Aangemelde instantie onderzoekt type + dossier  │
│ Fabrikant borgt productieconformiteit           │
│ Vereist voor: Klasse II, Kritisch, Klasse I (**) │
│ Kosten: Matig tot hoog                          │
└────────────────────────────────────────────────┘

MODULE H (Volledig kwaliteitsborging):
┌────────────────────────────────────────────────┐
│ Aangemelde instantie beoordeelt QMS             │
│ Dekt ontwerp, productie en testen               │
│ Alternatief voor B+C voor alle categorieën      │
│ Kosten: Hoog initieel, efficiënt bij veel prod. │
└────────────────────────────────────────────────┘

(*) Klasse I: Module A alleen als geharmoniseerde normen volledig worden toegepast
(**) Klasse I: Module B+C als geharmoniseerde normen NIET volledig worden toegepast

Beslisboom

START: Wat is uw productclassificatie?
│
├─ STANDAARD
│    └─ MODULE A (zelfbeoordeling)
│
├─ BELANGRIJK KLASSE I
│    └─ Zijn geharmoniseerde CRA-normen volledig van toepassing?
│         ├─ JA → MODULE A (zelfbeoordeling)
│         └─ NEE → MODULE B+C of MODULE H (aangemelde instantie)
│
├─ BELANGRIJK KLASSE II
│    └─ MODULE B+C of MODULE H (aangemelde instantie verplicht)
│
└─ KRITISCH (Bijlage IV)
     └─ MODULE B+C of MODULE H + EUCC-certificering verplicht

Module A: Interne productiecontrole

Wanneer van toepassing

• Standaardproducten: Altijd beschikbaar
• Klasse I: Alleen als u alle relevante geharmoniseerde normen volledig toepast

Wat het inhoudt

Stap 1: Interne beoordeling U beoordeelt zelf of uw product voldoet aan de CRA-essentiële eisen (Bijlage I).

Stap 2: Technisch dossier opstellen Documenteer de conformiteitsbasis (zie Bijlage VII-gids).

Stap 3: EU-conformiteitsverklaring ondertekenen Verklaar als fabrikant dat uw product voldoet aan de CRA.

Stap 4: CE-markering aanbrengen Breng de CE-markering aan op uw product en verpakking.

Documenten vereist voor Module A

MODULE A — VEREISTE DOCUMENTEN

TECHNISCH DOSSIER (Bijlage VII):
[ ] Productbeschrijving en beoogd gebruik
[ ] Ontwerp- en ontwikkelingsdocumentatie
[ ] Cybersecurity-risicobeoordeling
[ ] Overzicht essentiële eisen
[ ] Toegepaste normen
[ ] SBOM
[ ] Testresultaten
[ ] Kopie conformiteitsverklaring
[ ] Kwetsbaarheidsbeheerprocedures

CONFORMITEITSVERKLARING:
[ ] Fabrikantidentificatie
[ ] Productidentificatie
[ ] Verwijzing naar CRA
[ ] Verwijzing naar toegepaste normen
[ ] Ondertekening door bevoegde persoon

CE-MARKERING:
[ ] Correct aangebracht (minimale afmeting 5mm)
[ ] Op product of verpakking
[ ] Permanent en leesbaar

Valkuilen van Module A

Valkuil 1: Onvolledige risicobeoordeling

Een oppervlakkige risicobeoordeling is niet voldoende. Module A vereist een grondige analyse van alle dreigingen en mitigerende maatregelen.

Valkuil 2: Normen niet volledig toepassen (Klasse I)

Als u normen toepast maar niet volledig (bijv. alleen bepaalde clausules), vervalt de presumptie van conformiteit en bent u verplicht over te schakelen naar Module B+C.

Valkuil 3: Verouderd technisch dossier

Het technisch dossier moet worden bijgewerkt bij elke nieuwe versie.

Module B+C: EU-typeonderzoek en productconformiteit

Wanneer van toepassing

• Klasse II (verplicht): Geen zelfbeoordeling mogelijk
• Kritisch (verplicht): Plus EUCC-certificering
• Klasse I (optioneel): Als u geen geharmoniseerde normen volledig toepast
• Alle categorieën: Als u een onafhankelijke validatie wilt

Module B: EU-typeonderzoek

Wat de aangemelde instantie doet:

1. Onderzoekt een representatief exemplaar van uw product (het "type")
2. Beoordeelt de volledigheid van het technisch dossier
3. Verifieert dat het product voldoet aan de essentiële eisen
4. Voert of coördineert testen uit
5. Geeft een EU-typeonderzoekscertificaat af

Tijdlijn: Doorgaans 3-8 maanden afhankelijk van productcomplexiteit en beschikbaarheid van de instantie.

Vereiste documenten voor Module B:

MODULE B — AANGEMELDE INSTANTIE ONTVANGT:

[ ] Volledig technisch dossier
[ ] Productmonster (of technische specificaties)
[ ] Testresultaten
[ ] SBOM
[ ] Risicobeoordeling
[ ] Beveiligingsarchitectuurbeschrijving
[ ] Beschrijving van de updatefaciliteit
[ ] Kwetsbaarheidsbeheerprocedures

Module C: Productconformiteit

Na het ontvangen van het EU-typeonderzoekscertificaat (Module B):

Wat de fabrikant doet:

1. Zorgt dat de productie overeenkomt met het onderzochte type
2. Behoudt interne kwaliteitscontroles
3. Stelt voor elk product de conformiteitsverklaring op
4. Brengt de CE-markering aan

Vereiste documenten voor Module C:

MODULE C — FABRIKANT BEHOUDT:

[ ] Kopie EU-typeonderzoekscertificaat
[ ] Interne procedures voor productiecontrole
[ ] Testrapporten van productie
[ ] Conformiteitsverklaring (per product/partij)
[ ] Documentatie over afwijkingen van het type

Een aangemelde instantie kiezen

SELECTIE AANGEMELDE INSTANTIE

STAP 1: CONTROLEER DE NANDO-DATABASE
https://ec.europa.eu/growth/tools-databases/nando/
- Filter op CRA (zodra designaties beschikbaar zijn)
- Controleer productcategoriedekking

STAP 2: BEOORDEEL LOCATIE EN TAAL
- Europese aangemelde instanties zijn overal geldig
- Nabijheid kan logistiek vereenvoudigen
- Taalcommunicatie kan de kwaliteit verbeteren

STAP 3: VRAAG OFFERTES OP
- Beschrijf uw product volledig
- Geef bestaande certificeringen op
- Vraag naar tijdlijn en beschikbaarheid

STAP 4: CONTROLEER CAPACITEIT
- Vroeg boeken (capaciteit is beperkt)
- Vraag naar verwachte wachttijden
- Overweeg meerdere instanties te benaderen

BEKENDE AANGEMELDE INSTANTIES (voorbeelden):
- TÜV SÜD
- TÜV Rheinland
- Bureau Veritas
- SGS
- Kiwa (Nederlandse instantie)

Module H: Volledig kwaliteitsborging

Wanneer het zinvol is

Module H is efficiënter dan B+C voor:

• Fabrikanten met meerdere producten (één QMS-audit dekt alle producten)
• Hoog productievolume (doorlopende controle vs. per-type certificering)
• Organisaties met rijpe kwaliteitssystemen (bijv. al ISO 9001 gecertificeerd)

Wat het inhoudt

Initiële QMS-beoordeling:

1. Aangemelde instantie beoordeelt uw kwaliteitsmanagementsysteem
2. Dekt ontwerp, productie, testen en post-markt surveillance
3. Geeft QMS-goedkeuring af

Doorlopende bewaking:

• Periodieke bewakingsaudits (doorgaans jaarlijks)
• Steekproefsgewijze producttests
• Beoordeling van wijzigingen in producten/processen

Fabrikant verklaart:

• Elk product voldoet aan het goedgekeurde ontwerp
• Productie conformeert aan het goedgekeurde QMS

Module H vs. Module B+C

EUCC-certificering voor kritische producten

Kritische producten (Bijlage IV) vereisen aanvullende EUCC-certificering:

EUCC-CERTIFICERING (KRITISCHE PRODUCTEN)

NAAST MODULE B+C OF MODULE H:
- Certificering onder EU Cybersecurity Certification Scheme (EUCC)
- Minimaal "substantieel" zekerheidsniveau
- Uitgevoerd door geaccrediteerde conformiteitsbeoordelingsorganen

TIJDLIJN EXTRA:
- EUCC-beoordelingen: 6-18 maanden (afhankelijk van complexiteit)
- Start vroeg: capaciteit is beperkt

PRODUCTEN DIE DIT VEREISEN:
- Hardware Security Modules (HSM)
- Smartcard-lezers en veilige elementen
- Beveiligingstokenapparaten
- Veilige cryptoverwerkers

Compliancetijdlijn per route

VERWACHTE TIJDLIJN PER ROUTE

MODULE A (Zelfbeoordeling):
Voorbereiding technisch dossier: 1-3 maanden
Interne beoordeling: 1-2 maanden
Conformiteitsverklaring: 1 week
TOTAAL: 2-5 maanden

MODULE B+C (Aangemelde instantie):
Voorbereiding technisch dossier: 2-4 maanden
Wachttijd aangemelde instantie: 1-3 maanden
Module B-beoordeling: 2-6 maanden
Module C-implementatie: 1-2 maanden
TOTAAL: 6-15 maanden

MODULE H (Volledig kwaliteitsborging):
QMS-documentatie opzetten: 3-6 maanden
QMS-beoordeling door aangemelde instantie: 2-4 maanden
Doorlopende bewakingsopzet: 1-2 maanden
TOTAAL: 6-12 maanden (initieel), daarna doorlopend

Waarschuwing: Aangemelde instanties voor CRA-beoordelingen zijn beperkt. Als uw product een beoordeling door derden vereist, boek dan vroeg om vertragingen te voorkomen.

Checklist conformiteitsbeoordelingsroute

CHECKLIST ROUTESELECTIE

STAP 1: PRODUCTCLASSIFICATIE
[ ] Productclassificatie bepaald (Standaard/Klasse I/II/Kritisch)
[ ] Classificatiebeslissing gedocumenteerd

STAP 2: NORMENVEREISTEN (voor Klasse I)
[ ] Geharmoniseerde CRA-normen geïdentificeerd
[ ] Beoordeeld of u ze volledig kunt toepassen
[ ] Beslissing gedocumenteerd (Module A vs. B+C)

STAP 3: ROUTE GESELECTEERD
[ ] Module A — standaard of Klasse I met normen
[ ] Module B+C — Klasse II, of Klasse I zonder volledige normen
[ ] Module H — meerdere producten of rijp QMS

STAP 4: VOORBEREIDING
[ ] Technisch dossier in voorbereiding
[ ] Aangemelde instantie geïdentificeerd (indien van toepassing)
[ ] Offerte aangevraagd
[ ] Tijdlijn vastgesteld

STAP 5: UITVOERING
[ ] Conformiteitsbeoordeling voltooid
[ ] Certificaten ontvangen (indien van toepassing)
[ ] Conformiteitsverklaring ondertekend
[ ] CE-markering aangebracht

Hoe CRA Evidence helpt

CRA Evidence ondersteunt het conformiteitsbeoordelingsproces:

• Classificatiewizard: Bepaal uw productcategorie en de aanbevolen route
• Technisch dossierbuilder: Stel sectie voor sectie uw documentatie op
• SBOM-beheer: Zorg dat uw SBOM altijd klaar is voor een beoordeling
• Bewijzenrepository: Bewaar alle conformiteitsdocumenten op één plek

Start uw conformiteitsbeoordeling op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.