EU-conformiteitsverklaring onder de CRA: sjabloon en invulinstructies

Hoe u een EU-conformiteitsverklaring (DoC) opstelt voor CRA-compliance. Inclusief een volledig sjabloon, vereiste velden en veelgemaakte fouten.

CRA Evidence Team Gepubliceerd 18 januari 2026 Bijgewerkt 17 april 2026
EU-conformiteitsverklaring onder de CRA: sjabloon en invulinstructies
In dit artikel

De EU-conformiteitsverklaring (Declaration of Conformity – DoC) is het document waarmee u als fabrikant formeel verklaart dat uw product voldoet aan de CRA. Zonder een geldige DoC mag u de CE-markering niet aanbrengen en het product niet op de EU-markt brengen.

Deze gids biedt een compleet DoC-sjabloon en invulinstructies.

Samenvatting

  • DoC is verplicht voor alle producten die onder de CRA vallen
  • Moet worden opgesteld vóór marktplaatsing
  • Bevat: productidentificatie, conformiteitsverklaring, toegepaste normen, handtekening
  • Bewaren gedurende 10 jaar na het laatste product op de markt
  • Elektronisch of op papier – beide geldig

Wat de CRA vereist

Wettelijke basis

Artikel 13(17) en Bijlage V van de CRA vereisen dat fabrikanten:

  • Een DoC opstellen en bewaren
  • De DoC beschikbaar stellen aan markttoezichtautoriteiten
  • De CE-markering aanbrengen op basis van de DoC

Wat er in de DoC moet staan (Bijlage V)

VERPLICHTE INHOUD DoC (Bijlage V CRA)

1. NAAM EN ADRES FABRIKANT
   (en van de gemachtigde vertegenwoordiger indien van toepassing)

2. PRODUCTIDENTIFICATIE
   - Naam en model
   - Versie-/softwareversie
   - Serienummer of productidentificator

3. VERKLARING VAN EXCLUSIEVE VERANTWOORDELIJKHEID
   "De hiervoor beschreven verklaring van conformiteit
   wordt op uitsluitende verantwoordelijkheid van de
   fabrikant afgegeven."

4. ONDERWERP VAN DE VERKLARING
   Verwijzing naar de CRA en relevante bijlagen

5. CONFORMITEITSVERKLARING
   "Het hierboven beschreven product voldoet aan de
   relevante Uniewetgeving."

6. TOEGEPASTE NORMEN OF SPECIFICATIES
   Lijst van toegepaste geharmoniseerde normen

7. AANGEMELDE INSTANTIE (indien van toepassing)
   Naam, adres en certificaatnummer

8. AANVULLENDE INFORMATIE
   (optioneel)

9. HANDTEKENING
   Datum, naam en functie van bevoegd persoon

Volledig DoC-sjabloon

EU-CONFORMITEITSVERKLARING

Verordening (EU) 2024/2847 – Cyber Resilience Act

Nr.: [Documentnummer, bijv. DoC-2027-001] Datum: [Datum van ondertekening]

1. Fabrikant

Naam: [Volledige juridische naam van de organisatie]

Adres: [Straat, postcode, stad, land]

E-mail: [compliance@uwbedrijf.com]

Website: [https://uwbedrijf.com]

(Indien van toepassing) Gemachtigde EU-vertegenwoordiger: Naam: [naam vertegenwoordiger] Adres: [adres vertegenwoordiger, EU-land]

2. Product

Productnaam: [Officiële productnaam]

Handelsbenaming (indien anders): [optioneel]

Modelaanduiding: [Modelnummer/productcode]

Hardwareversie (indien van toepassing): [bijv. Rev. A, versie 2]

Softwareversie/firmware: [bijv. v2.4.1]

Beschrijving: [Korte functionele beschrijving van het product]

3. Verklaring van verantwoordelijkheid

De hiervoor beschreven verklaring van conformiteit wordt op de uitsluitende verantwoordelijkheid van de fabrikant afgegeven.

4. Onderwerp van de verklaring

Het bovenstaande product voldoet aan:

Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale cyberbeveiligingsvoorschriften voor producten met digitale elementen en tot wijziging van Verordening (EU) nr. 168/2013 en Richtlijn (EU) 2020/1828 (Cyber Resilience Act).

In het bijzonder aan de essentiële cyberbeveiligingseisen zoals opgenomen in Bijlage I van de Verordening.

5. Toegepaste normen en specificaties

De conformiteit is aangetoond op basis van:

Norm/specificatie Versie Toegepaste clausules
[bijv. ETSI EN 303 645] [v2.1.1] [Alle / specifiek vermelden]
[bijv. IEC 62443-4-2] [2019] [4.1, 4.2, 4.3]
[BSI TR-03183 Deel 2] [2.0] [SBOM-vereisten]

(Indien geen geharmoniseerde normen zijn toegepast, beschrijf de alternatieve methode:) [Optioneel: "Conformiteit is aangetoond door middel van [beschrijving van de methode]"]

6. Conformiteitsbeoordeling

Toegepaste beoordelingsmodule:

Module A – Interne productiecontrole (zelfbeoordeling) (Standaardproducten en Klasse I-producten met geharmoniseerde normen)

Module B+C – EU-typeonderzoek + productconformiteit (Klasse II-producten en Klasse I zonder volledige normen)

Module H – Volledig kwaliteitsborging (Alternatief voor Module B+C)

(Indien Module B+C of H:) Aangemelde instantie:

  • Naam: [naam aangemelde instantie]
  • Adres: [adres]
  • Aanmeldingsnummer: [NB-nummer]
  • Certificaatnummer (Module B): [certificaatnummer]
  • Datum certificaat: [datum]

7. CE-markering aangebracht

De CE-markering is aangebracht op: ☐ Het product ☐ De verpakking ☐ Het begeleidende document

8. Handtekening

Ondertekend namens: [Naam organisatie]

Naam: [Naam ondertekenaar]

Functie: [Functietitel, bijv. "Chief Compliance Officer", "Managing Director"]

Datum: [Datum ondertekening]

Handtekening: _______________________

Plaats: [Stad, land]

9. Bijlagen

De volgende documenten vormen een integrerend onderdeel van deze verklaring en zijn op verzoek beschikbaar:

  • Technisch dossier (Bijlage VII)
  • Risicobeoordelingsrapport
  • Testresultaten/rapporten
  • Software Bill of Materials (SBOM)
  • [Certificaat aangemelde instantie (indien van toepassing)]

Einde EU-conformiteitsverklaring

Invulinstructies per veld

Productidentificatie

PRODUCTIDENTIFICATIERICHTLIJNEN

PRODUCTNAAM:
- Gebruik de officiële commerciële naam
- Consistent met marketing en verpakking

MODELAANDUIDING:
- Gebruik de interne productcode/SKU
- Markttoezicht gebruikt dit om producten te traceren

SOFTWAREVERSIE:
- Vermeld de versie die van kracht is bij marktplaatsing
- Of "zie productlabel" als versie op product staat
- BELANGRIJK: Update DoC bij elke substantiële wijziging

HARDWAREVERSIE (indien relevant):
- Vermeld bij hardwareproducten
- Gebruik interne versienummering

Toegepaste normen

NORMENVERMELDING

GEHARMONISEERDE NORMEN (verwijzing in EU-publicatieblad):
→ Vermelding geeft presumptie van conformiteit voor gedekte eisen
→ Verwijzing moet omvatten: norm-ID, versie, publicatiereferentie OJEU

ANDERE NORMEN:
→ Vermeld ook niet-geharmoniseerde normen die u hebt toegepast
→ Dit toont uw beoordelingsaanpak aan

ALS GEEN NORMEN:
→ Beschrijf uw alternatieve methode
→ Wees specifiek over hoe u conformiteit hebt aangetoond
→ Verwijs naar interne documentatie in het technisch dossier

Handtekening

WIE ONDERTEKENT DE DoC?

VEREIST: Een persoon met bevoegdheid om de organisatie te binden

TYPISCHE FUNCTIES:
- CEO/Managing Director
- Chief Compliance Officer
- VP Engineering (indien bevoegd)
- Directeur Product Safety

NIET VEREIST MAAR AANBEVOLEN:
- Notariële bekrachtiging
- Digitale handtekening (maar wel geldig)
- Twee handtekeningen

ELEKTRONISCHE HANDTEKENING:
→ Geldig als het de identiteit van de ondertekenaar bewijst
→ Gekwalificeerde elektronische handtekening aanbevolen

Veelgemaakte fouten

Fout 1: DoC achteraf opstellen

Probleem: DoC ondertekend na marktplaatsing.

Oplossing: DoC moet vóór het eerste product dat de EU-markt bereikt worden ondertekend.

Fout 2: Onjuiste CRA-referentie

Probleem: Verwijzing naar verkeerde verordening of versie.

Oplossing: Gebruik altijd: "Verordening (EU) 2024/2847"

Fout 3: Productversie niet bijgewerkt

Probleem: DoC verwijst naar versie 1.0 maar product is op versie 2.3.

Oplossing: DoC bijwerken bij substantiële productwijzigingen. Bewaar versiegeschiedenis.

Fout 4: Onbevoegde ondertekenaar

Probleem: DoC ondertekend door medewerker zonder tekenbevoegdheid.

Oplossing: Controleer of de ondertekenaar gemachtigd is de organisatie juridisch te binden.

Fout 5: Ontbrekende aangemelde instantie-informatie

Probleem: Module B+C geselecteerd maar geen NB-gegevens vermeld.

Oplossing: Bij Module B+C altijd naam, adres, NB-nummer en certificaatnummer opnemen.

DoC-beheer

Bewaring en toegankelijkheid

DoC-BEWAARVEREISTEN

BEWAARPERIODE:
- 10 jaar na het laatste product op de markt
- Voorbeeld: Laatste verkoop in 2030 → bewaren tot 2040

FORMAAT:
- Elektronisch of papier (beide geldig)
- Beveiligd bewaren (niet overschrijfbaar)
- Back-up buiten kantoor

TOEGANKELIJKHEID:
- Op verzoek beschikbaar stellen aan:
  - Markttoezichtautoriteiten
  - Aangemelde instanties
  - Klanten (op verzoek)
- Reactietijd: doorgaans binnen 48 uur

PUBLICATIE:
- Niet verplicht openbaar te maken
- Maar aanbevolen: publiceer op productpagina
- Vergroot transparantie en vertrouwen

Wanneer de DoC bijwerken

DoC-UPDATETRIGGERS

VERPLICHT BIJWERKEN:
[ ] Substantiële productwijziging (nieuwe conformiteitsbeoordeling)
[ ] Gewijzigde conformiteitsbeoordelingsmodule
[ ] Nieuwe/gewijzigde aangemelde instantie
[ ] Nieuwe geharmoniseerde normen die worden toegepast
[ ] Correctie van onjuiste informatie

NIET NODIG:
[ ] Kleine software-updates (geen substantiële wijziging)
[ ] Beveiligingspatches (geen nieuwe risico's)
[ ] Cosmetische productwijzigingen
[ ] Adreswijziging fabrikant (update wel intern)

DoC voor meerdere producten

Eén DoC voor meerdere varianten

U kunt één DoC opstellen voor meerdere productvarianten als:

  • Ze dezelfde type-examina delen (Module B)
  • Ze dezelfde essentiële eisen op dezelfde manier vervullen
  • Ze hetzelfde technisch dossier delen
VOORBEELD MULTI-PRODUCT DoC

PRODUCT: SmartSense Pro
MODELLEN GEDEKT:
- SSP-3000 (standaard)
- SSP-3000-EU (EU-versie)
- SSP-3000-NL (Nederlandse versie)

ALLE BOVENSTAANDE MODELLEN VOLDOEN AAN
de essentiële eisen zoals vermeld in dit document.

Belangrijk: De DoC is uw formele juridische verklaring. Onjuiste informatie in de DoC is een overtreding van de CRA, zelfs als uw product technisch compliant is.

Tip: Publiceer uw DoC op uw productwebpagina. Dit vergroot het vertrouwen bij zakelijke klanten en vereenvoudigt hun eigen complianceverificatie.

Gerelateerde gidsen:

Veelgestelde vragen

Kan één conformiteitsverklaring producten dekken die in alle EU-lidstaten worden verkocht?

Hetzelfde document kan de hele EU dekken, maar moet worden vertaald in de taal of talen die vereist zijn door elke lidstaat waar het product in de handel wordt gebracht (artikel 28(2)). De kerninhoud is identiek; alleen de taalversie verschilt. Bewaar alle vertalingen in het technisch dossier.

Moet de CRA-conformiteitsverklaring worden gelegaliseerd of officieel gecertificeerd?

Nee. De DoC wordt ondertekend door de fabrikant of een gemachtigde vertegenwoordiger. Een handgeschreven handtekening of een gekwalificeerde elektronische handtekening (in de zin van Verordening (EU) 910/2014) is voldoende. Notariële legalisatie is niet vereist, tenzij een specifieke lidstaat dit voor markttoezichtdoeleinden vereist.

Wat gebeurt er als het markttoezicht een onvolledige of onjuiste DoC constateert?

Sancties op grond van artikel 64 kunnen oplopen tot 10 miljoen euro of 2 % van de wereldwijde jaaromzet voor een niet-conforme of onjuiste DoC (schending van artikel 28). In Nederland speelt het NCSC-NL (Nationaal Cyber Security Centrum) een centrale rol bij de cybersecurityhandhaving voor producten. Markttoezichtautoriteiten kunnen corrigerende maatregelen eisen en, in ernstige gevallen, producten van de markt halen.

Kan een softwareproduct de vereenvoudigde EU-conformiteitsverklaring gebruiken in plaats van het volledige Bijlage V-document?

Ja. Artikel 13(20) staat fabrikanten toe om alleen de vereenvoudigde EU-conformiteitsverklaring (Bijlage VI) bij het product te voegen, mits het volledige Bijlage V-document openbaar toegankelijk is op een stabiel URL. De vereenvoudigde vorm bestaat uit twee zinnen: de conformiteitsverklaring van de fabrikant en het URL. Het volledige Bijlage V-document moet blijven bestaan en op verzoek beschikbaar zijn voor autoriteiten.

Hoe lang moet de CRA-conformiteitsverklaring worden bewaard?

Ten minste 10 jaar na het in de handel brengen van het product, of gedurende de duur van de ondersteuningsperiode, afhankelijk van welke langer is (artikel 13(13)). Voor een product met een ondersteuningsperiode van 15 jaar moeten de DoC en het technisch dossier 15 jaar worden bewaard.

Wie is bevoegd om de CRA-conformiteitsverklaring te ondertekenen?

De fabrikant, of een gemachtigde vertegenwoordiger gevestigd in de EU als de fabrikant geen EU-vestiging heeft. De ondertekenaar moet bevoegd zijn om de fabrikant juridisch te binden: doorgaans een CEO, directeur of hoofd Regulatory Affairs. Een importeur of distributeur kan niet tekenen tenzij hij fabrikant is geworden door een substantiële wijziging aan het product aan te brengen.

Volgende stappen

CRA-compliance beheren voor meerdere producten? CRA Evidence beheert versies van conformiteitsverklaringen, host DoC's op stabiele URL's en registreert de 10-jaar bewaartermijn vereist door artikel 13(13).

Na ondertekening hoort de DoC in uw technisch dossier naast testrapporten en de SBOM. Zie de Gids voor het CRA-technisch dossier (Bijlage VII) voor de overige vereisten. Raadpleeg de Beslissingsgids conformiteitsbeoordeling CRA om te bevestigen welke module van toepassing is voordat u de DoC opstelt. De Productclassificatiegids CRA bepaalt of uw product Default, Belangrijk of Kritiek is.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.

CRA CE-markering Conformiteit
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
Productclassificatie

Hoe de CRA producten indeelt op risiconiveau en wat elke categorie betekent voor de verplichtingen.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
View full CRA compliance guide