CRA-conformiteitsverklaring: sjabloon en stapsgewijze invulgids
Zo stelt u een conforme EU-conformiteitsverklaring op voor de CRA. Inclusief kant-en-klaar sjabloon, checklist met vereiste elementen en veelgemaakte fouten.
In dit artikel
- Samenvatting
- Wat is de EU-conformiteitsverklaring?
- Wat vereist de CRA in de DoC?
- Volledig DoC-sjabloon
- Sectie voor sectie: invulinstructies
- Wanneer moet de CE-markering worden aangebracht ten opzichte van de DoC?
- Moet de DoC worden vertaald?
- Heeft elk productmodel of elke versie een eigen DoC nodig?
- Distributie van de DoC
- Vereenvoudigde EU-conformiteitsverklaring
- Veelgemaakte fouten
- Checklist voor DoC-voorbereiding
- Sjabloonvarianten
- Bewaarplicht
- Veelgestelde vragen
- Volgende stappen
Elk product met digitale elementen heeft een EU-conformiteitsverklaring nodig voordat het wettelijk de CE-markering mag dragen. De DoC is uw formele verklaring dat het product voldoet aan de CRA-vereisten. U bent juridisch verantwoordelijk voor de juistheid ervan.
Deze gids bevat een compleet sjabloon en legt elk vereist element uit.
Samenvatting
- De EU-conformiteitsverklaring (DoC) is verplicht voor alle CRA-producten en moet er zijn vóór marktplaatsing.
- Moet worden ondertekend door de fabrikant of een in de EU gevestigde gemachtigde vertegenwoordiger.
- De vereiste elementen staan in CRA artikel 28 en bijlage V.
- Moet beschikbaar zijn in de taal (talen) die elke lidstaat vereist waar het product wordt verkocht (artikel 28(2)).
- Minimaal 10 jaar bewaren na marktplaatsing, of zolang de ondersteuningsperiode duurt als die langer is (artikel 13(13)).
- Een substantiële wijziging vereist een nieuwe DoC, opgesteld door degene die de wijziging doorvoerde.
- Hieronder vindt u een sjabloon. Pas het aan voor uw product.
Belangrijk: Een DoC ondertekenen zonder een afgeronde conformiteitsbeoordeling schendt zowel artikel 13 (tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet) als artikel 28 (tot 10 miljoen euro of 2% van de wereldwijde jaaromzet).
Tip: Neem de ondersteuningsperiode (minimaal 5 jaar) en het contactpunt voor kwetsbaarheden op in uw DoC. Dit is niet verplicht volgens bijlage V, maar verhoogt de regulatoire transparantie.
Wat is de EU-conformiteitsverklaring?
De EU-conformiteitsverklaring is een formeel juridisch document waarin de fabrikant verklaart dat een product voldoet aan de toepasselijke EU-wetgeving. Ze is verplicht voor alle producten met digitale elementen voordat ze de CE-markering mogen dragen. Voor CRA-producten moet ze vermelden dat:
- Het product voldoet aan de essentiële cyberbeveiligingsvereisten (bijlage I).
- De conformiteitsbeoordeling is afgerond.
- De fabrikant de juridische verantwoordelijkheid draagt.
Zonder een ondertekende DoC mag uw product geen CE-markering dragen en niet legaal op de EU-markt worden gebracht.
Wat vereist de CRA in de DoC?
Wettelijke basis
Artikel 28 van de CRA specificeert de DoC-vereisten en verwijst naar de structuur in bijlage V. De DoC moet:
- Zijn opgesteld voordat het product op de markt wordt gebracht (artikel 13(12)).
- Waar nodig worden bijgewerkt wanneer het product of de conformiteitsstatus verandert (artikel 28(2)).
- Beschikbaar zijn in de vereiste taal (talen) van elke lidstaat waar het product wordt gebracht (artikel 28(2)).
- Minimaal 10 jaar na marktplaatsing worden bewaard, of zolang de ondersteuningsperiode duurt als die langer is (artikel 13(13)).
Let op: Artikel 28(3) staat fabrikanten die onder meerdere EU-verordeningen vallen toe om één gecombineerde DoC op te stellen die alle toepasselijke regelingen dekt. Zie de sjabloonvariant "Meerdere regelingen" hieronder.
Vereiste elementen
| # | Element | Wat opnemen | Bron |
|---|---|---|---|
| 1 | Datum van afgifte | Datum waarop u de verklaring ondertekent. Moet liggen na afronding van de conformiteitsbeoordeling. | Bijlage V, punt 1 |
| 2 | Identificatie van de fabrikant | Volledige juridische naam, postadres, contactgegevens. | Bijlage V, punt 2 |
| 3 | Verklaring onder uitsluitende verantwoordelijkheid | Exacte formulering: "Deze EU-conformiteitsverklaring wordt verstrekt onder de uitsluitende verantwoordelijkheid van de aanbieder". | Bijlage V, punt 3 |
| 4 | Productidentificatie | Naam, type, model, partij- of serienummer; optionele foto waar passend. | Bijlage V, punt 4 |
| 5 | Conformiteitsverklaring | Bevestig dat het product in overeenstemming is met Verordening (EU) 2024/2847. | Bijlage V, punt 5 |
| 6 | Toegepaste normen en certificeringen | Geharmoniseerde normen waarop u zich baseert; eventueel gebruikte Europese cyberbeveiligingscertificaten. | Bijlage V, punt 6 |
| 7 | Gegevens aangemelde instantie | Naam, nummer en certificaatreferentie. Alleen vereist wanneer een module voor beoordeling door derden is gebruikt. | Bijlage V, punt 7 |
| 8 | Handtekening | Volledige naam, functie, plaats, datum; handgeschreven of gekwalificeerde elektronische handtekening. | Bijlage V, punt 8 |
Let op: Een verklaringsnummer is niet verplicht volgens bijlage V, maar sterk aanbevolen voor versiebeheer en interne tracering.
Volledig DoC-sjabloon
Gebruik dit als startpunt. Pas de delen tussen haken aan voor uw product.
Let op: Sectie 3 van het sjabloon bevat een wettelijk verplichte letterlijke zin (bijlage V, punt 3). Niet parafraseren:
"Deze EU-conformiteitsverklaring wordt verstrekt onder de uitsluitende verantwoordelijkheid van de aanbieder."
═══════════════════════════════════════════════════════════════
EU DECLARATION OF CONFORMITY
(Cyber Resilience Act)
═══════════════════════════════════════════════════════════════
Declaration No.: [DoC-PRODUCT-YYYY-NNN]
Date of Issue: [DD Month YYYY]
---------------------------------------------------------------
1. MANUFACTURER
---------------------------------------------------------------
Name: [Company Legal Name]
Address: [Street Address]
[Postal Code, City]
[Country]
Contact: [Email / Phone]
Website: [URL]
---------------------------------------------------------------
2. PRODUCT IDENTIFICATION
---------------------------------------------------------------
Product Name: [Product Name]
Model/Type: [Model Number / Type Designation]
Hardware Ver: [Hardware Version, if applicable]
Software Ver: [Software/Firmware Version]
Batch/Serial: [Batch number range or serial number format]
Product Photo: [Optional photograph for traceability, where appropriate]
Product Description:
[Brief description of the product and its intended purpose,
sufficient to identify the product unambiguously]
---------------------------------------------------------------
3. DECLARATION
---------------------------------------------------------------
Deze EU-conformiteitsverklaring wordt verstrekt onder de
uitsluitende verantwoordelijkheid van de aanbieder.
The object of the declaration described above is in conformity
with the relevant Union harmonisation legislation:
• Regulation (EU) 2024/2847 of the European Parliament
and of the Council of 23 October 2024 on horizontal
cybersecurity requirements for products with digital
elements (Cyber Resilience Act)
[• Additional applicable legislation, e.g.:
• Directive 2014/53/EU (Radio Equipment Directive)
• Regulation (EU) 2023/1230 (Machinery Regulation)
• etc.]
---------------------------------------------------------------
4. CONFORMITY ASSESSMENT
---------------------------------------------------------------
Conformity assessment procedure applied:
[Choose one:]
☐ Module A (Internal Production Control)
Based on Annex VIII of Regulation (EU) 2024/2847
☐ Module B + C (EU-Type Examination + Conformity to Type)
Based on Annex VIII of Regulation (EU) 2024/2847
Notified Body: [Name], No. [XXXX]
EU-Type Examination Certificate: [Certificate Number]
Date: [Certificate Date]
☐ Module H (Full Quality Assurance)
Based on Annex VIII of Regulation (EU) 2024/2847
Notified Body: [Name], No. [XXXX]
QA System Certificate: [Certificate Number]
Date: [Certificate Date]
☐ European Cybersecurity Certification Scheme (Article 27(9))
Certificate issued under a scheme adopted pursuant to
Regulation (EU) 2019/881 (Cybersecurity Act)
Certification scheme: [Name]
Certificate number: [Number]
Assurance level: [Substantial / High]
---------------------------------------------------------------
5. STANDARDS AND SPECIFICATIONS APPLIED
---------------------------------------------------------------
Harmonised standards applied:
[List all harmonised standards used, with full references]
• EN [XXXXX]:20XX - [Standard Title]
• EN [XXXXX]:20XX - [Standard Title]
Other technical specifications applied:
[List any other standards or specifications used]
• ISO/IEC [XXXXX]:20XX - [Standard Title]
• [Other specifications]
Cybersecurity certifications applied (if applicable):
[List any European cybersecurity certificates per Annex V item 6]
• [Certification scheme name - Certificate reference]
---------------------------------------------------------------
6. ADDITIONAL INFORMATION (CRA-Specific)
---------------------------------------------------------------
Support Period:
Security updates will be provided until: [DD Month YYYY]
(Minimum 5 years from date of market placement)
First EU Market Placement: [DD Month YYYY]
Cybersecurity Contact:
For vulnerability reports and security inquiries:
Email: [security@company.com]
Web: [https://company.com/security]
security.txt: [https://company.com/.well-known/security.txt]
Technical Documentation:
Technical documentation is available upon request to
competent authorities at the address above.
---------------------------------------------------------------
7. SIGNATURE
---------------------------------------------------------------
Signed for and on behalf of:
[Company Legal Name]
_________________________________
[Full Name]
[Title/Function]
Place: [City, Country]
Date: [DD Month YYYY]
═══════════════════════════════════════════════════════════════
END OF DECLARATION
═══════════════════════════════════════════════════════════════
Sectie voor sectie: invulinstructies
1. Documentidentificatie
Verklaringsnummer: Niet verplicht volgens bijlage V, maar sterk aanbevolen als goede praktijk voor versiebeheer en interne tracering. Aanbevolen format:
DoC-[ProductCode]-[Jaar]-[Volgnummer]- Voorbeeld:
DoC-SSP3000-2027-001
Datum van afgifte: De datum waarop u de verklaring ondertekent. Moet liggen na afronding van de conformiteitsbeoordeling.
2. Identificatie van de fabrikant
Wie ondertekent de DoC?
- De fabrikant: de entiteit die het product ontwerpt, produceert of onder eigen naam op de markt brengt.
- OF een gemachtigde vertegenwoordiger gevestigd in de EU, handelend op basis van een schriftelijk mandaat.
Als de fabrikant geen vestiging in de EU heeft, is het aanwijzen van een gemachtigde vertegenwoordiger verplicht. Voeg toe:
Authorized Representative: [Name, Address]
acting on behalf of: [Manufacturer Name, Address]
3. Productidentificatie
Wees specifiek genoeg voor tracering:
- Vermeld modelnummers, niet alleen productnamen.
- Specificeer versienummers voor hardware en software apart.
- Geef het bereik van partij- of serienummers aan.
Voorbeeld:
Product Name: SmartSense Pro Industrial Sensor
Model/Type: SSP-3000
Hardware Ver: Rev C (PCB v3.2)
Software Ver: Firmware 2.4.1
Batch/Serial: Serial numbers SSP3K-2027-XXXXXX
4. Conformiteitsbeoordeling
Welke module u moet gebruiken hangt af van de classificatie van uw product. Gebruik deze tabel om u te oriënteren:
| Module | Wanneer van toepassing | Aangemelde instantie? |
|---|---|---|
| Module A (interne productiecontrole) | Standaardproducten; Klasse I met geharmoniseerde normen. | Nee |
| Module B+C (EU-typeonderzoek) | Alle producten; verplicht voor Klasse II (tenzij H); verplicht voor Klasse I zonder geharmoniseerde normen. | Ja |
| Module H (volledige kwaliteitsborging) | Alle producten; alternatief voor B+C voor Klasse I en II. | Ja |
| EUCC / cyberbeveiligingsregeling | Producten met een Europees cyberbeveiligingscertificaat op betrouwbaarheidsniveau ≥ substantieel (artikel 27(9)). | Geen aanvullende beoordeling door derden vereist. |
Let op: Voor kritieke producten (bijlage IV) moet het EU-typeonderzoek worden uitgevoerd door een gespecialiseerde aangemelde instantie. Zie de CRA-gids conformiteitsbeoordeling voor de volledige routeringslogica.
Gebruik dit stroomschema om uw pad te bepalen:
flowchart TD
A["What is your product class?"] --> B["Default\n(not Annex III/IV)"]
A --> C["Class I\n(Annex III)"]
A --> D["Class II\n(Annex III)"]
A --> E["Critical\n(Annex IV)"]
B --> F["Module A, B+C, or H\nyour choice"]
C --> G{"Harmonized standards\nfully applied?"}
G -->|Yes| H["Module A available\nor B+C / H"]
G -->|No| I["Module B+C or H\nNotified Body required"]
D --> J["Module B+C or H\nNotified Body required"]
E --> K["EU-type examination\nspecialised Notified Body"]
5. Toegepaste normen
Geharmoniseerde normen:
- Normen gepubliceerd in het Publicatieblad van de EU.
- Creëren een vermoeden van conformiteit voor de eisen die ze dekken.
- Neem de volledige referentie op: nummer, jaar, titel.
Format:
EN 303 645:2020 - Cyber Security for Consumer Internet of Things: Baseline Requirements
Als er geen geharmoniseerde normen bestaan: Vermeld: "No harmonised standards applied. Conformity demonstrated through [describe approach]."
Cyberbeveiligingscertificeringen (bijlage V, punt 6): Als bij de conformiteitsbeoordeling een Europees cyberbeveiligingscertificaat is gebruikt, vermeld dit hier met de naam van de regeling en het certificaatreferentienummer.
6. CRA-specifieke aanvullende informatie
Deze sectie is niet verplicht volgens bijlage V, maar opname ervan verhoogt de regulatoire transparantie:
Ondersteuningsperiode: Vermeld wanneer de beveiligingsupdates eindigen. Minimaal 5 jaar vanaf marktplaatsing (artikel 13(8)).
Contactpunt cyberbeveiliging: Waar kwetsbaarheidsmeldingen naartoe gestuurd moeten worden, inclusief verwijzing naar uw security.txt-bestand.
Let op: De einddatum van de ondersteuningsperiode moet ook worden vermeld op het verkooppunt op grond van artikel 13(19). Opname in de DoC is goede praktijk, maar vervangt niet de communicatie op het verkooppunt.
7. Handtekening
Wie mag ondertekenen:
- Een persoon bevoegd om de fabrikant juridisch te binden.
- Doorgaans: CEO, directeur, kwaliteitsmanager of hoofd regulatoire zaken.
Vereisten:
- Volledige naam en functie.
- Plaats en datum (de datum moet liggen na afronding van de beoordeling).
- Handgeschreven handtekening of een gekwalificeerde elektronische handtekening.
Wanneer moet de CE-markering worden aangebracht ten opzichte van de DoC?
Voor fysieke producten brengt u de CE-markering zichtbaar, leesbaar en onuitwisbaar aan op het product voordat u het op de markt brengt (artikel 30(1)).
Voor zuivere softwareproducten (artikel 30(3)) wordt de CE-markering aangebracht op:
- Direct op de EU-conformiteitsverklaring, of
- Op de website van het product, in een sectie die eenvoudig en direct toegankelijk is voor gebruikers.
Let op: De CE-markering moet worden aangebracht voordat het product op de markt wordt gebracht, niet daarna. Zorg er bij softwareproducten voor dat de DoC of websitesectie live staat voordat de distributie begint.
Moet de DoC worden vertaald?
Ja. Artikel 28(2) vereist dat de DoC beschikbaar wordt gesteld in de taal (talen) die elke lidstaat verlangt waar het product op de markt wordt gebracht.
In de praktijk:
- Verkoop alleen in Duitsland: een Duitse DoC is vereist.
- Verkoop in de hele EU: u heeft meerdere taalversies nodig.
- Bewaar alle taalversies in het technisch dossier.
De vereenvoudigde EU-DoC (bijlage VI) en de URL naar de volledige DoC moeten eveneens in de vereiste taal (talen) zijn. De URL zelf moet stabiel en toegankelijk blijven.
Heeft elk productmodel of elke versie een eigen DoC nodig?
Eén DoC per producttype
Elk afzonderlijk productmodel of -type heeft in principe een eigen DoC nodig.
Kan onder één DoC vallen wanneer:
- Producten varianten zijn van hetzelfde type.
- Dezelfde conformiteitsbeoordeling voor alle varianten geldt.
- Dezelfde normen zijn toegepast.
Voorbeeld:
Product Name: SmartSense Pro Industrial Sensor
Model/Type: SSP-3000 (all variants)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
Wanneer vereist een wijziging een nieuwe DoC?
Waarschuwing: Een substantiële wijziging (elke wijziging die de conformiteit van het product met de essentiële CRA-vereisten uit bijlage I, deel I, raakt, of die het beoogde gebruik van het product verandert) vereist verplicht een nieuwe DoC (artikel 28). Wie de substantiële wijziging doorvoert, wordt de fabrikant van het gewijzigde product en moet de nieuwe DoC opstellen. Dit geldt evenzeer voor de oorspronkelijke fabrikant die grote updates uitbrengt als voor een derde partij die het product wijzigt en doorverkoopt.
| Scenario | Nieuwe DoC vereist? |
|---|---|
| Nieuwe hardwareversie die de beveiligingskenmerken beïnvloedt. | Ja, substantiële wijziging. |
| Firmware-update die nieuwe interfaces of nieuwe dreigingsvectoren introduceert. | Ja, gewijzigd risicoprofiel. |
| Firmware-update die het beoogde gebruik verandert. | Ja, substantiële wijziging. |
| Beveiligingspatch (zelfde architectuur, geen nieuw risico, vermindert CVE's). | Per geval bekijken |
| Wijziging in toegepaste geharmoniseerde normen of certificaat conformiteitsbeoordeling. | Ja |
| Cosmetische, puur documentaire of lokalisatie-wijziging. | Nee |
| Derde partij wijzigt het product substantieel en brengt het op de markt. | Ja, de derde partij stelt de nieuwe DoC op als de nieuwe fabrikant. |
Voor iteratieve software-releases van de fabrikant zelf: als de update geen substantiële wijziging is, blijft de bestaande DoC geldig. U moet dit aan markttoezichtautoriteiten kunnen aantonen. Het uitvoeren van een cyberbeveiligingsrisicobeoordeling volgens artikel 13(2) is het expliciete mechanisme dat de richtsnoeren hiervoor aanbevelen.
Distributie van de DoC
Bij het product (artikel 13(20)): Artikel 13(20) vereist dat u één van beide verstrekt:
- De volledige DoC volgens bijlage V, of
- Een vereenvoudigde EU-DoC met het exacte internetadres waar de volledige DoC te vinden is.
U hoeft niet beide op te nemen.
Op verzoek:
- Moet worden verstrekt aan markttoezichtautoriteiten.
- Moet op verzoek aan klanten worden verstrekt.
Vereenvoudigde EU-conformiteitsverklaring
Artikel 13(20) staat fabrikanten toe om een vereenvoudigde EU-conformiteitsverklaring met het product mee te leveren in plaats van het volledige document van bijlage V. Het vereenvoudigde formulier is gedefinieerd in bijlage VI en bestaat uit precies twee zinnen:
Hereby, [name of manufacturer] declares that the product with digital elements
type [designation] is in compliance with Regulation (EU) 2024/2847.
The full text of the EU declaration of conformity is available at the
following internet address: [URL]
Dit is vooral nuttig voor:
- Softwareproducten waarbij het praktisch onhaalbaar is om een volledig juridisch document bij elke distributie te leveren.
- Hardwareproducten met beperkte verpakkingsruimte.
- Elk product waarvan de volledige DoC online wordt gepubliceerd.
Vereisten:
- De volledige DoC van bijlage V moet bestaan en publiek toegankelijk zijn op de aangegeven URL.
- De vereenvoudigde verklaring moet de URL bevatten (artikel 13(20)).
- De volledige DoC blijft verplicht in het technisch dossier en voor verzoeken van autoriteiten.
Goede praktijken voor de URL:
- Gebruik een stabiele URL. Wijzig deze niet nadat producten zijn gedistribueerd.
- Toegankelijk zonder registratie of inloggen.
- De pagina moet het downloaden of afdrukken van de DoC mogelijk maken.
Veelgemaakte fouten
| Fout | Waarom het belangrijk is | Oplossing |
|---|---|---|
| Ontbrekende verplichte elementen (bijvoorbeeld geen conformiteitsmodule vermeld). | DoC is niet-conform. | Gebruik de checklist vóór ondertekening; controleer elk element van bijlage V. |
| Verkeerde entiteit tekent (importeur of distributeur tekent in plaats van de fabrikant). | DoC is juridisch ongeldig. | Alleen de fabrikant (of gemachtigd vertegenwoordiger met mandaat) mag tekenen. |
| Verouderde normreferenties (ingetrokken of vervangen normen vermeld). | Vermoeden van conformiteit gaat verloren. | Beoordeel toegepaste normen regelmatig; werk de DoC bij wanneer normen wijzigen. |
| Geen versiebeheer (meerdere DoC-versies zonder duidelijke actuele versie). | Audit- en handhavingsrisico. | Wijs verklaringsnummers toe; archiveer vervangen versies. |
| Ondertekenen vóór afronding beoordeling (DoC gedateerd vóór einde conformiteitsactiviteiten). | Schendt artikel 28. | Rond eerst alle beoordelingsactiviteiten af; de DoC-datum moet daarop volgen. |
| Verkeerde taal (DoC alleen in het Engels bij verkoop in een niet-Engelstalige lidstaat). | Niet-conform voor die markt. | Vertaal de DoC naar de vereiste taal van elke lidstaat (artikel 28(2)). |
| Geen update na substantiële wijziging (oorspronkelijke DoC nog in gebruik na materiële wijziging). | DoC dekt een versie waarvoor hij nooit werd beoordeeld. | Stel een nieuwe DoC op zodra er een substantiële wijziging plaatsvindt. |
Checklist voor DoC-voorbereiding
Vóór het opstellen
| Onderdeel | Status |
|---|---|
| Conformiteitsbeoordeling afgerond | ☐ |
| Testrapporten beschikbaar | ☐ |
| Technisch dossier voorbereid | ☐ |
| Lijst met normen definitief | ☐ |
| Ondersteuningsperiode bepaald | ☐ |
| Taalvereisten bevestigd voor alle doellidstaten | ☐ |
Documentinhoud
| Onderdeel | Status |
|---|---|
| Uniek verklaringsnummer toegewezen | ☐ |
| Naam en adres fabrikant correct | ☐ |
| Product volledig geïdentificeerd (model, versie, partij/serie) | ☐ |
| CRA correct aangehaald: "Regulation (EU) 2024/2847" | ☐ |
| Andere toepasselijke wetgeving vermeld (indien van toepassing) | ☐ |
| Module conformiteitsbeoordeling vermeld | ☐ |
| Gegevens aangemelde instantie opgenomen (indien van toepassing) | ☐ |
| Alle toegepaste normen met volledige referenties opgenomen | ☐ |
| Einddatum ondersteuningsperiode opgenomen | ☐ |
| Contactgegevens beveiliging opgenomen | ☐ |
Handtekening
| Onderdeel | Status |
|---|---|
| Ondertekenaar is bevoegd de fabrikant te binden | ☐ |
| Volledige naam en functie vermeld | ☐ |
| Plaats en datum vermeld (datum na afronding beoordeling) | ☐ |
| Handtekening aanwezig (handgeschreven of gekwalificeerd elektronisch) | ☐ |
Distributie
| Onderdeel | Status |
|---|---|
| Kopie begeleidt het product (fysiek of digitale link) | ☐ |
| Kopie in technisch dossier | ☐ |
| Beschikbaar voor verzoeken van autoriteiten | ☐ |
| Versies bijgehouden en gearchiveerd | ☐ |
| Taalversies voorbereid voor alle doellidstaten | ☐ |
| CE-markering aangebracht vóór distributie | ☐ |
Sjabloonvarianten
Voor module A (zelfbeoordeling)
4. CONFORMITY ASSESSMENT
Conformity assessment procedure applied:
☑ Module A (Internal Production Control)
Based on Annex VIII of Regulation (EU) 2024/2847
The manufacturer has verified that the product meets
the essential requirements through internal assessment
documented in the technical file.
Voor module B+C (derde partij)
4. CONFORMITY ASSESSMENT
Conformity assessment procedure applied:
☑ Module B + C (EU-Type Examination + Conformity to Type)
Based on Annex VIII of Regulation (EU) 2024/2847
EU-Type Examination performed by:
Notified Body: TÜV Rheinland LGA Products GmbH
Notified Body Number: 0197
Certificate Number: EU-TYPE-2027-12345
Certificate Date: 15 January 2027
The manufacturer ensures production conformity to the
certified type (Module C) through internal production
controls.
Voor meerdere regelingen (artikel 28(3))
Wanneer een product onder zowel de CRA als andere EU-wetgeving valt, is één gecombineerde DoC toegestaan op grond van artikel 28(3):
3. DECLARATION
The object of the declaration described above is in conformity
with the relevant Union harmonisation legislation:
• Regulation (EU) 2024/2847 (Cyber Resilience Act)
• Directive 2014/53/EU (Radio Equipment Directive)
Notified Body: [Name], No. [XXXX]
Certificate: [Number]
• Directive 2014/35/EU (Low Voltage Directive)
Bewaarplicht
| Wat bewaren | Bewaartermijn | Waar |
|---|---|---|
| Ondertekende DoC (of gewaarmerkte kopie) | 10 jaar na marktplaatsing, of zolang de ondersteuningsperiode duurt indien langer (artikel 13(13)). | Technisch dossier; op verzoek toegankelijk voor autoriteiten. |
| Versiegeschiedenis en vervangen DoC's | Samen met de actuele DoC. | Technisch dossier. |
| Ondersteunende documentatie waarnaar in de DoC wordt verwezen | Samen met de DoC. | Technisch dossier. |
Veelgestelde vragen
Kan één conformiteitsverklaring producten in alle EU-lidstaten dekken?
Hetzelfde DoC-document kan de hele EU dekken, maar het moet worden vertaald naar de taal (talen) die elke lidstaat verlangt waar het product wordt gebracht (artikel 28(2)). De kerninhoud is identiek; alleen de taalversie verandert. Bewaar alle vertalingen in het technisch dossier.
Moet de CRA-conformiteitsverklaring notarieel of officieel worden gewaarmerkt?
Nee. De DoC wordt ondertekend door de fabrikant of een gemachtigde vertegenwoordiger. Een handgeschreven handtekening of een gekwalificeerde elektronische handtekening (zoals gedefinieerd in Verordening (EU) 910/2014) volstaat. Geen notariële bekrachtiging, apostille of certificering door derden van het document zelf is vereist, tenzij een specifieke lidstaat dit verlangt voor markttoezichtdoeleinden.
Wat gebeurt er als markttoezicht vaststelt dat de DoC onvolledig of onnauwkeurig is?
Sancties op grond van artikel 64 kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor een niet-conforme of onjuiste DoC (schending artikel 28). Markttoezichtautoriteiten kunnen corrigerende maatregelen eisen en, in ernstige gevallen, producten beperken of terugroepen. De DoC moet op verzoek ter inspectie beschikbaar zijn: geen DoC of een onvolledige DoC blijft niet onopgemerkt zodra audits beginnen.
Kan een softwareproduct de vereenvoudigde EU-DoC gebruiken in plaats van het volledige document van bijlage V?
Ja. Artikel 13(20) staat fabrikanten toe om alleen de vereenvoudigde EU-conformiteitsverklaring (bijlage VI) bij het product te leveren, mits het volledige document van bijlage V publiek toegankelijk is op een stabiele URL. Het vereenvoudigde formulier bestaat uit twee zinnen: de conformiteitsverklaring van de fabrikant en de URL. De volledige DoC van bijlage V moet nog steeds bestaan en op verzoek beschikbaar zijn voor autoriteiten.
Hoe lang moet de CRA-conformiteitsverklaring worden bewaard?
Minimaal 10 jaar nadat het product op de markt is gebracht, of zolang de ondersteuningsperiode duurt indien langer (artikel 13(13)). Voor een product met een ondersteuningsperiode van 15 jaar moeten de DoC en het technisch dossier 15 jaar worden bewaard.
Wie mag de CRA-conformiteitsverklaring ondertekenen?
De fabrikant, of een in de EU gevestigde gemachtigde vertegenwoordiger indien de fabrikant geen EU-vestiging heeft. De ondertekenaar moet bevoegd zijn om de fabrikant juridisch te binden: doorgaans een CEO, algemeen directeur of directeur regulatoire zaken. Een importeur of distributeur mag niet tekenen, tenzij hij de fabrikant is geworden door een substantiële wijziging aan het product door te voeren.
Volgende stappen
- Classificeer het product (standaard, belangrijk Klasse I/II of kritiek) met de CRA-gids productclassificatie.
- Bevestig de module voor conformiteitsbeoordeling met de CRA-gids conformiteitsbeoordeling.
- Rond de conformiteitsbeoordeling af en verzamel alle testrapporten voordat u de DoC opstelt.
- Stel de DoC op vanuit bovenstaand sjabloon. Wijs een verklaringsnummer toe en controleer elk element van bijlage V.
- Vertaal de DoC naar de taal (talen) die elke lidstaat van plaatsing verlangt (artikel 28(2)).
- Onderteken en dateer na afronding van de beoordeling. Breng de CE-markering aan vóór marktplaatsing.
- Archiveer de ondertekende DoC in het technisch dossier, samen met testrapporten en de SBOM. Zie CRA-technisch dossier (bijlage VII): volledige gids.
- Publiceer de volledige DoC op een stabiele URL als u de vereenvoudigde vorm van bijlage VI bij het product wilt meeleveren.
- Bewaar de DoC 10 jaar na marktplaatsing, of zolang de ondersteuningsperiode duurt indien langer (artikel 13(13)).
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Voor specifieke compliance-begeleiding dient u een gekwalificeerd juridisch adviseur te raadplegen.
Gerelateerde artikelen
Is de CRA van toepassing op uw product?
Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.
Klaar om CRA-conformiteit te bereiken?
Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.