CRA-productclassificatie: is uw product Standaard, Belangrijk of Kritisch?

De CRA deelt elk product met digitale elementen in een van vier niveaus in. Uw niveau bepaalt of u zichzelf kunt certificeren of een aangemelde instantie nodig heeft. Doorloop de lijsten in Bijlage III en IV om erachter te komen.

CRA Evidence Team Gepubliceerd 14 februari 2026 Bijgewerkt 27 april 2026
CRA-productclassificatie: is uw product Standaard, Belangrijk of Kritisch?
In dit artikel

Uw CRA-conformiteitsbeoordelingsroute hangt af van uw productclassificatie. "Belangrijke" en "Kritische" producten vereisen verplichte beoordeling door derden. "Standaard"-producten kunnen zichzelf certificeren.

Samenvatting

  • De CRA definieert vier categorieën: Standaard, Belangrijk Klasse I, Belangrijk Klasse II, Kritisch
  • Standaard: zelfbeoordeling (Module A) toegestaan
  • Belangrijk Klasse I: beoordeling door derde partij, tenzij geharmoniseerde normen volledig worden gevolgd
  • Belangrijk Klasse II en Kritisch: verplichte beoordeling door derde partij
  • Classificatie is gebaseerd op productfunctie en risico, niet op marktsector
  • Bij twijfel, kies voor hogere classificatie (veiliger bij handhaving)

Tip: Ongeveer 90% van de producten valt in de categorie Standaard. Controleer Bijlage III en IV eerst – als uw product niet staat vermeld, is het Standaard.

CRA-productclassificatie beslisboom: Standaard, Belangrijk Klasse I/II en Kritische categorieën

Wat zijn de vier CRA-productcategorieën?

De CRA classificeert producten met digitale elementen in vier niveaus op basis van cyberbeveiligingsrisico:

Overzicht van CRA-productcategorieën: Standaard, Belangrijk Klasse I/II en Kritiek met conformiteitsroutes

Standaard producten

De grote meerderheid van producten valt hier. Als uw product niet specifiek in Bijlage III of IV staat vermeld, is het "Standaard."

Conformiteitsbeoordeling: Zelfbeoordeling (Module A) volstaat.

Voorbeelden:

  • Eenvoudige IoT-sensoren
  • Standaard consumentenelektronica
  • Standaard bedrijfssoftware
  • Algemene toepassingen
  • Niet-genetwerkte embedded apparaten

Belangrijk Klasse I (Bijlage III, Deel I)

Producten met verhoogd risico vanwege hun functie of gebruikersbasis.

Conformiteitsbeoordeling: Zelfbeoordeling toegestaan ALS relevante geharmoniseerde normen volledig worden toegepast. Anders is beoordeling door derde partij vereist.

Volledige lijst uit Bijlage III, Deel I:

  1. Identiteitsbeheer- en geprivilegieerde toegangsbeheersoftware/-hardware, inclusief authenticatie- en toegangscontrolelezers, inclusief biometrische lezers
  2. Zelfstandige en ingebedde browsers
  3. Wachtwoordbeheerders
  4. Software die kwaadaardige software zoekt, verwijdert of in quarantaine plaatst
  5. Producten met digitale elementen met VPN-functionaliteit
  6. Netwerkbeheersystemen
  7. SIEM-systemen (Security Information and Event Management)
  8. Bootmanagers
  9. Software voor public key-infrastructuur en uitgifte van digitale certificaten
  10. Fysieke en virtuele netwerkinterfaces
  11. Besturingssystemen
  12. Routers, modems bestemd voor aansluiting op het internet, en switches
  13. Microprocessors met beveiligingsgerelateerde functionaliteiten
  14. Microcontrollers met beveiligingsgerelateerde functionaliteiten
  15. Toepassingsspecifieke geïntegreerde schakelingen (ASIC) en veldprogrammeerbare gate-arrays (FPGA) met beveiligingsgerelateerde functionaliteiten
  16. Algemene virtuele assistenten voor de slimme woning
  17. Slimme-woningproducten met beveiligingsfuncties, inclusief slimme deursloten, beveiligingscamera's, babyfoons en alarmsystemen
  18. Met internet verbonden speelgoed gedekt door Richtlijn 2009/48/EG die sociale interactieve functies hebben (bijv. spreken of filmen) of locatievolgfuncties hebben
  19. Persoonlijke draagbare producten die op of aan een menselijk lichaam worden gedragen of geplaatst en een gezondheidsbewakingsdoel hebben (zoals tracking) en waarop Verordening (EU) 2017/745 of (EU) nr. 2017/746 niet van toepassing is, of persoonlijke draagbare producten die bestemd zijn voor gebruik door en voor kinderen

Belangrijk Klasse II (Bijlage III, Deel II)

Producten met hoger risico die verplichte beoordeling door derden vereisen.

Conformiteitsbeoordeling: Beoordeling door derde partij (aangemelde instantie) vereist. Geen optie voor zelfbeoordeling.

Volledige lijst uit Bijlage III, Deel II:

  1. Hypervisors en container runtime-systemen die gevirtualiseerde uitvoering van besturingssystemen en vergelijkbare omgevingen ondersteunen
  2. Firewalls, inbraakdetectie- en -preventiesystemen
  3. Manipulatiebestendige microprocessors
  4. Manipulatiebestendige microcontrollers

Kritische producten (Bijlage IV)

De categorie met het hoogste risico. Hardware-beveiligingsmodules en vergelijkbare apparaten.

Conformiteitsbeoordeling: Beoordeling door derde partij PLUS EU-cyberbeveiligingscertificering (EUCC) op niveau "substantieel" of hoger.

Volledige lijst uit Bijlage IV:

  1. Hardware apparaten met beveiligingsboxen
  2. Slimme metergateways binnen intelligente metersystemen zoals gedefinieerd in artikel 2, punt 23, van Richtlijn (EU) 2019/944 en andere apparaten voor geavanceerde beveiligingsdoeleinden, inclusief voor veilige cryptoverwerking
  3. Smartcards of vergelijkbare apparaten, inclusief beveiligde elementen

Beslisboom: uw categorie bepalen

Gebruik dit proces om uw product te classificeren:

START: Heeft uw product digitale elementen?
│
├─ NEE → Buiten het CRA-toepassingsgebied. Stop hier.
│
└─ JA → Staat het vermeld in Bijlage IV (Kritische producten)?
     │
     ├─ JA → KRITISCH
     │        Derde partij + EUCC-certificering vereist
     │
     └─ NEE → Staat het vermeld in Bijlage III, Deel II (Belangrijk Klasse II)?
          │
          ├─ JA → BELANGRIJK KLASSE II
          │        Beoordeling derde partij vereist
          │
          └─ NEE → Staat het vermeld in Bijlage III, Deel I (Belangrijk Klasse I)?
               │
               ├─ JA → BELANGRIJK KLASSE I
               │        Derde partij OF zelfbeoordeling met normen
               │
               └─ NEE → STANDAARD
                        Zelfbeoordeling (Module A) toegestaan

Conformiteitsbeoordelingsroutes per categorie

CRA-conformiteitsbeoordelingsroutes per categorie: Module A, B+C, H en EUCC

Module Beschikbaar voor Aangemelde instantie
A – Interne productiecontrole Standaard; Klasse I met toegepaste geharmoniseerde normen Niet vereist
B+C – EU-typeonderzoek + productiecontrole Klasse I zonder normen; Klasse II; Kritisch Vereist
H – Volledige kwaliteitsborging Alle categorieën – alternatief voor B+C Vereist
EUCC – EU-cyberbeveiligingscertificering Alleen Kritisch (Bijlage IV), aanvullend op B+C of H Vereist

Module A is de volledige zelfbeoordelingscyclus: technisch dossier, EU-conformiteitsverklaring, CE-markering. Geen externe auditor vereist.

Module B+C verdeelt het werk: een aangemelde instantie onderzoekt een typemodel en geeft een certificaat af (Module B); de fabrikant zorgt vervolgens dat de productie overeenstemt met dat type (Module C).

Module H vervangt de product-voor-product aanpak door een audit van het kwaliteitsbeheersysteem van de fabrikant. Beter geschikt bij een groot productportfolio.

EUCC zit bovenop Module B+C of H voor Kritische producten. Afgegeven onder de EU Cybersecurity Act op betrouwbaarheidsniveau "substantieel" of hoger door een geaccrediteerde conformiteitsbeoordelingsinstantie.

Hoe classificeert u een product dat in meerdere categorieën valt?

Productclassificatie is niet altijd vanzelfsprekend. Hier zijn richtsnoeren voor veelgestelde vragen:

Multifunctionele producten

Regel: Als ENIGE functie een hogere categorie triggert, wordt het hele product op dat niveau geclassificeerd.

Voorbeeld: Een slimme-woning-hub met:

  • Basis automatiseringsbesturing (Standaard)
  • VPN-functionaliteit (Belangrijk Klasse I)
  • Integratie beveiligingscamera (Belangrijk Klasse I)

Classificatie: Belangrijk Klasse I (hoogste getriggerde categorie)

CRA-regel voor multifunctionele producten: hoogste categorie geldt

Embedded componenten

Regel: Overweeg of beveiligingsrelevante componenten de classificatie triggeren.

Voorbeeld: Een consumentenapparaat met:

  • Algemene microcontroller → Standaard
  • Microcontroller "met beveiligingsgerelateerde functionaliteiten" → Belangrijk Klasse I

Kernvraag: Voert de microcontroller beveiligingsfuncties uit (encryptie, authenticatie, secure boot)?

Overwegingen bij "bestemd voor"

Verschillende Bijlage III-items specificeren beoogd gebruik of toepasselijke wetgeving:

  • Met internet verbonden speelgoed valt alleen onder Klasse I als het gedekt is door Richtlijn 2009/48/EG en sociale interactieve functies of locatietracking heeft
  • Persoonlijke draagbare gezondheidsproducten vallen alleen onder Klasse I als Verordening (EU) 2017/745 of (EU) nr. 2017/746 niet van toepassing is, of als het product bestemd is voor gebruik door en voor kinderen

Als uw product in deze contexten zou kunnen worden gebruikt maar niet specifiek daarvoor is bedoeld, geldt de classificatie mogelijk niet. Documenteer uw beoogd gebruik duidelijk.

Besturingssystemen

Besturingssystemen zijn verdeeld over categorieën:

OS-type Classificatie
Embedded OS (RTOS, firmware) Standaard (doorgaans)
Besturingssystemen Belangrijk Klasse I

Voorbeeld: Een aangepaste Linux-distributie voor embedded apparaten valt doorgaans onder Belangrijk Klasse I. Ubuntu Server valt eveneens onder Belangrijk Klasse I.

Software vs. hardware

Classificatie houdt rekening met het product zoals het op de markt wordt gebracht:

  • Zelfstandige software: Geclassificeerd op basis van softwarefunctie
  • Hardware met embedded software: Geclassificeerd op basis van gecombineerde functionaliteit
  • Afzonderlijk verkochte softwarecomponent: Zelfstandig geclassificeerd

Sectorspecifieke richtsnoeren

IoT-apparaatfabrikanten

De meeste IoT-apparaten zijn Standaard, tenzij ze:

  • VPN-functionaliteit omvatten → Klasse I
  • Slimme-woningbeveiligingsapparaten zijn → Klasse I
  • Industriële IoT zijn → Klasse I of II
  • Manipulatiebestendige beveiligingsfuncties omvatten → Klasse II

Softwarebedrijven

De meeste software is Standaard, tenzij specifiek vermeld:

  • Browsers, wachtwoordbeheerders, anti-malware → Klasse I
  • Besturingssystemen → Klasse I
  • Netwerkbeveiligingstools (firewalls, IDS) → Klasse II

Embedded systemen

Classificatie hangt sterk af van:

  • Beveiligingsfuncties van microcontrollers/-processoren
  • Of het product bestemd is voor industrieel/professioneel gebruik
  • Doelimplementatieomgeving (kritieke infrastructuur?)

Medische hulpmiddelen

Medische hulpmiddelen zijn uitgesloten van het CRA-toepassingsgebied (gedekt door MDR/IVDR). Begeleidende software of niet-medische functies kunnen echter nog wel in het toepassingsgebied vallen.

Een aangemelde instantie vinden

Voor producten die beoordeling door derden vereisen:

  1. Controleer de NANDO-database: De officiële EU-lijst van aangemelde instanties
  2. Zoek naar CRA-specifieke aanwijzing: Instanties moeten worden aangewezen voor CRA-conformiteitsbeoordeling
  3. Overweeg capaciteit: Vroege CRA-adoptie betekent beperkte NB-beschikbaarheid
  4. Geografische overwegingen: Werken met een NB in uw regio kan eenvoudiger zijn

VERIFIEER MET PRIMAIRE BRON: De volledige lijst van aangewezen aangemelde instanties voor de CRA is op het moment van schrijven nog in opbouw.

Veelgemaakte classificatiefouten

Belangrijk: Classificatie is gebaseerd op productfunctie, niet op marktsector, bedrijfsomvang of productcomplexiteit. Controleer altijd de lijsten van Bijlage III en IV.

"Consumentenproduct = Standaard"

Onjuist. Classificatie is op basis van functie, niet op markt.

Een slim deurslot dat aan consumenten wordt verkocht, valt onder Belangrijk Klasse I omdat het een "slimme-woningproduct met beveiligingsfunctionaliteit" is, ongeacht de consumentendoelmarkt.

"Wij zijn B2B, dus lagere classificatie"

Onjuist. B2B vs. B2C heeft geen invloed op de classificatie.

Industriële IoT-producten voor zakelijke klanten kunnen Belangrijk Klasse I of II zijn, afhankelijk van hun functie.

"Ons product is klein/eenvoudig, dus Standaard"

Mogelijk onjuist. Omvang en complexiteit bepalen de classificatie niet.

Een kleine microcontroller met beveiligingsfuncties kan Belangrijk Klasse I zijn. Een groot, complex product zonder vermelde functies kan Standaard zijn.

"Wij hebben al ISO 27001, dus wij zijn gedekt"

Onjuist. ISO 27001 is voor organisatorische informatiebeveiliging, niet voor productconformiteitsbeoordeling.

De CRA vereist productspecifieke conformiteitsbeoordeling, ongeacht organisatorische certificeringen.

Checklist productclassificatie 

CHECKLIST PRODUCTCLASSIFICATIE

Product: _______________________________________
Datum: _________________________________________

INITIËLE TOEPASSINGSGEBIEDCONTROLE:
[ ] Product heeft digitale elementen (software en/of dataverbinding)
[ ] Product wordt op EU-markt geplaatst
[ ] Product is niet uitgesloten (medisch, automotive, luchtvaart, militair)

BIJLAGE IV-CONTROLE (KRITISCH):
[ ] Geen hardware apparaat met beveiligingsbox
[ ] Geen slimme metergateway binnen een intelligent metersysteem (Richtlijn (EU) 2019/944, art. 2, punt 23)
[ ] Geen smartcard of vergelijkbaar apparaat, inclusief beveiligde elementen

Als een van bovenstaande JA is  KRITISCH (stop hier)

BIJLAGE III DEEL II-CONTROLE (BELANGRIJK KLASSE II):
[ ] Geen hypervisor of container runtime-systeem dat gevirtualiseerde uitvoering ondersteunt
[ ] Geen firewall, inbraakdetectie- of -preventiesysteem
[ ] Geen manipulatiebestendige microprocessor
[ ] Geen manipulatiebestendige microcontroller

Als een van bovenstaande JA is  BELANGRIJK KLASSE II (stop hier)

BIJLAGE III DEEL I-CONTROLE (BELANGRIJK KLASSE I):
[ ] Volledige lijst van 19 categorieën beoordeeld
[ ] Multifunctionele implicaties overwogen
[ ] Beveiligingsgerelateerde functionaliteiten in componenten gecontroleerd

Als een categorie van toepassing is  BELANGRIJK KLASSE I (stop hier)

STANDAARD:
[ ] Product niet vermeld in een Bijlage
[ ] Classificatie: STANDAARD

CONFORMITEITSBEOORDELINGSROUTE:
[ ] Module A (zelfbeoordeling) - Standaard, Klasse I met normen
[ ] Module B+C (derde partij) - Klasse I zonder normen, Klasse II
[ ] Module H (kwaliteitsborging) - Alternatief voor B+C
[ ] EUCC-certificering - Alleen voor Kritische producten

DOCUMENTATIE:
[ ] Classificatieonderbouwing gedocumenteerd
[ ] Multifunctionele analyse voltooid
[ ] Beoogd gebruik duidelijk vastgesteld
[ ] Aangemelde instantie geïdentificeerd (indien vereist)

Geclassificeerd door: _________________________________
Datum: _________________________________________

Veelgestelde vragen

Valt een thuisrouter voor internetaansluiting onder Belangrijk Klasse I of Standaard?

Belangrijk Klasse I. Routers "bestemd voor de aansluiting op het internet" zijn vermeld in Bijlage III Deel I punt 12. Zelfbeoordeling is toegestaan als relevante geharmoniseerde normen volledig worden toegepast. Zonder toepasselijke geharmoniseerde norm is een aangemelde instantie vereist. Zie CRA-conformiteitsbeoordelingsroutes.

Geldt de CRA voor SaaS-producten zonder fysieke hardware?

Dat hangt ervan af. SaaS die verwerking op afstand van gegevens biedt die integraal deel uitmaken van een product met digitale elementen, valt binnen het bereik van de CRA op grond van artikel 3(1). Een zelfstandige webapplicatie zonder bijbehorende hardware kan ook binnen het bereik vallen afhankelijk van de functie. De classificatie volgt dezelfde lijsten van Bijlage III en IV als voor fysieke producten.

Als mijn product zowel Standaard- als Klasse I-functies heeft, welke categorie is dan van toepassing?

De hoogste van toepassing zijnde categorie geldt voor het gehele product. Als een enkele functie onder Bijlage III of IV valt, wordt het gehele product op dat niveau beoordeeld. Een netwerkswitch met ingebouwde VPN-functie is Belangrijk Klasse I voor het gehele apparaat, niet alleen voor het VPN-onderdeel.

Heeft ISO 27001-certificering invloed op de CRA-productclassificatie?

Nee. De classificatie wordt uitsluitend bepaald door de productfunctie ten opzichte van Bijlage III en IV. Organisatorische certificeringen spelen geen rol. ISO 27001 betreft informatiebeveiliging op organisatieniveau; de CRA vereist productspecifieke conformiteitsbeoordeling ongeacht welke certificeringen de fabrikant heeft. Zie CRA en ISO 27001.

Wanneer moet de CRA-productclassificatie worden vastgesteld?

Voordat het product op de EU-markt wordt geplaatst. De classificatie bepaalt de conformiteitsbeoordelingsroute, die moet zijn afgerond voordat de CE-markering kan worden aangebracht en de EU-conformiteitsverklaring kan worden afgegeven. Zie de CRA-implementatietijdlijn voor de belangrijkste deadlines.

Waar vind ik een aangemelde instantie voor CRA-conformiteitsbeoordeling in Nederland?

De NANDO-database (nando.ec.europa.eu) is het officieel EU-register van aangemelde instanties. CRA-specifieke aanwijzingen worden gepubliceerd onder Verordening (EU) 2024/2847; controleer de database voor de actuele stand van zaken. Voor Belangrijk Klasse I-producten is een aangemelde instantie alleen vereist als geen relevante geharmoniseerde norm wordt toegepast. Het NCSC-NL biedt aanvullende handreiking voor Nederlandse fabrikanten.

Vervolgstappen

CRA-conformiteit voor meerdere producten beheren? CRA Evidence centraliseert classificatie, conformiteitsroutes en documentatie.

Als u uw classificatie kent, is de volgende stap uw conformiteitsbeoordelingsroute. Bekijk de CRA-implementatietijdlijn voor de belangrijkste deadlines. Alle categorieën, ongeacht het niveau, vereisen een SBOM. Zie de SBOM-vereistengids.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur met kennis van EU-productregelgeving.

CRA CE-markering Conformiteit Productklassen
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
Productclassificatie

Hoe de CRA producten indeelt op risiconiveau en wat elke categorie betekent voor de verplichtingen.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
View full CRA compliance guide