CRA-productclassificatie: is uw product Standaard, Belangrijk of Kritisch?

Uw CRA-conformiteitsbeoordelingsroute (en bijbehorende kosten) hangt af van uw productclassificatie. "Belangrijke" en "Kritische" producten vereisen verplichte beoordeling door derden. "Standaard"-producten kunnen zichzelf certificeren.

Deze gids helpt u uw categorie te bepalen en wat dat betekent voor uw compliance.

Samenvatting

• De CRA definieert vier categorieën: Standaard, Belangrijk Klasse I, Belangrijk Klasse II, Kritisch
• Standaard: zelfbeoordeling (Module A) toegestaan
• Belangrijk Klasse I: beoordeling door derde partij, tenzij geharmoniseerde normen volledig worden gevolgd
• Belangrijk Klasse II en Kritisch: verplichte beoordeling door derde partij
• Classificatie is gebaseerd op productfunctie en risico, niet op marktsector
• Bij twijfel, kies voor hogere classificatie (veiliger bij handhaving)

De vier CRA-productcategorieën

De CRA classificeert producten met digitale elementen in vier niveaus op basis van cyberbeveiligingsrisico:

┌─────────────────────────────────────────────────────────────┐
│              CRA-PRODUCTCATEGORIEËN                          │
├───────────────┬───────────────┬───────────────┬─────────────┤
│   STANDAARD   │  BELANGRIJK   │  BELANGRIJK   │  KRITISCH   │
│               │   KLASSE I    │   KLASSE II   │             │
├───────────────┼───────────────┼───────────────┼─────────────┤
│ Zelfbeoordel. │ Zelfbeoordel. │ Derde partij  │ Derde partij│
│ (Module A)    │ ALS geharmon. │ VERPLICHT     │ VERPLICHT   │
│               │ normen gevolgd│               │ + EUCC-     │
│               │ worden        │               │ certificering│
├───────────────┼───────────────┼───────────────┼─────────────┤
│ ~90% van de   │ Vermeld in    │ Vermeld in    │ Vermeld in  │
│ producten     │ Bijlage III   │ Bijlage III   │ Bijlage IV  │
│               │ Deel I        │ Deel II       │             │
└───────────────┴───────────────┴───────────────┴─────────────┘

Standaard producten

De grote meerderheid van producten valt hier. Als uw product niet specifiek in Bijlage III of IV staat vermeld, is het "Standaard."

Conformiteitsbeoordeling: Zelfbeoordeling (Module A) volstaat.

Voorbeelden:

• Eenvoudige IoT-sensoren
• Standaard consumentenelektronica
• Standaard bedrijfssoftware
• Algemene toepassingen
• Niet-genetwerkte embedded apparaten

Belangrijk Klasse I (Bijlage III, Deel I)

Producten met verhoogd risico vanwege hun functie of gebruikersbasis.

Conformiteitsbeoordeling: Zelfbeoordeling toegestaan ALS relevante geharmoniseerde normen volledig worden toegepast. Anders is beoordeling door derde partij vereist.

Volledige lijst uit Bijlage III, Deel I:

1. Identiteitsbeheer- en geprivilegieerde toegangsbeheersoftware/-hardware
2. Zelfstandige webbrowsers
3. Wachtwoordbeheerders
4. Software voor het opsporen, verwijderen of in quarantaine plaatsen van malware
5. Producten met digitale elementen met VPN-functionaliteit
6. Netwerkbeheersystemen
7. SIEM-systemen (Security Information and Event Management)
8. Bootmanagers
9. Software voor public key-infrastructuur en uitgifte van digitale certificaten
10. Fysieke en virtuele netwerkinterfaces
11. Besturingssystemen die niet onder Klasse II vallen
12. Routers en modems bestemd voor internetverbinding
13. Microprocessors met beveiligingsgerelateerde functionaliteiten
14. Microcontrollers met beveiligingsgerelateerde functionaliteiten
15. Toepassingsspecifieke geïntegreerde schakelingen (ASIC's) met beveiligingsgerelateerde functionaliteiten
16. Field Programmable Gate Arrays (FPGA's) met beveiligingsgerelateerde functionaliteiten
17. Algemene virtuele assistenten voor de slimme woning
18. Slimme-woningproducten met beveiligingsfuncties (deursloten, camera's, babymonitoren, alarmsystemen)
19. Met internet verbonden speelgoed met sociaal interactieve functies of locatietracking
20. Persoonlijke draagbare producten voor gezondheidsmonitoring (geen medische hulpmiddelen)

Belangrijk Klasse II (Bijlage III, Deel II)

Producten met hoger risico die verplichte beoordeling door derden vereisen.

Conformiteitsbeoordeling: Beoordeling door derde partij (aangemelde instantie) vereist. Geen optie voor zelfbeoordeling.

Volledige lijst uit Bijlage III, Deel II:

1. Hypervisors en container runtime-systemen die gevirtualiseerde uitvoering ondersteunen
2. Firewalls, inbraakdetectie- en -preventiesystemen (netwerklaag)
3. Manipulatiebestendige microprocessors
4. Manipulatiebestendige microcontrollers
5. Besturingssystemen voor servers, desktops en mobiele apparaten
6. Industriële automatiserings- en besturingssystemen (IACS) bestemd voor essentiële entiteiten onder NIS 2
7. Industrieel Internet of Things dat niet elders is gedekt
8. Robot sensor- en actuatiecomponenten voor industrieel/professioneel gebruik
9. Slimme-meter-gateways bestemd voor slimme meetsystemen

Kritische producten (Bijlage IV)

De categorie met het hoogste risico. Hardware-beveiligingsmodules en vergelijkbare apparaten.

Conformiteitsbeoordeling: Beoordeling door derde partij PLUS EU-cyberbeveiligingscertificering (EUCC) op niveau "substantieel" of hoger.

Volledige lijst uit Bijlage IV:

1. Hardwareapparaten met beveiligingsdozen
2. Slimme-meter-gateways in geavanceerde meetinfrastructuur
3. Smartcard- of vergelijkbare apparaatlesers
4. Tokens voor beveiligings-/cryptografische doeleinden (hardware)
5. Hardware Security Modules (HSM's)
6. Smartcards of vergelijkbare apparaten, inclusief beveiligingselementen
7. Beveiligde cryptoprocessors

Beslisboom: uw categorie bepalen

Gebruik dit proces om uw product te classificeren:

START: Heeft uw product digitale elementen?
│
├─ NEE → Buiten het CRA-toepassingsgebied. Stop hier.
│
└─ JA → Staat het vermeld in Bijlage IV (Kritische producten)?
     │
     ├─ JA → KRITISCH
     │        Derde partij + EUCC-certificering vereist
     │
     └─ NEE → Staat het vermeld in Bijlage III, Deel II (Belangrijk Klasse II)?
          │
          ├─ JA → BELANGRIJK KLASSE II
          │        Beoordeling derde partij vereist
          │
          └─ NEE → Staat het vermeld in Bijlage III, Deel I (Belangrijk Klasse I)?
               │
               ├─ JA → BELANGRIJK KLASSE I
               │        Derde partij OF zelfbeoordeling met normen
               │
               └─ NEE → STANDAARD
                        Zelfbeoordeling (Module A) toegestaan

Conformiteitsbeoordelingsroutes per categorie

Module A: Interne productiecontrole (zelfbeoordeling)

Beschikbaar voor: Standaard producten, Belangrijk Klasse I (met geharmoniseerde normen)

Wat het inhoudt:

• Fabrikant voert interne beoordeling uit
• Documenteert compliance in technisch dossier
• Geeft EU-conformiteitsverklaring af
• Brengt CE-markering aan
• Geen externe auditor vereist

Wanneer te gebruiken: Voor de meeste producten. Kosteneffectief voor de Standaard-categorie.

Module B+C: EU-typeonderzoek + productiecontrole

Vereist voor: Belangrijk Klasse II, Kritisch (of Belangrijk Klasse I zonder normen)

Wat het inhoudt:

• Module B: Aangemelde instantie onderzoekt een type-exemplaar en technische documentatie
• Module C: Fabrikant zorgt dat productie overeenstemt met het onderzochte type
• Aangemelde instantie geeft certificaat af voor Module B
• Fabrikant geeft DoC af op basis van beide

Wanneer te gebruiken: Wanneer beoordeling door derde partij verplicht of gewenst is voor geloofwaardigheid.

Module H: Volledige kwaliteitsborging

Beschikbaar voor: Alle categorieën als alternatief voor B+C

Wat het inhoudt:

• Aangemelde instantie beoordeelt het kwaliteitsbeheersysteem van de fabrikant
• Omvat ontwerp, productie en testen
• Doorlopende bewakingsaudits
• Geschikt voor fabrikanten met veel producten

Wanneer te gebruiken: Fabrikanten met hoog volume en volwassen kwaliteitssystemen.

EUCC-certificering (alleen voor Kritische producten)

Vereist voor: Kritische producten (Bijlage IV)

Wat het inhoudt:

• Certificering onder de EU Cybersecurity Act
• Minimaal betrouwbaarheidsniveau "substantieel"
• Uitgevoerd door geaccrediteerde conformiteitsbeoordelingsinstanties
• Aanvullend op de standaard conformiteitsbeoordeling

Grensgevallen: hoe te beslissen

Productclassificatie is niet altijd vanzelfsprekend. Hier zijn richtsnoeren voor veelgestelde vragen:

Multifunctionele producten

Regel: Als ENIGE functie een hogere categorie triggert, wordt het hele product op dat niveau geclassificeerd.

Voorbeeld: Een slimme-woning-hub met:

• Basis automatiseringsbesturing (Standaard)
• VPN-functionaliteit (Belangrijk Klasse I)
• Integratie beveiligingscamera (Belangrijk Klasse I)

Classificatie: Belangrijk Klasse I (hoogste getriggerde categorie)

Embedded componenten

Regel: Overweeg of beveiligingsrelevante componenten de classificatie triggeren.

Voorbeeld: Een consumentenapparaat met:

• Algemene microcontroller → Standaard
• Microcontroller "met beveiligingsgerelateerde functionaliteiten" → Belangrijk Klasse I

Kernvraag: Voert de microcontroller beveiligingsfuncties uit (encryptie, authenticatie, secure boot)?

Overwegingen bij "bestemd voor"

Verschillende Bijlage III-items specificeren beoogd gebruik:

• "Industriële automatiserings- en besturingssystemen bestemd voor gebruik door essentiële entiteiten"
• "Slimme-meter-gateways bestemd voor slimme meetsystemen"

Als uw product in deze contexten zou kunnen worden gebruikt maar niet specifiek daarvoor is bedoeld, geldt de classificatie mogelijk niet. Documenteer uw beoogd gebruik duidelijk.

Besturingssystemen

Besturingssystemen zijn verdeeld over categorieën:

Voorbeeld: Een aangepaste Linux-distributie voor embedded apparaten valt doorgaans onder Belangrijk Klasse I. Ubuntu Server valt onder Belangrijk Klasse II.

Software vs. hardware

Classificatie houdt rekening met het product zoals het op de markt wordt gebracht:

• Zelfstandige software: Geclassificeerd op basis van softwarefunctie
• Hardware met embedded software: Geclassificeerd op basis van gecombineerde functionaliteit
• Afzonderlijk verkochte softwarecomponent: Zelfstandig geclassificeerd

Sectorspecifieke richtsnoeren

IoT-apparaatfabrikanten

De meeste IoT-apparaten zijn Standaard, tenzij ze:

• VPN-functionaliteit omvatten → Klasse I
• Slimme-woningbeveiligingsapparaten zijn → Klasse I
• Industriële IoT zijn → Klasse I of II
• Manipulatiebestendige beveiligingsfuncties omvatten → Klasse II

Softwarebedrijven

De meeste software is Standaard, tenzij specifiek vermeld:

• Browsers, wachtwoordbeheerders, anti-malware → Klasse I
• Netwerkbeveiligingstools (firewalls, IDS) → Klasse II
• Server-/desktop-besturingssystemen → Klasse II

Embedded systemen

Classificatie hangt sterk af van:

• Beveiligingsfuncties van microcontrollers/-processoren
• Of het product bestemd is voor industrieel/professioneel gebruik
• Doelimplementatieomgeving (kritieke infrastructuur?)

Medische hulpmiddelen

Medische hulpmiddelen zijn uitgesloten van het CRA-toepassingsgebied (gedekt door MDR/IVDR). Begeleidende software of niet-medische functies kunnen echter nog wel in het toepassingsgebied vallen.

Wat classificatie betekent voor uw tijdlijn

Hogere classificaties vereisen meer voorbereidingstijd:

Begin nu. Als u ontdekt dat u Klasse II of Kritisch bent, heeft u aanlooptijd nodig voor het inschakelen van een aangemelde instantie.

Waarschuwing: De capaciteit van aangemelde instanties voor CRA-beoordelingen is beperkt. Als uw product beoordeling door derden vereist, schakel dan vroeg in om vertragingen te voorkomen.

Een aangemelde instantie vinden

Voor producten die beoordeling door derden vereisen:

1. Controleer de NANDO-database: De officiële EU-lijst van aangemelde instanties
2. Zoek naar CRA-specifieke aanwijzing: Instanties moeten worden aangewezen voor CRA-conformiteitsbeoordeling
3. Overweeg capaciteit: Vroege CRA-adoptie betekent beperkte NB-beschikbaarheid
4. Geografische overwegingen: Werken met een NB in uw regio kan eenvoudiger zijn

VERIFIEER MET PRIMAIRE BRON: De volledige lijst van aangewezen aangemelde instanties voor de CRA is op het moment van schrijven nog in opbouw.

Veelgemaakte classificatiefouten

Belangrijk: Classificatie is gebaseerd op productfunctie, niet op marktsector, bedrijfsomvang of productcomplexiteit. Controleer altijd de lijsten van Bijlage III en IV.

"Consumentenproduct = Standaard"

Onjuist. Classificatie is op basis van functie, niet op markt.

Een slim deurslot dat aan consumenten wordt verkocht, valt onder Belangrijk Klasse I omdat het een "slimme-woningproduct met beveiligingsfunctionaliteit" is, ongeacht de consumentendoelmarkt.

"Wij zijn B2B, dus lagere classificatie"

Onjuist. B2B vs. B2C heeft geen invloed op de classificatie.

Industriële IoT-producten voor zakelijke klanten kunnen Belangrijk Klasse I of II zijn, afhankelijk van hun functie.

"Ons product is klein/eenvoudig, dus Standaard"

Mogelijk onjuist. Omvang en complexiteit bepalen de classificatie niet.

Een kleine microcontroller met beveiligingsfuncties kan Belangrijk Klasse I zijn. Een groot, complex product zonder vermelde functies kan Standaard zijn.

"Wij hebben al ISO 27001, dus wij zijn gedekt"

Onjuist. ISO 27001 is voor organisatorische informatiebeveiliging, niet voor productconformiteitsbeoordeling.

De CRA vereist productspecifieke conformiteitsbeoordeling, ongeacht organisatorische certificeringen.

Checklist productclassificatie

CHECKLIST PRODUCTCLASSIFICATIE

Product: _______________________________________
Datum: _________________________________________

INITIËLE TOEPASSINGSGEBIEDCONTROLE:
[ ] Product heeft digitale elementen (software en/of dataverbinding)
[ ] Product wordt op EU-markt geplaatst
[ ] Product is niet uitgesloten (medisch, automotive, luchtvaart, militair)

BIJLAGE IV-CONTROLE (KRITISCH):
[ ] Geen hardwareapparaat met beveiligingsdoos
[ ] Geen slimme-meter-gateway voor AMI
[ ] Geen smartcard-/beveiligingselementlezer
[ ] Geen hardware-beveiligingstoken
[ ] Geen HSM
[ ] Geen smartcard of beveiligingselement
[ ] Geen beveiligde cryptoprocessor

Als een van bovenstaande JA is → KRITISCH (stop hier)

BIJLAGE III DEEL II-CONTROLE (BELANGRIJK KLASSE II):
[ ] Geen hypervisor of container runtime
[ ] Geen netwerk-firewall of IDS/IPS
[ ] Geen manipulatiebestendige microprocessor/microcontroller
[ ] Geen server-/desktop-/mobiel besturingssysteem
[ ] Geen IACS voor NIS 2-essentiële entiteiten
[ ] Geen industrieel IoT (niet anderszins gedekt)
[ ] Geen robotcomponent voor industrieel/professioneel gebruik
[ ] Geen slimme-meter-gateway voor slimme meting

Als een van bovenstaande JA is → BELANGRIJK KLASSE II (stop hier)

BIJLAGE III DEEL I-CONTROLE (BELANGRIJK KLASSE I):
[ ] Volledige lijst van 20 categorieën beoordeeld
[ ] Multifunctionele implicaties overwogen
[ ] Beveiligingsgerelateerde functionaliteiten in componenten gecontroleerd

Als een categorie van toepassing is → BELANGRIJK KLASSE I (stop hier)

STANDAARD:
[ ] Product niet vermeld in een Bijlage
[ ] Classificatie: STANDAARD

CONFORMITEITSBEOORDELINGSROUTE:
[ ] Module A (zelfbeoordeling) - Standaard, Klasse I met normen
[ ] Module B+C (derde partij) - Klasse I zonder normen, Klasse II
[ ] Module H (kwaliteitsborging) - Alternatief voor B+C
[ ] EUCC-certificering - Alleen voor Kritische producten

DOCUMENTATIE:
[ ] Classificatieonderbouwing gedocumenteerd
[ ] Multifunctionele analyse voltooid
[ ] Beoogd gebruik duidelijk vastgesteld
[ ] Aangemelde instantie geïdentificeerd (indien vereist)

Geclassificeerd door: _________________________________
Datum: _________________________________________

Hoe CRA Evidence helpt

CRA Evidence omvat ingebouwde ondersteuning voor productclassificatie:

• Begeleide classificatiewizard: Beantwoord vragen, ontvang uw categorie
• Bijlage-mapping: Bijhouden welke vereisten van toepassing zijn
• Richtsnoer beoordelingsroute: Inzicht in uw beoordelingsopties
• Documentatiesjablonen: Categorie-specifieke structuur technisch dossier

Start uw classificatiebeoordeling op app.craevidence.com.

Volgende stap: Als u uw classificatie kent, bepaal dan uw conformiteitsbeoordelingsroute.

Tijdlijn: Bekijk de CRA-implementatietijdlijn voor belangrijke deadlines.

SBOM's: Alle categorieën hebben SBOM's nodig. Zie onze SBOM-vereistengids.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur met kennis van EU-productregelgeving.