De Cyberweerbaarheidsverordening biedt fabrikanten drie routes naar een vermoeden van conformiteit met de vereisten van Bijlage I. Twee lopen via normen. De derde loopt via certificering, zodra de Commissie een bruikbare Europese cyberbeveiligingscertificeringsregeling erkent. Deze pagina legt die route uit, licht toe waar de Europese op Common Criteria gebaseerde cyberbeveiligingscertificeringsregeling (EUCC) als actieve regeling past, en maakt duidelijk wat al van kracht is en wat nog niet.
Samenvatting
- Certificering kan de derde CRA-route zijn naar het vermoeden van conformiteit. Die staat naast geharmoniseerde normen en gemeenschappelijke specificaties.
- De route loopt via een Europese cyberbeveiligingscertificeringsregeling die is vastgesteld op grond van de Cyberbeveiligingsverordening, Verordening (EU) 2019/881. EUCC is de actieve regeling.
- Een certificaat telt alleen voor zover het de vereisten dekt. Het geeft het vermoeden van conformiteit voor de Bijlage I-vereisten die het certificaat dekt, niet automatisch voor alle vereisten.
- Een "substantieel" certificaat zou de beoordeling door derden wegnemen voor de gedekte vereisten, maar pas zodra de gedelegeerde handeling die de route activeert van kracht is.
- De route is het meest relevant voor de kritieke producten in Bijlage IV, waarvoor de Commissie een certificaat verplicht kan stellen.
- De route is nog niet geactiveerd. Op 15 juni 2026 erkent geen enkele handeling bruikbare regelingen of stelt een certificaat verplicht. EUCC vervangt de CRA-conformiteitsroute nog niet en neemt beoordeling door derden nog niet weg.
Wat een EUCC-certificaat is en de zekerheidsniveaus
EUCC is de Europese op Common Criteria gebaseerde cyberbeveiligingscertificeringsregeling. ENISA heeft de regeling voorbereid; de Commissie heeft haar vastgesteld als Uitvoeringsverordening (EU) 2024/482 van 31 januari 2024. De regeling geldt vanaf 27 februari 2025. Het is de eerste regeling die is vastgesteld op grond van de Cyberbeveiligingsverordening. Ze bouwt voort op Common Criteria, de al lang bestaande internationale norm voor het beoordelen van de beveiliging van IT-producten, gepubliceerd als ISO/IEC 15408.
De regeling is al actief. Certificeringsinstanties geven EUCC-certificaten uit sinds april 2025, en het ENISA officieel certificatenregister telde er 37 op 15 juni 2026. Geen enkel certificaat draagt al het CRA-vermoeden van conformiteit: ze laten zien dat de regeling werkt, niet dat een certificaat al aan de CRA voldoet.
Een groot deel van de certificaten die tot nu toe zijn afgegeven, betreft beveiligde chips, smartcards en vergelijkbare hardware, die overlappen met de hardware-intensieve kritieke categorieën van de CRA. Maar niet allemaal: ook netwerk- en softwareproducten worden gecertificeerd, en die vallen binnen het algemene toepassingsgebied van de CRA, niet op de kritieke lijst.
EUCC kent certificaten uit op twee zekerheidsniveaus: "substantieel" en "hoog". De twee verschillen in hoe zwaar het product wordt getest. EUCC meet dat op de kwetsbaarheidsbeoordelingsschaal van Common Criteria, aangeduid als AVA_VAN, die loopt van 1 tot 5. Hoe hoger het getal, hoe grondiger het onafhankelijke onderzoek naar hoe het product aanvallen weerstaat.
| EUCC-niveau | AVA_VAN | Testdiepte | CRA-effect |
|---|---|---|---|
| substantieelde lagere van de twee | AVA_VAN 1 tot 2van 5 | Onafhankelijk kwetsbaarheidsonderzoek op een standaard diepte. | Zou voldoen aan de vrijstellingsdrempel. |
| hoogde hogere van de twee | AVA_VAN 3 tot 5van 5 | Diepgaandere analyse, getest tegen aanvallers met aanzienlijke vaardigheden en middelen. | Zou de drempel overschrijden. |
De CRA koppelt haar vrijstelling van beoordeling door derden aan het niveau "substantieel" of hoger, zodat beide EUCC-niveaus in aanmerking komen zodra die vrijstelling van kracht is.
Certificering kan de derde CRA-route zijn naar het vermoeden van conformiteit
Een vermoeden van conformiteit is een erkende kortere weg. Voldoet u aan een van de routes, dan veronderstelt een autoriteit dat uw product voldoet aan de vereisten die die route dekt. De Cyberweerbaarheidsverordening biedt drie mogelijke routes; certificering is de derde zodra die voor CRA-gebruik is erkend.
De drie routes en de huidige stand van zaken:
| Route | Waarop gebaseerd | CRA-status vandaag |
|---|---|---|
| Geharmoniseerde normen | een norm waarvan de referentie in het Publicatieblad is gepubliceerd | geen norm gepubliceerd |
| Gemeenschappelijke specificaties | uitvoeringshandelingen van de Commissie | geen vastgesteld |
| Certificeringsregeling | een EU-conformiteitsverklaring of certificaat onder een erkende regeling | geen regeling erkend voor CRA-gebruik |
De eerste twee lopen via normen. De tracker voor geharmoniseerde normen volgt die twee nauwgezet. De derde loopt via certificering. Zodra die route operationeel is, kan een product met een EU-conformiteitsverklaring of een certificaat onder een Europese cyberbeveiligingscertificeringsregeling vermoed worden te voldoen. Dat vermoeden reikt alleen tot de vereisten die de verklaring of het certificaat dekt, niet automatisch tot de hele Bijlage I. De regeling moet zijn vastgesteld op grond van de Cyberbeveiligingsverordening, Verordening (EU) 2019/881.
Hoe EUCC-certificering wordt verkregen
EUCC is geen zelfdeclaratie. Een fabrikant of leverancier werkt samen met een certificeringsinstantie; de evaluatie wordt uitgevoerd door een geaccrediteerd laboratorium. Het is ook een substantiële investering: een volledige evaluatie via een certificeringsinstantie loopt al snel in de zes cijfers, wat een van de redenen is waarom de meeste teams het pas aanpakken nadat het Bijlage I-bewijs op orde is. Voor het zekerheidsniveau "hoog" stelt EUCC aanvullende autorisatievereisten aan de certificeringsinstantie en het laboratorium.
Een deel van het bewijs dat u voor de CRA opbouwt, overlapt met wat een evaluatie nodig heeft: een risicobeoordeling, kwetsbaarheidsafhandelingsprocedures en technische documentatie. EUCC vraagt daarboven meer, waaronder een beveiligingsdoelstelling (security target), het document dat precies vastlegt welk product, welke configuratie en welke beveiligingsfuncties worden beoordeeld, plus het gedetailleerde ontwerp- en testbewijs dat Common Criteria vereist voor het gekozen zekerheidsniveau.
Een EUCC-certificaat is geen eenmalige aftekening. Een certificeringsinstantie stelt de geldigheid in op maximaal vijf jaar. Gedurende die geldigheidsduur gelden doorlopende verplichtingen voor de houder:
- Kwetsbaarheidsbeheer: kwetsbaarheidsbeheer- en openbaarmakingsprocedures uitvoeren.
- Impactanalyse: de impact van nieuwe kwetsbaarheden beoordelen zodra deze opduiken.
- Zekerheidsborging: de beveiliging van het product actueel houden via patching en herbeoordeling.
Veel daarvan overlapt met de kwetsbaarheidsafhandelingsplichten van de CRA.
Dat proces staat los van de CRA-route. Het kan nuttig bewijs opleveren, maar het heeft pas juridisch CRA-effect zodra de Commissie de regeling erkent.
Hoe EUCC en de CRA zich tot elkaar verhouden
De CRA en EUCC zijn instrumenten van verschillende aard en worden gemakkelijk verward. De CRA is een bindende verordening: de wet waaraan een product moet voldoen. EUCC is een vrijwillige certificeringsregeling: één manier om aan te tonen dat een product aan een deel ervan voldoet.
| Cyberweerbaarheidsverordening | EUCC | |
|---|---|---|
| Aard | bindende EU-verordening | vrijwillige certificeringsregeling |
| Rechtsgrondslag | Verordening (EU) 2024/2847 | Cyberbeveiligingsverordening (Verordening (EU) 2019/881), regeling in Verordening (EU) 2024/482 |
| Van toepassing op | alle producten met digitale elementen op de EU-markt | ICT-producten beoordeeld aan de hand van Common Criteria |
| Risico-indeling | default, belangrijk, kritiek | zekerheidsniveaus "substantieel" en "hoog" |
| Handhaving | verplicht, met sancties | vrijwillig, tenzij de CRA een certificaat verplicht stelt voor een kritieke categorie |
De twee overlappen waar het telt. EUCC kijkt naar de beveiligingsfuncties van een product en naar de manier waarop de maker met kwetsbaarheden omgaat. Veel daarvan strookt met de essentiële vereisten van de CRA. ENISA heeft een EUCC-CRA-mappingsstudie gepubliceerd om te testen in hoeverre EUCC-certificering CRA-conformiteit kan ondersteunen. Dat werk is technisch voorbereidend werk, geen automatisch rechtsgevolg.
Wat een "substantieel" certificaat zou vrijstellen
Een aanvullend rechtsinstrument zou een certificaat echte betekenis geven onder de CRA; dat instrument is nog niet van kracht. Zodra de Commissie het vaststelt, doet het twee dingen:
- Erkent de regelingen: bij gedelegeerde handeling specificeert de Commissie welke certificeringsregelingen conformiteit met de vereisten kunnen aantonen. Zolang die handeling geen regeling noemt, is geen enkele formeel erkend voor CRA-conformiteit.
- Schrapt de beoordeling door derden: een certificaat op zekerheidsniveau minstens "substantieel" zou de verplichting voor de fabrikant wegnemen om een conformiteitsbeoordeling door derden te laten uitvoeren voor de vereisten die het certificaat dekt. Die vrijstelling correspondeert met de Module B+C- en Module H-routes die een aangemelde instantie anders zou uitvoeren.
De gids over conformiteitsbeoordeling legt die modules uit.
Kritieke producten: wanneer certificering verplicht kan worden
Voor de meeste producten is certificering vrijwillig. Voor de kritieke categorieën kan ze verplicht worden.
De Commissie kan eisen dat die producten een Europees cyberbeveiligingscertificaat houden op zekerheidsniveau minstens "substantieel". Dat doet ze bij gedelegeerde handeling, en alleen zodra een regeling die de categorie dekt is vastgesteld en beschikbaar is voor fabrikanten. De kritieke categorieën in Bijlage IV zijn:
- Hardwareapparaten met beveiligingskastje
- Gateways voor slimme meters en andere apparaten voor geavanceerde beveiligingsdoeleinden, onder meer voor beveiligde cryptoverwerking
- Smartcards of soortgelijke apparaten, met inbegrip van secure elements
EUCC is de actieve regeling die het meest relevant is voor die hardware-intensieve lijst.
Zolang de Commissie een dergelijke handeling niet heeft vastgesteld, zijn deze producten niet verplicht te certificeren. Ze volgen de standaard conformiteitsbeoordelingsprocedures, dezelfde routes via derden die andere gereguleerde producten gebruiken. De productclassificatiegids geeft aan waar een product valt.
Huidige status: certificering is nog niet geactiveerd voor de CRA
Status, op 15 juni 2026: de certificeringsroute bestaat in de CRA, maar is nog niet operationeel. De Commissie heeft de gedelegeerde handeling niet vastgesteld die de regelingen zou erkennen die CRA-conformiteit kunnen aantonen, noch een handeling die een certificaat verplicht stelt voor een Bijlage IV-categorie. Een EUCC-certificaat is daarmee nuttige voorbereiding, maar nog geen CRA-kortere weg. Het neemt nog geen enkele beoordeling door derden weg.
Er is geen deadline voor het activeren van deze route. De Verordening biedt de Commissie de bevoegdheid, maar verplicht haar niet tot een bepaalde datum, en er is geen handeling vastgesteld. De eigen verplichtingen van de Cyberweerbaarheidsverordening gelden vanaf 11 december 2027, ongeacht of de route actief is. Als een toekomstige handeling ooit certificering verplicht stelt voor een kritieke categorie, moet ze eerst een overgangsperiode van minstens zes maanden bieden.
De Commissie heeft inmiddels andere CRA-handelingen vastgesteld, waardoor de kloof gemakkelijk verkeerd wordt gelezen:
| Handeling | Datum | Wat ze doet | Raakt certificering? |
|---|---|---|---|
| Gedelegeerde Verordening (EU) 2025/1535 van de Commissie | 29 juli 2025 | sluit bepaalde voertuigen onder Verordening (EU) nr. 168/2013 uit van het toepassingsgebied van de CRA | nee |
| Uitvoeringsverordening (EU) 2025/2392 van de Commissie | 28 november 2025 | stelt de technische omschrijvingen van de categorieën belangrijke en kritieke producten vast | nee |
| Gedelegeerde Verordening (EU) 2026/881 van de Commissie | 11 december 2025, gepubliceerd 20 april 2026 | stelt voorwaarden voor het uitstellen van de verspreiding van bepaalde kwetsbaarheids- en incidentmeldingen | nee |
ENISA heeft het voorwerk gedaan. Haar rapport, Cyber Resilience Act Implementation via EUCC and Its Applicable Technical Elements, beschrijft hoe EUCC de vereisten van de CRA kan dragen. Het bevat ook de technische mapping die daarvoor nodig zou zijn. Het is een voorstel en een toolkit, geen schakelaar. Het rechtsgevolg wacht nog op de gedelegeerde handeling die de Commissie niet heeft vastgesteld.
Onze inschatting: EUCC nu starten, of wachten?
De bovenstaande secties beschrijven de regelgevingsstand. De twee kaders hieronder geven onze lezing als beoefenaars. Het is een mening, geen juridisch advies en geen uitleg van wat de Verordening vereist.
Een EUCC-certificaat is vandaag niet het snelste CRA-pad. De gedelegeerde handeling die het CRA-rechtsgevolg zou geven, is niet vastgesteld. Voor de meeste fabrikanten levert het Bijlage I-bewijs meer op: dat heeft elke route toch al nodig, namelijk een risicobeoordeling, een SBOM, kwetsbaarheidsafhandeling en technische documentatie. Certificering kan daar later bovenop komen. Drie situaties veranderen de berekening. U valt in een kritieke categorie die waarschijnlijk een toekomstig verplichtingsbesluit krijgt. U houdt al Common Criteria-certificaten of streeft daarnaar. Of uw afnemers vragen er om. In die gevallen is nu beginnen redelijk.
De vrijstelling die iedereen wil, hangt af van een gedelegeerde handeling die de Commissie niet heeft vastgesteld. Wij lezen de vrijstelling als niet beschikbaar totdat die handeling er is, omdat de wet de vrijstelling daaraan koppelt. Wie zegt dat een EUCC-certificaat CRA-beoordeling al wegneemt, mist die voorwaarde, en wij zouden een conformiteitsroute niet op die grondslag plannen. Van de drie routes beschouwen wij certificering als het meest concrete infrastructuurstuk in aanbouw, en de EUCC-brug is het onderdeel om in de gaten te houden: op de conferentie over EU-cyberbeveiligingscertificering van 2026 gaf de Commissie aan te streven naar vastlegging van hoe de EUCC CRA-conformiteit ondersteunt vóór eind 2026. Behandel dat als een streven, niet als een toezegging: er is geen handeling vastgesteld en de datum kan verschuiven.
Veelgestelde vragen
Geeft een EUCC-certificaat nu al het CRA-vermoeden van conformiteit?
Niet voor EUCC vandaag. De certificeringsroute bestaat in de CRA, maar de Commissie moet nog specificeren welke regelingen voor CRA-conformiteit tellen. Die handeling is niet vastgesteld. Een EUCC-certificaat kan sterke voorbereiding zijn, maar staat nog niet in voor de CRA-conformiteitsroute.
Wat is het verschil tussen de CRA en EUCC?
De CRA is een bindende EU-verordening die van toepassing is op elk product met digitale elementen. EUCC is een vrijwillige certificeringsregeling op basis van Common Criteria. U moet aan de CRA voldoen; een EUCC-certificaat halen is een keuze. De twee hangen samen doordat een certificaat kan dienen als één route om CRA-conformiteit aan te tonen. Dat werkt alleen voor de vereisten die het dekt, en pas zodra de regeling formeel is erkend. Dat is nog niet gebeurd.
Is EUCC-certificering verplicht onder de CRA?
Op dit moment niet. Certificering is vrijwillig voor de meeste producten. Voor de kritieke categorieën in Bijlage IV kan de Commissie een certificaat verplicht stellen bij gedelegeerde handeling. Dat kan alleen waar een regeling die categorie dekt beschikbaar is voor fabrikanten. Een dergelijke handeling bestaat nog niet, zodat geen enkel product verplicht is te certificeren. Die producten volgen de standaard beoordelingsroutes via derden totdat dat verandert.
Welk zekerheidsniveau heeft de CRA nodig?
Voor de toekomstige vrijstelling minimaal "substantieel". EUCC kent certificaten uit op "substantieel" en "hoog", zodat een "hoog" certificaat ook in aanmerking zou komen. De vrijstelling zelf hangt nog af van het van kracht zijn van de gedelegeerde handeling, en dat is niet het geval.
Wat is het verschil tussen de certificeringsroute en geharmoniseerde normen?
Het zijn twee routes naar hetzelfde vermoeden. Een geharmoniseerde norm werkt zodra de referentie ervan in het Publicatieblad is gepubliceerd. Voor een belangrijk Klasse I-product kan een gepubliceerde norm zelfevaluatie mogelijk maken. Een certificaat werkt zodra een regeling is erkend. Op "substantieel" zou het beoordeling door derden wegnemen voor de vereisten die het dekt. Vandaag is geen van beide volledig operationeel voor de CRA: geen geharmoniseerde norm is gepubliceerd en geen certificeringsregeling is erkend.
Dekt een EUCC-certificaat de Bijlage I Deel II-vereisten voor kwetsbaarheidsafhandeling?
Dat hangt af van de reikwijdte van het certificaat; u kunt dat niet zomaar aannemen. Het vermoeden reikt alleen tot de vereisten die een certificaat daadwerkelijk dekt. Bijlage I heeft twee delen: beveiligingseigenschappen van het product en procesvereisten voor kwetsbaarheidsafhandeling. Een certificaat gericht op producteigenschappen dekt de doorlopende procesverplichtingen mogelijk niet. Controleer de gedekte vereisten voordat u erop vertrouwt.
Als ik nu een EUCC-certificaat behaal, telt dat mee voor de CRA zodra de route is geactiveerd?
Niet automatisch. De handeling die regelingen zou erkennen voor CRA-conformiteit is niet vastgesteld, en de wet voorziet in aanvullende voorwaarden voor certificaten die zijn afgegeven voordat de route actief wordt. Een certificaat dat u nu heeft, is sterke voorbereiding en bewijs voor de vereisten die het dekt, maar of het later CRA-vermoedenwerking krijgt, en voor welke vereisten, hangt af van die handeling en van de reikwijdte van uw certificaat. Beschouw het als een voorsprong, niet als een gegarandeerde kortere weg.
Zijn er al EUCC-certificaten afgegeven, en waar kan ik die zien?
Ja. Certificeringsinstanties geven EUCC-certificaten uit sinds april 2025, en ENISA publiceert de officiële, filterbare lijst. Ze laten zien dat de regeling werkt, maar ze dragen nog geen CRA-vermoeden van conformiteit: dat wacht nog op de gedelegeerde handeling.