Uw CRA-conformiteitsbeoordelingsroute hangt af van uw productclassificatie. "Belangrijke" en "Kritische" producten vereisen verplichte beoordeling door derden. "Standaard"-producten kunnen zichzelf certificeren.
Samenvatting
- De CRA definieert vier categorieën: Standaard, Belangrijk Klasse I, Belangrijk Klasse II, Kritisch
- Standaard: zelfbeoordeling (Module A) toegestaan
- Belangrijk Klasse I: beoordeling door derde partij, tenzij geharmoniseerde normen volledig worden gevolgd
- Belangrijk Klasse II en Kritisch: verplichte beoordeling door derde partij
- Classificatie is gebaseerd op productfunctie en risico, niet op marktsector
- Bij twijfel, kies voor hogere classificatie (veiliger bij handhaving)
Tip: Ongeveer 90% van de producten valt in de categorie Standaard. Controleer Bijlage III en IV eerst – als uw product niet staat vermeld, is het Standaard.
Wat zijn de vier CRA-productcategorieën?
De CRA classificeert producten met digitale elementen in vier niveaus op basis van cyberbeveiligingsrisico:
Standaard producten
De grote meerderheid van producten valt hier. Als uw product niet specifiek in Bijlage III of IV staat vermeld, is het "Standaard."
Conformiteitsbeoordeling: Zelfbeoordeling (Module A) volstaat.
Voorbeelden:
- Eenvoudige IoT-sensoren
- Standaard consumentenelektronica
- Standaard bedrijfssoftware
- Algemene toepassingen
- Niet-genetwerkte embedded apparaten
Belangrijk Klasse I (Bijlage III, Deel I)
Producten met verhoogd risico vanwege hun functie of gebruikersbasis.
Conformiteitsbeoordeling: Zelfbeoordeling toegestaan ALS relevante geharmoniseerde normen volledig worden toegepast. Anders is beoordeling door derde partij vereist.
Volledige lijst uit Bijlage III, Deel I:
- Identiteitsbeheer- en geprivilegieerde toegangsbeheersoftware/-hardware, inclusief authenticatie- en toegangscontrolelezers, inclusief biometrische lezers
- Zelfstandige en ingebedde browsers
- Wachtwoordbeheerders
- Software die kwaadaardige software zoekt, verwijdert of in quarantaine plaatst
- Producten met digitale elementen met VPN-functionaliteit
- Netwerkbeheersystemen
- SIEM-systemen (Security Information and Event Management)
- Bootmanagers
- Software voor public key-infrastructuur en uitgifte van digitale certificaten
- Fysieke en virtuele netwerkinterfaces
- Besturingssystemen
- Routers, modems bestemd voor aansluiting op het internet, en switches
- Microprocessors met beveiligingsgerelateerde functionaliteiten
- Microcontrollers met beveiligingsgerelateerde functionaliteiten
- Toepassingsspecifieke geïntegreerde schakelingen (ASIC) en veldprogrammeerbare gate-arrays (FPGA) met beveiligingsgerelateerde functionaliteiten
- Algemene virtuele assistenten voor de slimme woning
- Slimme-woningproducten met beveiligingsfuncties, inclusief slimme deursloten, beveiligingscamera's, babyfoons en alarmsystemen
- Met internet verbonden speelgoed gedekt door Richtlijn 2009/48/EG die sociale interactieve functies hebben (bijv. spreken of filmen) of locatievolgfuncties hebben
- Persoonlijke draagbare producten die op of aan een menselijk lichaam worden gedragen of geplaatst en een gezondheidsbewakingsdoel hebben (zoals tracking) en waarop Verordening (EU) 2017/745 of (EU) nr. 2017/746 niet van toepassing is, of persoonlijke draagbare producten die bestemd zijn voor gebruik door en voor kinderen
Belangrijk Klasse II (Bijlage III, Deel II)
Producten met hoger risico die verplichte beoordeling door derden vereisen.
Conformiteitsbeoordeling: Beoordeling door derde partij (aangemelde instantie) vereist. Geen optie voor zelfbeoordeling.
Volledige lijst uit Bijlage III, Deel II:
- Hypervisors en container runtime-systemen die gevirtualiseerde uitvoering van besturingssystemen en vergelijkbare omgevingen ondersteunen
- Firewalls, inbraakdetectie- en -preventiesystemen
- Manipulatiebestendige microprocessors
- Manipulatiebestendige microcontrollers
Kritische producten (Bijlage IV)
De categorie met het hoogste risico. Hardware-beveiligingsmodules en vergelijkbare apparaten.
Conformiteitsbeoordeling: Beoordeling door derde partij PLUS EU-cyberbeveiligingscertificering (EUCC) op niveau "substantieel" of hoger.
Volledige lijst uit Bijlage IV:
- Hardware apparaten met beveiligingsboxen
- Slimme metergateways binnen intelligente metersystemen zoals gedefinieerd in artikel 2, punt 23, van Richtlijn (EU) 2019/944 en andere apparaten voor geavanceerde beveiligingsdoeleinden, inclusief voor veilige cryptoverwerking
- Smartcards of vergelijkbare apparaten, inclusief beveiligde elementen
Beslisboom: uw categorie bepalen
Gebruik dit proces om uw product te classificeren:
START: Heeft uw product digitale elementen?
│
├─ NEE → Buiten het CRA-toepassingsgebied. Stop hier.
│
└─ JA → Staat het vermeld in Bijlage IV (Kritische producten)?
│
├─ JA → KRITISCH
│ Derde partij + EUCC-certificering vereist
│
└─ NEE → Staat het vermeld in Bijlage III, Deel II (Belangrijk Klasse II)?
│
├─ JA → BELANGRIJK KLASSE II
│ Beoordeling derde partij vereist
│
└─ NEE → Staat het vermeld in Bijlage III, Deel I (Belangrijk Klasse I)?
│
├─ JA → BELANGRIJK KLASSE I
│ Derde partij OF zelfbeoordeling met normen
│
└─ NEE → STANDAARD
Zelfbeoordeling (Module A) toegestaan
Conformiteitsbeoordelingsroutes per categorie
| Module | Beschikbaar voor | Aangemelde instantie |
|---|---|---|
| A – Interne productiecontrole | Standaard; Klasse I met toegepaste geharmoniseerde normen | Niet vereist |
| B+C – EU-typeonderzoek + productiecontrole | Klasse I zonder normen; Klasse II; Kritisch | Vereist |
| H – Volledige kwaliteitsborging | Alle categorieën – alternatief voor B+C | Vereist |
| EUCC – EU-cyberbeveiligingscertificering | Alleen Kritisch (Bijlage IV), aanvullend op B+C of H | Vereist |
Module A is de volledige zelfbeoordelingscyclus: technisch dossier, EU-conformiteitsverklaring, CE-markering. Geen externe auditor vereist.
Module B+C verdeelt het werk: een aangemelde instantie onderzoekt een typemodel en geeft een certificaat af (Module B); de fabrikant zorgt vervolgens dat de productie overeenstemt met dat type (Module C).
Module H vervangt de product-voor-product aanpak door een audit van het kwaliteitsbeheersysteem van de fabrikant. Beter geschikt bij een groot productportfolio.
EUCC zit bovenop Module B+C of H voor Kritische producten. Afgegeven onder de EU Cybersecurity Act op betrouwbaarheidsniveau "substantieel" of hoger door een geaccrediteerde conformiteitsbeoordelingsinstantie.
Hoe classificeert u een product dat in meerdere categorieën valt?
Productclassificatie is niet altijd vanzelfsprekend. Hier zijn richtsnoeren voor veelgestelde vragen:
Multifunctionele producten
Regel: Als ENIGE functie een hogere categorie triggert, wordt het hele product op dat niveau geclassificeerd.
Voorbeeld: Een slimme-woning-hub met:
- Basis automatiseringsbesturing (Standaard)
- VPN-functionaliteit (Belangrijk Klasse I)
- Integratie beveiligingscamera (Belangrijk Klasse I)
Classificatie: Belangrijk Klasse I (hoogste getriggerde categorie)
Embedded componenten
Regel: Overweeg of beveiligingsrelevante componenten de classificatie triggeren.
Voorbeeld: Een consumentenapparaat met:
- Algemene microcontroller → Standaard
- Microcontroller "met beveiligingsgerelateerde functionaliteiten" → Belangrijk Klasse I
Kernvraag: Voert de microcontroller beveiligingsfuncties uit (encryptie, authenticatie, secure boot)?
Overwegingen bij "bestemd voor"
Verschillende Bijlage III-items specificeren beoogd gebruik of toepasselijke wetgeving:
- Met internet verbonden speelgoed valt alleen onder Klasse I als het gedekt is door Richtlijn 2009/48/EG en sociale interactieve functies of locatietracking heeft
- Persoonlijke draagbare gezondheidsproducten vallen alleen onder Klasse I als Verordening (EU) 2017/745 of (EU) nr. 2017/746 niet van toepassing is, of als het product bestemd is voor gebruik door en voor kinderen
Als uw product in deze contexten zou kunnen worden gebruikt maar niet specifiek daarvoor is bedoeld, geldt de classificatie mogelijk niet. Documenteer uw beoogd gebruik duidelijk.
Besturingssystemen
Besturingssystemen zijn verdeeld over categorieën:
| OS-type | Classificatie |
|---|---|
| Embedded OS (RTOS, firmware) | Standaard (doorgaans) |
| Besturingssystemen | Belangrijk Klasse I |
Voorbeeld: Een aangepaste Linux-distributie voor embedded apparaten valt doorgaans onder Belangrijk Klasse I. Ubuntu Server valt eveneens onder Belangrijk Klasse I.
Software vs. hardware
Classificatie houdt rekening met het product zoals het op de markt wordt gebracht:
- Zelfstandige software: Geclassificeerd op basis van softwarefunctie
- Hardware met embedded software: Geclassificeerd op basis van gecombineerde functionaliteit
- Afzonderlijk verkochte softwarecomponent: Zelfstandig geclassificeerd
Sectorspecifieke richtsnoeren
IoT-apparaatfabrikanten
De meeste IoT-apparaten zijn Standaard, tenzij ze:
- VPN-functionaliteit omvatten → Klasse I
- Slimme-woningbeveiligingsapparaten zijn → Klasse I
- Industriële IoT zijn → Klasse I of II
- Manipulatiebestendige beveiligingsfuncties omvatten → Klasse II
Softwarebedrijven
De meeste software is Standaard, tenzij specifiek vermeld:
- Browsers, wachtwoordbeheerders, anti-malware → Klasse I
- Besturingssystemen → Klasse I
- Netwerkbeveiligingstools (firewalls, IDS) → Klasse II
Embedded systemen
Classificatie hangt sterk af van:
- Beveiligingsfuncties van microcontrollers/-processoren
- Of het product bestemd is voor industrieel/professioneel gebruik
- Doelimplementatieomgeving (kritieke infrastructuur?)
Medische hulpmiddelen
Medische hulpmiddelen zijn uitgesloten van het CRA-toepassingsgebied (gedekt door MDR/IVDR). Begeleidende software of niet-medische functies kunnen echter nog wel in het toepassingsgebied vallen.
Een aangemelde instantie vinden
Voor producten die beoordeling door derden vereisen:
- Controleer de NANDO-database: De officiële EU-lijst van aangemelde instanties
- Zoek naar CRA-specifieke aanwijzing: Instanties moeten worden aangewezen voor CRA-conformiteitsbeoordeling
- Overweeg capaciteit: Vroege CRA-adoptie betekent beperkte NB-beschikbaarheid
- Geografische overwegingen: Werken met een NB in uw regio kan eenvoudiger zijn
VERIFIEER MET PRIMAIRE BRON: De volledige lijst van aangewezen aangemelde instanties voor de CRA is op het moment van schrijven nog in opbouw.
Veelgemaakte classificatiefouten
Belangrijk: Classificatie is gebaseerd op productfunctie, niet op marktsector, bedrijfsomvang of productcomplexiteit. Controleer altijd de lijsten van Bijlage III en IV.
"Consumentenproduct = Standaard"
Onjuist. Classificatie is op basis van functie, niet op markt.
Een slim deurslot dat aan consumenten wordt verkocht, valt onder Belangrijk Klasse I omdat het een "slimme-woningproduct met beveiligingsfunctionaliteit" is, ongeacht de consumentendoelmarkt.
"Wij zijn B2B, dus lagere classificatie"
Onjuist. B2B vs. B2C heeft geen invloed op de classificatie.
Industriële IoT-producten voor zakelijke klanten kunnen Belangrijk Klasse I of II zijn, afhankelijk van hun functie.
"Ons product is klein/eenvoudig, dus Standaard"
Mogelijk onjuist. Omvang en complexiteit bepalen de classificatie niet.
Een kleine microcontroller met beveiligingsfuncties kan Belangrijk Klasse I zijn. Een groot, complex product zonder vermelde functies kan Standaard zijn.
"Wij hebben al ISO 27001, dus wij zijn gedekt"
Onjuist. ISO 27001 is voor organisatorische informatiebeveiliging, niet voor productconformiteitsbeoordeling.
De CRA vereist productspecifieke conformiteitsbeoordeling, ongeacht organisatorische certificeringen.
Checklist productclassificatie
CHECKLIST PRODUCTCLASSIFICATIE
Product: _______________________________________
Datum: _________________________________________
INITIËLE TOEPASSINGSGEBIEDCONTROLE:
[ ] Product heeft digitale elementen (software en/of dataverbinding)
[ ] Product wordt op EU-markt geplaatst
[ ] Product is niet uitgesloten (medisch, automotive, luchtvaart, militair)
BIJLAGE IV-CONTROLE (KRITISCH):
[ ] Geen hardware apparaat met beveiligingsbox
[ ] Geen slimme metergateway binnen een intelligent metersysteem (Richtlijn (EU) 2019/944, art. 2, punt 23)
[ ] Geen smartcard of vergelijkbaar apparaat, inclusief beveiligde elementen
Als een van bovenstaande JA is → KRITISCH (stop hier)
BIJLAGE III DEEL II-CONTROLE (BELANGRIJK KLASSE II):
[ ] Geen hypervisor of container runtime-systeem dat gevirtualiseerde uitvoering ondersteunt
[ ] Geen firewall, inbraakdetectie- of -preventiesysteem
[ ] Geen manipulatiebestendige microprocessor
[ ] Geen manipulatiebestendige microcontroller
Als een van bovenstaande JA is → BELANGRIJK KLASSE II (stop hier)
BIJLAGE III DEEL I-CONTROLE (BELANGRIJK KLASSE I):
[ ] Volledige lijst van 19 categorieën beoordeeld
[ ] Multifunctionele implicaties overwogen
[ ] Beveiligingsgerelateerde functionaliteiten in componenten gecontroleerd
Als een categorie van toepassing is → BELANGRIJK KLASSE I (stop hier)
STANDAARD:
[ ] Product niet vermeld in een Bijlage
[ ] Classificatie: STANDAARD
CONFORMITEITSBEOORDELINGSROUTE:
[ ] Module A (zelfbeoordeling) - Standaard, Klasse I met normen
[ ] Module B+C (derde partij) - Klasse I zonder normen, Klasse II
[ ] Module H (kwaliteitsborging) - Alternatief voor B+C
[ ] EUCC-certificering - Alleen voor Kritische producten
DOCUMENTATIE:
[ ] Classificatieonderbouwing gedocumenteerd
[ ] Multifunctionele analyse voltooid
[ ] Beoogd gebruik duidelijk vastgesteld
[ ] Aangemelde instantie geïdentificeerd (indien vereist)
Geclassificeerd door: _________________________________
Datum: _________________________________________
Veelgestelde vragen
Valt een thuisrouter voor internetaansluiting onder Belangrijk Klasse I of Standaard?
Belangrijk Klasse I. Routers "bestemd voor de aansluiting op het internet" zijn vermeld in Bijlage III Deel I punt 12. Zelfbeoordeling is toegestaan als relevante geharmoniseerde normen volledig worden toegepast. Zonder toepasselijke geharmoniseerde norm is een aangemelde instantie vereist. Zie CRA-conformiteitsbeoordelingsroutes.
Geldt de CRA voor SaaS-producten zonder fysieke hardware?
Dat hangt ervan af. SaaS die verwerking op afstand van gegevens biedt die integraal deel uitmaken van een product met digitale elementen, valt binnen het bereik van de CRA op grond van artikel 3(1). Een zelfstandige webapplicatie zonder bijbehorende hardware kan ook binnen het bereik vallen afhankelijk van de functie. De classificatie volgt dezelfde lijsten van Bijlage III en IV als voor fysieke producten.
Als mijn product zowel Standaard- als Klasse I-functies heeft, welke categorie is dan van toepassing?
De hoogste van toepassing zijnde categorie geldt voor het gehele product. Als een enkele functie onder Bijlage III of IV valt, wordt het gehele product op dat niveau beoordeeld. Een netwerkswitch met ingebouwde VPN-functie is Belangrijk Klasse I voor het gehele apparaat, niet alleen voor het VPN-onderdeel.
Heeft ISO 27001-certificering invloed op de CRA-productclassificatie?
Nee. De classificatie wordt uitsluitend bepaald door de productfunctie ten opzichte van Bijlage III en IV. Organisatorische certificeringen spelen geen rol. ISO 27001 betreft informatiebeveiliging op organisatieniveau; de CRA vereist productspecifieke conformiteitsbeoordeling ongeacht welke certificeringen de fabrikant heeft. Zie CRA en ISO 27001.
Wanneer moet de CRA-productclassificatie worden vastgesteld?
Voordat het product op de EU-markt wordt geplaatst. De classificatie bepaalt de conformiteitsbeoordelingsroute, die moet zijn afgerond voordat de CE-markering kan worden aangebracht en de EU-conformiteitsverklaring kan worden afgegeven. Zie de CRA-implementatietijdlijn voor de belangrijkste deadlines.
Waar vind ik een aangemelde instantie voor CRA-conformiteitsbeoordeling in Nederland?
De NANDO-database (nando.ec.europa.eu) is het officieel EU-register van aangemelde instanties. CRA-specifieke aanwijzingen worden gepubliceerd onder Verordening (EU) 2024/2847; controleer de database voor de actuele stand van zaken. Voor Belangrijk Klasse I-producten is een aangemelde instantie alleen vereist als geen relevante geharmoniseerde norm wordt toegepast. Het NCSC-NL biedt aanvullende handreiking voor Nederlandse fabrikanten.