Geharmoniseerde normen zijn de technische specificaties die de brede eisen uit Bijlage I van de Cyber Resilience Act omzetten in concrete, toetsbare bepalingen. Deze pagina legt uit wat ze zijn en volgt elk ontwerp onder normalisatieverzoek M/606 van de Europese Commissie: de productcategorie, het orgaan dat de norm opstelt, de huidige status en een link naar elk publiek ontwerp.
Samenvatting
- Nog geen enkele geharmoniseerde norm voor de CRA is in het Publicatieblad gepubliceerd (stand 4 juni 2026), dus het Artikel 27-vermoeden van conformiteit is voor geen enkele productcategorie beschikbaar.
- De productontwerpen van ETSI en de eerste CEN-normen zijn het verst. De EN 304 6xx-ontwerpen zijn nu publiek leesbaar, en meerdere CEN-normen (het horizontale EN 40000-vocabularium, de delen over principes en kwetsbaarheidsafhandeling, plus de secure-element-normen EN 50764/50765/50766 en prEN 18330) hebben hun openbare enquête afgerond en zijn in goedkeuring.
- De rest staat eerder in het traject: de OT-profielen van EN 50770, het EN 40000-deel met generieke beveiligingseisen, EN 50767 en het ongenummerde identiteits- en kritieke-hardwarewerk van CEN/TC 224 zitten nog vóór de enquête.
- U hoeft niet te wachten. Lees het bijbehorende ontwerp om de eisen te anticiperen en bouw het Bijlage I-bewijs dat de CRA vereist, ongeacht welke norm van toepassing is.
Wat een geharmoniseerde norm is
De Cyber Resilience Act formuleert haar essentiële cyberbeveiligingseisen in brede juridische termen. Een geharmoniseerde norm is een technische specificatie, opgesteld door een Europese normalisatieorganisatie op verzoek van de Europese Commissie, die die eisen omzet in concrete, toetsbare bepalingen. Sommige normen zijn specifiek voor een producttype (bijvoorbeeld routers of antivirussoftware); andere zijn horizontaal en gelden over categorieën heen.
Een geharmoniseerde norm krijgt pas rechtsgevolg zodra de Commissie de vermelding ervan publiceert in het Publicatieblad van de Europese Unie (PbEU). Vanaf dat moment wordt een product dat aan de norm voldoet, vermoed te voldoen aan de eisen die de norm dekt. In de praktijk doet dat twee dingen:
- het geeft fabrikanten een erkende, controleerbare manier om naleving aan te tonen; en
- voor belangrijke producten in Klasse I laat het toepassen van een gepubliceerde geharmoniseerde norm de fabrikant zelf beoordelen via interne controle in plaats van een aangemelde instantie in te schakelen. Het neemt niet de beoordeling door derden weg die Klasse II- en kritieke producten nodig hebben, en gewone producten buiten die niveaus kunnen al op eigen kracht zelf beoordelen.
Status, stand 4 juni 2026: nog geen enkele geharmoniseerde norm voor de CRA is goedgekeurd of heeft een vermelding in het Publicatieblad gekregen. Elke norm in de tabellen hieronder is nog een ontwerp, dus het vermoeden van conformiteit is voor geen enkele productcategorie beschikbaar. Goedkeuring (ratificatie als EN) en de afzonderlijke vermelding in het Publicatieblad zijn twee latere mijlpalen, en niets heeft een van beide bereikt; de eerste normen worden in de tweede helft van 2026 verwacht, met de vermelding daarna. Gebruik de ontwerpen om de eisen te anticiperen, niet als afgeronde basis voor conformiteit.
Hoe de normen worden ontwikkeld
De Commissie heeft de twee Europese normalisatieorganisaties gevraagd deze normen op te stellen via normalisatieverzoek M/606:
- ETSI (Technisch Comité CYBER, CYBER-EUSR) stelt de normen op voor de meeste belangrijke software- en verbonden-productcategorieën. Deze dragen EN 304 6xx- referenties en zijn het verst gevorderd; hun ontwerpen zijn publiek in de open consultatiemap van ETSI CYBER-EUSR, met projecthistorie in de ETSI Labs STAN4CRA-repositories, en zijn hieronder per stuk gelinkt.
- CEN en CENELEC stellen de horizontale normen op (de EN 40000-reeks), de operationele-technologieprofielen (EN 50770-reeks), de halfgeleidernormen (EN 5076x) en het identiteits- en secure-element-werk in CEN/TC 224. Hiervoor is er geen enkele publieke map; de status wordt gevolgd via de DIN/DKE CRA-normalisatieprojectenmatrix, de zoekfunctie voor CEN/CENELEC-normen en het technische werk van STAN4CRA.
Een ontwerp doorloopt werkgroepversies en een openbare CEN Enquiry (voor ETSI een open consultatie en goedkeuringsstemming), en daarna ratificatie als EN. CEN-CENELEC kan een afzonderlijke formele stemming overslaan en direct publiceren na een positieve Enquiry. Ratificatie is nog niet de eindstreep: de Commissie moet de vermelding daarna in het Publicatieblad opnemen, en pas die vermelding activeert het vermoeden van conformiteit. Stand juni 2026 hebben meerdere CEN-ontwerpen hun openbare enquête afgerond (het EN 40000-vocabularium, de delen over principes en kwetsbaarheidsafhandeling, en de secure-element-normen) en is ETSI's EN 304 627 in definitief ontwerp; geen ervan is geratificeerd of vermeld. De eerste normen worden in de tweede helft van 2026 verwacht, met de vermelding in het Publicatieblad daarna, op een tijdpad dat de Commissie nog niet heeft bevestigd.
Hoe u de status leest
| Status | Betekenis |
|---|---|
| In ontwikkeling | Werkitem actief; geen publiek ontwerp bevestigd in onze bronnen. |
| Rijp ontwerp | Een publiek rijp ontwerp is beschikbaar (gelinkt in de tabel). |
| Definitief ontwerp | Een definitief ontwerp is beschikbaar, dicht bij de formele stemming. |
| Enquête afgesloten | Het ontwerp is door zijn openbare CEN-enquête gegaan (een commentaar- en stemronde) en wordt afgerond voor goedkeuring. De tekst is niet gratis: een ontwerpexemplaar is meestal te koop bij een nationale normalisatie-instelling zoals DIN, maar er is geen gratis publieke PDF, en daarom tonen deze rijen "n/a" voor het ontwerp. |
| Aangenomen (EN geratificeerd) | Aangenomen als EN door CEN-CENELEC of ETSI, maar nog niet vermeld in het Publicatieblad, dus nog geen vermoeden van conformiteit. |
| Gepubliceerd in PbEU | Vermelding in het Publicatieblad; het vermoeden van conformiteit geldt. |
De tabellen hieronder zijn gegroepeerd per CRA-conformiteitsniveau. Horizontale normen gelden voor elk product; de productspecifieke normen zijn gesplitst in Belangrijk Klasse I, Belangrijk Klasse II en Kritiek, omdat het niveau de conformiteitsroute bepaalt. De normreferentie toont wie de norm opstelt: EN 304 6xx = ETSI; EN 40000 = CEN-CLC/JTC 13; EN 50770 = CLC/TC 65X operationele-technologieprofielen die naast de ETSI-normen voor dezelfde functies lopen; EN 5076x = CLC/TC 47X; EN 18330 = CEN/TC 224.
Geen enkele norm heeft "Aangenomen (EN geratificeerd)" of "Gepubliceerd in PbEU" bereikt. De status weerspiegelt het meest recente publieke bewijs op de datum bovenaan deze pagina.
Horizontale normen
De EN 40000-reeks, opgesteld door CEN-CLC/JTC 13, geldt voor elk product met digitale elementen, bovenop elke productspecifieke norm in de secties hieronder.
| M/606 | Norm | Onderwerp | Status |
|---|---|---|---|
| n/a | EN 40000-1-1 | Vocabularium en terminologie | Enquête afgesloten |
| 1 | EN 40000-1-2 | Principes voor cyberweerbaarheid | Enquête afgesloten |
| 2-14 | EN 40000-1-4 | Generieke beveiligingseisen | In ontwikkeling |
| 15 | EN 40000-1-3 | Kwetsbaarheidsafhandeling | Enquête afgesloten |
Belangrijke producten: Klasse I
Deze dekken de Klasse I-categorieën uit Bijlage III. Het toepassen van een gepubliceerde geharmoniseerde norm laat een Klasse I-fabrikant zelf beoordelen via interne controle; zonder zo'n norm moet conformiteit op een andere manier worden aangetoond.
| M/606 | Norm | Productcategorie | Status | Recentste publieke ontwerp |
|---|---|---|---|---|
| 16 | Referentie nog niet toegekend | Identiteitsbeheer, privileged access management, authenticatielezers | In ontwikkeling | n/a |
| 17a/b | EN 304 617 | Embedded en standalone browsers | Rijp ontwerp | V0.1.1 · Apr 2026 |
| 18 | EN 304 618 | Wachtwoordbeheerders | In ontwikkeling | Nog niet publiek |
| 19 | EN 304 619 | Antivirus / antimalware | Rijp ontwerp | V0.0.26 · Apr 2026 |
| 20a | EN 304 620 | Virtual private networks (VPN) | Rijp ontwerp | V0.1.9 · Apr 2026 |
| 20b | prEN 50770-4 | OT VPN | In ontwikkeling | n/a |
| 21a | EN 304 621 | Netwerkbeheersystemen | Rijp ontwerp | V0.1.3 · Apr 2026 |
| 21b | prEN 50770-2 | OT-netwerkbeheersystemen | In ontwikkeling | n/a |
| 22a | EN 304 622 | SIEM | In ontwikkeling | Nog niet publiek |
| 22b | prEN 50770-6 | OT SIEM | In ontwikkeling | n/a |
| 23 | EN 304 623 | Boot managers | Rijp ontwerp | V0.1.1 · May 2026 |
| 24 | EN 304 624 | PKI / software voor certificaatuitgifte | In ontwikkeling | Nog niet publiek |
| 25a | EN 304 625 | Fysieke en virtuele netwerkinterfaces | Rijp ontwerp | V0.0.14 · Apr 2026 |
| 25b | prEN 50770-3 | OT fysieke en virtuele netwerkinterfaces | In ontwikkeling | n/a |
| 26 | EN 304 626 | Besturingssystemen | Rijp ontwerp | V0.2.0 · Apr 2026 |
| 27a | EN 304 627 | Routers, modems, switches | Definitief ontwerp | V1.0.0 · Jun 2026 |
| 27b | prEN 50770-5 | OT routers, modems, switches | In ontwikkeling | n/a |
| 28-29 | EN 50765 | Microprocessors en microcontrollers met beveiligingsfuncties | Enquête afgesloten | n/a |
| 30 | EN 50767 | ASIC's en FPGA's met beveiligingsfuncties | In ontwikkeling | n/a |
| 31 | EN 304 631 | Virtuele assistenten voor het smart home | Rijp ontwerp | V0.2.1.4 · Apr 2026 |
| 32 | EN 304 632 | Smart-homeproducten met beveiligingsfunctionaliteiten (bijv. beveiligingscamera's) | Rijp ontwerp | V0.2.1.4 · Apr 2026 |
| 33 | EN 304 633 | Met internet verbonden speelgoed | Rijp ontwerp | V0.2.3.3 · Apr 2026 |
| 34 | EN 304 634 | Persoonlijke wearables | Rijp ontwerp | V0.2.6 · Apr 2026 |
Belangrijke producten: Klasse II
Klasse II-producten hebben altijd beoordeling door een derde (aangemelde instantie) nodig; een geharmoniseerde norm ontgrendelt voor hen geen zelfbeoordeling.
| M/606 | Norm | Productcategorie | Status | Recentste publieke ontwerp |
|---|---|---|---|---|
| 35 | EN 304 635 | Hypervisors en container-runtimesystemen | Rijp ontwerp | V0.0.15 · Apr 2026 |
| 36a | EN 304 636 | Firewalls / IDS / IPS | Rijp ontwerp | V0.1.0 · Apr 2026 |
| 36b | prEN 50770-1 | OT firewalls / IDS / IPS | In ontwikkeling | n/a |
| 37-38 | EN 50766 | Manipulatiebestendige microprocessors en microcontrollers | Enquête afgesloten | n/a |
Kritieke producten
Kritieke producten (Bijlage IV) moeten een Europese cyberbeveiligingscertificeringsregeling gebruiken waar er een verplicht is, of anders dezelfde derde-partijroutes als Klasse II. Een geharmoniseerde norm neemt die eis niet weg.
| M/606 | Norm | Productcategorie | Status |
|---|---|---|---|
| 39 | Referentie nog niet toegekend | Hardwareapparaten met beveiligingskastje | In ontwikkeling |
| 40 | Referentie nog niet toegekend | Slimme-meter-gateways (CEN-CLC/JTC 13 WG 6) | In ontwikkeling |
| 41a | EN 50764 | Platforms van smartcards en secure elements | Enquête afgesloten |
| 41b | EN 18330 / prEN 18330 | Smartcards en secure elements, applicatielaag | Enquête afgesloten |
Veelgestelde vragen
Zijn er al CRA-geharmoniseerde normen van kracht?
Nee. Stand 4 juni 2026 is geen enkele geharmoniseerde norm voor de CRA goedgekeurd (geratificeerd als EN) of in het Publicatieblad vermeld, dus het Artikel 27-vermoeden van conformiteit is voor geen enkele productcategorie beschikbaar. Elke norm op deze lijst is nog een ontwerp. De horizontale EN 40000-ontwerpen (openbare enquête afgerond) en ETSI's EN 304 6xx-ontwerpen zijn het verst, maar goedkeuring en de afzonderlijke vermelding in het Publicatieblad zijn latere stappen. De eerste normen worden in de tweede helft van 2026 verwacht, met de vermelding daarna, op een datum die de Commissie nog niet heeft bevestigd.
Moet ik op een geharmoniseerde norm wachten om aan de CRA te voldoen?
Nee. Een geharmoniseerde norm is één route om conformiteit aan te tonen, niet de enige. CRA-verplichtingen gelden op het eigen tijdpad van de verordening, of er nu een norm bestaat of niet. U kunt rechtstreeks aan de essentiële eisen van Bijlage I voldoen en vastleggen hoe in uw technische documentatie. Een gepubliceerde norm geeft simpelweg een erkende, controleerbare manier om conformiteit aan te tonen met de eisen die de norm dekt, en voor belangrijke Klasse I-producten opent het de zelfbeoordelingsroute via interne controle.
Wat levert "vermoeden van conformiteit" mij concreet op?
Onder Artikel 27 wordt een product dat voldoet aan een geharmoniseerde norm waarvan de vermelding in het Publicatieblad is gepubliceerd, vermoed te voldoen aan de Bijlage I-eisen die de norm dekt. In de praktijk geeft het u een verdedigbare, erkende basis voor uw conformiteitsclaim, en voor belangrijke Klasse I-producten laat het u zelf beoordelen via interne controle in plaats van een aangemelde instantie in te schakelen. Het verandert niets aan de beoordeling door derden die Klasse II- en kritieke producten vereisen onder Artikel 32.
Waar kan ik de ontwerpnormen lezen?
Dat hangt af van wie de norm opstelt. De ETSI EN 304 6xx-ontwerpen worden gratis gepubliceerd in de open consultatiemap van ETSI CYBER-EUSR, per norm gelinkt in de tabellen hierboven. De CEN/CENELEC-ontwerpen (EN 40000, EN 50770, EN 5076x en het werk van CEN/TC 224) liggen anders: er is geen gratis publieke map. U kunt zien dat een ontwerp bestaat en een exemplaar kopen bij een nationale normalisatie-instelling (DIN, NEN, AFNOR, BSI, enzovoort), maar de tekst is niet gratis gepubliceerd, en zodra de openbare enquête van een ontwerp sluit, eindigt zelfs de gratis commentaartoegang. Daarom tonen die rijen "n/a" voor het recentste publieke ontwerp.
Kan ik op een rijp of definitief ontwerp vertrouwen voordat die is gepubliceerd?
Gebruik die om de eisen te anticiperen, niet als afgeronde juridische basis. Een rijp of definitief ontwerp ligt meestal dicht bij de definitieve tekst, maar kan bij de formele stemming of in de beoordeling van de Commissie nog veranderen, en het vermoeden van conformiteit geldt pas zodra de vermelding in het Publicatieblad verschijnt. Het nu lezen blijft toch de snelste manier om u voor te bereiden.
Wat is het verschil tussen de EN 304 6xx- en EN 40000-normen?
De EN 304 6xx-normen, opgesteld door ETSI, zijn productspecifiek: elke norm richt zich op één categorie, zoals browsers, besturingssystemen of routers. De EN 40000-reeks, opgesteld door CEN-CLC/JTC 13, is horizontaal: die legt principes, generieke beveiligingseisen en regels voor kwetsbaarheidsafhandeling vast die over categorieën heen gelden. Eén product kan zowel een horizontale norm als de norm voor zijn categorie moeten lezen.
Dekken sommige van deze normen kritieke producten, niet alleen belangrijke?
Ja. De meeste gevolgde normen dekken belangrijke producten, maar een paar dekken kritieke: de secure-element-platformnorm (EN 50764), plus het werk aan hardwareapparaten met beveiligingskastje, slimme-meter-gateways en smartcards. Kritieke producten moeten een Europese cyberbeveiligingscertificeringsregeling gebruiken waar er een verplicht is, of anders dezelfde beoordelingsroutes door derden als Klasse II-producten. De sectie kritieke producten markeert ze apart. Een geharmoniseerde norm laat een kritiek product die beoordeling niet overslaan, zoals dat wel kan voor een belangrijk Klasse I-product.
Wanneer worden de normen in het Publicatieblad gepubliceerd?
Er is geen bevestigde publicatiedatum voor enige geharmoniseerde norm voor de CRA. De ETSI EN 304 6xx-ontwerpen zijn het dichtst bij, meerdere in rijp- of definitief-ontwerpstadium, maar elk moet nog zijn formele stemming en de beoordeling van de Commissie doorstaan voordat een vermelding kan worden opgenomen. Behandel de statuskolom hier als de huidige stand en controleer de hierboven gelinkte trackers van de normalisatie-instellingen op beweging.