CRA Ocena zgodności: samoocena czy jednostka notyfikowana

Wybrana ścieżka oceny zgodności CRA determinuje koszty, harmonogram i zależności zewnętrzne. Błędny wybór oznacza stratę miesięcy i tysięcy euro. Właściwy wybór daje jasną drogę do oznakowania CE.

Niniejszy przewodnik pomaga wybrać właściwy moduł oceny zgodności i zrozumieć, co każdy z nich obejmuje.

~90%
Produkty domyślne
kwalifikujące się do samooceny w ramach Modułu A
0
Wyznaczonych Jednostek Notyfikowanych
dla CRA w stanie na maj 2026 r.
10 yr
Przechowywanie dokumentacji technicznej
wymagane na mocy Artykułu 13(13) CRA
5 mm
Minimalna wysokość oznakowania CE
obowiązuje dla każdego produktu z oznakowaniem CRA

Źródła: Artykuł 13(13) CRA (okres przechowywania), baza NANDO (rejestr Jednostek Notyfikowanych UE, status wyznaczenia), wartości podane w niniejszym przewodniku. Wskaźnik "~90%" produktów Default jest szacunkiem wynikającym z wąskiego zakresu Załączników III/IV, a nie wartością określoną przez RCC.

Podsumowanie

  • Moduł A (Samoocena): Dostępny dla produktów domyślnych i Ważnej Klasy I (przy pełnym zastosowaniu standardów zharmonizowanych)
  • Moduł B+C (Strona trzecia): Wymagany dla Ważnej Klasy II, opcjonalny dla pozostałych
  • Moduł H (Pełne QA): Alternatywa dla B+C dla organizacji z wieloma produktami
  • Klasyfikacja produktu określa, które opcje są dostępne
  • Różnica kosztów: Moduł A (~EUR 5-20 tys. nakładu wewnętrznego), B+C (~EUR 30-100 tys.+), H (~EUR 50 tys.+ wdrożenie + koszty bieżące)
Schemat decyzyjny oceny zgodności CRA przyporządkowujący każdą kategorię produktu do dopuszczalnych modułów
Moduł oceny zgodności CRA według kategorii produktu. Samoocena w ramach Modułu A jest dostępna dla produktów domyślnych oraz dla Ważnej Klasy I tylko przy pełnym zastosowaniu standardów zharmonizowanych. Dla produktów Ważnej Klasy II i Krytycznych wymagana jest Jednostka Notyfikowana.

Przegląd oceny zgodności

Ocena zgodności to sposób wykazania, że produkt spełnia wymagania CRA. Deklaracja Zgodności UE (DoC), którą producent podpisuje, stwierdza zgodność produktu, lecz konieczne jest posiadanie dokumentacji potwierdzającej to twierdzenie.

CRA przewiduje trzy moduły oceny zgodności. Schemat decyzyjny powyżej przyporządkowuje każdą kategorię produktu do dopuszczalnych ścieżek. Moduł A to samoocena producenta. Moduł B+C łączy badanie typu UE przez Jednostkę Notyfikowaną (B) z fazą zgodności produkcji prowadzoną przez producenta (C). Moduł H to jednolita ścieżka, w której Jednostka Notyfikowana zatwierdza system zarządzania jakością i sprawuje nad nim bieżący nadzór.

Kiedy można stosować samoocenę Modułu A?

Samoocena. Producent samodzielnie ocenia produkt względem wymagań CRA.

Kiedy Moduł A jest dostępny

  • Produkty domyślne: Zawsze dostępny
  • Ważna Klasa I: Wyłącznie przy pełnym zastosowaniu odpowiednich standardów zharmonizowanych

Co oznaczają „standardy zharmonizowane"

Przy samoocenie Ważnej Klasy I należy stosować standardy zharmonizowane, które:

  • Obejmują wymagania zasadnicze z Załącznika I
  • Zostały opublikowane w Dzienniku Urzędowym UE
  • Są stosowane w całości (nie częściowo)

Jeśli nie istnieje standard zharmonizowany dla danego typu produktu, produkty Ważnej Klasy I muszą korzystać z Modułu B+C lub H.

Standardy zharmonizowane dla CRA są nadal opracowywane. Należy monitorować publikacje w Dzienniku Urzędowym UE.

Proces Modułu A

  1. Faza projektowania. Stosowanie zasad bezpieczeństwa już na etapie projektowania, przeprowadzenie oceny ryzyka zgodnie z Załącznikiem I, udokumentowanie architektury bezpieczeństwa oraz zastosowanie standardów zharmonizowanych dla produktów Ważnej Klasy I.
  2. Dokumentacja. Sporządzenie dokumentacji technicznej z Załącznika VII obejmującej opis produktu, wyniki oceny ryzyka, dokumentację projektową, zastosowane standardy, wyniki testów i SBOM. Przygotowanie Deklaracji Zgodności UE.
  3. Kontrole produkcji. Zapewnienie utrzymania zgodności w toku produkcji, udokumentowanie kontroli jakości i weryfikacja każdej jednostki tam, gdzie ma to zastosowanie.
  4. Finalizacja. Podpisanie Deklaracji Zgodności UE, umieszczenie oznakowania CE i przechowywanie dokumentacji przez 10 lat.

Wymagania dokumentacyjne Modułu A

Dokumentacja techniczna z Załącznika VII w ramach Modułu A musi obejmować sześć poniższych obszarów.

Opis ogólny
  • Identyfikacja produktu i przeznaczenie
  • Objęte wersje
  • Dostarczone instrukcje użytkowania
Ocena ryzyka
  • Zidentyfikowane zagrożenia cyberbezpieczeństwa
  • Rozważane scenariusze zagrożeń i ataki
  • Decyzje dotyczące postępowania z ryzykiem
Dokumentacja projektowa
  • Architektura systemu
  • Wdrożone środki bezpieczeństwa
  • Sposób spełnienia każdego wymagania z Załącznika I
Standardy i testy
  • Zastosowane standardy (z numerami wersji)
  • Plany i wyniki testów
  • Weryfikacja pełnego zastosowania standardów (dla Klasy I)
SBOM
  • Uwzględnione komponenty
  • Podatności znane w chwili oceny
Produkcja
  • Sposób utrzymania zgodności w toku produkcji
  • Środki kontroli jakości
Podane zakresy kosztów to szacunki

Opierają się na analogicznych systemach oznakowania CE (Dyrektywa o Urządzeniach Radiowych, Rozporządzenie w sprawie Wyrobów Medycznych) oraz wczesnych cennikach doradztwa CRA. Nie są to wyniki badania rynku właściwego dla CRA. Żadna Jednostka Notyfikowana nie opublikowała cennika CRA: baza NANDO nie wykazuje żadnych wyznaczonych jednostek według stanu na maj 2026 r. Liczby należy traktować jako dane planistyczne. Potwierdzić na podstawie rzeczywistych ofert po dokonaniu wyznaczenia.

Koszty Modułu A

Element kosztu Typowy zakres Uwagi
Ocena ryzyka EUR 5 000-15 000 Wewnętrzna lub zlecona konsultantowi
Dokumentacja techniczna EUR 5 000-20 000 Zależy od złożoności
Testy EUR 2 000-10 000 Wewnętrzne lub laboratoryjne
Narzędzia SBOM EUR 0-5 000 Narzędzia mogą już istnieć
Czas personelu wewnętrznego Zmienny Często największy składnik kosztu

Typowy zakres całkowity: EUR 15 000-50 000 (koszty wewnętrzne)

Harmonogram Modułu A

Faza Czas trwania
Ocena ryzyka 2-4 tygodnie
Dokumentacja 4-8 tygodni
Testy 2-4 tygodnie
Przegląd i finalizacja 1-2 tygodnie

Typowy łączny harmonogram: 2-4 miesiące

Kiedy CRA wymaga jednostki notyfikowanej?

Ocena zewnętrzna. Jednostka Notyfikowana bada projekt produktu.

Kiedy wymagana jest jednostka notyfikowana

  • Ważna Klasa II: Moduł B+C, H lub schemat na podstawie Artykułu 27(9) na poziomie „substantial" (Artykuł 32(3)).
  • Produkty krytyczne (Załącznik IV): Artykuł 8(1) europejski schemat certyfikacji cyberbezpieczeństwa po przyjęciu aktu delegowanego (np. EUCC na poziomie „substantial"), lub Artykuł 32(3) ścieżka zastępcza (B+C, H lub schemat na podstawie Artykułu 27(9)), gdy taki akt delegowany nie ma jeszcze zastosowania. EUCC jest równoległy, nie addytywny względem B+C / H.
  • Ważna Klasa I: Moduł B+C lub H, gdy standardy zharmonizowane, wspólne specyfikacje lub schematy na podstawie Artykułu 27 nie są stosowane lub są stosowane tylko częściowo (Artykuł 32(2)).

Moduł B: badanie typu UE

Jednostka Notyfikowana bada reprezentatywną próbkę (typ) produktu i wydaje certyfikat.

  1. Wniosek. Wybór Jednostki Notyfikowanej i złożenie wniosku wraz z próbkami produktu, dokumentacją techniczną oraz formularzem wniosku. Uiszczenie opłat wstępnych.
  2. Badanie. Jednostka Notyfikowana przegląda dokumentację, testuje próbkę produktu, weryfikuje zgodność z Załącznikiem I i może zażądać dodatkowych informacji lub testów.
  3. Decyzja. W przypadku zgodności Jednostka Notyfikowana wydaje Certyfikat Badania Typu UE. W przypadku stwierdzenia niezgodności producent usuwa braki i składa wniosek ponownie.
  4. Certyfikat. Ważny dla ocenianego typu, z ewentualnymi warunkami określonymi w certyfikacie. Modyfikacje mogące wpłynąć na zgodność wymagają uzupełnienia oryginalnego certyfikatu (Załącznik VIII Część II, punkty 6-7). RCC nie określa stałego interwału ponownej oceny.

Moduł C: zgodność z typem

Po Module B producent zapewnia, że produkcja jest zgodna z certyfikowanym typem.

  1. Kontrole produkcji. Zapewnienie, że każda jednostka jest zgodna z certyfikowanym typem, udokumentowanie procesów produkcji i utrzymanie kontroli jakości.
  2. Deklaracja. Odwołanie się do Certyfikatu Badania Typu UE, podpisanie Deklaracji Zgodności UE i umieszczenie oznakowania CE.
  3. Bieżące działania. Utrzymanie zgodności z certyfikowanym typem, zgłaszanie Jednostce Notyfikowanej zmian wpływających na typ i recertyfikacja przy istotnych zmianach.

Wybór jednostki notyfikowanej

Czynniki uwzględniane przy wyborze Jednostki Notyfikowanej:

Czynnik Kwestia do rozważenia
Zakres Czy JN jest wyznaczona dla CRA i danego typu produktu?
Dostępność Czy JN ma wolne terminy? (Wczesny etap CRA = ograniczona przepustowość)
Lokalizacja Lepsza logistyka przy jednostce w pobliżu
Doświadczenie Znajomość danego typu produktu
Koszt Opłaty znacznie się różnią
Harmonogram Kiedy JN może zaplanować badanie?

Wyszukiwanie JN: po opublikowaniu wyznaczonych jednostek dla CRA należy sprawdzić bazę NANDO (oficjalny rejestr Jednostek Notyfikowanych UE).

Ostrzeżenie

Opłaty Jednostek Notyfikowanych wynoszą zazwyczaj od EUR 30 000 do EUR 100 000 lub więcej, a czas oczekiwania może sięgać od 4 do 16 tygodni. Należy odpowiednio zaplanować budżet i harmonogram.

Koszty Modułu B+C

Element kosztu Typowy zakres Uwagi
Opłata za wniosek do JN EUR 2 000-5 000 Bezzwrotna
Opłata za badanie JN EUR 15 000-50 000 Zależy od złożoności
Przygotowanie próbek EUR 1 000-5 000 Próbki produktu do badania
Dokumentacja techniczna EUR 10 000-30 000 Musi spełniać wymagania JN
Podróże i logistyka EUR 1 000-5 000 Jeśli wymagane wizyty na miejscu
Naprawa braków (jeśli wymagana) Zmienna Ponowne testy, korekty dokumentacji

Typowy zakres całkowity: EUR 30 000-100 000+

Harmonogram Modułu B+C

Faza Czas trwania
Wybór JN i złożenie wniosku 2-4 tygodnie
Przygotowanie dokumentacji 4-8 tygodni
Czas oczekiwania w kolejce JN 4-16 tygodni (znaczne wahania)
Badanie 4-8 tygodni
Wydanie certyfikatu 2-4 tygodnie

Typowy łączny harmonogram: 4-10 miesięcy

Moduł H: pełne zapewnienie jakości

Podejście oparte na systemie zarządzania jakością. Jednostka Notyfikowana zatwierdza SZJ producenta obejmujący projektowanie, produkcję i testy.

Kiedy Moduł H ma sens

Moduł H jest korzystny w przypadku gdy:

  • Producent ma wiele produktów wymagających oceny zewnętrznej
  • Istnieje już dojrzały SZJ (ISO 9001, ISO 27001)
  • Preferowana jest ciągła współpraca z JN zamiast badania per produkt
  • Wydawane są częste aktualizacje produktów

Proces Modułu H

  1. Ustanowienie SZJ. Zaprojektowanie systemu jakości obejmującego proces projektowania, kontrole produkcji, procedury testowania i zarządzanie dokumentacją, z uwzględnieniem wymagań CRA.
  2. Ocena przez Jednostkę Notyfikowaną. Przedłożenie dokumentacji SZJ, przyjęcie audytu Jednostki Notyfikowanej, weryfikacja zgodności z CRA i otrzymanie certyfikatu zatwierdzenia SZJ.
  3. Projektowanie produktu (dla każdego produktu). Stosowanie zatwierdzonego SZJ przy projektowaniu, przeprowadzenie przeglądu projektu, udokumentowanie zgodności i dopuszczenie audytów JN dotyczących procesu projektowania.
  4. Produkcja. Stosowanie zatwierdzonego SZJ w produkcji, dokumentowanie zgodności i przyjmowanie audytów nadzorczych Jednostki Notyfikowanej.
  5. Deklaracja (dla każdego produktu). Podpisanie Deklaracji Zgodności UE, odwołanie się do certyfikatu SZJ i umieszczenie oznakowania CE.
  6. Bieżące działania. Utrzymywać SZJ i poddawać się okresowym audytom nadzoru jednostki notyfikowanej (Załącznik VIII Część IV, punkty 4.1-4.3). RCC nie określa częstotliwości nadzoru ani cyklu recertyfikacji; rytm jest ustalany w planie audytu.

Wymagania SZJ w Module H

System zarządzania jakością musi równolegle obejmować cztery obszary. Braki w którymkolwiek z nich zablokują certyfikację.

Jakość projektowania
  • Kontrole procesu projektowania
  • Metodologia oceny ryzyka
  • Procedury przeglądu projektu
  • Zarządzanie konfiguracją
  • Weryfikacja i walidacja projektu
Jakość produkcji
  • Kontrole procesu produkcji
  • Testy kontroli jakości
  • Postępowanie z niezgodnościami
  • Identyfikowalność
  • Wzorcowanie sprzętu
Jakość dokumentacji
  • Wymagania dotyczące dokumentacji technicznej
  • Nadzór nad dokumentami
  • Przechowywanie dokumentów
  • Zarządzanie zmianami
Integracja cyberbezpieczeństwa
  • Bezpieczny cykl życia oprogramowania
  • Zarządzanie podatnościami
  • Procesy aktualizacji
  • Reagowanie na incydenty

Koszty Modułu H

Element kosztu Typowy zakres Uwagi
Opracowanie/modernizacja SZJ EUR 20 000-50 000 Przy wdrożeniu od zera
Audyt wstępny JN EUR 15 000-30 000 Certyfikacja SZJ
Coroczny nadzór EUR 5 000-15 000 Koszt bieżący
Przegląd projektu per produkt EUR 5 000-15 000 Zależy od złożoności

Wdrożenie wstępne: EUR 40 000-100 000 Koszty bieżące (rocznie): EUR 10 000-30 000

Decyzja Moduł H vs B+C

Czynnik Moduł B+C Moduł H
Liczba produktów 1-3 produkty 4+ produktów
Istniejący SZJ Brak dojrzałego SZJ Dojrzały SZJ istnieje
Częstotliwość aktualizacji Rzadkie aktualizacje Częste wydania
Wielkość organizacji Mała/średnia Średnia/duża
Koszt wstępny Niższy Wyższy
Koszt per produkt Wyższy Niższy
Koszt bieżący Niższy Wyższy (nadzór)
Wskazówka

Moduł H staje się opłacalny przy 4 lub więcej produktach. Przy dojrzałym SZJ (ISO 9001, ISO 27001) jest to często lepsza inwestycja długoterminowa.

Zasada ogólna: Moduł H staje się opłacalny przy 4+ produktach lub w przypadku konieczności częstych ponownych badań.

Ramy decyzyjne

Krok 1: określenie klasyfikacji produktu

Klasyfikację należy ustalić korzystając z przewodnika klasyfikacji produktów: Domyślny, Ważna Klasa I, Ważna Klasa II lub Krytyczny.

Krok 2: identyfikacja dostępnych opcji

Schemat decyzyjny na początku niniejszego przewodnika przedstawia pełne mapowanie. Poniższa tabela podsumowuje te same ścieżki w formie tekstowej.

KategoriaDostępne modułyZalecana ścieżka
DomyślnaA, B+C, HModuł A chyba że wymagana walidacja zewnętrzna
Ważna Klasa I, standardy zharmonizowane w pełni zastosowaneA, B+C, HModuł A ze standardami
Ważna Klasa I, bez standardów zharmonizowanychB+C, HModuł B+C chyba że wiele produktów
Ważna Klasa IIB+C, HModuł B+C chyba że wiele produktów lub dojrzały SZJ
Krytyczny (Załącznik IV)Schemat EUCC (art. 8(1)) lub B+C / H / schemat art. 27(9) (ścieżka zastępcza art. 32(3))Zależy od przyjęcia aktu delegowanego na podstawie art. 8(1)

Krok 3: rozważenie czynników operacyjnych

Krok 3 pomaga wybrać spośród modułów dostępnych po Kroku 2. Załącznik VIII CRA sprawia, że Moduł A jest prawnie niedostępny dla Ważnej Klasy I bez standardów zharmonizowanych, dla Ważnej Klasy II oraz dla produktów Krytycznych. Poniższe dwie tabele są rozdzielone według tej granicy dostępności, tak aby każdy wiersz miał osiągalną odpowiedź na danej ścieżce.

Gdy dostępne są Moduły A, B+C i H

Dotyczy produktów domyślnych oraz Ważnej Klasy I z w pełni zastosowanymi standardami zharmonizowanymi.

CzynnikModuł AModuł B+CModuł H
Ograniczony budżet
Ograniczony czas
Potrzebna walidacja zewnętrzna
Jeden produkt
Wiele produktów
Częste aktualizacje
Brak istniejącego SZJ
Dojrzały SZJ (ISO 9001, ISO 27001)
Klient wymaga Jednostki Notyfikowanej

Gdy dostępne są wyłącznie Moduły B+C i H

Dotyczy Ważnej Klasy I bez standardów zharmonizowanych, Ważnej Klasy II i produktów Krytycznych. Moduł A nie jest prawnie dostępny dla tych kategorii niezależnie od presji budżetowej lub czasowej.

CzynnikModuł B+CModuł H
Jeden produkt
Wiele produktów
Częste aktualizacje
Brak istniejącego SZJ
Dojrzały SZJ (ISO 9001, ISO 27001)

Ta druga gałąź odzwierciedla tabelę „Decyzja Moduł H vs B+C" z wcześniejszej części przewodnika. Tam, gdzie obie się pokrywają, należy traktować je jako tę samą decyzję z dwóch perspektyw: wcześniejsza tabela jest ważona kosztowo, niniejsza odzwierciedla dopasowanie operacyjne.

Krok 4: kalkulacja kosztów

Scenariusz: 5 produktów Ważnej Klasy II, brak istniejącego SZJ, horyzont 5-letni z 2 aktualizacjami na produkt.

Pozycja kosztowaModuł B+CModuł H
Wdrożenie jednorazowe
Wdrożenie SZJ i wstępna certyfikacja JN		n/dEUR 75 000
EUR 50 000 SZJ + EUR 25 000 JN
Ocena per produkt (× 5)
Badanie typu UE (B+C) lub przegląd projektu (H)		EUR 250 000
EUR 50 000 × 5		EUR 50 000
EUR 10 000 × 5
Ocena per aktualizacja (× 10)
Pełne ponowne badanie (B+C) lub przegląd delty (H)		EUR 250 000
EUR 25 000 × 10		EUR 50 000
EUR 5 000 × 10
Coroczny nadzór (× 5 lat)n/dEUR 60 000
EUR 12 000 × 5
Łączny koszt 5-letniEUR 500 000EUR 235 000
Decyzja

W tym scenariuszu Moduł H pozwala zaoszczędzić EUR 265 000 w ciągu 5 lat. Punkt krzyżowania zależy od kombinacji liczby produktów i częstotliwości aktualizacji. Dane per produkt i per aktualizacja mają charakter poglądowy (zob. uwagę dotyczącą szacunków przy tabeli Koszty Modułu A). Przed podjęciem decyzji budżetowej należy przeprowadzić kalkulację na podstawie własnych ofert.

Deklaracja zgodności UE

Niezależnie od wybranego modułu producent musi wydać Deklarację Zgodności UE.

Wymagana treść DoC

Deklaracja Zgodności UE dla aktu o cyberodporności to Rozporządzenie (UE) 2024/2847. Każda DoC musi zawierać osiem poniższych pól, po których następuje blok podpisu.

  1. Identyfikacja produktu. Nazwa produktu, typ, partia i numer(y) seryjne, z wystarczającym stopniem szczegółowości dla identyfikowalności.
  2. Nazwa i adres producenta. Podmiot prawny odpowiedzialny za deklarację. Dane upoważnionego przedstawiciela, jeśli dotyczy.
  3. Oświadczenie o odpowiedzialności. „Niniejsza deklaracja zgodności wydana zostaje na wyłączną odpowiedzialność producenta."
  4. Przedmiot deklaracji. Opis produktu wystarczający dla identyfikowalności, w tym fotografia lub rysunek, jeśli produkt jest fizyczny.
  5. Mające zastosowanie przepisy unijne. Wykaz wszystkich rozporządzeń, z którymi produkt jest zgodny, poczynając od Rozporządzenia (UE) 2024/2847 (akt o cyberodporności), wraz z innymi horyzontalnymi przepisami (RED, EMC, Maszynowym i innymi mającymi zastosowanie).
  6. Zastosowane standardy zharmonizowane lub specyfikacje. Wykaz każdego standardu z numerem wersji. Jeśli żaden standard zharmonizowany nie obejmuje części Załącznika I, należy wskazać stosowaną specyfikację lub wspólną specyfikację.
  7. Blok Jednostki Notyfikowanej (Moduł B+C lub H). Nazwa Jednostki Notyfikowanej, czterocyfrowy numer identyfikacyjny, odniesienie do certyfikatu, wykonany moduł i numer wydanego certyfikatu. W przypadku Modułu A pole to należy całkowicie pominąć.
  8. Informacje dodatkowe. Data zakończenia okresu wsparcia, punkt kontaktowy do zgłaszania podatności i wszelkie inne informacje wymagane przez CRA lub mające zastosowanie przepisy.
Blok podpisu

DoC należy zamknąć imieniem i nazwiskiem osoby podpisującej wraz z pełnioną funkcją, miejscem i datą wystawienia oraz podpisem. DoC bez datowanego podpisu osoby zidentyfikowanej z imienia, nazwiska i funkcji nie jest ważną deklaracją.

Oznakowanie CE

Po ocenie zgodności producent umieszcza oznakowanie CE. Forma wizualna znaku jest ustalona. Zmienia się jedynie to, czy obok znaku umieszczany jest czterocyfrowy numer Jednostki Notyfikowanej.

Oznakowanie CE w dwóch wariantach: samoocena (sam znak CE) i ścieżka z Jednostką Notyfikowaną (znak CE z czterocyfrowym numerem identyfikacyjnym Jednostki Notyfikowanej)
Samoocena w ramach Modułu A stosuje wyłącznie znak CE. Moduł B+C i Moduł H wymagają dodania czterocyfrowego numeru identyfikacyjnego Jednostki Notyfikowanej obok znaku. Minimalna wysokość wynosi 5 mm w obu przypadkach.

Wymagania oznakowania CE

Widoczność
Widoczne, czytelne i nieusuwalne po umieszczeniu.
Min. wysokość
Minimum 5 mm, mierzone od dołu do góry litery C.
Proporcje
Zgodnie ze specyfikacją z Załącznika II do Rozporządzenia (WE) nr 765/2008.
Lokalizacja
Na produkcie. Na opakowaniu wyłącznie, gdy oznakowanie produktu jest niemożliwe.
Numer JN
Wymagany obok znaku, jeśli zastosowano Moduł B+C lub H.

Umiejscowienie oznakowania CE

Produkt fizyczny
  • Na samym produkcie (preferowane)
  • Na tabliczce znamionowej lub trwałej etykiecie
  • Na opakowaniu, gdy produkt jest zbyt mały
  • W dokumentacji, gdy fizyczne oznakowanie jest niemożliwe
Oprogramowanie
  • Na ekranie „O programie" lub informacyjnym
  • W towarzyszącej dokumentacji
  • Na opakowaniu, gdy oprogramowanie jest dostarczane na nośniku fizycznym
Z Jednostką Notyfikowaną
  • Znak CE, po którym następuje numer identyfikacyjny JN
  • Przykład: CE 1234, gdzie 1234 to numer JN
  • Dotyczy Modułu B+C i Modułu H

Typowe błędy

Ważne

Samoocena (Moduł A) dla produktu Ważnej Klasy II stanowi nieważną ocenę zgodności. Produkt nie może być legalnie wprowadzony na rynek UE.

Każdy z pięciu poniższych błędów ma tę samą budowę: kuszący skrót, poważna konsekwencja i konkretny nawyk zapobiegawczy.

1 · Samoocena, gdy niedozwolona

Problem. Wybór Modułu A dla produktu Ważnej Klasy II.

Konsekwencja. Nieważna ocena zgodności. Produktu nie można legalnie wprowadzić na rynek.

Zapobieganie. Klasyfikację produktu należy zawsze weryfikować przed wyborem ścieżki oceny.

2 · Częściowe stosowanie standardów

Problem. Powoływanie się na Moduł A dla Ważnej Klasy I przy tylko częściowym zastosowaniu standardów zharmonizowanych.

Konsekwencja. Moduł A jest niedostępny bez pełnego zastosowania standardów.

Zapobieganie. Przy braku możliwości pełnego zastosowania standardów należy korzystać z Modułu B+C lub H.

3 · Niewystarczająca dokumentacja

Problem. Dokumentacja techniczna nie zawiera wymaganych treści dla wybranego modułu.

Konsekwencja. Brak możliwości wykazania zgodności. DoC jest nieważna.

Zapobieganie. Należy korzystać z list kontrolnych. Przed podpisaniem należy przejrzeć wymagania dokumentacyjne dla konkretnego modułu.

4 · Nieoczekiwana konieczność JN

Problem. Późne odkrycie, że produkt wymaga oceny przez Jednostkę Notyfikowaną.

Konsekwencja. Opóźnienie wejścia na rynek. Czas oczekiwania w kolejce JN może wynosić wiele miesięcy.

Zapobieganie. Produkty należy klasyfikować wcześnie. Jednostki Notyfikowane należy angażować z wyprzedzeniem.

5 · DoC przed zakończeniem oceny

Problem. Podpisanie DoC przed ukończeniem oceny zgodności.

Konsekwencja. Fałszywa deklaracja. Odpowiedzialność prawna.

Zapobieganie. DoC jest ostatnim krokiem, po zakończeniu wszystkich działań oceniających.

Lista kontrolna oceny zgodności

Najpierw należy ukończyć kartę oceny wstępnej. Następnie wypełnić wyłącznie karty dla modułu stosowanego przez dany produkt. Każdy produkt kończy na karcie Finalizacja.

Ocena wstępna
  • Klasyfikacja produktu ustalona
  • Dostępne moduły zidentyfikowane
  • Wybrany moduł spełnia wymagania i czynniki operacyjne
  • Harmonogram ustalony
  • Budżet przydzielony
Moduł A · Samoocena
  • Ocena ryzyka zakończona
  • Wymagania Załącznika I spełnione
  • Standardy zharmonizowane zastosowane (jeśli Klasa I)
  • Dokumentacja techniczna przygotowana
  • Testy zakończone
  • Kontrole produkcji udokumentowane
  • DoC przygotowana
Moduł B · Badanie typu UE
  • Jednostka Notyfikowana wybrana
  • Wniosek złożony
  • Dokumentacja techniczna przedłożona
  • Próbka(i) produktu dostarczona
  • Badanie zakończone
  • Certyfikat otrzymany
  • Braki usunięte (jeśli były)
Moduł C · Zgodność z typem
  • Kontrole produkcji ustanowione
  • Zgodność z typem zweryfikowana
  • Dokumentacja prowadzona
  • DoC odwołuje się do certyfikatu Badania Typu UE
Moduł H · Pełne QA
  • SZJ opracowany lub zaktualizowany
  • Audyt Jednostki Notyfikowanej zaplanowany
  • Certyfikat SZJ otrzymany
  • Przegląd projektu per produkt zakończony
  • Harmonogram audytów nadzorczych ustalony
Finalizacja · Wszystkie moduły
  • Deklaracja Zgodności UE podpisana
  • Oznakowanie CE umieszczone
  • Dokumentacja techniczna zarchiwizowana (przechowywanie przez 10 lat)
  • Produkt gotowy do wprowadzenia na rynek

Często zadawane pytania

Czy produkt kategorii domyślnej zawsze może korzystać z samooceny Modułu A?

Tak. Produkty domyślne zawsze mogą korzystać z Modułu A. Producent samodzielnie ocenia produkt, dokumentuje go w dokumentacji technicznej z Załącznika VII, podpisuje Deklarację Zgodności UE i umieszcza znak CE. Żadna Jednostka Notyfikowana nie jest wymagana. (Wskaźnik „~90%" to szacunek wynikający z wąskiego zakresu Załączników III/IV, a nie wartość określona w RCC.) (Artykuł 32(1)(a); Załącznik VIII Część I.)

Kiedy jednostka notyfikowana jest obowiązkowa dla produktów Ważnej Klasy I?

Tylko gdy producent nie może w pełni zastosować odpowiednich standardów zharmonizowanych, wspólnych specyfikacji lub schematu certyfikacji cyberbezpieczeństwa na podstawie Artykułu 27 na poziomie „substantial". Jeśli standard obejmujący wymagania zasadnicze z Załącznika I istnieje w Dzienniku Urzędowym UE i jest stosowany w całości, Moduł A pozostaje dostępny bez udziału JN. Gdy właściwy standard nie istnieje lub jest stosowany częściowo, konieczne jest skorzystanie z Modułu B+C lub H. (Artykuł 32(2); Załącznik VIII Część II i IV.)

Czy wyznaczono już jakiekolwiek jednostki notyfikowane dla CRA?

Wg stanu na maj 2026, zero Jednostek Notyfikowanych zostało wyznaczonych dla CRA. Wyznaczenia są publikowane w bazie NANDO. Producenci produktów Ważnej Klasy II i Krytycznych nie mogą ukończyć oceny zewnętrznej do czasu dokonania wyznaczenia. To opóźnienie należy uwzględnić w planach zgodności. (Artykuł 43; baza danych NANDO.)

Co obejmuje ocena zgodności Moduł B+C?

Moduł B to badanie typu produktu przeprowadzane przez Jednostkę Notyfikowaną: przegląd dokumentacji technicznej, test reprezentatywnej próbki i wydanie Certyfikatu Badania Typu UE. Moduł C to faza zgodności produkcji prowadzona przez producenta: każda wyprodukowana jednostka musi być zgodna z certyfikowanym typem, a Deklaracja Zgodności UE odwołuje się do numeru certyfikatu. (Załącznik VIII Część II i Część III; Artykuł 32(1)(b).)

Czy pełne stosowanie standardów zharmonizowanych zastępuje ocenę jednostki notyfikowanej?

Wyłącznie dla produktów Ważnej Klasy I. Przy pełnym zastosowaniu standardów zharmonizowanych obejmujących wszystkie wymagania zasadnicze z Załącznika I producent może przeprowadzić samoocenę w ramach Modułu A bez udziału JN. Dla produktów Ważnej Klasy II ocena zewnętrzna (B+C, H lub schemat na podstawie Artykułu 27(9)) jest obowiązkowa niezależnie od zastosowanych standardów. Produkty Krytyczne podlegają Artykułowi 32(4) (schemat na podstawie art. 8(1) lub ścieżka zastępcza z art. 32(3)). (Artykuł 32(1)(a) i 32(2); Załącznik VIII Część I.)

Ile kosztuje ocena zgodności z udziałem jednostki notyfikowanej?

Na opłaty JN za badanie należy zaplanować od EUR 30 000 do EUR 100 000 lub więcej, plus bezzwrotna opłata za wniosek w wysokości EUR 2 000-5 000 oraz koszty przygotowania próbek rzędu EUR 1 000-5 000. Czas oczekiwania wynosi od 4 do 16 tygodni, co oznacza dodatkowe ryzyko harmonogramowe. (Liczby są szacunkami z analogicznych systemów (RED, MDR) i wczesnych cen konsultingowych RCC, nie wartościami określonymi w RCC.)

Co zrobić teraz

  1. Kategorię produktu należy potwierdzić korzystając z przewodnika klasyfikacji produktów. Kategoria decyduje o tym, które moduły są dostępne.
  2. W przypadku Modułu A należy zbudować dokumentację techniczną z Załącznika VII i podpisać Deklarację Zgodności UE.
  3. Jeśli wypadnie Moduł B+C lub H, zaplanuj budżet na zakres opłat JN 30 000-100 000 EUR i kolejkę 4-16 tygodni. Sprawdź z przewodnikiem szacowania kosztów.
  4. Należy monitorować bazę NANDO pod kątem wyznaczania JN dla CRA (dziś: zero). Wniosków nie należy składać przed opublikowaniem wyznaczenia.
  5. Warto zapoznać się z przewodnikiem po karach i egzekwowaniu, aby konkretnie ocenić koszt błędnie wybranej ścieżki samooceny przed podpisaniem DoC.

Niniejszy artykuł ma wyłącznie charakter informacyjny i nie stanowi porady prawnej. W celu uzyskania szczegółowych wskazówek dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.