CRA-försäkran om överensstämmelse: Mall och steg-för-steg-skrivguide

Varje produkt med digitala element behöver en EU-försäkran om överensstämmelse innan den lagligen kan bära CE-märkning. DoC är ditt formella uttalande om att produkten uppfyller CRA-kraven. Du är rättsligt ansvarig för dess riktighet.

Den här guiden innehåller en komplett mall och förklarar varje obligatoriskt element.

Sammanfattning

• EU-försäkran om överensstämmelse (DoC) är obligatorisk för alla CRA-produkter och måste finnas på plats före marknadsplacering
• Måste undertecknas av tillverkaren eller en auktoriserad representant etablerad i EU
• Obligatoriska element definieras i CRA artikel 28 och Bilaga V
• Måste tillhandahållas på det eller de språk som krävs av varje medlemsstat där produkten säljs (artikel 28(2))
• Behåll i minst 10 år efter marknadsplacering, eller under supportperiodens längd, beroende på vilket som är längst (artikel 13(13))
• En väsentlig ändring kräver en ny DoC, utfärdad av den som gjort ändringen
• En mall finns nedan. Anpassa den för din produkt.

Viktigt: Att underteckna en DoC utan att slutföra konformitetsbedömning bryter mot både artikel 13 (upp till 15 miljoner euro eller 2,5 % av global årsomsättning) och artikel 28 (upp till 10 miljoner euro eller 2 % av global årsomsättning).

Tips: Inkludera produktens supportperiod (minst 5 år) och kontaktpunkt för sårbarheter i din DoC. Det krävs inte av Bilaga V, men det förbättrar den regulatoriska transparensen.

Vad är EU-försäkran om överensstämmelse?

EU-försäkran om överensstämmelse är ett formellt juridiskt dokument där tillverkaren deklarerar att en produkt uppfyller tillämplig EU-lagstiftning. Den är obligatorisk för alla produkter med digitala element innan de kan bära CE-märkning. För CRA-produkter måste den ange:

• Produkten uppfyller de väsentliga cybersäkerhetskraven (Bilaga I)
• Konformitetsbedömning har slutförts
• Tillverkaren tar rättsligt ansvar

Utan en undertecknad DoC kan din produkt inte bära CE-märkning och kan inte lagligen släppas ut på EU-marknaden.

Vad kräver CRA i DoC:n?

Rättslig grund

CRA artikel 28 specificerar DoC-kraven och hänvisar till strukturen i Bilaga V. DoC:n måste vara:

• Upprättad innan produkten släpps ut på marknaden (artikel 13(12))
• Uppdaterad vid behov när produkten eller dess efterlevnadsstatus ändras (artikel 28(2))
• Tillhandahållen på det eller de språk som krävs av varje medlemsstat där produkten placeras (artikel 28(2))
• Bevarad i minst 10 år efter marknadsplacering, eller under supportperiodens längd, beroende på vilket som är längst (artikel 13(13))

Notera: Artikel 28(3) tillåter tillverkare som omfattas av flera EU-förordningar att upprätta en enda kombinerad DoC som täcker alla tillämpliga rättsakter. Se mallvariationen "Flera förordningar" nedan.

Obligatoriska element

Notera: Ett försäkransnummer krävs inte av Bilaga V, men rekommenderas starkt för versionshantering och intern spårning.

Komplett DoC-mall

Använd detta som utgångspunkt. Anpassa de markerade delarna för din produkt.

Notera: Avsnitt 3 i mallen innehåller en ordagrant obligatorisk juridisk fras (Bilaga V, punkt 3). Parafrasera den inte:

"Denna EU-försäkran om överensstämmelse utfärdas på leverantörens eget ansvar."

═══════════════════════════════════════════════════════════════
                 EU DECLARATION OF CONFORMITY
                    (Cyber Resilience Act)
═══════════════════════════════════════════════════════════════

Declaration No.: [DoC-PRODUCT-YYYY-NNN]
Date of Issue: [DD Month YYYY]

---------------------------------------------------------------
1. MANUFACTURER
---------------------------------------------------------------

Name:           [Company Legal Name]
Address:        [Street Address]
                [Postal Code, City]
                [Country]
Contact:        [Email / Phone]
Website:        [URL]

---------------------------------------------------------------
2. PRODUCT IDENTIFICATION
---------------------------------------------------------------

Product Name:   [Product Name]
Model/Type:     [Model Number / Type Designation]
Hardware Ver:   [Hardware Version, if applicable]
Software Ver:   [Software/Firmware Version]
Batch/Serial:   [Batch number range or serial number format]
Product Photo:  [Optional photograph for traceability, where appropriate]

Product Description:
[Brief description of the product and its intended purpose,
sufficient to identify the product unambiguously]

---------------------------------------------------------------
3. DECLARATION
---------------------------------------------------------------

Denna EU-försäkran om överensstämmelse utfärdas på
leverantörens eget ansvar.

The object of the declaration described above is in conformity
with the relevant Union harmonisation legislation:

    • Regulation (EU) 2024/2847 of the European Parliament
      and of the Council of 23 October 2024 on horizontal
      cybersecurity requirements for products with digital
      elements (Cyber Resilience Act)

    [• Additional applicable legislation, e.g.:
    • Directive 2014/53/EU (Radio Equipment Directive)
    • Regulation (EU) 2023/1230 (Machinery Regulation)
    • etc.]

---------------------------------------------------------------
4. CONFORMITY ASSESSMENT
---------------------------------------------------------------

Conformity assessment procedure applied:

    [Choose one:]

    ☐ Module A (Internal Production Control)
      Based on Annex VIII of Regulation (EU) 2024/2847

    ☐ Module B + C (EU-Type Examination + Conformity to Type)
      Based on Annex VIII of Regulation (EU) 2024/2847
      Notified Body: [Name], No. [XXXX]
      EU-Type Examination Certificate: [Certificate Number]
      Date: [Certificate Date]

    ☐ Module H (Full Quality Assurance)
      Based on Annex VIII of Regulation (EU) 2024/2847
      Notified Body: [Name], No. [XXXX]
      QA System Certificate: [Certificate Number]
      Date: [Certificate Date]

    ☐ European Cybersecurity Certification Scheme (Article 27(9))
      Certificate issued under a scheme adopted pursuant to
      Regulation (EU) 2019/881 (Cybersecurity Act)
      Certification scheme: [Name]
      Certificate number: [Number]
      Assurance level: [Substantial / High]

---------------------------------------------------------------
5. STANDARDS AND SPECIFICATIONS APPLIED
---------------------------------------------------------------

Harmonised standards applied:
[List all harmonised standards used, with full references]

    • EN [XXXXX]:20XX - [Standard Title]
    • EN [XXXXX]:20XX - [Standard Title]

Other technical specifications applied:
[List any other standards or specifications used]

    • ISO/IEC [XXXXX]:20XX - [Standard Title]
    • [Other specifications]

Cybersecurity certifications applied (if applicable):
[List any European cybersecurity certificates per Annex V item 6]

    • [Certification scheme name - Certificate reference]

---------------------------------------------------------------
6. ADDITIONAL INFORMATION (CRA-Specific)
---------------------------------------------------------------

Support Period:
Security updates will be provided until: [DD Month YYYY]
(Minimum 5 years from date of market placement)

First EU Market Placement: [DD Month YYYY]

Cybersecurity Contact:
For vulnerability reports and security inquiries:
    Email: [security@company.com]
    Web:   [https://company.com/security]
    security.txt: [https://company.com/.well-known/security.txt]

Technical Documentation:
Technical documentation is available upon request to
competent authorities at the address above.

---------------------------------------------------------------
7. SIGNATURE
---------------------------------------------------------------

Signed for and on behalf of:

[Company Legal Name]


_________________________________
[Full Name]
[Title/Function]

Place: [City, Country]
Date:  [DD Month YYYY]

═══════════════════════════════════════════════════════════════
                         END OF DECLARATION
═══════════════════════════════════════════════════════════════

Vägledning avsnitt för avsnitt

1. Dokumentidentifiering

Försäkransnummer: Krävs inte av Bilaga V, men rekommenderas starkt som god praxis för versionshantering och intern spårning. Rekommenderat format:

• DoC-[Produktkod]-[År]-[Sekvens]
• Exempel: DoC-SSP3000-2027-001

Utfärdandedatum: Datumet du undertecknar försäkran. Måste vara efter att konformitetsbedömningen är slutförd.

2. Tillverkaridentifiering

Vem undertecknar DoC:n?

• Tillverkaren: den enhet som designat, producerat eller marknadsför produkten under eget namn
• ELLER en auktoriserad representant etablerad i EU, som agerar enligt ett skriftligt mandat

Om tillverkaren inte har något etablerat företag i EU krävs det att en auktoriserad representant utses. Lägg till:

Authorized Representative: [Name, Address]
acting on behalf of: [Manufacturer Name, Address]

3. Produktidentifiering

Var tillräckligt specifik för spårbarhet:

• Inkludera modellnummer, inte bara produktnamn
• Ange versionsnummer för hårdvara och mjukvara separat
• Ange omfattningen för batch- eller serienummer

Exempel:

Product Name:   SmartSense Pro Industrial Sensor
Model/Type:     SSP-3000
Hardware Ver:   Rev C (PCB v3.2)
Software Ver:   Firmware 2.4.1
Batch/Serial:   Serial numbers SSP3K-2027-XXXXXX

4. Konformitetsbedömning

Vilken modul du måste använda beror på produktens klassificering. Använd denna tabell som vägledning:

Notera: För kritiska produkter (Bilaga IV) måste EU-typprövning utföras av ett specialiserat anmält organ. Se CRA Conformity Assessment Decision Guide för den fullständiga logiken.

Använd detta flödesschema för att identifiera din väg:

flowchart TD
    A["What is your product class?"] --> B["Default\n(not Annex III/IV)"]
    A --> C["Class I\n(Annex III)"]
    A --> D["Class II\n(Annex III)"]
    A --> E["Critical\n(Annex IV)"]
    B --> F["Module A, B+C, or H\nyour choice"]
    C --> G{"Harmonized standards\nfully applied?"}
    G -->|Yes| H["Module A available\nor B+C / H"]
    G -->|No| I["Module B+C or H\nNotified Body required"]
    D --> J["Module B+C or H\nNotified Body required"]
    E --> K["EU-type examination\nspecialised Notified Body"]

5. Tillämpade standarder

Harmoniserade standarder:

• Standarder som publicerats i EU:s officiella tidning
• Skapar en presumtion om överensstämmelse för de krav de täcker
• Inkludera fullständig referens: nummer, år, titel

Format:

EN 303 645:2020 - Cyber Security for Consumer Internet of Things: Baseline Requirements

Om inga harmoniserade standarder finns: Ange: "Inga harmoniserade standarder tillämpade. Överensstämmelse visas genom [beskriv metod]."

Cybersäkerhetscertifieringar (Bilaga V, punkt 6): Om ett europeiskt cybersäkerhetscertifikat åberopades under konformitetsbedömningen, ange det här med schemats namn och certifikatets referensnummer.

6. CRA-specifik tilläggsinformation

Detta avsnitt krävs inte av Bilaga V, men att inkludera det förbättrar den regulatoriska transparensen:

Supportperiod: Ange när säkerhetsuppdateringarna upphör. Måste vara minst 5 år från marknadsplacering (artikel 13(8)).

Cybersäkerhetskontakt: Vart sårbarhetsrapporter ska skickas, inklusive en referens till din security.txt-fil.

Notera: Slutdatumet för supportperioden måste också visas vid köptillfället enligt artikel 13(19). Att inkludera det i DoC:n är god praxis, men ersätter inte kommunikationen vid köptillfället.

7. Underskrift

Vem kan underteckna:

• En person som är auktoriserad att juridiskt binda tillverkaren
• Vanligtvis: VD, direktör, kvalitetschef eller regulatory affairs-chef

Krav:

• Fullständigt namn och titel/funktion
• Plats och datum (datum måste vara efter bedömningens slutförande)
• Handskriven underskrift eller en kvalificerad elektronisk underskrift

När måste CE-märkning anbringas i förhållande till försäkran om överensstämmelse?

För fysiska produkter ska CE-märkningen anbringas synligt, läsbart och outplånligt på produkten innan den släpps ut på marknaden (artikel 30(1)).

För rena mjukvaruprodukter (artikel 30(3)) placeras CE-märkningen antingen:

• Direkt på EU-försäkran om överensstämmelse, eller
• På produktens webbplats, i en sektion som är lätt och direkt tillgänglig för användarna

Notera: CE-märkningen måste anbringas innan produkten släpps ut på marknaden, inte efter. För mjukvaruprodukter, säkerställ att DoC:n eller webbsidan är live innan distributionen börjar.

Behöver DoC:n översättas?

Ja. Artikel 28(2) kräver att DoC:n tillhandahålls på det eller de språk som krävs av varje medlemsstat där produkten släpps ut på marknaden.

I praktiken:

• Säljer endast i Tyskland: en tysk DoC krävs
• Säljer över hela EU: du behöver flera språkversioner
• Behåll alla språkversioner i den tekniska filen

Den förenklade EU-DoC:n (Bilaga VI) och URL:en som pekar till den fullständiga DoC:n måste också vara på det eller de språk som krävs. Själva URL:en måste förbli stabil och tillgänglig.

Behöver varje produktmodell eller version en egen försäkran om överensstämmelse?

En DoC per produkttyp

Varje distinkt produktmodell eller typ behöver i allmänhet en egen DoC.

Kan täckas av en enda DoC när:

• Produkterna är varianter av samma typ
• Samma konformitetsbedömning gäller för alla varianter
• Samma standarder tillämpades

Exempel:

Product Name:   SmartSense Pro Industrial Sensor
Model/Type:     SSP-3000 (all variants)
                - SSP-3000-WiFi
                - SSP-3000-LoRa
                - SSP-3000-Cellular

När kräver en ändring en ny DoC?

Varning: En väsentlig ändring (varje förändring som påverkar produktens överensstämmelse med CRA:s väsentliga krav enligt Bilaga I, del I, eller ändrar produktens avsedda ändamål) utlöser en obligatorisk ny DoC (artikel 28). Den som utför den väsentliga ändringen blir tillverkare av den ändrade produkten och måste utfärda den nya DoC:n. Detta gäller både originaltillverkaren som gör större uppdateringar och en tredje part som ändrar och säljer produkten vidare.

För tillverkarens egna iterativa mjukvarusläpp: om uppdateringen inte är en väsentlig ändring förblir den befintliga DoC:n giltig. Du måste kunna visa detta för marknadskontrollmyndigheterna. Att genomföra en cybersäkerhetsriskbedömning enligt artikel 13(2) är den uttryckliga mekanism som vägledningen rekommenderar för detta.

DoC-distribution

Med produkten (artikel 13(20)): Artikel 13(20) kräver att du tillhandahåller antingen:

• Den fullständiga Bilaga V-DoC:n, eller
• En förenklad EU-DoC som innehåller den exakta webbadressen där den fullständiga DoC:n kan hittas

Du behöver inte inkludera båda.

På begäran:

• Måste tillhandahållas till marknadskontrollmyndigheter
• Bör tillhandahållas till kunder på begäran

Förenklad EU-försäkran om överensstämmelse

Artikel 13(20) tillåter tillverkare att skicka med en förenklad EU-försäkran om överensstämmelse med produkten istället för det fullständiga Bilaga V-dokumentet. Den förenklade formen definieras i Bilaga VI och består av exakt två meningar:

Hereby, [name of manufacturer] declares that the product with digital elements
type [designation] is in compliance with Regulation (EU) 2024/2847.

The full text of the EU declaration of conformity is available at the
following internet address: [URL]

Detta är särskilt användbart för:

• Mjukvaruprodukter där det är opraktiskt att inkludera ett fullständigt juridiskt dokument i varje distribution
• Hårdvaruprodukter med begränsat förpackningsutrymme
• Alla produkter där den fullständiga DoC:n publiceras online

Krav:

• Den fullständiga Bilaga V-DoC:n måste existera och vara offentligt tillgänglig på den angivna URL:en
• Den förenklade försäkran måste innehålla URL:en (artikel 13(20))
• Den fullständiga DoC:n förblir obligatorisk i den tekniska filen och för myndighetsbegäran

Bästa praxis för URL:en:

• Använd en stabil URL. Ändra den inte efter att produkter har distribuerats
• Tillgänglig utan registrering eller inloggning
• Sidan bör tillåta att DoC:n laddas ner eller skrivs ut

Vanliga misstag

Checklista för DoC-förberedelse

Innan utkast

Dokumentinnehåll

Underskrift

Distribution

Mallvariationer för DoC

För Modul A (egenbedömning)

4. CONFORMITY ASSESSMENT

Conformity assessment procedure applied:

    ☑ Module A (Internal Production Control)
      Based on Annex VIII of Regulation (EU) 2024/2847

      The manufacturer has verified that the product meets
      the essential requirements through internal assessment
      documented in the technical file.

För Modul B+C (tredje part)

4. CONFORMITY ASSESSMENT

Conformity assessment procedure applied:

    ☑ Module B + C (EU-Type Examination + Conformity to Type)
      Based on Annex VIII of Regulation (EU) 2024/2847

      EU-Type Examination performed by:
      Notified Body: TÜV Rheinland LGA Products GmbH
      Notified Body Number: 0197
      Certificate Number: EU-TYPE-2027-12345
      Certificate Date: 15 January 2027

      The manufacturer ensures production conformity to the
      certified type (Module C) through internal production
      controls.

För flera förordningar (artikel 28(3))

När en produkt omfattas av både CRA och annan EU-lagstiftning är en enda kombinerad DoC tillåten enligt artikel 28(3):

3. DECLARATION

The object of the declaration described above is in conformity
with the relevant Union harmonisation legislation:

    • Regulation (EU) 2024/2847 (Cyber Resilience Act)

    • Directive 2014/53/EU (Radio Equipment Directive)
      Notified Body: [Name], No. [XXXX]
      Certificate: [Number]

    • Directive 2014/35/EU (Low Voltage Directive)

Krav på bevarande

Nästa steg

1. Klassificera produkten (standard, viktig Klass I/II eller kritisk) med hjälp av CRA Product Classification Guide.
2. Bekräfta konformitetsbedömningsmodulen med CRA Conformity Assessment Decision Guide.
3. Slutför konformitetsbedömningen och samla in alla testrapporter innan DoC:n utformas.
4. Utforma DoC:n från mallen ovan. Tilldela ett försäkransnummer och verifiera varje Bilaga V-element.
5. Översätt DoC:n till det eller de språk som krävs av varje medlemsstat där produkten placeras (artikel 28(2)).
6. Underteckna och datera efter att bedömningen är slutförd. Anbringa CE-märkningen före marknadsplacering.
7. Arkivera den undertecknade DoC:n i den tekniska filen tillsammans med testrapporter och SBOM. Se CRA Technical File (Annex VII): Complete Guide.
8. Publicera den fullständiga DoC:n på en stabil URL om du planerar att skicka med den förenklade Bilaga VI-formen med produkten.
9. Behåll DoC:n i 10 år efter marknadsplacering, eller under supportperiodens längd, beroende på vilket som är längst (artikel 13(13)).

Denna artikel är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik vägledning om efterlevnad, rådgör med kvalificerad juridisk rådgivare.