Vilket spår du väljer för bedömning av överensstämmelse avgör kostnad, tidslinje och externa beroenden. Väljer du fel spenderar du månader och tusentals euro i onödan. Väljer du rätt har du en tydlig väg till CE-märkning.
Den här guiden hjälper dig att välja rätt modul och förstå vad varje alternativ innebär i praktiken.
Sammanfattning
- Module A (Självbedömning): Tillgänglig för Default-produkter och för Viktig klass I endast när relevanta harmoniserade standarder, gemensamma specifikationer eller europeiska cybersäkerhetscertifieringssystem tillämpas fullt ut
- Module B+C (Tredjepartsbedömning): Obligatorisk för Viktig klass II, frivillig för övriga
- Module H (Fullständig kvalitetssäkring): Alternativ till B+C för organisationer med flera produkter
- Produktklassificering avgör vilka alternativ som finns tillgängliga
- Kostnadsskillnad: Module A (~EUR 5–20 000 internt), B+C (~EUR 30–100 000+), H (~EUR 50 000+ i uppstart plus löpande kostnader)
Källor: CRA Artikel 13(13) (arkiveringstid), NANDO-databasen och EU:s register över anmälda organ (beteckningsstatus), siffror angivna i denna guide. Siffran "~90 %" för Default-produkter är en uppskattning baserad på snävheten i Bilaga III/Bilaga IV, inte ett värde fastställt i CRA.
Översikt över bedömning av överensstämmelse
Bedömning av överensstämmelse är det sätt på vilket du visar att din produkt uppfyller CRA-kraven. EU:s försäkran om överensstämmelse (DoC) som du skriver under förklarar att produkten överensstämmer, men du måste ha dokumentation som styrker påståendet.
CRA erbjuder tre moduler för bedömning av överensstämmelse. Beslutsträdet ovan kartlägger varje produktkategori till tillåtna vägar. Module A är en tillverkares självbedömning. Module B+C kombinerar ett anmält organs typkontroll (B) med en produktionsöverensstämmelsefas som du genomför (C). Module H är en enda väg där ett anmält organ godkänner ditt kvalitetsledningssystem och övervakar det löpande.
När kan man använda Module A-självbedömning?
Självbedömning. Du utvärderar din egen produkt mot CRA-kraven.
När Module A är tillgänglig
- Default-produkter: Alltid tillgänglig
- Viktig klass I: Bara om relevanta harmoniserade standarder, gemensamma specifikationer eller europeiska cybersäkerhetscertifieringssystem (på assuransnivån minst betydande) tillämpas fullt ut
Vad full täckning innebär
För självbedömning av Viktig klass I är Module A bara tillgänglig när relevanta harmoniserade standarder, gemensamma specifikationer eller europeiska cybersäkerhetscertifieringssystem:
- Täcker de väsentliga säkerhetskraven i Bilaga I
- Är tillgängliga för produkten och vägen
- Tillämpas i sin helhet, inte delvis
Om den täckningen saknas eller bara tillämpas delvis använder du Module B+C eller Module H för de berörda kraven.
Harmoniserade standarder för CRA håller fortfarande på att tas fram. Bevaka publikationer i OJEU.
Module A-processen
| Fas | Vad ska göras | Varför CRA-team bryr sig | Ankare |
|---|---|---|---|
| Designfas | Tillämpa security by design, gör riskbedömningen, dokumentera säkerhetsarkitekturen och tillämpa relevanta harmoniserade standarder. | Här skapas bevisbasen, i stället för att återskapa den i slutet. | Krav i Bilaga I. |
| Dokumentation | Skapa den tekniska filen med produktbeskrivning, riskbedömningsresultat, designdokumentation, tillämpade standarder, testresultat och SBOM. Förbered EU-försäkran om överensstämmelse. | Module A kräver fortfarande bevis. Självbedömning betyder inte ingen fil. | Bilaga VII-fil. |
| Produktionskontroller | Säkerställ att produktionen förblir överensstämmande, dokumentera kvalitetskontroller och verifiera enheter där det är relevant. | Den undertecknade försäkran måste förbli sann för produktserien som släpps ut på marknaden. | Serieproduktion. |
| Slutförande | Underteckna EU-försäkran om överensstämmelse, sätt dit CE-märkningen och behåll dokumentationen i minst 10 år, eller under hela supportperioden om den är längre. | Detta är övergången från bevisarbete till marknadsplacering. | DoC, CE, lagring. |
Dokumentationskrav för Module A
Din tekniska fil (Bilaga VII) under Module A måste täcka dessa sex områden.
| Område | Vad filen ska innehålla | Varför CRA-team bryr sig | Ankare |
|---|---|---|---|
| Allmän beskrivning | Produktidentifiering, avsett ändamål, täckta versioner och användarinstruktioner som tillhandahålls. | Myndigheter behöver se exakt vilken produkt och release bevisen täcker. | Produktomfattning. |
| Riskbedömning | Identifierade cybersäkerhetsrisker, hot och angreppsscenarier som beaktats samt beslut om riskbehandling. | Detta är logiken som kopplar hotmodellen till kontrollerna. | Riskbevis. |
| Designdokumentation | Systemarkitektur, implementerade säkerhetsåtgärder och hur varje krav uppfylls. | Filen måste visa hur produktdesignen uppfyller cybersäkerhetskraven. | Bilaga I -mappning. |
| Standarder och testning | Tillämpade standarder, specifikationer eller system med versionsuppgifter, testplaner och resultat samt bevis på full tillämpning för Viktig klass I. | Delvis täckning kan ändra tillgänglig bedömningsväg. | Vägbevis. |
| SBOM | Inkluderade komponenter och sårbarheter som var kända vid bedömningen. | SBOM kopplar komponentinventariet till sårbarhetshantering. | Komponentinventarium. |
| Produktion | Hur produktionen bibehåller överensstämmelse och vilka kvalitetskontroller som gäller. | Överensstämmelse måste hålla bortom den bedömda prototypen. | Seriekontroller. |
De bygger på analoga CE-märkningsregelverk (radioutrustningsdirektivet, förordningen om medicintekniska produkter) och tidig CRA-konsultprissättning. De är inte en CRA-specifik marknadsundersökning. Inget anmält organ har publicerat en CRA-prislista: NANDO visar noll CRA-beteckningar per juni 2026. Använd siffrorna för planering. Verifiera mot faktiska offerter när beteckningar publiceras.
Kostnader för Module A
| Kostnadspost | Typisk intervall | Kommentarer |
|---|---|---|
| Riskbedömning | EUR 5 000–15 000 | Intern eller konsult |
| Teknisk dokumentation | EUR 5 000–20 000 | Beror på komplexitet |
| Testning | EUR 2 000–10 000 | Intern eller labb |
| SBOM-verktyg | EUR 0–5 000 | Verktyg kan redan finnas |
| Intern arbetstid | Varierar | Ofta den största kostnaden |
Typisk total: EUR 15 000–50 000 (interna kostnader)
Tidslinje för Module A
| Fas | Varaktighet |
|---|---|
| Riskbedömning | 2–4 veckor |
| Dokumentation | 4–8 veckor |
| Testning | 2–4 veckor |
| Granskning och slutförande | 1–2 veckor |
Typisk total tidslinje: 2–4 månader
När kräver CRA ett anmält organ?
Tredjepartsbedömning. Ett anmält organ granskar din produktdesign.
När ett anmält organ krävs
- Viktig klass II: använd Module B+C, Module H eller ett godkänt europeiskt cybersäkerhetscertifieringssystem på assuransnivån "betydande".
- Kritiska produkter: använd den europeiska certifieringsvägen när kommissionen har aktiverat den för den produktkategorin. Fram till dess använder du samma tredjepartsvägar som reserv: Module B+C, Module H eller ett godkänt system.
- Viktig klass I: använd Module B+C eller Module H bara när relevanta harmoniserade standarder, gemensamma specifikationer eller certifieringssystem saknas eller inte tillämpas fullt ut.
Module B: EU-typkontroll
Ett anmält organ granskar ett representativt prov (typ) av din produkt och utfärdar ett intyg.
| Del | Detaljer |
|---|---|
| Ansökan | Välj ett anmält organ och skicka in din ansökan med produktprov, teknisk dokumentation och ansökningsformuläret. Betala de inledande avgifterna. |
| Granskning | Det anmälda organet granskar dokumentationen, testar produktprovet, verifierar efterlevnad av de väsentliga cybersäkerhetskraven och kan begära ytterligare information eller tester. |
| Beslut | Om produkten uppfyller kraven utfärdar det anmälda organet EU-typkontrollintyget. Om brister hittas åtgärdar du dem och lämnar in på nytt. |
| Intyg | Giltigt för den bedömda typen, med eventuella villkor angivna på intyget. Ändringar som kan påverka överensstämmelsen kräver uppföljning av intyget med det anmälda organet. CRA föreskriver inget fast intervall för förnyad bedömning. |
Module C: Överensstämmelse med typ
Efter Module B ser du till att produktionen överensstämmer med den certifierade typen.
| Del | Detaljer |
|---|---|
| Produktionskontroller | Se till att varje enhet överensstämmer med den certifierade typen, dokumentera produktionsprocesser och upprätthåll kvalitetskontroller. |
| Försäkran | Hänvisa till EU-typkontrollintyget, underteckna EU:s försäkran om överensstämmelse och fäst CE-märkningen. |
| Löpande | Upprätthåll överensstämmelse med den certifierade typen, rapportera ändringar som påverkar typen till det anmälda organet och omcertifiera vid väsentliga ändringar. |
Val av anmält organ
Faktorer att beakta vid val av anmält organ:
| Faktor | Övervägande |
|---|---|
| Räckvidd | Är organet anmält för CRA och din produkttyp? |
| Kapacitet | Har de tillgänglighet? (Tidig CRA = begränsad kapacitet) |
| Plats | Enklare logistik om de finns i närheten |
| Erfarenhet | Förtrogenhet med din produkttyp |
| Kostnad | Avgifterna varierar avsevärt |
| Tidslinje | Hur snabbt kan de schemalägga granskning? |
Hitta anmälda organ: Kontrollera NANDO-databasen (EU:s officiella register över anmälda organ) när CRA-beteckningar publicerats.
Avgifter för anmälda organ ligger normalt på EUR 30 000 till EUR 100 000 eller mer, och kötider kan nå 4 till 16 veckor. Planera budget och tidslinje utifrån det.
Kostnader för Module B+C
| Kostnadspost | Typisk intervall | Kommentarer |
|---|---|---|
| Ansökningsavgift till anmält organ | EUR 2 000–5 000 | Ej återbetalningsbar |
| Granskningsavgift till anmält organ | EUR 15 000–50 000 | Beror på komplexitet |
| Provberedning | EUR 1 000–5 000 | Produktprov för testning |
| Teknisk dokumentation | EUR 10 000–30 000 | Måste uppfylla anmält organs krav |
| Resa/logistik | EUR 1 000–5 000 | Om platsbesök krävs |
| Åtgärder (vid behov) | Varierar | Omtestning, dokumentationskorrigeringar |
Typisk total: EUR 30 000–100 000+
Tidslinje för Module B+C
| Fas | Varaktighet |
|---|---|
| Val av organ och ansökan | 2–4 veckor |
| Dokumentationsberedning | 4–8 veckor |
| Kötid hos anmält organ | 4–16 veckor (varierar avsevärt) |
| Granskning | 4–8 veckor |
| Utfärdande av intyg | 2–4 veckor |
Typisk total tidslinje: 4–10 månader
Module H: fullständig kvalitetssäkring
Kvalitetsledningssystemets tillvägagångssätt. Anmält organ godkänner ditt QMS för design, produktion och testning.
När Module H passar bäst
Module H är fördelaktig när:
- Du har flera produkter som kräver tredjepartsbedömning
- Du redan har ett moget QMS (ISO 9001, ISO 27001)
- Du vill ha en löpande relation med anmält organ snarare än bedömning per produkt
- Du lanserar produktuppdateringar ofta
Module H-processen
| Del | Detaljer |
|---|---|
| Upprättande av QMS | Utforma ett kvalitetssystem som täcker din designprocess, produktionskontroller, testprocedurer och dokumentationshantering, anpassat till CRA-kraven. |
| Bedömning av anmält organ | Lämna in QMS-dokumentation, ta emot det anmälda organets revision, verifiera CRA-anpassning och ta emot QMS-godkännandeintyget. |
| Produktdesign (per produkt) | Följ godkänt QMS för design, genomför en designgranskning, dokumentera efterlevnad och tillåt det anmälda organets revisioner av designprocessen. |
| Produktion | Följ godkänt QMS för produktion, dokumentera överensstämmelse och ta emot det anmälda organets övervakningsrevisioner. |
| Försäkran (per produkt) | Underteckna EU:s försäkran om överensstämmelse, hänvisa till QMS-intyget och fäst CE-märkningen. |
| Löpande | Underhålla kvalitetsledningssystemet och underkasta sig periodiska övervakningsrevisioner av det anmälda organet. CRA föreskriver varken övervakningsfrekvens eller omcertifieringscykel; takten fastställs i revisionsplanen. |
QMS-krav för Module H
Ditt kvalitetsledningssystem måste täcka fyra områden parallellt. Brister i något av dessa blockerar certifieringen.
| Del | Detaljer |
|---|---|
| Designkvalitet |
|
| Produktionskvalitet |
|
| Dokumentationskvalitet |
|
| Cybersäkerhetsintegration |
|
Kostnader för Module H
| Kostnadspost | Typisk intervall | Kommentarer |
|---|---|---|
| QMS-utveckling/uppgradering | EUR 20 000–50 000 | Om start från noll |
| Inledande revision av anmält organ | EUR 15 000–30 000 | QMS-certifiering |
| Årlig övervakning | EUR 5 000–15 000 | Löpande |
| Designgranskning per produkt | EUR 5 000–15 000 | Varierar med komplexitet |
Inledande uppstart: EUR 40 000–100 000 Löpande per år: EUR 10 000–30 000
Module H vs B+C: beslutsjämförelse
| Faktor | Module B+C | Module H |
|---|---|---|
| Antal produkter | 1–3 produkter | 4+ produkter |
| Befintligt QMS | Inget moget QMS | Moget QMS finns |
| Uppdateringsfrekvens | Ovanliga uppdateringar | Frekventa lanseringar |
| Organisationsstorlek | Liten/medelstor | Medelstor/stor |
| Uppstartskostnad | Lägre | Högre |
| Kostnad per produkt | Högre | Lägre |
| Löpande kostnad | Lägre | Högre (övervakning) |
Module H blir kostnadseffektiv vid 4 produkter eller fler. Om du har ett moget QMS (ISO 9001, ISO 27001) är det ofta den bättre långsiktiga investeringen.
Tumregel: Module H blir kostnadseffektiv vid 4+ produkter eller när du annars skulle behöva omgranskning ofta.
Beslutsramverk
Steg 1: Bestäm produktklassificering
Använd produktklassificeringsguiden för att avgöra: Default, Viktig klass I, Viktig klass II eller Kritisk.
Steg 2: Identifiera tillgängliga alternativ
Beslutsträdet i början av guiden visar hela mappningen. Tabellen nedan sammanfattar samma vägar i textform.
| Kategori | Tillgängliga moduler | Rekommenderad väg |
|---|---|---|
| Default | A, B+C, H | Module A om du inte vill ha tredjepartsvalidering |
| Viktig klass I, relevanta standarder, specifikationer eller system fullt tillämpade | A, B+C, H | Module A med full täckning |
| Viktig klass I, täckning saknas eller är delvis | B+C, H | Module B+C om inte flera produkter |
| Viktig klass II | B+C, H eller ett tillämpligt certifieringsschema på assuransnivån minst betydande | Module B+C om inte flera produkter eller moget QMS |
| Kritisk | EUCC eller annan obligatorisk europeisk certifieringsväg eller B+C / H / godkänt system som reserv | Beror på om kommissionen har aktiverat certifieringsvägen för den kategorin |
Steg 3: Beakta affärsfaktorer
Steg 3 hjälper dig bara att välja bland de moduler som Steg 2 lämnade tillgängliga. Vägvalsreglerna gör Module A otillgänglig för Viktig klass I när relevanta standarder, specifikationer eller system saknas eller bara tillämpas delvis, för Viktig klass II och för Kritiska produkter. De två tabellerna nedan delar upp på den gränsen så att varje rad har ett möjligt svar på din väg.
När modulerna A, B+C och H alla är tillgängliga
Gäller Default-produkter och Viktig klass I när relevanta standarder, specifikationer eller system tillämpas fullt ut.
| Faktor | Module A | Module B+C | Module H |
|---|---|---|---|
| Begränsad budget | ✓ | ||
| Begränsad tid | ✓ | ||
| Kräver extern validering | ✓ | ✓ | |
| En produkt | ✓ | ✓ | |
| Många produkter | ✓ | ||
| Frekventa uppdateringar | ✓ | ||
| Inget befintligt QMS | ✓ | ✓ | |
| Moget QMS (ISO 9001, ISO 27001) | ✓ | ||
| Kund kräver anmält organ | ✓ | ✓ |
När bara modulerna B+C och H är tillgängliga
Gäller Viktig klass I när relevanta standarder, specifikationer eller system saknas eller bara tillämpas delvis, Viktig klass II och Kritiska produkter. Module A är inte ett rättsligt alternativ för dessa kategorier oavsett budget- eller tidsbegränsningar.
| Faktor | Module B+C | Module H |
|---|---|---|
| En produkt | ✓ | |
| Många produkter | ✓ | |
| Frekventa uppdateringar | ✓ | |
| Inget befintligt QMS | ✓ | |
| Moget QMS (ISO 9001, ISO 27001) | ✓ |
Den andra grenen speglar tabellen "Module H vs B+C: beslutsjämförelse" tidigare i guiden. Där de överlappar kan du behandla dem som samma beslut från två vinklar: den tidigare tabellen är kostnadsviktad, den här är operationellt anpassningsviktad.
Steg 4: Beräkna kostnader
Scenario: 5 Viktig klass II-produkter, inget befintligt QMS, 5-årshorisont med 2 uppdateringar per produkt.
| Kostnadspost | Module B+C | Module H |
|---|---|---|
| Engångsuppstart QMS-uppstart och inledande certifiering | ej tillämpligt | EUR 75 000 EUR 50 000 QMS + EUR 25 000 certifiering |
| Bedömning per produkt (× 5) EU-typprovning (B+C) eller designgranskning (H) | EUR 250 000 EUR 50 000 × 5 | EUR 50 000 EUR 10 000 × 5 |
| Bedömning per uppdatering (× 10) Fullständig omgranskning (B+C) eller delta-granskning (H) | EUR 250 000 EUR 25 000 × 10 | EUR 50 000 EUR 5 000 × 10 |
| Årlig övervakning (× 5 år) | ej tillämpligt | EUR 60 000 EUR 12 000 × 5 |
| 5-årskostnad | EUR 500 000 | EUR 235 000 |
Module H sparar EUR 265 000 på 5 år i detta scenario. Brytpunkten beror på kombinationen av produktantal och uppdateringsfrekvens. Indata per produkt och per uppdatering är illustrativa (se uppskattningsnoten nära tabellen Kostnader för Module A). Kör beräkningen med dina egna offerter innan du fastslår en budget.
EU:s försäkran om överensstämmelse
Oavsett vald modul måste du utfärda en EU:s försäkran om överensstämmelse.
Obligatoriskt innehåll i DoC
EU:s försäkran om överensstämmelse för cyberresiliensförordningen är Förordning (EU) 2024/2847. Varje DoC måste innehålla de åtta fälten nedan, följt av undertecknarblocket.
| Del | Detaljer |
|---|---|
| Produktidentifiering | Produktnamn, typ, sats och serienummer i en detaljeringsgrad som medger spårbarhet. |
| Tillverkarens namn och adress | Den juridiska person som ansvarar för försäkran. Uppgifter om auktoriserad representant, om tillämpligt. |
| Ansvarighetsförklaring | "Denna försäkran om överensstämmelse utfärdas på leverantörens eget ansvar." |
| Föremål för försäkran | Produktbeskrivning tillräcklig för spårbarhet, inklusive fotografi eller ritning om produkten är fysisk. |
| Tillämplig EU-lagstiftning | Lista varje förordning produkten överensstämmer med, med start i Förordning (EU) 2024/2847 (cyberresilienslagen) och lägg till all annan horisontell lagstiftning (RED, EMC, maskindirektivet m.m.) som är tillämplig. |
| Tillämpade harmoniserade standarder eller specifikationer | Lista varje standard med versionsnummer. Om ingen harmoniserad standard täcker del av Bilaga I, hänvisa till den specifikation eller gemensamma specifikation som använts istället. |
| Block för anmält organ (Module B+C eller H) | Organets namn, fyrsiffrigt identifieringsnummer, intygshänvisning, utförd modul och utfärdat intygsnummer. Utelämna detta fält helt för Module A. |
| Tilläggsinformation | Supportperiodens slutdatum, kontaktpunkt för sårbarhetsrapporter och annan information som CRA eller tillämplig lagstiftning kräver. |
Avsluta DoC med undertecknarens namn och funktion, plats och datum för utfärdande samt underskrift. En DoC utan daterad underskrift från en person identifierad med namn och roll är inte en giltig DoC.
CE-märkning
Efter bedömning av överensstämmelse fäster du CE-märkningen. Märkets visuella form är fast. Det som ändras är om ett fyrsiffrigt nummer från det anmälda organet följer med det.
Krav för CE-märkning
| Ämne | Vad ändras | Varför CRA-team bryr sig | Ankare |
|---|---|---|---|
| Synlighet | Synlig, läsbar och outplånlig när den har satts dit. | En märkning som inte kan läsas eller kontrolleras kan fälla produktkontrollen. | Läsbar CE-märkning. |
| Minsta höjd | 5 mm generellt minimum, mätt från botten till toppen av C-glyfen. Artikel 30.2 tillåter ett mindre märke där produktens art motiverar det. | Gäller oavsett bedömningsväg, men små produkter får bära ett märke under 5 mm enligt artikel 30.2. | 5 mm generellt minimum; undantag enligt artikel 30.2. |
| Proportioner | Använd de fasta CE-proportionerna. | Rita inte om, dra ut eller styla om märkningen för förpackning eller gränssnitt. | Regulation (EC) No 765/2008 Annex II. |
| Placering | På produkten. På förpackningen endast om produktmärkning inte är möjlig. | Märkning bara på förpackning är en reservlösning, inte standard. | Produkten först. |
| AO-nummer | Krävs bredvid märkningen endast om Module H (fullständig kvalitetssäkring) användes. | Numret visar vilket anmält organ som deltog i den bedömda vägen. | CE plus fyra siffror. |
Placering av CE-märkning
| Del | Detaljer |
|---|---|
| Fysisk produkt |
|
| Programvara |
|
| Med anmält organ |
|
Vanliga misstag
Att självbedöma (Module A) när produkten tillhör Viktig klass II är en ogiltig bedömning av överensstämmelse. Produkten kan inte lagligen placeras på EU-marknaden.
Vart och ett av de fem misstagen nedan har samma anatomi: en lockande genväg, en allvarlig konsekvens och en specifik förebyggande vana.
| Del | Detaljer |
|---|---|
| 1 · Självbedömning när den inte är tillåten | Problem. Väljer Module A för en Viktig klass II-produkt. Konsekvens. Ogiltig bedömning av överensstämmelse. Produkten kan inte lagligen placeras på marknaden. Förebyggande. Verifiera alltid produktklassificering innan du väljer bedömningsväg. |
| 2 · Delvis tillämpning av standarder | Problem. Hävdar Module A för Viktig klass I när relevanta standarder, specifikationer eller system bara tillämpas delvis. Konsekvens. Module A är inte tillgänglig utan full täckning. Förebyggande. Om du inte kan tillämpa den relevanta vägen fullt ut använder du Module B+C eller H. |
| 3 · Otillräcklig dokumentation | Problem. Den tekniska filen saknar obligatoriskt innehåll för vald modul. Konsekvens. Du kan inte visa överensstämmelse. DoC är inte giltig. Förebyggande. Använd checklistor. Granska dokumentationskraven för din specifika modul innan du undertecknar. |
| 4 · Överraskning med anmält organ | Problem. Sent i processen upptäcks att produkten kräver bedömning av anmält organ. Konsekvens. Försenad marknadsetablering. Kötider hos anmälda organ kan vara månader. Förebyggande. Klassificera produkter tidigt. Ta kontakt med anmälda organ proaktivt. |
| 5 · DoC före bedömning | Problem. Undertecknar DoC innan bedömning av överensstämmelse är slutförd. Konsekvens. Felaktig försäkran. Rättsligt ansvar. Förebyggande. DoC är det sista steget, efter att alla bedömningsaktiviteter är slutförda. |
Checklista för bedömning av överensstämmelse
Börja med förberedelsekorten. Slutför sedan bara de kort som gäller din produkts modul. Varje produkt avslutas med Slutförande-kortet.
| Del | Detaljer |
|---|---|
| Förberedelse |
|
| Module A · Självbedömning |
|
| Module B · EU-typkontroll |
|
| Module C · Överensstämmelse med typ |
|
| Module H · Fullständig QA |
|
| Slutförande · Alla moduler |
|
Vanliga frågor
Kan en Default-kategoriprodukt alltid använda Module A-självbedömning?
Ja. Default-produkter kan alltid använda Module A-självbedömning. Du genomför bedömningen själv, dokumenterar den i den tekniska filen, undertecknar EU:s försäkran om överensstämmelse och fäster CE-märkningen. Inget anmält organ är inblandat. Siffran "ungefär 90 %" är en uppskattning baserad på den smala omfattningen för Viktiga och Kritiska produkter, inte ett värde fastställt i CRA.
När är ett anmält organ obligatoriskt för Viktig klass I-produkter?
Endast när du inte kan tillämpa relevanta harmoniserade standarder, gemensamma specifikationer eller ett europeiskt cybersäkerhetscertifieringssystem på assuransnivån "betydande" fullt ut. Om en av dessa vägar täcker din produkttyps väsentliga cybersäkerhetskrav och du tillämpar den i sin helhet, fortsätter Module A-självbedömning att vara tillgänglig. Om ingen tillämplig väg finns, eller om du bara tillämpar den delvis, måste du använda Module B+C eller H.
Finns det några anmälda organ utsedda för CRA ännu?
Per juni 2026 har noll anmälda organ utsetts för CRA. Beteckningar publiceras i NANDO-databasen. Tillverkare av Viktig klass II- och Kritiska produkter kan inte slutföra tredjepartsbedömning förrän utnämningar sker. Planera för denna försening.
Vad innebär Module B+C-bedömningen i praktiken?
Module B är produkttypsgranskningen som ett anmält organ utför: organet granskar din tekniska dokumentation, testar ett representativt prov och utfärdar ett EU-typkontrollintyg. Module C är den produktionsöverensstämmelsefas som du genomför: varje enhet måste överensstämma med den certifierade typen och EU:s försäkran om överensstämmelse hänvisar till intygsnumret.
Kan harmoniserade standarder ersätta bedömning av ett anmält organ?
Endast för Viktig klass I-produkter. Om du tillämpar relevanta harmoniserade standarder, gemensamma specifikationer eller ett europeiskt cybersäkerhetscertifieringssystem fullt ut och dessa täcker varje väsentligt cybersäkerhetskrav kan du självbedöma under Module A utan anmält organ. För Viktig klass II-produkter är tredjepartsbedömning obligatorisk oavsett standarder. Kritiska produkter följer ett separat spår: certifiering när kommissionen har aktiverat den, eller reservvägen Module B+C / H / godkänt system.
Vad kostar en bedömning av överensstämmelse hos ett anmält organ?
Räkna med EUR 30 000 till EUR 100 000 eller mer i granskningsavgifter, plus EUR 2 000–5 000 i ansökningsavgift och EUR 1 000–5 000 för provberedning. Kötider ligger för närvarande på 4 till 16 veckor, så du behöver räkna in schemarisk utöver kostnaden. (Siffrorna är uppskattningar från analoga regelverk (RED, MDR) och tidiga CRA-konsultpriser, inte värden fastställda i CRA.)