Varje produkt med digitala element behöver en EU-försäkran om överensstämmelse innan den lagligen kan bära CE-märkning. DoC är ert formella uttalande om att produkten uppfyller CRA-kraven. Ni är rättsligt ansvariga för dess riktighet.
Den här guiden innehåller en komplett mall och förklarar varje obligatoriskt element.
Sammanfattning
- EU-försäkran om överensstämmelse (DoC) är obligatorisk för varje CRA-produkt och måste finnas före marknadsplacering.
- Tillverkaren undertecknar den. Ett auktoriserat ombud etablerat i EU kan anges i försäkran och förvara den för myndigheterna, men akten att försäkra överensstämmelse kvarstår hos tillverkaren.
- De obligatoriska elementen är fastställda i CRA-mallen för försäkran.
- Den måste finnas på de språk som krävs av varje medlemsstat där produkten säljs.
- Behåll den i minst 10 år efter marknadsplacering, eller under supportperioden om den är längre.
- En väsentlig ändring kräver en ny DoC, utfärdad av den som gjorde ändringen.
- En mall finns nedan. Anpassa den till er produkt.
Viktigt: Underteckna inte en DoC innan bedömningen av överensstämmelse är klar. En ofullständig eller felaktig försäkran kan skapa allvarlig sanktionsrisk och underminera CE-märkningen.
Tips: Ta med produktens supportperiod och en kontaktpunkt för sårbarheter i DoC:n. Det är praktiska transparensfält även när minimimallen inte kräver dem.
Vad är EU-försäkran om överensstämmelse?
EU-försäkran om överensstämmelse är ett formellt juridiskt dokument där tillverkaren förklarar att en produkt uppfyller tillämplig EU-lagstiftning. Den är obligatorisk för alla produkter med digitala element innan de kan bära CE-märkning. För CRA-produkter måste den ange:
- Att produkten uppfyller de väsentliga cybersäkerhetskraven.
- Att bedömningen av överensstämmelse har slutförts.
- Att tillverkaren tar det rättsliga ansvaret.
Utan en undertecknad DoC kan er produkt inte bära CE-märkning och kan inte lagligen släppas ut på EU-marknaden.
Vad kräver CRA i DoC:n?
DoC:n måste upprättas innan produkten släpps ut på marknaden, hållas aktuell när produkten eller dess efterlevnadsstatus ändras, översättas till det eller de språk som krävs av varje medlemsstat där produkten säljs och bevaras tillsammans med den tekniska dokumentationen i minst tio år.
Notera: När en produkt omfattas av flera EU-förordningar får ni utfärda en enda kombinerad försäkran som täcker alla. Se mallvariationen "Flera förordningar" längre fram i guiden.
Obligatoriska element
| # | Element | Vad som ska ingå |
|---|---|---|
| 1 | Produktnamn och typ | Namn, typ och eventuell ytterligare information som möjliggör unik identifiering av produkten med digitala element. |
| 2 | Tillverkaridentifiering | Namn och adress till tillverkaren eller dess auktoriserade representant. |
| 3 | Uttalande om eget ansvar | Exakt lydelse: "Denna EU-försäkran om överensstämmelse utfärdas på leverantörens eget ansvar." |
| 4 | Föremål för försäkran | Identifiering av produkten som möjliggör spårbarhet, vilket vid behov kan inbegripa ett fotografi. |
| 5 | Konformitetsuttalande | Bekräfta att föremålet överensstämmer med Förordning (EU) 2024/2847. |
| 6 | Tillämpade standarder och certifieringar | Harmoniserade standarder, gemensamma specifikationer eller cybersäkerhetscertifieringar som åberopats. |
| 7 | Uppgifter om anmält organ | Namn, nummer, utförd bedömningsprocedur, certifikatreferens. Krävs endast när en tredjepartsbedömningsmodul har använts. |
| 8 | Tilläggsinformation och underskrift | Utfärdandeort och datum; undertecknarens namn, funktion och underskrift (handskriven eller kvalificerad elektronisk). Övrig tilläggsinformation vid behov. |
Varje rad motsvarar den punkt med samma nummer i Bilaga V.
Notera: Ett försäkransnummer är inte obligatoriskt, men rekommenderas starkt för versionshantering och intern spårning.
Komplett DoC-mall
Använd detta som utgångspunkt. Anpassa de markerade fälten för er produkt.
Notera: Avsnitt 3 innehåller en ordagrant obligatorisk juridisk fras. Parafrasera den inte.
Dokumentidentifiering
| Försäkran nr. | [DoC-PRODUKT-ÅÅÅÅ-NNN] |
|---|---|
| Utfärdandedatum | [DD månad ÅÅÅÅ] |
Tillverkare
| Namn | [Företagets juridiska namn] |
|---|---|
| Adress | [Gatuadress, postnummer, ort, land] |
| Kontakt | [E-post / telefon] |
| Webbplats | [URL] |
Produktidentifiering
| Produktnamn | [Produktnamn] |
|---|---|
| Modell / typ | [Modellnummer / typbeteckning] |
| Hårdvaruversion | [Hårdvaruversion, om tillämpligt] |
| Mjukvaruversion | [Mjukvaru- / firmwareversion] |
| Batch / serie | [Batchintervall eller format för serienummer] |
| Fotografi | [Valfritt, där det är lämpligt för spårbarhet] |
| Beskrivning | [Kort beskrivning av produkten och dess avsedda ändamål, tillräcklig för att identifiera produkten otvetydigt] |
Försäkran
"Denna EU-försäkran om överensstämmelse utfärdas på leverantörens eget ansvar." (Ordagrant obligatorisk juridisk fras enligt Bilaga V, punkt 3.)
Det föremål för försäkran som beskrivs ovan överensstämmer med den relevanta unionsharmoniseringslagstiftningen:
- Förordning (EU) 2024/2847 av Europaparlamentet och rådet av den 23 oktober 2024 om horisontella cybersäkerhetskrav för produkter med digitala element (Cyber Resilience Act).
- [Ytterligare tillämplig EU-lagstiftning, där det är relevant.]
Bedömning av överensstämmelse
Tillämpad bedömningsprocedur (välj en):
Module A. Intern produktionskontroll. Baserad på Bilaga VIII.
| Anmält organ | Krävs inte för Module A |
|---|
Module B + C. EU-typprövning + överensstämmelse med typ. Baserad på Bilaga VIII.
| Anmält organ | [Namn], nr. [XXXX] |
|---|---|
| Certifikat | [Nummer], daterat [DD månad ÅÅÅÅ] |
Module H. Fullständig kvalitetssäkring. Baserad på Bilaga VIII.
| Anmält organ | [Namn], nr. [XXXX] |
|---|---|
| KS-certifikat | [Nummer], daterat [DD månad ÅÅÅÅ] |
Europeisk cybersäkerhetscertifiering enligt Artikel 27(9) och Förordning (EU) 2019/881.
| System | [Namn] |
|---|---|
| Certifikat | [Nummer] |
| Tillitsnivå | [Substantial / High] |
Tillämpade standarder och specifikationer
| Harmoniserade standarder | EN [XXXXX]:20XX, [standardens titel] |
|---|---|
| Andra tekniska specifikationer | ISO/IEC [XXXXX]:20XX, [standardens titel] |
| Cybersäkerhetscertifieringar | [Systemets namn, certifikatreferens, om tillämpligt] |
Tilläggsinformation (CRA-specifik)
| Supportperiod | Säkerhetsuppdateringar fram till [DD månad ÅÅÅÅ] |
|---|---|
| Första EU-marknadsplacering | [DD månad ÅÅÅÅ] |
| Sårbarhetskontakt | [security@company.com] / [https://company.com/.well-known/security.txt] |
| Teknisk dokumentation | Tillgänglig på begäran från behöriga myndigheter på adressen ovan. |
Underskrift
Undertecknad för och på uppdrag av [Företagets juridiska namn]:
Ort: [ort, land] · Datum: [DD månad ÅÅÅÅ]
Vägledning avsnitt för avsnitt
1. Dokumentidentifiering
Försäkransnummer. Inte obligatoriskt, men rekommenderas starkt för versionshantering. Ett praktiskt format är DoC-[Produktkod]-[År]-[Sekvens], till exempel DoC-SSP3000-2027-001.
Utfärdandedatum. Det datum då ni undertecknar försäkran. Måste vara efter att bedömningen av överensstämmelse är slutförd.
2. Tillverkaridentifiering
Undertecknaren är tillverkaren: en person som är auktoriserad att juridiskt binda tillverkaren. CRA tillåter att en auktoriserad representant utses, men kräver det inte i sig; om en sådan utses kan representanten anges i försäkran och förvara den för myndigheterna, men akten att försäkra överensstämmelse kvarstår hos tillverkaren (artikel 28). Om en auktoriserad representant anges, lägg till en rad såsom:
Auktoriserad representant: [Namn, adress]
agerar på uppdrag av: [Tillverkarens namn, adress]
3. Produktidentifiering
Var tillräckligt specifik för spårbarhet: ange modellnummer, separata versioner för hårdvara och mjukvara samt omfattningen av batch- eller serienummer.
Exempel:
Produktnamn: SmartSense Pro Industrial Sensor
Modell/typ: SSP-3000
Hårdvaruver: Rev C (PCB v3.2)
Mjukvaruver: Firmware 2.4.1
Batch/serie: Serienummer SSP3K-2027-XXXXXX
4. Bedömning av överensstämmelse
Vilken modul ni måste använda beror på er produkts klassificering. Använd denna tabell som vägledning:
| Modul | När den gäller | Anmält organ? |
|---|---|---|
| Module A (intern produktionskontroll) | Standardprodukter; Viktig klass I när relevanta standarder, specifikationer eller system tillämpas fullt ut | Nej |
| Module B+C (EU-typprövning) | Tillgänglig för alla produkter; krävd option för Viktig klass I när de inte tillämpas fullt ut; en väg för Viktig klass II och kritisk fallback | Ja |
| Module H (fullständig kvalitetssäkring) | Alla produkter; alternativ till B+C för Viktig klass I och II | Ja |
| EUCC / cybersäkerhetssystem | Produkter som innehar ett europeiskt cybersäkerhetscertifikat på tillitsnivå ≥ Substantial (Artikel 27(9)) | Ingen ytterligare tredjepartsbedömning krävs |
Notera: Kritiska produkter har en striktare väg för bedömning av överensstämmelse. Använd guiden för bedömning av överensstämmelse för hela vägvalet.
Använd detta flödesschema för att identifiera er väg:
flowchart TD
A["Vad är er produktklass?"] --> B["Standard\n(ej listad)"]
A --> C["Viktig klass I\n(listad klass)"]
A --> D["Viktig klass II\n(listad klass)"]
A --> E["Kritisk\n(kritisk lista)"]
B --> F["Modul A, B+C eller H\nert val"]
C --> G{"Standarder, specifikationer\neller system fullt tillämpade?"}
G -->|Ja| H["Modul A tillgänglig\neller B+C / H"]
G -->|Nej| I["Modul B+C eller H\nAnmält organ krävs"]
D --> J["Modul B+C, H eller ett certifieringsschema\npå assuransnivån minst betydande"]
E --> K["Certifieringsväg om tillämplig
annars tredjepartsvägar"]
5. Tillämpade standarder
Harmoniserade standarder är standarder som publicerats i Europeiska unionens officiella tidning. De skapar en presumtion om överensstämmelse för de krav de täcker. Inkludera fullständig referens: nummer, år, titel.
Format:
EN 303 645:2020, Cyber Security for Consumer Internet of Things: Baseline Requirements
Om inga harmoniserade standarder finns, ange: "Inga harmoniserade standarder tillämpade. Överensstämmelse visas genom [beskriv metod]."
Om ett europeiskt cybersäkerhetscertifikat åberopades under bedömningen av överensstämmelse, ange det med systemets namn och certifikatets referensnummer (detta täcker certifieringsfältet i försäkran).
6. CRA-specifik tilläggsinformation
Detta avsnitt ingår inte i minimimallen, men att inkludera det förbättrar den regulatoriska transparensen:
- Supportperiod. Ange när säkerhetsuppdateringarna upphör. Måste vara minst 5 år från att produkten släpps ut på marknaden, eller den förväntade användningsperioden om den är kortare.
- Sårbarhetskontakt. Vart rapporter ska skickas, inklusive en referens till er
security.txt-fil.
Notera: Slutdatumet för supportperioden måste också visas vid köptillfället. Att inkludera det i DoC:n är god praxis, men ersätter inte kommunikationen vid köptillfället.
7. Underskrift
Var och en som är auktoriserad att juridiskt binda tillverkaren kan underteckna. Vanligtvis är det VD, en direktör, kvalitetschefen eller den regulatoriska ansvariga. DoC:n måste bära undertecknarens fullständiga namn och titel, ort och datum (datumet måste följa efter att bedömningen slutförts) och antingen en handskriven underskrift eller en kvalificerad elektronisk underskrift.
När måste CE-märkningen anbringas i förhållande till försäkran om överensstämmelse?
För fysiska produkter ska CE-märkningen anbringas synligt, läsbart och outplånligt på produkten innan den släpps ut på marknaden.
För rena mjukvaruprodukter placeras CE-märkningen antingen direkt på EU-försäkran om överensstämmelse eller på produktens webbplats i en sektion som är lätt och direkt tillgänglig för användare.
Notera: CE-märkningen måste anbringas innan produkten släpps ut på marknaden, inte efter. För mjukvaruprodukter, säkerställ att DoC:n eller webbsidan är live innan distributionen börjar.
Behöver DoC:n översättas?
Ja. DoC:n måste tillhandahållas på det eller de språk som krävs av varje medlemsstat där produkten släpps ut på marknaden.
I praktiken:
- Säljer endast i Tyskland → en tysk DoC krävs.
- Säljer över hela EU → ni behöver flera språkversioner.
- Behåll alla språkversioner i den tekniska dokumentationen.
Den förenklade DoC:n och den URL som pekar till den fullständiga DoC:n måste också vara på det eller de språk som krävs. Själva URL:en måste förbli stabil och tillgänglig.
Behöver varje produktmodell eller version en egen försäkran om överensstämmelse?
En DoC per produkttyp
Varje distinkt produktmodell eller typ behöver i allmänhet en egen DoC.
En enda DoC kan täcka flera varianter när de är varianter av samma typ, samma bedömning av överensstämmelse gäller för dem alla och samma standarder tillämpats.
Exempel:
Produktnamn: SmartSense Pro Industrial Sensor
Modell/typ: SSP-3000 (alla varianter)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
När kräver en ändring en ny DoC?
Varning: En väsentlig ändring är varje ändring som påverkar produktens cybersäkerhetsbaslinje eller avsedda ändamål. Den kräver en ny DoC. Den som genomför den väsentliga ändringen blir tillverkare av den ändrade produkten och måste utfärda den nya DoC:n.
| Scenario | Ny DoC krävs? |
|---|---|
| Ny hårdvaruversion som påverkar säkerhetsegenskaperna | Ja, väsentlig ändring |
| Firmware-uppdatering som inför nya gränssnitt eller nya hotvektorer | Ja, ändrad cybersäkerhetsriskprofil |
| Firmware-uppdatering som ändrar produktens avsedda ändamål | Ja, väsentlig ändring |
| Säkerhetspatch (samma arkitektur, ingen ny risk, minskar CVE:er) | Från fall till fall |
| Ändring av tillämpade harmoniserade standarder eller certifikat för bedömning av överensstämmelse | Ja |
| Kosmetisk, dokumentations- eller lokaliseringsändring | Nej |
| Tredje part ändrar produkten väsentligt och släpper ut den på marknaden | Ja, tredje parten utfärdar den nya DoC:n som ny tillverkare |
För iterativa mjukvarusläpp som inte är väsentliga ändringar förblir den befintliga DoC:n giltig. Ni måste kunna visa detta för marknadskontrollmyndigheterna, och uppdateringen av riskbedömningen är hur ni gör det.
DoC-distribution
DoC:n måste följa med produkten. Ni kan välja mellan:
- den fullständiga DoC:n, eller
- en förenklad DoC som anger den exakta internetadressen där den fullständiga DoC:n publiceras.
Endera formen måste också tillhandahållas på begäran från marknadskontrollmyndigheter och bör vara tillgänglig för kunder på begäran.
Förenklad EU-försäkran om överensstämmelse
Den förenklade formen består av två meningar: tillverkarens försäkran och en URL där den fullständiga texten finns. Den är särskilt användbar för mjukvarudistributioner, hårdvara med begränsat förpackningsutrymme och alla produkter där den fullständiga DoC:n publiceras online.
Härmed försäkrar [tillverkarens namn] att produkten med digitala element [beteckning för typ av produkt med digitalt element] uppfyller kraven i Förordning (EU) 2024/2847.
Den fullständiga texten till EU-försäkran om överensstämmelse finns på följande internetadress: [URL]
Krav på URL:en: stabil (ändra den inte efter att produkter har distribuerats), tillgänglig utan registrering eller inloggning, och sidan bör tillåta att DoC:n laddas ner eller skrivs ut. Den fullständiga DoC:n måste fortfarande finnas i den tekniska dokumentationen och vara tillgänglig för myndigheter på begäran.
Vanliga misstag
| Misstag | Varför det spelar roll | Lösning |
|---|---|---|
| Saknade obligatoriska element (t.ex. ingen angiven modul för bedömning av överensstämmelse) | DoC:n är icke-kompatibel | Använd checklistan innan ni undertecknar; verifiera varje obligatoriskt försäkringselement |
| Fel enhet undertecknar (importören eller distributören undertecknar istället för tillverkaren) | DoC:n är juridiskt ogiltig | Endast tillverkaren (en person auktoriserad att juridiskt binda tillverkaren) får underteckna; en importör eller distributör kan inte göra det om de inte har blivit tillverkare |
| Föråldrade standardreferenser (återkallade eller ersatta standarder listade) | Presumtionen om överensstämmelse går förlorad | Granska tillämpade standarder regelbundet; uppdatera DoC:n när standarderna ändras |
| Ingen versionshantering (flera DoC-versioner finns utan tydlig aktuell version) | Risk vid revision och tillsyn | Tilldela försäkransnummer; arkivera ersatta versioner |
| Undertecknar innan bedömningen är klar (DoC daterad innan konformitetsaktiviteterna är slutförda) | DoC:n föregår de bevis den åberopar | Slutför alla bedömningsaktiviteter först; DoC-datumet måste följa efter bedömningen |
| Fel språk (DoC endast på engelska vid försäljning i en icke-engelsktalande medlemsstat) | Icke-kompatibel för den marknaden | Översätt DoC:n till varje erforderligt medlemsstatsspråk |
| Ingen uppdatering efter väsentlig ändring (ursprunglig DoC används fortfarande efter en materiell förändring) | DoC:n täcker en version den aldrig bedömts för | Utfärda en ny DoC närhelst en väsentlig ändring sker |
Checklista för DoC-förberedelse
- Bedömning av överensstämmelse slutförd
- Testrapporter tillgängliga
- Teknisk dokumentation förberedd
- Standardlista färdigställd
- Supportperiod fastställd
- Språkkrav bekräftade för alla målmedlemsstater
- Unikt försäkransnummer tilldelat
- Tillverkarens namn och adress korrekta
- Produkten fullständigt identifierad (modell, version, batch/serie)
- CRA korrekt refererad: "Förordning (EU) 2024/2847"
- Annan tillämplig lagstiftning listad (om någon)
- Modul för bedömning av överensstämmelse angiven
- Uppgifter om anmält organ inkluderade (om tillämpligt)
- Alla tillämpade standarder listade med fullständiga referenser
- Slutdatum för supportperiod inkluderat
- Kontaktinformation för säkerhet inkluderad
- Undertecknaren är auktoriserad att binda tillverkaren
- Fullständigt namn och titel/funktion angivna
- Ort och datum angivna (datum efter bedömningens slutförande)
- Underskrift finns (handskriven eller kvalificerad elektronisk)
- Kopia följer med produkten (fysisk eller digital länk)
- Kopia i den tekniska dokumentationen
- Tillgänglig för myndighetsförfrågningar
- Versioner spårade och arkiverade
- Språkversioner förberedda för alla målmedlemsstater
- CE-märkning anbringad före distribution
Mallvariationer för DoC
För Module A (egenbedömning)
Module A. Intern produktionskontroll. Baserad på Bilaga VIII.
Tillverkaren har verifierat att produkten uppfyller de väsentliga kraven genom intern bedömning som dokumenterats i den tekniska dokumentationen.
För Module B+C (tredje part)
Module B + C. EU-typprövning + överensstämmelse med typ. Baserad på Bilaga VIII.
| Anmält organ | TÜV Rheinland LGA Products GmbH |
|---|---|
| NB-nummer | 0197 |
| Certifikat | EU-TYPE-2027-12345 |
| Datum | 15 januari 2027 |
Tillverkaren säkerställer produktionens överensstämmelse med den certifierade typen (Module C) genom intern produktionskontroll.
För flera förordningar
En enda kombinerad DoC är tillåten när en produkt omfattas av både CRA och annan EU-lagstiftning:
Det föremål för försäkran som beskrivs ovan överensstämmer med den relevanta unionsharmoniseringslagstiftningen:
- Förordning (EU) 2024/2847 (Cyber Resilience Act)
- Direktiv 2014/53/EU (Radio Equipment Directive). Anmält organ: [Namn], nr. [XXXX], certifikat: [Nummer]
- Direktiv 2014/35/EU (Low Voltage Directive)
Bevarandekrav
| Vad som ska bevaras | Bevarandeperiod | Var |
|---|---|---|
| Undertecknad DoC (eller autentiserad kopia) | 10 år efter att produkten släppts ut på marknaden, eller under supportperioden om den är längre | Teknisk dokumentation; tillgänglig för myndigheter på begäran |
| Versionshistorik och ersatta DoC:er | Tillsammans med den aktuella DoC:n | Teknisk dokumentation |
| Stöddokumentation refererad i DoC:n | Tillsammans med DoC:n | Teknisk dokumentation |
Vanliga frågor
Kan en försäkran om överensstämmelse täcka produkter som säljs i alla EU-medlemsstater?
Ja. Samma DoC-dokument kan täcka hela EU, men det måste översättas till det eller de språk som krävs av varje medlemsstat där produkten släpps ut på marknaden. Kärninnehållet är identiskt; endast språkversionen ändras. Behåll alla översättningar i den tekniska dokumentationen.
Behöver CRA-försäkran om överensstämmelse notariseras eller officiellt certifieras?
Nej. DoC:n undertecknas av tillverkaren. En handskriven underskrift eller en kvalificerad elektronisk underskrift är tillräcklig. Ingen notarisering, apostille eller tredjepartscertifiering av själva dokumentet krävs, om inte en specifik medlemsstat kräver det för marknadskontrolländamål.
Vad händer om marknadskontrollen finner att DoC:n är ofullständig eller felaktig?
Sanktionsrisken beror på överträdelsen. Ett falskt påstående om att produktens överensstämmelse har visats kan nå CRA:s högsta bötesnivå. Fristående brister i DoC, CE-märkning, bedömning av överensstämmelse eller dokumentation ligger i nästa nivå; felaktig eller vilseledande information till myndigheter har en egen lägre nivå.
Kan en mjukvaruprodukt använda den förenklade EU-DoC:n istället för det fullständiga dokumentet?
Ja. Tillverkare får skicka med den förenklade EU-försäkran om överensstämmelse med produkten, förutsatt att det fullständiga dokumentet är offentligt tillgängligt på en stabil URL. Den förenklade formen består av två meningar: tillverkarens försäkran om överensstämmelse och URL:en. Det fullständiga dokumentet måste fortfarande existera och vara tillgängligt för myndigheter på begäran.
Hur länge måste CRA-försäkran om överensstämmelse bevaras?
Minst 10 år efter att produkten släpps ut på marknaden, eller under supportperiodens längd, beroende på vilket som är längst. För en produkt med en supportperiod på 15 år måste DoC:n och den tekniska dokumentationen bevaras i 15 år.
Vem är auktoriserad att underteckna CRA-försäkran om överensstämmelse?
Tillverkaren undertecknar: en person med behörighet att juridiskt binda tillverkaren. Ett auktoriserat ombud undertecknar inte försäkran; enligt artikel 28 kvarstår akten att försäkra överensstämmelse hos tillverkaren, även om ombudet kan anges i försäkran och förvara den för myndigheterna. En importör eller distributör kan inte underteckna om de inte har blivit tillverkare genom eget varumärke eller en väsentlig ändring.