De CRA deelt producten in op basis van risico, en elke klasse heeft een eigen route naar de markt — van een eenvoudige self-assessment tot een verplichte externe audit. Een verkeerde inschatting kost maanden doorlooptijd én geld.
Of u in scope valt, hangt af van twee vragen: heeft uw product digitale elementen (software of firmware), en brengt u het op de Europese markt? Is het antwoord twee keer ja, dan geldt de CRA — ongeacht of u fabrikant, importeur of distributeur bent. Alleen pure SaaS-diensten en producten die al onder sectorspecifieke wetgeving vallen (zoals medische hulpmiddelen onder de MDR) zijn uitgezonderd. Bepaal met de tool hieronder waar uw product precies staat:
1. Valt uw software of product onder een andere specifieke EU-wetgeving die reeds cybersecurity-eisen stelt?
MDR (medisch), motorvoertuigen, civiele luchtvaart en defensie hebben sectorspecifieke wetten die voorgaan.
De vier risicoklassen
De beslisboom eindigt altijd in één van vier klassen. Dit is wat elke klasse betekent voor uw route naar de markt — van licht naar zwaar:
Standaardcategorie
Ongeveer 90% van alle software. Een self-assessment (Module A) volstaat: u stelt een technisch dossier en een SBOM op, zonder externe audit.
Belangrijk — Klasse I
VPN's, wachtwoordmanagers, identity management, browsers. Self-assessment mág, mits u de geharmoniseerde EU-standaarden volledig toepast — anders is een notified body verplicht.
Belangrijk — Klasse II
Firewalls, IDS/IPS, hypervisors. Een externe audit door een notified body is altijd verplicht, ook bij volledige naleving van de standaarden.
Kritiek
Smart meter gateways, hardware security modules (HSM's), smartcards. Verplichte certificering via een Europees schema (EUCC) met externe audit.
Het verschil tussen deze klassen is geen formaliteit. Waar de standaardcategorie met een interne self-assessment toekan, vraagt een notified-body-traject — verplicht vanaf Klasse II — al snel maanden doorlooptijd, externe auditkosten en een strakke release-planning. Twijfelt u tussen twee klassen? Laat de inschatting vooraf toetsen: een te lichte classificatie valt pas bij de audit door de mand, wanneer bijsturen duur is.
Praktijk Scenario's & Cases
Theorie is één ding; in de praktijk zit het venijn in de details. Drie situaties die we in de praktijk vaak tegenkomen:
B2B SaaS Platformen
Pure SaaS (alleen in browser) valt buiten de CRA-producteisen. Maar zodra uw klant een app of lokale agent downloadt om te koppelen, valt die app én de bijbehorende backend wél onder de CRA.
De Importeursvalkuil
Koopt u systemen in van buiten de EU en white-labelt u ze met uw eigen logo? Dan herdefinieert de CRA uw rol als Fabrikant. U bent volledig aansprakelijk voor patches en de SBOM.
Klasse I & II Software
Voor belangrijke/kritieke software (VPNs, wachtwoordmanagers, identity management) gelden zware regels. Vaak is een notified body externe audit verplicht om uw release-planning te borgen.
Twijfelt u nog over uw verplichtingen?
De beslisboom geeft de route; de gratis Quickscan toetst hoe ver u al bent. Of bouw alles stap voor stap op in de 4-weekse Survival Challenge.