Cyber Resilience Act Artikelen 13 en 14: Waarom een ISMS niet voldoende is
De CRA vereist Security by Design, kwetsbaarheidsrapportage binnen 24 uur, SBOM's en CE-markering. Een ISMS ondersteunt governance, maar niet de naleving op productniveau.
Cyber Resilience Act Artikelen 13 en 14: Waarom een ISMS niet voldoende is voor producten met digitale elementen
De Cyber Resilience Act verplicht fabrikanten van hardware en software om Security by Design, continu kwetsbaarheidsbeheer en meldingsverplichtingen voor actief misbruikte kwetsbaarheden te implementeren. Wat veel organisaties onderschatten: deze verplichtingen strekken zich uit over de gehele productlevenscyclus — en vereisen bewijs dat een ISMS alleen niet kan leveren.
Een ISMS structureert interne governance. De CRA vereist daarnaast productspecifieke cybersecurityvereisten vanaf de ontwerpfase, melding van actief misbruikte kwetsbaarheden binnen 24 uur (Artikel 14), Software Bills of Materials (SBOM), CE-markering en doorlopende beveiligingsupdates gedurende de gehele ondersteuningsperiode (Artikel 13).
Ga naar:
- Artikel 14: Meldingsverplichtingen voor fabrikanten
- Artikel 13: Verplichtingen van fabrikanten
- Toeleveringsketen: Verplichtingen voor importeurs en distributeurs
Waarom een ISMS niet meer voldoende is onder de Cyber Resilience Act
Verordening (EU) 2024/2847 — de Cyber Resilience Act (CRA) — is op 11 december 2024 in werking getreden en wordt volledig van toepassing vanaf 11 december 2027. De meldingsverplichtingen onder Artikel 14 gelden al vanaf 11 september 2026.
De CRA is de eerste EU-brede verordening die verplichte minimale cybersecurityvereisten vaststelt voor producten met digitale elementen — ongeacht of het gaat om goedkope consumentenproducten of hoogwaardige B2B-software.
Het cruciale verschil met NIS2, DORA of AVG: De CRA is productgericht, niet organisatiegericht. Terwijl een ISMS de beveiliging van een organisatie structureert, eist de CRA beveiliging op productniveau — van ontwerp via ontwikkeling tot de gehele productlevensduur.
Waar een ISMS bijdraagt aan CRA-compliance — Organisatorische basis
Een goed ISMS biedt de structurele basis voor veel CRA-vereisten:
- Risicobeheerprocessen voor het beoordelen van cybersecurityrisico's
- Gedocumenteerde processen voor kwetsbaarheidsbeheer
- Incidentresponsprocedures als basis voor meldingsverplichtingen
- Configuratiebeheer en wijzigingscontroleprocessen
Bijlage I van de CRA vereist dat producten "worden ontworpen, ontwikkeld en geproduceerd op zodanige wijze dat zij een passend niveau van cybersecurity waarborgen op basis van de risico's." Dit klinkt als ISMS-terrein — en een ISMS kan hier inderdaad als basis dienen.
De CRA gaat echter op kritieke punten verder: het vereist productspecifiek bewijs, meldingsverplichtingen met zeer korte termijnen en CE-markering die de conformiteit met cybersecurityvereisten bevestigt.
Waar de CRA verder gaat dan een ISMS
Artikel 14: Meldingsverplichtingen voor fabrikanten
De CRA introduceert een drielaags meldingsregime voor actief misbruikte kwetsbaarheden en ernstige beveiligingsincidenten.
Vroegtijdige waarschuwing (24 uur)
De fabrikant moet elke actief misbruikte kwetsbaarheid waarvan hij kennis neemt zonder onnodige vertraging en in elk geval binnen 24 uur melden aan het relevante CSIRT en ENISA.
De melding geschiedt via het Single Reporting Platform (SRP) dat door ENISA wordt beheerd, aan het CSIRT van de lidstaat waar de fabrikant zijn hoofdvestiging heeft.
Inhoud van de vroegtijdige waarschuwing onder Artikel 14(2)(a):
| Element | Beschrijving |
|---|---|
| Timing | Zonder onnodige vertraging, in elk geval binnen 24 uur na kennisneming |
| Getroffen lidstaten | Vermelding van lidstaten waar het product beschikbaar is gesteld |
| Aard van de kwetsbaarheid | Initiële classificatie van het beveiligingslek |
Volledige melding (72 uur)
Binnen 72 uur na kennisneming moet een volledige kwetsbaarheidsmelding worden ingediend, tenzij de informatie al in de vroegtijdige waarschuwing was opgenomen.
Inhoud van de volledige melding onder Artikel 14(2)(b):
| Element | Beschrijving |
|---|---|
| Algemene informatie | Aard van de kwetsbaarheid en getroffen producten |
| Technische details | Beschrijving van de kwetsbaarheid en de impact |
| Ernst | Beoordeling van de kritiekheid |
| Genomen maatregelen | Reeds geïmplementeerde tegenmaatregelen |
| Gebruikersaanbevelingen | Mogelijke risicomitigatiemaatregelen |
Eindrapport
| Situatie | Deadline |
|---|---|
| Actief misbruikte kwetsbaarheid | Uiterlijk 14 dagen nadat een corrigerende maatregel beschikbaar komt |
| Ernstig beveiligingsincident | Uiterlijk 1 maand na de 72-uursmelding |
Het eindrapport moet een analyse van de grondoorzaak, genomen corrigerende maatregelen en preventieve maatregelen bevatten.
Gebruikersnotificatie
Onder Artikel 14(8) moet de fabrikant, na kennisneming van een actief misbruikte kwetsbaarheid of ernstig incident, getroffen gebruikers informeren — over de kwetsbaarheid, het incident en, waar van toepassing, risicomitigatiemaatregelen.
Als de fabrikant nalaat gebruikers tijdig te informeren, kan het relevante CSIRT deze informatie zelf publiceren.
Artikel 13: Verplichtingen van fabrikanten
De CRA stelt uitgebreide verplichtingen vast voor fabrikanten gedurende de gehele productlevenscyclus.
Security by Design en by Default (Artikel 13(1))
Fabrikanten moeten ervoor zorgen dat producten met digitale elementen worden ontworpen, ontwikkeld en geproduceerd in overeenstemming met de essentiële cybersecurityvereisten in Bijlage I Deel I:
| Vereiste | Beschrijving |
|---|---|
| Passend beschermingsniveau | Producten moeten een cybersecurityniveau waarborgen dat passend is bij de risico's |
| Geen bekende kwetsbaarheden | Producten mogen niet op de markt worden geplaatst met bekende exploiteerbare kwetsbaarheden |
| Veilige standaardconfiguratie | Producten moeten worden geleverd met veilige standaardinstellingen |
| Bescherming tegen ongeautoriseerde toegang | Authenticatie-, identiteits- en toegangscontrolemechanismen |
| Bescherming van vertrouwelijkheid | Versleuteling van gegevens in rust en in transit |
| Bescherming van integriteit | Bescherming tegen ongeautoriseerde manipulatie van gegevens en functies |
| Bescherming van beschikbaarheid | Weerbaarheid tegen denial-of-service-aanvallen |
| Minimalisatie van aanvalsoppervlak | Beperking van externe interfaces tot het noodzakelijke |
Software Bill of Materials (SBOM)
Bijlage I Deel II vereist dat fabrikanten kwetsbaarheden en componenten van hun producten identificeren en documenteren — inclusief een Software Bill of Materials (SBOM) in een gangbaar en machineleesbaar formaat dat ten minste de bovenste afhankelijkheden dekt.
De SBOM hoeft niet te worden gepubliceerd maar moet op verzoek beschikbaar worden gesteld aan markttoezichtautoriteiten.
Waarom SBOM-verplichtingen in de praktijk al vanaf september 2026 gelden:
De SBOM-vereiste wordt formeel pas afdwingbaar op 11 december 2027. Echter, de meldingsverplichtingen gelden al vanaf 11 september 2026. Zonder een SBOM en kwetsbaarheidsmonitoring kan een fabrikant niet weten of een nieuw bekendgemaakte kwetsbaarheid zijn product treft — en de 24-uurstermijn verstrijkt.
Ondersteuningsperiode en beveiligingsupdates (Artikel 13(8))
Fabrikanten moeten een ondersteuningsperiode bepalen gedurende welke zij beveiligingsupdates leveren. Deze periode moet:
- Ten minste 5 jaar bedragen (of korter als de verwachte productlevensduur korter is)
- Vóór aankoop aan gebruikers worden gecommuniceerd
- Gratis beveiligingsupdates omvatten
Technische documentatie (Artikel 13 en Bijlage VII)
Fabrikanten moeten technische documentatie opstellen en deze 10 jaar bewaren na marktplaatsing of gedurende de ondersteuningsperiode (welke van beide langer is):
| Document | Beschrijving |
|---|---|
| Productbeschrijving | Concept, ontwerp en ontwikkeling |
| Cybersecurity-risicobeoordeling | Beoordeling van risico's onder Artikel 13(2) |
| SBOM | Software Bill of Materials van componenten |
| Conformiteitsbeoordeling | Bewijs van naleving van vereisten |
| EU-conformiteitsverklaring | Verklaring van de fabrikant |
Waarom zorgvuldigheid geen eenmalige exercitie is
Zorgvuldigheid voor componenten van derden (Artikel 13(5))
Bij het integreren van componenten van derden — inclusief opensourcesoftware — moeten fabrikanten zorgvuldigheid betrachten om ervoor te zorgen dat deze componenten de cybersecurity van het product niet compromitteren.
Melden van kwetsbaarheden in componenten (Artikel 13(6))
Als een fabrikant een kwetsbaarheid in een component identificeert, moet hij dit melden aan de fabrikant of beheerder van dat component en de kwetsbaarheid verhelpen in overeenstemming met de vereisten.
Wezenlijke wijzigingen (Artikel 3(31))
Een wezenlijke wijziging is elke wijziging aan een product na marktplaatsing die:
- De naleving van cybersecurityvereisten kan beïnvloeden, of
- Een wijziging van het beoogde doel inhoudt
Bij een wezenlijke wijziging wordt de wijziger de fabrikant voor het getroffen product of onderdeel — met alle verplichtingen onder Artikelen 13 en 14.
Toeleveringsketen: Verplichtingen voor importeurs en distributeurs
De CRA stelt een verantwoordelijkheidsketen vast door de gehele toeleveringsketen.
Verplichtingen van importeurs (Artikel 19)
Importeurs mogen alleen producten op de markt plaatsen die voldoen aan cybersecurityvereisten. Vóór marktplaatsing moeten zij zich ervan vergewissen:
| Verificatieplicht | Beschrijving |
|---|---|
| Conformiteitsbeoordeling | De fabrikant heeft de vereiste procedures uitgevoerd |
| Technische documentatie | De fabrikant heeft de documentatie opgesteld |
| CE-markering | Het product draagt de CE-markering |
| EU-conformiteitsverklaring | De verklaring vergezelt het product |
| Gebruikersinformatie | Instructies en informatie worden in een begrijpelijke taal verstrekt |
Importeurs moeten de EU-conformiteitsverklaring en technische documentatie 10 jaar bewaren en op verzoek beschikbaar stellen aan markttoezichtautoriteiten.
Verplichtingen van distributeurs (Artikel 20)
Voordat een product op de markt beschikbaar wordt gemaakt, moeten distributeurs verifiëren:
- Het product draagt de CE-markering
- De fabrikant en importeur hebben aan hun verplichtingen voldaan
- Alle vereiste documenten worden meegeleverd
Als een importeur of distributeur zelf fabrikant wordt (door op de markt te brengen onder eigen naam of door een wezenlijke wijziging aan te brengen), zijn alle verplichtingen onder Artikelen 13 en 14 op hem van toepassing.
Kwetsbaarheidsrapportage door importeurs en distributeurs
Importeurs en distributeurs die kennis nemen van een kwetsbaarheid moeten de fabrikant hiervan onverwijld op de hoogte stellen. Bij aanwijzingen van niet-conformiteit mogen zij het product niet (langer) op de markt beschikbaar stellen.
Sancties (Artikel 64)
De CRA voorziet in een drielaags sanctiesysteem:
| Overtreding | Boete | Rechtsgrondslag |
|---|---|---|
| Essentiële cybersecurityvereisten (Bijlage I) en fabrikantverplichtingen (Art. 13, 14) | Tot EUR 15 miljoen of 2,5% jaaromzet | Art. 64(2) |
| Overige verplichtingen (Art. 18–23, 28, 30–33, 39, 41, 47, 49, 53) | Tot EUR 10 miljoen of 2% jaaromzet | Art. 64(3) |
| Onjuiste of onvolledige informatie aan autoriteiten | Tot EUR 5 miljoen of 1% jaaromzet | Art. 64(4) |
Het hogere bedrag is in elk geval van toepassing.
Uitzonderingen:
- Micro-ondernemingen en kleine ondernemingen zijn vrijgesteld van boetes voor niet-naleving van de 24-uurstermijn onder Artikel 14
- Open-source softwarebeheerders zijn vrijgesteld van alle boetes onder de CRA
Aanvullende maatregelen door markttoezichtautoriteiten:
Naast boetes kunnen autoriteiten producten van de markt terugtrekken, terugroepingen gelasten of marktplaatsing verbieden — EU-breed.
ISMS en Trust Center: twee perspectieven op compliance
De CRA creëert een nieuwe dimensie van productaansprakelijkheid voor cybersecurity. Een ISMS blijft onmisbaar voor organisatorische governance — maar de productgerelateerde vereisten van de CRA vereisen aanvullende structuren.
De twee richtingen van een Trust Center
Als fabrikant / verkoper (uitgaand):
Organisaties die producten met digitale elementen in de EU verkopen, moeten klanten en autoriteiten uitgebreid bewijs verstrekken. Een Trust Center consolideert deze documentatie op één professionele locatie:
| Document | Doel | CRA-referentie |
|---|---|---|
| EU-conformiteitsverklaring | Bewijs van conformiteit | Art. 13(20) |
| CE-markering | Conformiteitsmarkering | Art. 30 |
| SBOM (op verzoek) | Transparantie over componenten | Bijlage I Deel II |
| Technische documentatie | Bewijs van conformiteit | Bijlage VII |
| Ondersteuningsperiode en updatebeleid | Informatie voor gebruikers | Art. 13(8) |
| Vulnerability Disclosure Policy | Proces voor kwetsbaarheidsmeldingen | Bijlage I Deel II |
| Certificeringen (ISO 27001, IEC 62443) | Ondersteunend bewijs | Art. 27 |
| Penetratietestrapportages | Onafhankelijke beoordeling | Bijlage I Deel II |
Als koper / integrator (inkomend):
Organisaties die producten met digitale elementen integreren in hun eigen producten zijn verplicht zorgvuldigheid te betrachten onder Artikel 13(5). Een Trust Center ondersteunt:
- Verzameling en onderhoud van fabrikantenbewijzen en SBOM's
- Monitoring van beveiligingsupdates en bekende kwetsbaarheden
- Documentatie van zorgvuldigheid bij componentselectie
- Bewijs van toeleveringsketennaleving voor eigen klanten
Het dubbele perspectief
Veel B2B-organisaties zijn tegelijkertijd koper (integreren componenten van derden) en fabrikant (verkopen eigen producten). Een Trust Center adresseert beide rollen:
- Inkomend: Bewijs van zorgvuldigheid bij het integreren van componenten van derden
- Uitgaand: Verstrekking van alle vereiste bewijzen aan klanten en autoriteiten
Zonder een Trust Center verloopt deze documentatie via e-mail, individuele verzoeken en handmatige processen — onverenigbaar met de korte CRA-termijnen en de complexiteit van moderne softwaretoeleveringsketens. Met een Trust Center worden reactieve documentzoekacties een functionerend systeem.
De kritieke tijdlijn
| Datum | Verplichting |
|---|---|
| 11 december 2024 | CRA in werking getreden |
| 11 juni 2026 | Aangemelde instanties gemachtigd voor conformiteitsbeoordeling |
| 11 september 2026 | Meldingsverplichtingen onder Artikel 14 van toepassing — ook voor producten die al op de markt zijn |
| 11 december 2027 | Volledige toepassing van alle CRA-vereisten |
De meldingsverplichtingen vanaf september 2026 zijn de kritieke mijlpaal: organisaties die tegen die tijd geen SBOM-gebaseerde kwetsbaarheidsmonitoring en incidentresponsprocessen hebben geïmplementeerd, kunnen de 24-uurstermijn niet halen.
Organisaties die governance en communicatie verbinden zijn goed gepositioneerd: een ISMS voor interne governance, een Trust Center voor externe communicatie — in beide richtingen van de toeleveringsketen. Dit maakt van compliance-inspanning een functionerend systeem en van documentatie daadwerkelijke cyberweerbaarheid.
Bronnen
- Verordening (EU) 2024/2847 (Cyber Resilience Act) – Volledige tekst – Publicatieblad van de Europese Unie. De volledige tekst van de Cyber Resilience Act.
- Europese Commissie – Samenvatting Cyber Resilience Act – Samenvatting van de belangrijkste bepalingen.
- Europese Commissie – CRA-meldingsverplichtingen – Details over meldingsverplichtingen en het Single Reporting Platform.
- European Commission - Cyber Resilience Act summary – Informatie en richtlijnen van het BSI.
- european-cyber-resilience-act.com – Artikel 13 – Verplichtingen van fabrikanten.
- european-cyber-resilience-act.com – Artikel 14 – Meldingsverplichtingen.
- european-cyber-resilience-act.com – Artikel 64 – Sancties.
- ENISA – CRA-vereisten normen mapping – Mapping van CRA-vereisten naar bestaande normen.