2026-03-07
By Emre SalmanogluCyber Resilience Act (CRA): wat het vereist, wie het treft en hoe u zich voorbereidt
Een praktische gids over de EU Cyber Resilience Act — wat de CRA vereist voor producten met digitale elementen, wie het treft, essentiële beveiligingsvereisten, conformiteitsbeoordelingsprocedures en hoe softwareleveranciers zich kunnen voorbereiden.
CRA
Cyber Resilience Act
EU-regelgeving
productbeveiliging
softwarebeveiliging
CE-markering
Cyber Resilience Act (CRA): wat het vereist, wie het treft en hoe u zich voorbereidt
De Cyber Resilience Act (CRA) is de EU-verordening die verplichte cybersecurityvereisten vaststelt voor producten met digitale elementen. Aangenomen in 2024, met een gefaseerde implementatie tot december 2027, vult de CRA een kritieke lacune in de EU-cybersecuritywetgeving door de beveiliging van producten te adresseren voordat ze de markt bereiken.
Voor B2B-softwarebedrijven vertegenwoordigt de CRA een fundamentele verschuiving: cybersecurity is niet langer een vrijwillige functie maar een wettelijke voorwaarde voor markttoegang in de EU. Producten moeten worden ontworpen met beveiliging in gedachten, kwetsbaarheden moeten actief worden beheerd en fabrikanten moeten beveiligingsupdates leveren gedurende de productlevenscyclus.
Deze gids behandelt wat de CRA vereist, op wie het van toepassing is, essentiële complianceverplichtingen en hoe softwareleveranciers zich kunnen voorbereiden.
CRA-bereik en toepasselijkheid
Wat zijn producten met digitale elementen
De CRA omvat alle software- of hardwareproducten en hun oplossingen voor gegevensverwerking op afstand die op de EU-markt worden gebracht:
| Categorie | Voorbeelden |
|---|---|
| Zelfstandige software | Desktopapplicaties, mobiele apps, SaaS-platforms |
| Besturingssystemen | Desktop-OS, mobiel OS, ingebouwd OS |
| IoT-apparaten | Slimme huishoudapparaten, wearables, verbonden apparaten |
| Netwerkapparatuur | Routers, switches, firewalls, access points |
| Industriele systemen | PLC's, SCADA-systemen, industrieel IoT |
| Componenten | Softwarebibliotheken, SDK's, firmware, microcontrollers |
Productclassificatie
De CRA categoriseert producten op risiconiveau, wat de vereiste conformiteitsbeoordeling bepaalt:
| Categorie | Beoordeling | Voorbeelden |
|---|---|---|
| Standaard | Zelfevaluatie (als geharmoniseerde normen van toepassing zijn) | Algemene software, slimme speakers, games |
| Belangrijk Klasse I | Zelfevaluatie met geharmoniseerde normen, of derden | Identiteitsbeheer, wachtwoordmanagers, VPN's, SIEM, netwerkbeheer |
| Belangrijk Klasse II | Verplichte beoordeling door derden (aangemelde instantie) | Besturingssystemen, hypervisors, firewalls, microcontrollers, smartcards, industriele automatisering |
| Kritiek | Verplichte beoordeling door derden (EU-certificering) | Hardwarebeveiligingsmodules, slimme-metergateways, smartcards voor gekwalificeerde elektronische handtekeningen |
Wie moet voldoen
| Rol | Verplichtingen |
|---|---|
| Fabrikanten | Veilige producten ontwerpen, conformiteitsbeoordeling uitvoeren, updates leveren, kwetsbaarheden melden, technische documentatie onderhouden, CE-markering |
| Importeurs | Naleving door fabrikant verifieren, CE-markering waarborgen, verklaringen beschikbaar houden, niet-conforme producten melden |
| Distributeurs | CE-markering verifieren, nalevingsdocumentatie waarborgen, niet-conforme producten melden |
| Open source (niet-commercieel) | Vrijgesteld van de meeste verplichtingen; open-source-beheerders hebben lichtere transparantievereisten |
Essentiële cybersecurityvereisten
Productbeveiligingsvereisten (Bijlage I, Deel I)
Producten met digitale elementen moeten aan deze essentiële vereisten voldoen:
Ontwerp en ontwikkeling
- Ontworpen, ontwikkeld en geproduceerd om een passend niveau van cybersecurity te waarborgen op basis van risicobeoordeling
- Geleverd zonder bekende exploiteerbare kwetsbaarheden
- Standaard veilige configuratie, inclusief de mogelijkheid om terug te keren naar de oorspronkelijke veilige staat
- Bescherming tegen ongeautoriseerde toegang met passende authenticatie en identiteitsbeheer
Gegevensbescherming
- Vertrouwelijkheid beschermen van opgeslagen, verzonden en verwerkte gegevens (encryptie in rust en in transit)
- Integriteit beschermen van gegevens, opdrachten en configuratie tegen manipulatie
- Alleen gegevens verwerken die adequaat, relevant en beperkt zijn tot het beoogde doel (gegevensminimalisatie)
Weerbaarheid en beschikbaarheid
- Ontworpen om beschikbaarheid te waarborgen, inclusief weerbaarheid tegen denial-of-service-aanvallen
- Negatieve impact op de beschikbaarheid van diensten van andere apparaten of netwerken minimaliseren
- Aanvalsoppervlakken verminderen, inclusief externe interfaces
- Ontworpen om de impact van een incident te beperken met passende exploitatiemitigatiemechanismen
Monitoring en logging
- Beveiligingsrelevante gebeurtenislogging en monitoringmogelijkheden bieden
- Mogelijkheid om beveiligingsgebeurtenissen te detecteren en te rapporteren
- Mechanismen voor veilige updatedistributie
Vereisten voor kwetsbaarhedenafhandeling (Bijlage I, Deel II)
Fabrikanten moeten het volgende vaststellen en onderhouden:
| Vereiste | Beschrijving |
|---|---|
| Kwetsbaarhedenidentificatie | Kwetsbaarheden identificeren en documenteren, inclusief door regelmatige tests en rapportages van derden |
| Componentdocumentatie | Een Software Bill of Materials (SBOM) onderhouden die componenten en afhankelijkheden identificeert |
| Beveiligingsupdates | Effectieve en regelmatige updates toepassen, gratis geleverd gedurende de ondersteuningsperiode |
| Kwetsbaarhedenpublicatie | Een beleid voor gecoordineerde kwetsbaarhedenpublicatie implementeren |
| Informatiedeling | Informatie over opgeloste kwetsbaarheden tijdig delen |
| Updatedistributie | Veilige mechanismen bieden voor het distribueren van updates |
| Beveiligingsadviezen | Adviezen verspreiden over kwetsbaarheden en beschikbare oplossingen |
Incident- en kwetsbaarhedenrapportage
Rapportage aan ENISA
Fabrikanten moeten rapporteren aan ENISA (via een centraal meldingsplatform):
| Gebeurtenis | Initiële melding | Volledige melding | Eindrapport |
|---|---|---|---|
| Actief geexploiteerde kwetsbaarheid | 24 uur | 72 uur | 14 dagen |
| Ernstig incident dat beveiliging beinvloedt | 24 uur | 72 uur | 14 dagen |
ENISA stuurt meldingen door naar relevante nationale CSIRT's (Computer Security Incident Response Teams) en markttoezichtautoriteiten.
Gebruikersnotificatie
Fabrikanten moeten ook:
- Gebruikers informeren over incidenten en actief geexploiteerde kwetsbaarheden
- Richtlijnen verstrekken over mogelijke risicomitigatiemaatregelen
- Waar mogelijk corrigerende maatregelen leveren (patches, workarounds)
Rapportagetermijn
De meldingsplicht geldt gedurende de verwachte levensduur van het product of minimaal vijf jaar vanaf het op de markt brengen van het product, afhankelijk van welke korter is.
Conformiteitsbeoordeling en CE-markering
Beoordelingsprocedures
| Procedure | Van toepassing op | Proces |
|---|---|---|
| Interne controle (zelfevaluatie) | Standaardproducten; Klasse I met geharmoniseerde normen | Fabrikant beoordeelt aan de hand van vereisten, stelt technische documentatie op, geeft EU-conformiteitsverklaring af |
| EU-typeonderzoek | Klasse I zonder geharmoniseerde normen; Klasse II; kritieke producten | Aangemelde instantie onderzoekt technisch ontwerp en een monster van het product |
| Volledige kwaliteitsborging | Alternatief voor Klasse I/II | Aangemelde instantie keurt het kwaliteitsborgingssysteem van de fabrikant goed en bewaakt dit |
| EU-certificering | Kritieke producten waar gespecificeerd | Certificering onder een EU-cybersecuritycertificeringsschema |
Technische documentatie
Fabrikanten moeten technische documentatie opstellen en onderhouden, inclusief:
- Algemene productbeschrijving en beoogd doel
- Ontwerp- en ontwikkelingsdetails relevant voor cybersecurity
- Risicobeoordeling en hoe aan essentiële vereisten wordt voldaan
- Lijst van toegepaste geharmoniseerde normen (of andere oplossingen)
- Testrapporten van cybersecuritybeoordelingen
- Software Bill of Materials (SBOM)
- EU-conformiteitsverklaring
- Informatie over beveiligingsupdates en ondersteuningsperiode
CE-markering
Producten die aan alle toepasselijke vereisten voldoen ontvangen CE-markering, die:
- Conformiteit met essentiële cybersecurityvereisten aangeeft
- Vereist is voor het op de EU-markt brengen van het product
- Zichtbaar, leesbaar en onuitwisbaar moet worden aangebracht
- Voor softwareproducten kan worden opgenomen in documentatie of de digitale interface
CRA-implementatietijdlijn
| Datum | Mijlpaal |
|---|---|
| 2024 | CRA aangenomen en in werking getreden |
| September 2026 | Meldingsverplichtingen voor fabrikanten van toepassing (kwetsbaarheden- en incidentrapportage aan ENISA) |
| December 2027 | Alle CRA-vereisten volledig van toepassing, inclusief conformiteitsbeoordeling en CE-markering |
CRA en andere frameworks
CRA en NIS2
| Aspect | CRA | NIS2 |
|---|---|---|
| Focus | Productbeveiliging (pre-markt) | Organisatorische cybersecurity (operationeel) |
| Bereik | Producten met digitale elementen | Essentiële en belangrijke entiteiten |
| Aard | Verordening (rechtstreeks toepasselijk) | Richtlijn (vereist omzetting) |
| Beoordeling | Conformiteitsbeoordeling voor marktplaatsing | Risicobeheer en incidentrapportage tijdens operatie |
| Rapportage | Actief geexploiteerde kwetsbaarheden aan ENISA | Significante incidenten aan bevoegde autoriteiten |
| Relatie | Complementair — CRA beveiligt het product, NIS2 beveiligt de organisatie die het gebruikt |
CRA en ISO 27001
| Aspect | ISO 27001 | CRA-aanvullingen |
|---|---|---|
| Focus | Organisatorisch ISMS | Beveiliging op productniveau |
| Kwetsbaarheidsbeheer | A.8.8 beheer van technische kwetsbaarheden | Verplichte SBOM, gecoordineerde publicatie, gratis patches |
| Incidentrapportage | Interne procedures | 24/72-uursrapportage aan ENISA |
| Veilige ontwikkeling | A.8.25-A.8.31 applicatiebeveiliging | Verplicht standaard-veilig ontwerp |
| Toeleveringsketen | A.5.19-A.5.23 leveranciersbeveiliging | Componentdocumentatie en SBOM-vereisten |
Voorbereiding op CRA-compliance
Voor softwarefabrikanten
- Classificeer uw product — Bepaal of uw product standaard, Belangrijk Klasse I/II of kritiek is
- Lacuneanalyse — Breng huidige beveiligingspraktijken in kaart tegen CRA essentiële vereisten (Bijlage I)
- Veilige ontwikkelingslevenscyclus — Implementeer of versterk SDL-praktijken, inclusief dreigingsmodellering en beveiligingstesting
- Kwetsbaarheidsbeheer — Stel gecoordineerde kwetsbaarhedenpublicatie, patchbeheer en beveiligingsadviesprocessen in
- SBOM-creatie — Genereer en onderhoud een Software Bill of Materials voor alle producten
- Technische documentatie — Bereid documentatie voor die conformiteit met essentiële vereisten aantoont
- Rapportagebereidheid — Bouw capaciteit voor 24-uursrapportage van kwetsbaarheden en incidenten aan ENISA
- Planning ondersteuningsperiode — Definieer en communiceer de beveiligingsondersteuningsperiode voor elk product
Voor B2B SaaS-bedrijven
- Bepaal toepasselijkheid — Beoordeel of uw SaaS kwalificeert als een product met digitale elementen of gegevensverwerking op afstand
- Beoordeel klantcontracten — Bereid u voor op CRA-uitgelijnde contractuele vereisten van zakelijke kopers
- Versterk kwetsbaarhedenafhandeling — Implementeer SBOM-generatie, kwetsbaarheidsscanning en gecoordineerde publicatie
- Publiceer op Trust Center — Maak beveiligingsdocumentatie, kwetsbaarhedenafhandelingsprocessen en compliancebewijs beschikbaar voor kopers
- Plan conformiteitsbeoordeling — Bepaal de juiste beoordelingsroute en bereid u dienovereenkomstig voor
- Monitor geharmoniseerde normen — Volg de ontwikkeling van geharmoniseerde normen die zelfevaluatie voor Klasse I-producten mogelijk maken
Hoe Orbiq CRA-compliance ondersteunt
- Trust Center: Publiceer uw CRA-compliancehouding — veilige ontwikkelpraktijken, kwetsbaarhedenafhandelingsprocessen, SBOM-beschikbaarheid en beveiligingsupdatebeleid voor selfservice door kopers
- Continue monitoring: Volg CRA essentiële vereisten over uw productbeveiligingscontroles met real-time compliancestatus
- Bewijsbeheer: Centraliseer technische documentatie, beveiligingstestrapporten en kwetsbaarheidsrecords gekoppeld aan CRA Bijlage I-vereisten
- AI-aangedreven vragenlijsten: Beantwoord automatisch CRA-gerelateerde beveiligingsvragenlijstvragen van zakelijke klanten
Verder lezen
- NIS2-compliance — Het verband tussen CRA-productbeveiliging en NIS2-organisatorische beveiliging begrijpen
- DORA-compliance — CRA-implicaties voor ICT-aanbieders in de financiële sector
- Penetratietesten — Voldoen aan CRA-beveiligingstestvereisten
- Incidentrespons — Rapportagecapaciteiten opbouwen voor CRA-kwetsbaarheden- en incidentmeldingen
Deze gids wordt onderhouden door het Orbiq-team. Laatst bijgewerkt: maart 2026.