De Cyber Resilience Act (CRA) is in oktober 2024 in werking getreden en geeft de Europese Unie voor het eerst uniforme cybersecurity-eisen voor producten met digitale elementen. Software, hardware, apps en IoT-apparaten moeten veilig ontworpen zijn, beveiligingsupdates ontvangen gedurende hun volledige levenscyclus en transparant zijn over bekende kwetsbaarheden. Voor Nederlandse producenten, importeurs en distributeurs zijn de gevolgen verstrekkend.
Welke producten vallen onder de Cyber Resilience Act?
De CRA hanteert een brede definitie: elk product met digitale elementen dat direct of indirect verbonden kan worden met een netwerk, valt in principe onder de wet. Dat omvat:
- Consumentenapparaten zoals slimme thermostaten, IP-camera’s en routers
- Bedrijfssoftware, clouddiensten en mobiele applicaties
- Industriële besturingssystemen (SCADA, PLC’s)
- Embedded software in voertuigen, medische hulpmiddelen en energiesystemen
De CRA onderscheidt drie risicocategorieën met oplopende eisen:
| Categorie | Voorbeelden | Conformiteitsprocedure |
|---|---|---|
| Standaard (Klasse I niet-kritiek) | Eenvoudige IoT-apparaten, kantoorapps | Zelfevaluatie |
| Klasse I (kritiek) | Wachtwoordbeheerders, firewalls, VPN’s | Zelfevaluatie + harmoniseerde norm |
| Klasse II (hoog kritiek) | Industriële besturingssystemen, hypervisors | Verplichte beoordeling door aangemelde instantie |
Tip: Stel nu al een productveiligheidsregister op met alle digitale elementen in je portfolio. Wacht niet tot de deadlines naderen — de inventarisatie kost meer tijd dan verwacht, zeker wanneer je producten van derde partijen integreert.
Verplichtingen voor producenten
Producenten dragen de zwaarste verplichtingen onder de CRA. Zij moeten aantonen dat hun producten “security by design” zijn ontwikkeld. Concreet betekent dit:
Tijdens ontwikkeling:
- Risicobeoordeling voor bekende kwetsbaarheden
- Beveiligde standaardinstellingen (geen standaard wachtwoorden)
- Minimale aanvalsoppervlakte (principe van minimale functionaliteit)
- Bescherming van gegevensvertrouwelijkheid en -integriteit
Na marktintroductie:
- Beveiligingsupdates beschikbaar stellen gedurende de gehele ondersteuningsperiode (minimaal vijf jaar)
- Kwetsbaarheden actief monitoren en registreren in een SBOM (Software Bill of Materials)
- Ernstige kwetsbaarheden melden bij ENISA binnen 24 uur na ontdekking
- Actief uitgebuite kwetsbaarheden melden binnen 72 uur
De CE-markering speelt een centrale rol: producten die niet aan de CRA voldoen, mogen na de transitieperiode niet meer op de Europese markt worden gebracht.
Verplichtingen voor importeurs en distributeurs
Ook importeurs en distributeurs krijgen nieuwe verantwoordelijkheden. Zij mogen geen producten op de markt brengen waarvan zij weten of redelijkerwijs kunnen vermoeden dat ze niet voldoen aan de CRA.
Importeurs moeten:
- Controleren of de producent een conformiteitsbeoordeling heeft uitgevoerd
- Zekerstellen dat technische documentatie beschikbaar is
- Contactgegevens vermelden op het product of de verpakking
Distributeurs moeten:
- Verificeren of het product de CE-markering draagt
- Geen producten distribueren waarvan zij weten dat de beveiligingsondersteuning is verlopen
Tijdlijn en handhaving
De CRA is op 10 december 2024 in werking getreden, maar kent een gefaseerde invoering:
- 21 maanden na inwerkingtreding: kwetsbaarheidsmeldingsplicht van kracht (september 2026)
- 36 maanden na inwerkingtreding: alle overige verplichtingen volledig van kracht (december 2027)
Markttoezichtautoriteiten in elke lidstaat zijn verantwoordelijk voor handhaving. In Nederland is dit naar verwachting de Rijksinspectie Digitale Infrastructuur (RDI). Boetes kunnen oplopen tot €15 miljoen of 2,5% van de wereldwijde jaaromzet — de hoogste boetecategorie van alle recente EU-cybersecuritywetgeving.
Veelgestelde vragen
Geldt de CRA ook voor open-sourcesoftware? Open-sourcesoftware die commercieel wordt geëxploiteerd, valt onder de CRA. Niet-commerciële open-sourceprojecten zijn grotendeels vrijgesteld, maar bedrijven die dergelijke software integreren in hun producten, dragen wel verantwoordelijkheid.
Wat is een SBOM en ben ik verplicht deze te publiceren? Een Software Bill of Materials is een gedetailleerde inventaris van alle softwarecomponenten in een product. De CRA verplicht producenten een SBOM bij te houden, maar stelt geen verplichting tot publieke publicatie ervan.
Moeten bestaande producten ook worden aangepast? Producten die na december 2027 op de markt worden gebracht of wezenlijk worden gewijzigd, moeten voldoen aan de CRA. Voor bestaande producten die niet worden gewijzigd, geldt een overgangsregeling.
Is de CRA van toepassing op maatwerksoftware voor interne gebruik? Software die uitsluitend intern wordt gebruikt en niet op de markt wordt gebracht, valt buiten de directe scope van de CRA. Dit geldt ook voor Software-as-a-Service die niet als zelfstandig product wordt verkocht, al loopt dit onderscheid momenteel nog onder discussie bij de toezichthouders.
Hoe verhoudt de CRA zich tot NIS2? NIS2 richt zich op de operationele beveiliging van organisaties; de CRA richt zich op de veiligheid van producten. Beide kunnen gelijktijdig van toepassing zijn op een organisatie.
Wil je weten hoe je softwareproducten of hardware scoren ten opzichte van de CRA-eisen? Control One ondersteunt je bij de gap-analyse en implementatie. Bekijk onze tarieven op de prijzenpagina.
Compliant aan NIS2, AVG of DORA?
Control One koppelt wettelijke verplichtingen aan je ISO-controls, beleid en risicoanalyse. Eén platform voor zowel ISO als wetgeving.
Gerelateerde artikelen
AVG datalekken melden: procedure en verplichting
Een datalek melden bij de AP — wanneer verplicht, binnen welke termijn en wat vermeldt je?
NIS2 en leveranciersketen: hoe beheert je ketenrisico's?
NIS2 verplicht aandacht voor supply chain security. Hoe beheert je risico's in je leveranciersketen?
NIS2 boetes en sancties: wat riskeert je?
NIS2 kent boetes tot €10 miljoen of 2% omzet. Wanneer worden ze opgelegd en hoe voorkomt je ze?
NIS2 zorgplicht: concrete maatregelen voor je organisatie
De NIS2 zorgplicht vertaalt zich naar 10 concrete maatregelengebieden. Wat moet je implementeren?