De Cyber Resilience Act (CRA, Verordening 2024/2847) is in december 2024 in werking getreden en wordt vanaf september 2026 gefaseerd van kracht. Het is de eerste EU-wetgeving die verplichte cybersecurity-eisen stelt aan producten met digitale elementen gedurende hun gehele levenscyclus.
Waar de NIS2-richtlijn en de Cyberbeveiligingswet zich richten op organisaties en hun netwerk- en informatiesystemen, richt de CRA zich op de producten zelf. Elke slimme deurbel, router, softwaretoepassing of industrieel besturingssysteem dat op de EU-markt wordt gebracht, moet aan de CRA voldoen.
Wat valt onder de CRA?
De CRA is van toepassing op alle producten met digitale elementen die op de EU-markt beschikbaar worden gesteld. Dit omvat hardware met een digitale component (IoT-apparaten, routers, smartphones, slimme huishoudapparaten), standalone software (besturingssystemen, browsers, apps), en software-as-a-service componenten die lokaal worden geinstalleerd of gekoppeld zijn aan een hardwareproduct.
Er zijn uitzonderingen. Producten die al onder sectorspecifieke EU-wetgeving vallen met vergelijkbare cybersecurity-eisen, zoals medische hulpmiddelen (MDR), voertuigen, luchtvaart en defensie, zijn uitgezonderd. Open source software die niet-commercieel wordt aangeboden, valt ook buiten de scope.
De CRA onderscheidt drie productcategorieen: standaard producten, belangrijke producten (klasse I en II) en kritieke producten. Hoe hoger de categorie, hoe strenger de conformiteitsbeoordeling. Standaard producten kunnen via zelfbeoordeling worden gecertificeerd. Belangrijke producten klasse II en kritieke producten vereisen een beoordeling door een derde partij.
Verplichtingen voor fabrikanten
Fabrikanten dragen de zwaarste verplichtingen onder de CRA. Ten eerste moeten zij een cybersecurity-risicoanalyse uitvoeren voor hun product en passende beveiligingsmaatregelen treffen. Het product moet security by design zijn ontwikkeld, met een veilige standaardconfiguratie.
Ten tweede moeten fabrikanten kwetsbaarheden gedurende de gehele levenscyclus van het product beheren. Dit betekent het aanbieden van beveiligingsupdates gedurende minimaal vijf jaar of de verwachte levensduur van het product. Updates moeten gratis en tijdig beschikbaar worden gesteld.
Ten derde geldt een meldplicht. Actief uitgebuite kwetsbaarheden moeten binnen 24 uur worden gemeld bij ENISA, het Europese cybersecurity-agentschap. Dit is een aanzienlijk kortere termijn dan de 72 uur die onder NIS2 geldt voor incidenten.
Ten vierde moet technische documentatie worden opgesteld en bijgehouden. Dit omvat een Software Bill of Materials (SBOM) die de componenten en afhankelijkheden van het product documenteert.
Verplichtingen voor importeurs en distributeurs
Importeurs moeten verifiëren dat de fabrikant de conformiteitsbeoordeling heeft uitgevoerd, dat het product is voorzien van CE-markering, en dat de technische documentatie beschikbaar is. Distributeurs moeten controleren dat het product de CE-markering draagt en dat de fabrikant en importeur aan hun verplichtingen voldoen.
Als een importeur of distributeur een product onder eigen naam of merk op de markt brengt, of een substantiele wijziging aanbrengt, wordt deze beschouwd als fabrikant en gelden de bijbehorende verplichtingen.
Tijdlijn
De CRA kent een gefaseerde inwerkingtreding. Vanaf september 2026 gelden de meldplichten voor actief uitgebuite kwetsbaarheden. Vanaf september 2027 gelden de volledige productverplichtingen. Fabrikanten die nu producten ontwikkelen, moeten de CRA-eisen al meenemen in hun ontwerp- en ontwikkelproces.
Overlap met bestaande kaders
Organisaties die al werken met IEC 62443 voor industriele cybersecurity, ISO 27001 of het NIST Cybersecurity Framework, hebben een goede basis. De CRA-eisen voor risicoanalyse, secure development en vulnerability management overlappen met deze kaders. Het verschil is dat de CRA juridisch bindend is en specifiek productgericht.
Secure Audit helpt fabrikanten, importeurs en distributeurs bij het beoordelen van hun CRA-verplichtingen, het uitvoeren van cybersecurity-risicoanalyses voor digitale producten en het voorbereiden op conformiteitsbeoordelingen. Neem contact op voor een CRA readiness scan.
Lees ook
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2 richtlijn. Op 15 april 2026 aangenomen door de Tweede Kamer, met inwerkingtreding per 1 juli 2026. Dit artikel legt uit wat de wet inhoudt, wie eronder valt en wat je nu moet regelen.
De NIS2-richtlijn is van kracht en de Nederlandse implementatiewet nadert. Veel organisaties weten dat ze iets moeten doen, maar niet wat. Dit artikel beschrijft de concrete stappen die organisaties nu moeten nemen om compliant te worden.
Wat is Zero Trust en hoe implementeer je het? Een overzicht van de principes, voordelen en praktische stappen voor Nederlandse organisaties.
Over de auteur
Partner | IT-auditor