Woordenlijst · EU-cyberveiligheid Cyber Resilience Act (CRA)
De EU-verordening uit 2024 die cyberveiligheidsvereisten vaststelt voor producten met digitale elementen gedurende hun hele levenscyclus, met volledige toepasselijkheid in 2027.
## Wat de Cyber Resilience Act eigenlijk doet
De Cyber Resilience Act (Verordening (EU) 2024/2847) is de EU-verordening die cyberveiligheidsvereisten vaststelt voor **producten met digitale elementen**. Aangenomen in oktober 2024, met volledige toepasselijkheid vanaf december 2027, legt ze fabrikanten verplichtingen op gedurende productlevenscycli.
Waar NIS2 cyberveiligheid voor organisaties die kritieke diensten exploiteren adresseert, adresseert de CRA de cyberveiligheid van producten zelf — software, hardware, IoT-apparaten en elk product dat digitale componenten bevat.
## Wat "producten met digitale elementen" betekent
De CRA dekt een uitermate breed toepassingsgebied. "Producten met digitale elementen" omvat:
- **Softwareproducten** — besturingssystemen, applicaties, softwarebibliotheken
- **Hardware met embedded software** — IoT-apparaten, routers, slimme apparaten
- **Geconnecteerde producten** — alles met netwerkverbinding
- **Componenten en geïntegreerde software** — zowel zelfstandige als geïntegreerde digitale elementen
Het toepassingsgebied is bewust breed. Redenering van de Commissie: cyberveiligheidsfouten in elk geconnecteerd product kunnen de bredere ecosysteembeveiliging raken.
Er gelden enkele smalle uitsluitingen: producten die onder sectorspecifieke cyberveiligheidsregelgeving vallen (medische hulpmiddelen onder MDR, automotive onder specifieke kaders) hebben alternatieve nalevingspaden. Open-sourcesoftware ontwikkeld in een niet-commerciële context heeft lichtere verplichtingen.
## Kernverplichtingen
De CRA legt verplichtingen op gedurende de productlevenscyclus:
### Verplichtingen vóór marktintroductie
Voordat producten op de EU-markt worden gebracht:
- **Risicobeoordeling** — identificeer cyberveiligheidsrisico's gedurende de productlevenscyclus
- **Security by design** — implementeer passende technische en organisatorische beveiligingsmaatregelen
- **Kwetsbaarheidsbehandeling** — vestig processen voor identificatie en remediëring van kwetsbaarheden
- **Conformiteitsbeoordeling** — verifieer dat het product voldoet aan CRA-eisen (kan derdenpartij-beoordeling vereisen voor hogerrisicoproducten)
- **Documentatie** — uitgebreide technische documentatie inclusief beveiligingsarchitectuur
- **CE-markering** — producten moeten CE-markering dragen die conformiteit aangeeft
### Verplichtingen na marktintroductie
Nadat producten zijn verkocht:
- **Beveiligingsupdates** — bied updates gedurende de ondersteuningsperiode (standaard 5 jaar, langer voor sommige categorieën)
- **Kwetsbaarheidsmelding** — meld actief uitgebuite kwetsbaarheden aan ENISA binnen 24 uur
- **Incidentmelding** — meld ernstige beveiligingsincidenten aan autoriteiten
- **Gecoördineerde kwetsbaarheidsdisclosure** — werk samen met beveiligingsonderzoekers
- **Informatie voor exploitanten en gebruikers** — heldere beveiligingsinformatie voor gebruikers
### Doorlopende verplichtingen
Gedurende de productlevenscyclus:
- **Veilig-by-default-configuratie** — minimum beveiligingsbasislijn
- **Authenticatiemechanismen** — sterke authenticatie waar van toepassing
- **Versleutelingsondersteuning** — voor producten die gevoelige data verwerken
- **Toegangscontroles** — passende autorisatiemechanismen
- **Logging en monitoring** — beveiligingsrelevante eventlogging
## Risicogebaseerde productclassificatie
De CRA classificeert producten in categorieën met verschillende eisen voor conformiteitsbeoordeling:
### Standaardcategorie
De meeste producten vallen in de standaardcategorie en vereisen zelfbeoordeling van conformiteit. Fabrikanten voltooien de beoordeling en plaatsen CE-markering.
### Belangrijke categorie (Klasse I en Klasse II)
Producten met hogere cyberveiligheidsbelangen krijgen strengere eisen:
**Klasse I** — producten waaronder identiteitsbeheersystemen, wachtwoordmanagers, antivirussoftware, netwerkbeveiligingstools, generieke hypervisors en VPN-oplossingen. Zelfbeoordeling met optionele derdenpartij-verificatie.
**Klasse II** — besturingssystemen voor servers en werkstations, smartcards en gecertificeerde bootloaders, sleutelbeheersystemen voor kritieke infrastructuur. Verplichte derdenpartij-conformiteitsbeoordeling.
### Kritieke categorie
Producten met de hoogste cyberveiligheidsbelangen vereisen de strengste beoordeling, waaronder voor producten die kritieke infrastructuur en belangrijke soevereiniteitstoepassingen ondersteunen.
## Boetestructuur
CRA-boetes zijn substantieel:
- **Tot € 15 miljoen of 2,5% van de wereldwijde jaaromzet** (afhankelijk van wat hoger is) voor non-compliance met kernvereisten
- **Tot € 10 miljoen of 2% van de omzet** voor non-compliance met overige verplichtingen
- **Tot € 5 miljoen of 1% van de omzet** voor het verstrekken van onjuiste of misleidende informatie
Voor mkb worden boetes gemaximeerd op proportioneel lagere drempels.
## Waarom de CRA telt voor Europese tech
De CRA creëert significante implicaties:
### Softwareproducten zijn nu gereguleerde producten
Historisch werd software minder rigoureus gereguleerd dan fysieke producten met digitale elementen. De CRA verandert dit — softwareproducten krijgen basis cyberveiligheidsvereisten vergelijkbaar met hardware.
Voor Europese softwarebedrijven creëert dit nalevingslast maar ook concurrentiekansen. EU-native softwarebedrijven die CRA-naleving vanaf het begin in productarchitectuur bouwen, hebben voordelen ten opzichte van retrofit-naleving.
### Behandeling van open source
De CRA bevat bepalingen die de last verminderen voor open-sourcesoftware ontwikkeld in niet-commerciële context. Commerciële open-sourcedistributies en softwarebedrijven die open-sourcecomponenten gebruiken, krijgen volledige verplichtingen.
Dit is controversieel geweest. Open-source-pleitbezorgers betoogden voor lichtere behandeling; veiligheidsadvocaten betoogden voor volledige dekking. Het uiteindelijke kader vereist dat fabrikanten die open-sourcecomponenten gebruiken ervoor zorgen dat die componenten als geïntegreerd voldoen aan CRA-eisen.
### Hervorming van de IoT-productmarkt
Markten voor geconnecteerde producten krijgen substantiële CRA-nalevingslast. Goedkope IoT-apparaten van fabrikanten die niet kunnen of willen voldoen, zullen de EU-markt verlaten. Dit:
- Verhoogt prijzen voor geconnecteerde producten
- Vermindert variëteit aan de onderkant van de markt
- Creëert concurrentiekansen voor in de EU gevestigde fabrikanten die CRA-conforme producten bouwen
### Implicaties voor softwaretoeleveringsketen
Fabrikanten die softwarecomponenten van derden gebruiken, moeten ervoor zorgen dat die componenten voldoen aan CRA-eisen. Dit creëert druk in de toeleveringsketen:
- Softwareleveranciers krijgen nalevingsverplichtingen tegenover hun fabrikantenklanten
- Open-sourcecomponenten die in commerciële producten worden gebruikt, krijgen strenger toezicht
- Software bills of materials (SBOM's) worden belangrijker
## Tijdlijn en huidige status
Implementatie van de CRA gefaseerd:
- **December 2024**: verordening treedt in werking
- **September 2026**: meldverplichtingen voor kwetsbaarheden gelden
- **December 2027**: volledige toepasselijkheid voor alle verplichtingen
We bevinden ons momenteel in de overgangsfase. Fabrikanten bereiden zich voor op de meldingen van september 2026 en volledige naleving van december 2027.
## Verhouding tot andere EU-regelgeving
De CRA past in bredere EU-cyberveiligheids- en digitale regulering:
**versus NIS2** — NIS2 adresseert organisaties die kritieke diensten exploiteren. CRA adresseert producten. Samen dekken ze zowel organisatorische als productcyberveiligheid.
**versus Data Act** — Data Act adresseert datatoegang en portabiliteit. CRA adresseert cyberveiligheid van producten die die data genereren. Complementaire kaders.
**versus AI Act** — AI Act adresseert risico's van AI-systemen (veiligheid, eerlijkheid, grondrechten). CRA adresseert cyberveiligheid van producten waaronder AI-systemen. Beide gelden voor AI-producten.
**versus AVG** — AVG adresseert bescherming van persoonsgegevens. CRA adresseert productcyberveiligheid breed. Complementair in de context van persoonsgegevens.
Voor producten die onder meerdere regelingen vallen, vereist naleving expliciete mapping.
## Wat 2026-2027 brengt
- **Deadline voor meldingen kwetsbaarheden in september 2026** — eerste belangrijke operationele mijlpaal
- **Volledige toepasselijkheid in december 2027** — uitgebreide handhaving begint
- **Eerste grote handhavingsacties** waarschijnlijk 2027-2028
- **Uitvoeringshandelingen en geharmoniseerde standaarden** in voortdurende ontwikkeling
- **Sectorspecifieke richtlijnen** voor diverse productcategorieën
De CRA is de meest ambitieuze cyberveiligheidsverordening van de EU qua reikwijdte. Implementatie zal Europese software- en hardwaremarkten substantieel vormgeven door 2028 en daarna.
## Wat dit betekent voor Europese bedrijven
Voor Europese software- en hardwarebedrijven:
### 1. CRA-naleving is een concurrentievoordeel
In de EU gebouwde producten met sterke CRA-nalevingspositie positioneren gunstig tegenover goedkopere niet-conforme alternatieven. Documenteer het nalevingswerk.
### 2. Gebruik van open source vereist zorg
Het gebruik van open-sourcecomponenten in commerciële producten vereist zekerheid dat die componenten voldoen aan CRA-eisen. Audit je software-toeleveringsketen.
### 3. Security-by-design als standaard
Producten bouwen zonder CRA-uitgelijnde beveiligingsarchitectuur creëert technische schuld die voor december 2027 moet worden afgelost. Nieuwe productontwikkeling moet CRA-eisen vanaf het begin meenemen.
### 4. SBOM en kwetsbaarheidsbeheer zijn operationele vereisten
Software bills of materials, processen voor kwetsbaarheidsbehandeling en gecoördineerde disclosureprogramma's zijn niet langer optioneel voor producten op de EU-markt.
### 5. Ondersteuningsperiodes voor updates tellen
Producten moeten worden ondersteund met beveiligingsupdates voor standaard 5-jaars periodes. Dit raakt de productlevenscycluseconomie — vooral voor IoT-fabrikanten die goedkope apparaten verkopen met historisch korte ondersteuningsperiodes.
Voor Europese tech-kopers schept de CRA structurele kwaliteitsverbeteringen in producten die op EU-markten beschikbaar zijn. Goedkope-maar-onveilige geconnecteerde producten worden minder beschikbaar; behoorlijk geëngineerde alternatieven worden concurrerender.
Was dit nuttig?
Bedankt voor je feedback!