Gids Naleving Cybersecurity

Cyber ​​Resilience Act: een nalevingsgids voor fabrikanten en distributeurs van verbonden producten

De EU Cyber ​​Resilience Act (Verordening 2024/2847) is op 10 december 2024 in werking getreden. Het is de eerste EU-wet die verplichte cyberbeveiligingseisen oplegt aan producten met digitale elementen die op de EU-markt worden verkocht. Rapportageverplichtingen voor kwetsbaarheden gelden vanaf september 2026. Volledige naleving is vereist tegen december 2027. In deze handleiding wordt uitgelegd wie onder de reikwijdte valt, wat de vereisten zijn en wat u nu moet doen.

CT
Cyvra-team
Cyvra-advies
12 juni 2026
11 minuten lezen
Belangrijkste afhaalrestaurants
  • De Cyber ​​Resilience Act heeft betrekking op alle hardware en software die verbinding maakt met een apparaat of netwerk. De reikwijdte is breed en de meeste softwareleveranciers die in de EU verkopen, vallen binnen de reikwijdte
  • Fabrikanten hebben de primaire nalevingsverplichtingen; importeurs en distributeurs hebben lichtere maar reële plichten
  • Producten vallen in drie klassen: standaard (zelfbeoordeling), Klasse I Belangrijk en Klasse II Kritiek – met steeds strengere eisen voor conformiteitsbeoordeling
  • Rapportage van kwetsbaarheden aan ENISA en nationale CSIRT's wordt verplicht vanaf 11 september 2026. Vanaf die datum geldt de 24-uurs rapportageklok
  • Fabrikanten moeten een ondersteuningsperiode van minimaal vijf jaar bieden en voor elk product een software stuklijst (SBOM) bijhouden
  • Boetes lopen op tot €15 miljoen of 2,5% van de wereldwijde omzet wegens het niet naleven van essentiële cyberveiligheidseisen

Wat de Cyberweerbaarheidswet omvat

De Cyber ​​Resilience Act (CRA) vult een al lang bestaande leemte in de productregulering van de EU. Voorheen konden fabrikanten legaal producten verkopen met bekende beveiligingsfouten of zonder enig proces voor kwetsbaarheidsbeheer. Vanaf december 2027 zal het op de EU-markt brengen van een onveilig, verbonden product – of het er niet in slagen de veiligheid ervan gedurende de hele levensduur ervan te beheren – een wettelijke overtreding zijn, waarop aanzienlijke boetes kunnen worden opgelegd.

De wet is van toepassing op producten met digitale elementen (PDE’s): elk product, hardware of software, dat digitale componenten bevat en verbinding kan maken met een ander apparaat of netwerk. Die definitie is opzettelijk breed. Slimme apparaten voor thuisgebruik, industriële controllers, routers, netwerkcamera's, wachtwoordbeheerders, VPN-clients, besturingssystemen, bedrijfssoftware, ontwikkelingstools en mobiele consumentenapps vallen allemaal binnen het toepassingsgebied als ze in de EU commercieel worden verkocht of in licentie worden gegeven.

Pure Software-as-a-Service (SaaS), waarbij software volledig op de infrastructuur van een aanbieder draait en er geen softwarecomponenten worden overgedragen aan of geïnstalleerd door de klant, valt doorgaans buiten het toepassingsgebied. De wet is gericht op software die naar de klant wordt verzonden – gedownload, geïnstalleerd of geïmplementeerd op de infrastructuur van de klant. SaaS-platforms waarvan de primaire functie het mogelijk maken van de externe mogelijkheden van een hardwareproduct is, blijven echter binnen de reikwijdte vallen, en de grens tussen SaaS en PDE is een grens die toezichthouders nauwlettend in de gaten zullen houden.

Wie valt onder de reikwijdte

Elk bedrijf dat producten met digitale elementen ontwerpt, ontwikkelt, produceert, importeert of distribueert op of naar de EU-markt. Als u software of hardware commercieel verkoopt aan klanten in de EU en dat product verbinding kan maken met een netwerk of een ander apparaat, is deze regelgeving op u van toepassing, ongeacht waar uw bedrijf is gevestigd.

De drie rollen: fabrikant, importeur, distributeur

De wet kent verschillende verplichtingen toe, afhankelijk van uw rol in de producttoeleveringsketen.

Fabrikanten zijn bedrijven die een product met digitale elementen ontwikkelen of ontwerpen en dit onder hun eigen naam of merk op de markt brengen. Fabrikanten dragen het grootste deel van de CRA-verplichtingen: het volledige pakket aan essentiële cyberbeveiligingseisen, afhandeling van kwetsbaarheden, conformiteitsbeoordeling, CE-markering, technische documentatie en SBOM-onderhoud. Als u software of aangesloten hardware onder uw eigen merk bouwt en verkoopt, bent u een fabrikant onder de CRA.

Importeurs producten op de EU-markt brengen die buiten de EU zijn vervaardigd. Importeurs moeten verifiëren dat de fabrikant de vereiste conformiteitsbeoordeling heeft uitgevoerd, dat de CE-markering en de technische documentatie in orde zijn, en dat de fabrikant over processen voor het omgaan met kwetsbaarheden beschikt. Importeurs mogen geen producten op de markt brengen als zij reden hebben om aan te nemen dat niet aan deze eisen wordt voldaan.

Distributeurs producten op de EU-markt aanbieden zonder ze daar zelf te brengen. Distributeurs moeten de CE-markering verifiëren, controleren of de vereiste informatie bij het product wordt geleverd en geen producten leveren waarvan zij weten dat ze niet voldoen. De verplichtingen van distributeurs zijn de lichtste, maar niet triviaal; due diligence op de naleving door leveranciers is vereist.

Rebranders worden fabrikanten

Als u een product neemt dat door iemand anders is vervaardigd en het onder uw eigen naam of merk verkoopt – zelfs als u het niet hebt aangepast – wordt u volgens de CRA als fabrikant behandeld en neemt u alle verplichtingen van de fabrikant op u. Dit geldt voor white-label hardware en OEM-softwareregelingen.

De drie productklassen

De wet categoriseert PDE's naar risiconiveau. De categorie bepaalt welke conformiteitsbeoordelingsroute beschikbaar is.

Standaard Zelfbeoordeling, de meeste producten
Producten die niet in bijlage I zijn vermeld. Fabrikanten kunnen zelf de naleving van de essentiële eisen certificeren zonder tussenkomst van een externe conformiteitsbeoordelingsinstantie. Dit omvat de meeste softwareproducten en consumentenapparaten.
Algemene productiviteitssoftware Standaard bedrijfsapplicaties Consumenten IoT-apparaten Slimme apparaten
Klasse I – Belangrijk Verbeterde conformiteitsbeoordeling, Bijlage I, deel I
Producten in bijlage I, deel I. Fabrikanten kunnen zichzelf beoordelen aan de hand van een geharmoniseerde norm (zodra gepubliceerd), een beoordeling door een derde partij aanvragen of een goedgekeurd alternatief traject volgen. Omvat producten waarvan het compromis aanzienlijke gevolgen zou hebben voor gebruikers of andere systemen.
Software voor identiteitsbeheer Wachtwoordbeheerders VPN's Hulpmiddelen voor netwerkverkeerbeheer Browsers SIEM/log-systemen Industriële besturingssystemen PKI en certificaatbeheer
Klasse II – Cruciaal Conformiteitsbeoordeling door derden vereist, Bijlage I, deel II
Producten in bijlage I, deel II. Verplichte beoordeling door een derde partij door een aangemelde instantie vóór CE-markering. Omvat producten waarvan het falen ernstige gevolgen zou hebben voor kritieke infrastructuur, de openbare veiligheid of essentiële diensten.
Hardware-beveiligingsmodules (HSM's) Slimme metergateways Industriële firewalls Fraudebestendige microprocessors Veilige cryptoprocessors

De essentiële cyberbeveiligingsvereisten

Alle fabrikanten moeten hun producten ontwerpen, ontwikkelen en onderhouden in overeenstemming met de essentiële eisen op het gebied van cyberbeveiliging in bijlage I. Deze hebben zowel betrekking op het product op het moment van introductie als op de doorlopende processen van de fabrikant om met kwetsbaarheden om te gaan.

Productveiligheid op het moment dat het op de markt wordt gebracht

  • Geen bekende exploiteerbare kwetsbaarheden: Producten moeten op de markt worden gebracht zonder bekende exploiteerbare kwetsbaarheden in hun componenten. Dit betekent niet dat er geen kwetsbaarheden zijn; het betekent dat er geen bekende, onbegrensde exploiteerbare kwetsbaarheden zijn.
  • Standaard beveiligd: Producten moeten worden geleverd met een veilige standaardconfiguratie en, indien van toepassing, de mogelijkheid om naar die veilige status te resetten.
  • Gegevensbescherming: Producten moeten de vertrouwelijkheid, integriteit en beschikbaarheid van opgeslagen, verzonden of verwerkte gegevens beschermen, waar relevant met behulp van passende cryptografie.
  • Minimaal aanvalsoppervlak: Producten moeten de aanvalsoppervlakken minimaliseren, onder meer door interfaces en services die niet nodig zijn voor de beoogde functionaliteit uit te schakelen of te beperken.
  • Veerkracht tegen denial of service: Producten moeten zo worden ontworpen dat ze denial-of-service-aanvallen kunnen weerstaan ​​en de impact op de beschikbaarheid van andere diensten en netwerken waarvan ze gebruik maken, beperken.
  • Beperk de impact van incidenten: Producten moeten zo worden ontworpen dat de impact van een beveiligingsincident op andere producten en de bredere netwerkomgeving wordt beperkt.

Vereisten voor het omgaan met kwetsbaarheden (lopend)

  • Beleid voor openbaarmaking van kwetsbaarheden: Fabrikanten moeten beschikken over een gedocumenteerd, openbaar beschikbaar gecoördineerd beleid voor het openbaar maken van kwetsbaarheden.
  • Identificatie van kwetsbaarheden: Fabrikanten moeten kwetsbaarheden en softwarecomponenten in hun producten identificeren en documenteren, inclusief het onderhouden van een SBOM.
  • Snel herstel: Fabrikanten moeten kwetsbaarheden zonder onnodige vertraging aanpakken, onder meer door beveiligingsupdates aan te bieden.
  • Levering van beveiligingsupdate: Beveiligingsupdates moeten afzonderlijk van functionaliteitsupdates beschikbaar worden gesteld en gedurende de ondersteuningsperiode worden geleverd – kosteloos.
  • Rapportage van incidenten en kwetsbaarheden: Actief misbruikte kwetsbaarheden en ernstige incidenten moeten worden gemeld aan ENISA en het nationale CSIRT. Zie de tijdlijn hieronder wanneer dit van toepassing is.

Software stuklijst (SBOM)

De CRA vereist dat fabrikanten een softwarestuklijst bijhouden: een formele, gestructureerde inventaris van alle softwarecomponenten die in het product zijn opgenomen. Dit omvat code van eigen leveranciers, bibliotheken van derden, open source-componenten en hun respectieve versies en bekende kwetsbaarheden.

De SBOM hoeft niet openbaar te worden gemaakt, maar moet op verzoek beschikbaar worden gesteld aan markttoezichtautoriteiten. Het moet tijdens de actieve ondersteuningsperiode van het product up-to-date worden gehouden en moet worden geproduceerd in een machinaal leesbaar formaat (de wet verwijst naar gevestigde industriële formaten zoals SPDX of CycloneDX).

De SBOM-vereiste transformeert kwetsbaarheidsbeheer van een reactieve brandbestrijdingsoefening in een gedocumenteerd, controleerbaar proces. Fabrikanten die op verzoek geen nauwkeurige SBOM kunnen produceren, zullen moeilijkheden ondervinden bij het aantonen van conformiteit.

Voor veel fabrikanten zal de SBOM-verplichting investeringen vereisen in tools voor softwarecompositieanalyse (SCA) en een proces voor het continu volgen van componentupdates en nieuwe CVE's. Als u momenteel niet beschikt over een volledige inventaris van de open source-bibliotheken en bibliotheken van derden in uw producten, is het opbouwen van die inventaris de meest urgente voorbereidende stap.

Ondersteuningsperiode en verplichtingen aan het einde van de levensduur

Fabrikanten moeten voor elk product een ondersteuningsperiode definiëren en publiceren. Het minimum is vijf jaar, of de verwachte levensduur van het product als deze korter is. Tijdens de ondersteuningsperiode moeten fabrikanten gratis beveiligingsupdates leveren en het proces voor de afhandeling van kwetsbaarheden onderhouden.

Aan het einde van de ondersteuning moeten fabrikanten gebruikers duidelijk en vooraf op de hoogte stellen en de definitieve beveiligingsstatus van het product openbaar maken. Producten mogen niet zo worden ontworpen dat ze plotseling verlopen; gebruikers moeten voldoende tijd krijgen om te migreren of het einde van de ondersteuning te plannen.

Dit heeft aanzienlijke gevolgen voor de productplanning. Het op de markt brengen van een product dat u de komende vijf jaar niet wilt ondersteunen – of dat uw bedrijfsmodel gedurende die periode niet ondersteunt – is volgens de EU-wetgeving niet langer levensvatbaar als u dat product op de EU-markt verkoopt.

Kwetsbaarheidsrapportage: wat geldt vanaf september 2026

De verplichtingen voor het melden van kwetsbaarheden uit artikel 14 van de wet worden vanaf dat moment afdwingbaar 11 september 2026, vóór de volledige nalevingsdeadline. Vanaf die datum:

  • Fabrikanten moeten ENISA en hun nationale CSIRT op de hoogte stellen van elke actief misbruikte kwetsbaarheid in een product dat zij op de markt hebben gebracht binnen 24 uur ervan bewust te worden.
  • Er moet een meer gedetailleerde mededeling volgen binnen 72 uur, inclusief een eerste beoordeling van de ernst en impact.
  • Er moet een eindrapport worden ingediend binnen 14 dagen zodra er een corrigerende maatregel beschikbaar komt, of binnen 14 dagen na afloop van het incident als er geen oplossing beschikbaar is.
  • Fabrikanten moeten getroffen gebruikers ook zonder onnodige vertraging op de hoogte stellen van ernstige incidenten.

ENISA zal voor deze meldingen een gemeenschappelijk rapportageplatform exploiteren. Het platform zal naar verwachting vóór de rapportagedeadline van september 2026 operationeel zijn. Nationale CSIRT's ontvangen kopieën van kennisgevingen voor producten die op hun nationale markt worden gebracht.

September 2026 is niet ver weg

Als u producten met digitale elementen in de EU vervaardigt of distribueert, moet u vóór 11 september 2026 een proces voor monitoring van kwetsbaarheden en incidentrapportage hebben ingevoerd – ruim een ​​jaar voordat volledige CRA-naleving vereist is. Dit betekent dat u nu moet coördineren met uw beveiligingsteam, juridische afdeling en producteigenaren, en niet vóór de deadline van december 2027.

24 uur
om een ​​actief uitgebuite kwetsbaarheid te melden aan ENISA en het nationale CSIRT
5 jaar
minimale ondersteuningsperiode die fabrikanten voor elk product moeten bieden
€ 15 miljoen
of 2,5% mondiale omzet – maximale boete voor niet-naleving van essentiële eisen

De implementatietijdlijn

10 december 2024
De wet treedt in werking
Verordening (EU) 2024/2847 gepubliceerd en van kracht. Overgangsperioden beginnen.
11 juni 2026
De bepalingen van aangemelde instanties zijn van toepassing
De lidstaten moeten aangemelde instanties aanwijzen voor conformiteitsbeoordelingen door derden die vereist zijn voor kritieke producten van klasse II. 18 maanden na de inwerkingtreding.
11 september 2026
Er zijn verplichtingen voor het melden van kwetsbaarheden van toepassing
Fabrikanten moeten actief misbruikte kwetsbaarheden binnen 24 uur melden aan ENISA en nationale CSIRT's. Vanaf deze datum gelden ook de vereisten voor een follow-up van 72 uur en een eindrapportage van 14 dagen. 21 maanden na de inwerkingtreding.
11 december 2027
Volledige naleving vereist
Alle essentiële cyberbeveiligingseisen, conformiteitsbeoordelingsverplichtingen, CE-markeringseisen, technische documentatie, SBOM en ondersteuningsperiodeverplichtingen zijn van toepassing op alle producten die op de EU-markt worden gebracht. 36 maanden na de inwerkingtreding.

Wat nu te doen

Met september 2026 over minder dan een jaar en december 2027 over minder dan 18 maanden is de beschikbare tijd voor voorbereiding korter dan het lijkt. Beveiligingsdocumentatie, SBOM-tooling en conformiteitsbeoordelingsprocessen hebben allemaal tijd nodig om correct te implementeren.

Stap 1: Bepaal of uw producten binnen het bereik vallen

Vermeld elk product dat uw organisatie ontwikkelt, produceert, importeert of distribueert en dat op de EU-markt wordt verkocht of op de markt wordt gebracht. Vraag bij elk ervan: bevat het digitale componenten die verbinding kunnen maken met een ander apparaat of netwerk? Zo ja, dan is het vrijwel zeker een product met digitale elementen. Bent u een pure SaaS-aanbieder, onderzoek dan of er softwarecomponenten worden overgedragen naar of geïnstalleerd door klanten, of dat uw SaaS de primaire functie van een hardwareproduct mogelijk maakt.

Stap 2: Classificeer uw producten

Bekijk bijlage I van de wet om te bepalen of uw producten in Klasse I Belangrijk of Klasse II Kritiek vallen. Als u identiteitsbeheersystemen, VPN's, browsers, wachtwoordbeheerders, netwerkbeheertools of industriële controlesystemen bouwt, behoort u waarschijnlijk tot Klasse I. Hardwarebeveiligingsmodules en soortgelijke producten vallen onder Klasse II. Producten die niet in bijlage I staan, vallen onder de standaardklasse en kunnen zelfcertificeren.

Stap 3: Begin met uw SBOM

Als u nog geen nauwkeurige inventaris bijhoudt van alle softwarecomponenten in elk van uw producten (inclusief open source-bibliotheken, hun versies en bekende CVE-status), begin dan nu met het bouwen ervan. Tools voor softwarecompositieanalyse (SCA) kunnen een groot deel hiervan automatiseren. De SBOM biedt u ook de basis voor uw kwetsbaarheidsmonitoringproces.

Stap 4: Bouw uw rapportageproces voor kwetsbaarheden op

De 24-uurs rapportageverplichting van ENISA betekent dat u vóór september 2026 een duidelijk intern escalatiepad nodig heeft. Bepaal wie verantwoordelijk is voor het monitoren van misbruikte kwetsbaarheden, hoe die informatie juridische en productteams bereikt, wie de bevoegdheid heeft om de ENISA-melding in te dienen en hoe u met getroffen klanten communiceert. Documenteer het en test het.

Stap 5: Controleer uw verplichtingen voor de productlevenscyclus

Beoordeel voor elk product of u een ondersteuningsperiode van minimaal vijf jaar kunt aangaan en volhouden. Als uw product het einde van de levensduur nadert, plan dan uw gebruikerscommunicatie en zorg ervoor dat u voldoet aan de kennisgevingsverplichtingen voor het einde van de levensduur. Voor producten die na de deadline van december 2027 worden gelanceerd, moet de ondersteuningsperiode bij de lancering worden gedefinieerd en gepubliceerd.

Ons cyberbeveiligingsteam ondersteunt fabrikanten en distributeurs met CRA-gereedheidsbeoordelingen, SBOM-implementatie en procesontwerp voor kwetsbaarheidsbeheer. Ons nalevingspraktijk werkt samen met organisaties in heel Nederland en Groot-Brittannië aan productconformiteitsdocumentatie en voorbereiding van conformiteitsbeoordelingen.

De fijne structuur

Markttoezichtautoriteiten in elke lidstaat zijn verantwoordelijk voor de handhaving. De fijne structuur is:

  • Niet-naleving van essentiële cyberbeveiligingsvereisten of verplichtingen met betrekking tot het omgaan met kwetsbaarheden: Tot € 15 miljoen of 2,5% van de totale wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogst is.
  • Niet-naleving van andere CRA-verplichtingen (conformiteitsbeoordeling, CE-markering, technische documentatie, registratie): Tot € 10 miljoen of 2% van de totale wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogst is.
  • Het verstrekken van onjuiste, onvolledige of misleidende informatie aan autoriteiten: Tot € 5 miljoen of 1% van de totale wereldwijde jaaromzet, afhankelijk van wat het hoogste is.

Markttoezichtautoriteiten hebben ook de bevoegdheid om terugroepingen van producten te eisen, te verbieden dat producten op de EU-markt worden gebracht en publieke waarschuwingen te geven. Aanhoudende of ernstige schendingen kunnen leiden tot marktbeperkingen in de hele EU via het RAPEX/Safety Gate-waarschuwingssysteem.

Veelgestelde vragen

Wat betekent ‘producten met digitale elementen’ in de zin van de Wet Cyberweerbaarheid?

Producten met digitale elementen (PDE's) zijn alle hardware- of softwareproducten die direct of indirect verbinding kunnen maken met een ander apparaat of netwerk. Dit bestrijkt een breed scala: slimme apparaten, industriële sensoren, routers, firewalls, besturingssystemen, browsers, wachtwoordmanagers, VPN's en software die wordt verkocht of in licentie wordt gegeven aan klanten. Pure SaaS-platforms die geen softwarecomponenten naar de klant verzenden, vallen doorgaans buiten de reikwijdte, maar SaaS die de kernfunctionaliteit van een product mogelijk maakt, kan worden behandeld als binnen de reikwijdte.

Is de Cyberweerbaarheidswet van toepassing op open source software?

Open source software die buiten een commerciële activiteit wordt ontwikkeld en gedistribueerd, is vrijgesteld. De uitzondering is echter beperkt. Als u open source-software distribueert als onderdeel van een commercieel aanbod (ook als de software zelf gratis is, maar u wel kosten in rekening brengt voor ondersteuning, services of een gerelateerd product), wordt u mogelijk behandeld als fabrikant en valt u binnen de reikwijdte ervan. Open source-stewards hebben een lichtere reeks verplichtingen, maar moeten nog steeds maatregelen nemen om de naleving te vergemakkelijken door degenen die hun software op de markt brengen.

Wanneer gaan de rapportageverplichtingen over kwetsbaarheden in?

De verplichtingen voor het melden van kwetsbaarheden op grond van de Cyber ​​Resilience Act zijn van toepassing vanaf 11 september 2026 – vóór de volledige nalevingsdeadline van 11 december 2027. Vanaf die datum moeten fabrikanten actief uitgebuite kwetsbaarheden binnen 24 uur nadat zij hiervan op de hoogte zijn, melden aan ENISA en aan hun nationale CSIRT, gevolgd door een gedetailleerde kennisgeving binnen 72 uur en een eindrapport binnen 14 dagen nadat een oplossing beschikbaar is.

Wat is een software stuklijst (SBOM) en is deze vereist?

Een SBOM is een formele, machinaal leesbare inventaris van alle softwarecomponenten, bibliotheken en afhankelijkheden die in een product zijn opgenomen. De Cyber ​​Resilience Act vereist dat fabrikanten alle componenten in een product met digitale elementen identificeren en documenteren, inclusief componenten van derden en open source-componenten. De SBOM hoeft niet openbaar te worden gemaakt, maar moet op verzoek beschikbaar zijn voor markttoezichtautoriteiten en moet gedurende de gehele ondersteuningsperiode van het product worden gehandhaafd.

Wat zijn de sancties volgens de Cyberweerbaarheidswet?

Het niet naleven van de essentiële eisen op het gebied van cyberbeveiliging of verplichtingen inzake het omgaan met kwetsbaarheden kan leiden tot boetes tot € 15 miljoen of 2,5% van de totale wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is. Op overtreding van andere verplichtingen – zoals documentatie- of conformiteitsbeoordelingsvereisten – staan ​​boetes tot € 10 miljoen of 2% van de wereldwijde jaaromzet. Het verstrekken van onjuiste, onvolledige of misleidende informatie aan markttoezichtautoriteiten kan resulteren in boetes tot € 5 miljoen of 1% van de wereldwijde jaaromzet.

Gerelateerde artikelen

NIS2-gereedheid AVG-naleving voor EU-bedrijven
CRA-gereedheid

Wilt u uw CRA-blootstelling beoordelen?

Wij helpen fabrikanten en distributeurs bij het in kaart brengen van relevante producten, het opzetten van SBOM-processen en het voorbereiden van de rapportagedeadline van september 2026.

Praat met ons team Onze cyberbeveiligingsdiensten