Academie thuis
Blogs
Wat vereist CRA?
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Wat vereist CRA?

ISO 27001 collectie
Wat vereist CRA?
NIS2-verzameling
Wat vereist CRA?
Cyberday blog
Wat vereist CRA?
Wat vereist de Cyber Resilience Act?

De EU Cyber Resilience Act (CRA) stelt verplichte cyberbeveiligingsnormen voor bijna elk hardware- of softwareproduct dat verbinding maakt met een netwerk. Zie het als het "CE-keurmerk voor beveiliging": voordat een product met digitale elementen (PDE) in de EU mag worden verkocht, moet de fabrikant aantonen dat het veilig is gebouwd, zonder bekende uitbreekbare kwetsbaarheden wordt geleverd en gedurende de hele levensduur veilig kan worden gehouden. 

Overzicht van CRA

De Ratingbureauverordening is een EU-verordening (Verordening (EU) 2024/2847) die op 10 december 2024 in werking is getreden en vanaf 11 december 2027 volledig van toepassing is. Omdat het een verordening is, is deze rechtstreeks bindend in elke lidstaat zonder nationale omzetting.

Doel: de beveiligingskloof voor verbonden producten dichten door de verantwoordelijkheid te verschuiven naar de marktdeelnemers die ervan profiteren.

Toepassingsgebied: Alle "producten met digitale elementen" (hardware, software en hun externe gegevensverwerkende componenten) die op de EU-markt worden gebracht, tenzij ze onder een andere sectorspecifieke regeling vallen, zoals medische hulpmiddelen of typegoedkeuring voor motorvoertuigen. Open source software die gratis wordt verstrekt en niet wordt gecommercialiseerd, valt buiten het toepassingsgebied.

Autoriteit: Markttoezichtautoriteiten in elke lidstaat zullen de naleving controleren; niet-naleving kan leiden tot terugroepacties en boetes tot €15 miljoen of 2% van de wereldwijde omzet.

Lees meer: Wat is de Cyber Veerkracht Wet?

Wat zijn de belangrijkste vereisten van CRA?

De Cyber Resilience Act stelt duidelijke beveiligings- en nalevingsverwachtingen op voor elk bedrijf dat digitale producten op de EU-markt brengt. Deze vereisten hebben betrekking op productontwerp, documentatie, verantwoordelijkheden in de toeleveringsketen en het melden van incidenten.

Begrijpen hoe deze verplichtingen zijn gegroepeerd, helpt bij het plannen van de implementatie, het toewijzen van verantwoordelijkheden en het voorkomen van gemiste vereisten tijdens audits. Hieronder volgt een praktische uitsplitsing van de belangrijkste categorieën vereisten van het CRA, volgens de structuur die in de officiële verordening wordt gebruikt.

Je kunt de volledige wetstekst vinden op de officiële website van de EU.

1. Veilig ontwerp, ontwikkeling en productie (bijlage I, deel I)

  • Het product leveren zonder bekende exploiteerbare kwetsbaarheden.
  • Zorg voor een veilige standaardconfiguratie en sta een veilige fabrieksreset toe.
  • Vertrouwelijkheid en integriteit van gegevens beschermen tijdens doorvoer en in rust (bijv. versleuteling, integriteitscontroles).
  • Implementeer robuuste authenticatie en toegangscontrole.
  • Beperk het aanvalsoppervlak en gebruik technieken om uitbuiting tegen te gaan.
  • Log beveiligingsrelevante gebeurtenissen en laat gebruikers veilig persoonlijke gegevens wissen.

2. Behandeling van kwetsbaarheden en ondersteuning van de levenscyclus (bijlage I, deel II)

  • Handhaaf een intern proces voor kwetsbaarheidsbeheer, ondersteund door een risicobeoordeling.
  • Gemelde kwetsbaarheden "zonder onnodige vertraging" verhelpen en beveiligingsupdates leveren voor de aangegeven ondersteuningsperiode.
  • Een contactpunt en een beleid voor de gecoördineerde openbaarmaking van kwetsbaarheden (CVD) publiceren.
  • Binnen 24 uur na het bekend worden van een actief misbruikt kwetsbaar punt of incident, ENISA hiervan op de hoogte stellen via de Europese database met kwetsbaarheden en informatie over risicobeperking verstrekken aan gebruikers.

3. Technische documentatie en conformiteitsbeoordeling (bijlage II + artikelen 23-29)

  • Produceer een op risico's gebaseerd technisch dossier, inclusief bedreigingsmodel, bewijs voor veilige ontwikkeling en de stuklijst voor software (SBOM).
  • Producten met een gebrekkig risico kunnen gebruik maken van zelfbeoordeling; "belangrijke" klasse I/II producten (bijv. firewalls, identity providers) vereisen certificering door een derde partij.
  • Breng de CE-markering aan en stel een EU-conformiteitsverklaring op zodra de beoordeling is geslaagd.

4. Verplichtingen voor marktdeelnemers (artikelen 13-20)

  • Fabrikanten: voer de beoordeling uit, bewaar documentatie gedurende 10 jaar, zorg voor updates gedurende ten minste de ondersteuningsperiode die is aangegeven in de EU-DoC en werk samen met de autoriteiten.
  • Importeurs: controleer of het product de CE-markering draagt en of er documentatie en updates beschikbaar zijn.
  • Distributeurs: zorg ervoor dat de etikettering en CE-markering intact zijn en stop de verkoop als ze vermoeden dat het product niet aan de voorschriften voldoet.

5. Markttoezicht en rapportage van incidenten (artikelen 30-35)

  • Houd een register bij van incidenten en kwetsbaarheden; lever SBOM's op verzoek aan autoriteiten.
  • Meld elke uitbuiting van een niet-gepatcht kwetsbaar punt binnen 24 uur en zorg binnen twee weken voor een definitief incidentrapport.

Test uw CRA-conformiteitsstatus

Doe onze gratis beoordeling en krijg snel een beeld van hoe uw organisatie voldoet aan de vereisten van de Cyber Resilience Act en waar u zich vervolgens op moet richten.

Doe de beoordeling

Zijn de vereisten voor iedereen verplicht?

CRA is breed, maar niet universeel. Het is verplicht voor organisaties die binnen het toepassingsgebied vallen, maar voor andere is het optioneel.

  • Volledige dekking: Elke organisatie die een product met digitale elementen op de EU-markt brengt voor commercieel gewin, ongeacht omvang of locatie.
  • Belangrijke vrijstellingen:
    • Open source software wordt gratis geleverd en er wordt geen geld mee verdiend.
    • PDE's die al onder strengere sectorale wetten vallen (medische apparatuur, luchtvaart, auto's, gekwalificeerde eID-portefeuilles, enz.)
    • Reserveonderdelen voor oudere producten.
  • Licht regime: "Open-source stewards" die duurzame ondersteuning bieden voor OSS-componenten die bedoeld zijn voor commercieel gebruik, krijgen te maken met minder verplichtingen (veiligheidsattestatie in plaats van volledig CE-proces).

Lees meer: Op wie is de Cyber Resilience Act van toepassing?

Veelvoorkomende uitdagingen bij het voldoen aan CRA-vereisten

  1. Een nauwkeurige SBOM genereren. Veel teams maken gebruik van meerdere pakketbeheerders en privé-repositories, waardoor het moeilijk is om volledige afhankelijkheidslijsten samen te stellen.
  2. Gecoördineerde bekendmaking van kwetsbaarheden. Het opzetten van een openbaar proces, een beveiligd intakekanaal en een 24-uurs responsworkflow is nieuw voor veel kleine en middelgrote ondernemingen.
  3. Updateverplichting op lange termijn. Een ondersteuningsperiode afkondigen betekent budgetteren voor meer dan drie jaar patching, inclusief oudere Major-versies.
  4. Verzamelen van bewijsmateriaal. Ontwikkelaars moeten dreigingsmodellen, testresultaten en secure-coding records bewaren voor het technisch dossier.
  5. Klassebepaling. Door te beslissen of een product in standaard, belangrijk I of belangrijk II valt, veranderen de conformiteitsbeoordelingsroute en de deadlines.

Hoe Cyberday helpt met CRA-vereisten

Cyberday maakt van CRA-compliance beheersbare taken. Alle raamwerkvereisten worden in kaart gebracht in uitvoerbare controles en beleidsregels. Met Cyberday is het eenvoudig om multi-compliance te beheren, met dashboards die de huidige status van CRA-compliance tonen naast NIS2, ISO 27001 of een ander framework of regelgeving die voor u belangrijk kan zijn.

Moet u uw product roadmap, beveiligingstechnieken en juridische teams op één lijn brengen? Cyberday biedt de structuur, sjablonen en geautomatiseerde controles die u nodig hebt voor efficiënte, op bewijs gebaseerde CRA-compliance.

Start uw gratis Cyberday proefabonnement vandaag nog!

Geschreven door
Tuomas Pitkänen
21.7.2025
@
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Andere vergelijkbare content van Academy

Blogs

Op wie is CRA van toepassing? Reikwijdte en toepasselijkheid

Ontdek wie moet voldoen aan de Cyber Resilience Act, wanneer deze van toepassing is, of deze verplicht is en hoe u kunt voldoen aan de vereisten van de CRA in de EU.
25.7.2025

Hoe voldoen aan de Cyber Resilience Act (CRA)?

Leer hoe je stap voor stap kunt voldoen aan de CRA, de Cyber Resilience Act, en welke tools je helpen om dit snel voor elkaar te krijgen.
24.7.2025

Wat vereist CRA?

Stap-voor-stap Cyber Resilience Act nalevingsgids met de belangrijkste vereisten, verantwoordelijkheden, tools en hoe je snel aan de CRA-verplichtingen kunt voldoen.
21.7.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekNieuwsbriefLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid