Academie thuis
Blogs
Op wie is CRA van toepassing? Reikwijdte en toepasselijkheid
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Op wie is CRA van toepassing? Reikwijdte en toepasselijkheid

ISO 27001 collectie
Op wie is CRA van toepassing? Reikwijdte en toepasselijkheid
NIS2-verzameling
Op wie is CRA van toepassing? Reikwijdte en toepasselijkheid
Cyberday blog
Op wie is CRA van toepassing? Reikwijdte en toepasselijkheid

De Cyber Resilience Act bevat basisregels voor cyberbeveiliging voor elk hardware- of softwareproduct met een digitaal element dat op de EU-markt wordt aangeboden.

De wet is gericht op fabrikanten, importeurs en distributeurs, wat betekent dat reguliere servicebedrijven buiten het toepassingsgebied vallen, tenzij ze dergelijke producten op de markt brengen. Dit is van belang omdat de CRA strenge beveiligingseisen vóór het op de markt brengen introduceert en verplichtingen voor kwetsbaarheidsbeheer op de lange termijn, dus "wie moet voldoen aan de Cyber Resilience Act" is vandaag de dag een belangrijke vraag voor technologieleveranciers.

Ingangsdatum10.12.2024 (reeds van kracht)
Geldt voorFabrikanten, importeurs, distributeurs van producten met digitale elementen (alle sectoren)
Geografisch bereikEU-markt (wereldwijde leveranciers als ze aan de EU verkopen)
Verplicht?Ja
SanctiesBoetes tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet; mogelijk terugroepen/terugtrekken van producten
CyberdayJa

Lees ook: Wat is de Cyber Veerkracht Wet?

Toepasselijkheidscriteria voor de Cyber Resilience Act (CRA)

CRA is van toepassing op basis van een paar duidelijke factoren. Organisaties moeten hun producten beoordelen, hun rol in de toeleveringsketen en waar en hoe ze werken.

  • Industrie / sector - elke sector die hardware of software met een digitaal element op de EU-markt brengt, van IoT voor consumenten tot industriële besturingssystemen.
  • Rol van de organisatie - fabrikant, importeur of distributeur (inclusief wederverkopers) vallen hieronder; gebruikers van kant-en-klare producten niet.
  • Geografie / regio - is van toepassing als het product beschikbaar wordt gesteld in de EU, ongeacht waar het bedrijf is gevestigd.
  • Producttype / -klasse - voor kritieke producten (bijv. firewalls, wachtwoordmanagers) gelden strengere conformiteitstrajecten; voor niet-kritieke producten zijn nog steeds basiscontroles nodig.
  • Uitzonderingen - vrije en open source software die op niet-commerciële basis wordt geleverd en producten die uitsluitend voor de nationale veiligheid of defensie zijn ontwikkeld, vallen buiten het toepassingsgebied.

Is de Cyber Resilience Act (CRA) verplicht en hoe controleer ik of deze op jou van toepassing is?

Ja, naleving van de CRA is verplicht als uw organisatie digitale producten op de EU-markt brengt die onder de CRA vallen. Hier leest u hoe u kunt controleren of het op u van toepassing is:

  • Bevestig dat het product digitale elementen bevat en op de EU-markt wordt gebracht.
  • Identificeer je rol: fabrikant, importeur of distributeur.
  • Controleer op vrijstellingen (niet-commercieel open source, alleen defensiegebruik).
  • Breng het product in kaart ten opzichte van de vereisten voor cyberbeveiliging van bijlage I van de CRA.
  • Bepaal of het product in een kritieke klasse valt die door een derde partij moet worden beoordeeld.

Test uw CRA-conformiteitsstatus

Doe onze gratis beoordeling en krijg snel een beeld van hoe uw organisatie voldoet aan de vereisten van de Cyber Resilience Act en waar u zich vervolgens op moet richten.

Doe de beoordeling

Voorbeelden van organisaties die hieraan moeten voldoen

Hier zijn een paar typische bedrijfsprofielen die onder de CRA-vereisten vallen:

  • Een Finse startup die slimme IoT-apparaten voor verlichting verkoopt in heel Europa (fabrikant).
  • Een Duitse groothandelaar die netwerkrouters uit Azië importeert voor detailhandelaars in de EU (importeur).
  • Een SaaS-leverancier in Ierland die een on-premises beveiligingstoestel levert aan klanten in de EU (distributeur en fabrikant).

Wanneer treedt de Cyber Resilience Act (CRA) in werking?

De CRA is al van kracht, maar specifieke verplichtingen hebben een gespreid tijdschema. De belangrijkste data zijn:

  • 10 december 2024 - Verordening treedt in werking.
  • 10 september 2026 - de eerste verplichtingen (vroegtijdige melding van incidenten en kwetsbaarheden) beginnen 21 maanden na de inwerkingtreding.
  • 10 december 2027 - volledige naleving vereist 36 maanden na inwerkingtreding.

Lees hoe u kunt voldoen aan de CRA-vereisten in dit artikel.

Wat gebeurt er als je je niet aan de regels houdt?

Niet-naleving heeft ernstige financiële en operationele gevolgen. Dit is wat er kan gebeuren:

  • Boetes tot €15 miljoen of 2,5% van de wereldwijde omzet, als dat hoger is
  • Product van de EU-markt halen
  • Verplichte terugroepacties voor onveilige producten
  • Verkoopverbod in EU-landen
  • Onderzoeken door nationale markttoezichtautoriteiten

Hoe Cyberday organisaties ondersteunt

Als uw producten onder CRA vallen, biedt Cyberday u een duidelijke structuur om aan de eisen te voldoen. Ons platform brengt Annex I vereisten in kaart in traceerbare taken, helpt bij het opbouwen van technische documentatie en ondersteunt workflows voor het rapporteren van incidenten en kwetsbaarheden. Het is ontwikkeld om u te helpen op een praktische en continue manier te voldoen aan de Cyber Resilience Act.

Begin vandaag nog met uw CRA-compliance met de gratis proefversie van Cyberday!

Geschreven door
Tuomas Pitkänen
25.7.2025
@
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Andere vergelijkbare content van Academy

Blogs

Op wie is CRA van toepassing? Reikwijdte en toepasselijkheid

Ontdek wie moet voldoen aan de Cyber Resilience Act, wanneer deze van toepassing is, of deze verplicht is en hoe u kunt voldoen aan de vereisten van de CRA in de EU.
25.7.2025

Hoe voldoen aan de Cyber Resilience Act (CRA)?

Leer hoe je stap voor stap kunt voldoen aan de CRA, de Cyber Resilience Act, en welke tools je helpen om dit snel voor elkaar te krijgen.
24.7.2025

Wat vereist CRA?

Stap-voor-stap Cyber Resilience Act nalevingsgids met de belangrijkste vereisten, verantwoordelijkheden, tools en hoe je snel aan de CRA-verplichtingen kunt voldoen.
21.7.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekNieuwsbriefLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid