Academie thuis
Blogs
Wat is CRA? Inleiding tot de vereisten van de Cyber Resilience Act
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Wat is CRA? Inleiding tot de vereisten van de Cyber Resilience Act

ISO 27001 collectie
Wat is CRA? Inleiding tot de vereisten van de Cyber Resilience Act
NIS2-verzameling
Wat is CRA? Inleiding tot de vereisten van de Cyber Resilience Act
Cyberday blog
Wat is CRA? Inleiding tot de vereisten van de Cyber Resilience Act

De Cyber Resilience Act (CRA) is een EU-verordening die verplichte cyberbeveiligingseisen stelt aan digitale producten en aangesloten apparaten die in de EU op de markt worden gebracht. Het doel is om de kloof te dichten waarin veel producten worden geleverd met weinig of geen ingebouwde beveiliging, waardoor gebruikers worden blootgesteld aan uitbuiting.

CRA is van toepassing op de gehele levenscyclus van een product, van ontwikkeling en ontwerp tot monitoring, onderhoud en updates na het op de markt brengen. Het richt zich rechtstreeks op fabrikanten, importeurs en distributeurs, waardoor de verantwoordelijkheid voor cyberbeveiliging wordt verlegd naar degenen die digitale producten op de markt brengen. Dit maakt CRA anders dan regelgeving zoals GDPR of NIS2, die zich richten op gegevensbescherming en beveiliging op serviceniveau.

Waar staat CRA voor?

CRA staat voor Cyber Resilience Act, een bindende EU-verordening die in 2024 wordt aangenomen. Het doel is om ervoor te zorgen dat alle hardware en software met digitale elementen worden geleverd met ingebouwde cyberbeveiliging en dat verkopers verantwoordelijk blijven voor de beveiliging van producten in de loop der tijd. Het zorgt voor een geharmoniseerde set regels in de hele EU, ter vervanging van gefragmenteerde nationale benaderingen.

Wat vereist CRA?

CRA introduceert cyberbeveiligingsverplichtingen voor de volledige levenscyclus van een product, met een mix van pre-market en post-market controles. De belangrijkste CRA-vereisten zijn:

  • Veilig door ontwerp en standaard: Producten moeten kwetsbaarheden minimaliseren en out of the box veilig zijn, met sterke standaardconfiguraties.
  • Behandeling van kwetsbaarheden: Fabrikanten moeten duidelijke processen opzetten om kwetsbaarheden te ontvangen, te beoordelen en te verhelpen, inclusief coördinatie met beveiligingsonderzoekers.
  • Beveiligingsupdates: Voortdurende ondersteuning is vereist voor de verwachte levenscyclus van het product, inclusief tijdige levering van patches.
  • Rapportage van incidenten: Misbruikte kwetsbaarheden en beveiligingsincidenten moeten binnen 24 uur aan ENISA worden gemeld.
  • Technische documentatie: Omvat een risicobeoordeling, conformiteitsbeoordeling en een conformiteitsverklaring.
  • Post-market monitoring: Leveranciers moeten opkomende bedreigingen en het gedrag van producten na de verkoop volgen en indien nodig actie ondernemen.
  • CE-markering voor cyberbeveiliging: Producten moeten een CE-markering hebben die bevestigt dat ze voldoen aan de cyberbeveiligingsnormen van de CRA.
  • Conformiteitsbeoordelingen:
    • Klasse I (standaardproducten): Zelfbeoordeling toegestaan.
    • Klasse II (kritieke producten): Audits door derden zijn vereist (bijv. besturingssystemen, wachtwoordmanagers, firewalls).

Voorbeelden van CRA-productclassificatie

De CRA introduceert twee productklassen op basis van cyberbeveiligingsrisico:

  • Klasse I (standaardproducten): Minder kritisch. Zelfbeoordeling toegestaan.
  • Klasse II (kritieke producten): Hoger risico. Conformiteitsbeoordeling door derden vereist.

Hieronder staan voorbeeldclassificaties om organisaties te helpen begrijpen waar hun producten onder kunnen vallen:

Soort product Voorbeeld Waarschijnlijk CRA-klasse Opmerkingen
IoT voor consumenten Slimme lamp Klasse I Geringe impact indien gecompromitteerd, tenzij onderdeel van kritieke systemen
Wearables Fitnesstracker Klasse I Meestal niet kritiek, maar controleer of het gezondheidsgerelateerd is
Industrieel PLC (programmeerbare logische besturing) Klasse II Directe controle over kritieke infrastructuur
Besturingssystemen Ingebed Linux voor routers Klasse II Hoog exploitatierisico, onderdeel van netwerkkern
Hulpmiddelen voor ontwikkelaars CI/CD pijplijn tools Klasse II Als er misbruik van wordt gemaakt, kan dit meerdere systemen aantasten
Productiviteit apps Apps voor notities of agenda's Klasse I Lage kriticiteit, maar moet nog steeds voldoen aan alle basisvereisten van de CRA
Beveiligingssoftware Wachtwoordmanager, firewall, antivirus Klasse II Specifiek genoemd als kritiek door de CRA
Communicatiemiddelen App voor videovergaderen Klasse I of II Afhankelijk van versleuteling, gevoeligheid van gegevens en gebruikssituaties
Aangesloten voertuigen Software voor voertuigen Uitgesloten Valt onder aparte EU-regeling voor auto's
Medische apparaten Slimme insulinepomp Uitgesloten Valt onder de regelgeving voor medische hulpmiddelen (MDR)

Tip: Zelfs producten van Klasse I moeten nog steeds voldoen aan alle basisvereisten van de CRA, alleen met een eenvoudiger beoordelingsproces. Kritische Klasse II-producten vereisen meer rigoureuze nalevingsstappen.

Start je gratis proefabonnement van 14 dagen

Start vandaag nog je gratis proefabonnement. Geen creditcard nodig. Volledige toegang, geen risico. Op elk moment annuleren.

Gratis proef starten

Hoe CRA productbeveiliging verbetert en waarom het belangrijk is

De Cyber Resilience Act verbetert de beveiliging van producten door cyberbeveiliging tot een ingebouwde verantwoordelijkheid tijdens de hele levenscyclus van een product te maken. De wet verplicht fabrikanten om secure-by-design en standaardpraktijken toe te passen, kwetsbaarheden systematisch te beheren en snel te reageren op beveiligingsincidenten. Deze verplichtingen verkleinen de kans dat onveilige producten gebruikers bereiken en helpen voorkomen dat geïsoleerde zwakke plekken grootschalige exploitatierisico's worden.

Door de verantwoordelijkheid bij fabrikanten, importeurs en distributeurs te leggen, zorgt CRA ervoor dat beveiliging niet langer optioneel of uitgesteld is, maar onderdeel wordt van productkwaliteit en wettelijke naleving.

Organisaties die voldoen aan CRA profiteren van:

  • Minder kwetsbaarheden door gestructureerde ontwikkel- en testpraktijken
  • Sneller reageren op incidenten via verplichte verwerking en rapportage van kwetsbaarheden
  • Meer vertrouwen in leveranciers en toeleveringsketens, vooral in gereguleerde sectoren
  • Duidelijkheid in regelgeving dankzij een uniforme nalevingsnorm voor de hele EU
  • Marktvoordeel, aangezien veilige, CRA-conforme producten aantrekkelijker worden voor B2B-inkopers en klanten uit de publieke sector.

In het algemeen verhoogt CRA de basisnorm voor cyberbeveiliging voor digitale producten en creëert het zowel wettelijke aansprakelijkheid als concurrentiemogelijkheden.

Wereldwijde vergelijkingen

CRA heeft dezelfde doelen als andere mondiale kaders, maar verschilt in reikwijdte en handhaving:

Regio Wet Focus Vergelijking met ratingbureaus
VS Wet verbetering cyberbeveiliging IoT Alleen overheidsopdrachten CRA is breder, verplicht voor alle digitale producten
UK Wet productbeveiliging en telecommunicatie-infrastructuur (PSTI) Gericht op IoT voor consumenten CRA omvat industriële en softwareproducten
Wereldwijd ISO/IEC 27001 / 62443 / 30111 Vrijwillig of sectorspecifiek CRA verplicht levenscycluscontroles voor alle

Beste praktijken van ratingbureaus en veelvoorkomende uitdagingen

Beste praktijken van vroege gebruikers:

  • Veilig coderen integreren in SDLC
  • Scannen op kwetsbaarheden en triage automatiseren
  • Product Incident Response Teams (PSIRT's) opzetten
  • Herbruikbare sjablonen voor technische documentatie maken
  • Met platforms als Cyberday verantwoordelijkheden toewijzen en bewijs verzamelen

Veelvoorkomende uitdagingen:

  • Oudere producten inbouwen zonder basisbeveiliging
  • Budgettering voor patching en ondersteuning op lange termijn
  • Overlapping met CE-markering en richtlijn radioapparatuur begrijpen
  • Meerdere conformiteitsbeoordelingsprocessen beheren
CRA in actie

FAQs

Is CRA verplicht?

Ja. Ratingbureau is een bindende EU-verordening. Zodra de handhaving begint, is naleving verplicht voor alle toepasselijke producten die op de EU-markt worden gebracht.

Waarom is CRA belangrijk?

CRA zorgt ervoor dat verkopers van producten wettelijk aansprakelijk zijn en dicht de al lang bestaande leemte in de regelgeving voor cyberbeveiliging voor aangesloten apparaten en software. Het helpt de risico's van onveilige producten in de hele EU te beperken en zorgt ervoor dat verkopers de beveiliging vanaf het begin inbouwen.

Wie moet voldoen aan CRA?

CRA is van toepassing op:

  • Fabrikanten, importeurs en distributeurs van digitale producten
  • Producten met digitale elementenmet inbegrip van:
    • IoT-apparaten
    • Mobiele en desktop apps
    • Ingebedde systemen
    • Besturingssystemen
    • Industriële besturingssoftware

Uitgesloten: Producten die al onder specifieke sectorale EU-wetten vallen (bijv. medische apparatuur, auto's, luchtvaart).

Wanneer is de CRA van kracht?

De Ratingbureauverordening is op 10 december 2024 in werking getreden. Belangrijkste deadlines:

  • September 2025: ENISA ontvangt nationale uitvoeringsplannen.
  • September 2026: meldingsplicht voor incidenten wordt afdwingbaar.
  • December 2027: volledige verplichtingen van toepassing. Daarna moeten alle producten binnen het toepassingsgebied voldoen aan de CRA-verplichtingen.

Wordt CRA ondersteund in Cyberday?

Ja. CRA is beschikbaar om te werken in Cyberday. Het platform omvat:

  • Specifieke taken en controles voor ratingbureaus
  • Veilige ontwikkeling en update-ondersteuning
  • Sjablonen voor technische documentatie
  • Kwetsbaarheid en incident response workflows
  • Voortdurende updates als richtlijnen evolueren
Geschreven door
Tuomas Pitkänen
2.6.2025
@
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Andere vergelijkbare content van Academy

Blogs

Wat is een vCISO? De rol van een virtuele CISO begrijpen

Wat is een vCISO, wat doen ze en waarom groeit het virtuele CISO-model snel onder bedrijven en cyberbeveiligingsconsultants.
12.6.2025

Wat is een modulair cyberbeveiligingsraamwerk en waarom zijn ze essentieel voor consultants?

Modulaire cyberbeveiligingsframeworks maken compliancebeheer eenvoudiger en helpen consultants sneller te schalen, meer deals binnen te halen en terugkerende inkomsten op te bouwen.
12.6.2025

Cyberday app storing op dinsdag 10/6/2025: Uitleg en follow-up

Dit bericht bespreekt de details van het recente incident dat downtime veroorzaakte in Cyberday tijdens 10.6.2025, en de gerelateerde vroegtijdige mitigatie.
11.6.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekNieuwsbriefLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid