Cybersecurity Act 2: waar CRA-fabrikanten op moeten letten

Op 20 januari 2026 publiceerde de Europese Commissie het voorstel COM(2026) 11 final, dat de Cybersecurity Act van 2019 intrekt. Wat staat er in het ontwerp, onderbouwd met de voorsteltekst en de effectbeoordeling, en wat betekent het voor CRA-fabrikanten?

CRA Evidence Team Gepubliceerd 19 februari 2026 Bijgewerkt 7 mei 2026
Previewkaart voor de uitleg over Cybersecurity Act 2: titel links, illustratief motief rechts, indigo accent voor regelgeving.
In dit artikel

De Cybersecurity Act 2 (CSA2) is niet de Cyber Resilience Act. Het is een afzonderlijk Commissievoorstel, COM(2026) 11 final, gepubliceerd op 20 januari 2026, dat Verordening (EU) 2019/881 intrekt en drie operationele blokken introduceert: een herzien Europees kader voor cybersecuritycertificering (Titel III), een nieuw horizontaal kader voor de ICT-toeleveringsketen met aanwijzingsbevoegdheden voor derde landen (Titel IV) en een versterkt ENISA-mandaat (Titel II). Drie maanden na publicatie ligt het dossier in een vroege fase van behandeling in het Parlement en de Raad, en nog niet in trialoog.

Waarom een fabrikant onder de CRA dit toch moet lezen. Certificering onder het herziene kader is de route die de Commissie voorstelt om conformiteit met de CRA, NIS2 en andere Uniehandelingen aan te tonen, zodra een relevant schema bestaat. Het toeleveringsketenkader raakt aan de verplichtingen van CRA Artikel 13 over componenten van derden. En Artikel 100 van CSA2 verbiedt entiteiten uit aangewezen derde landen om als conformiteitsbeoordelingsinstantie op te treden, wat direct bepaalt welke instanties u voor uw CRA-conformiteitsbeoordeling kunt inschakelen.

De wisselwerking tussen hoe u het toekomstige cyber-postuurschema kunt gebruiken om conformiteit met NIS2 aan te tonen, wordt een belangrijk discussiepunt met de lidstaten.

Maika Fohrenbach, DG CONNECT · ENISA Certification Conference, 15 April 2026 (veldnotities)

Samenvatting

  • CSA2 is een Commissievoorstel, geen wet. COM(2026) 11 final, 122 artikelen, 270 pagina's, intrekking van Verordening (EU) 2019/881 (de Cybersecurity Act van 2019). Het dossier ligt nu in een vroege fase van behandeling in het Parlement en de Raad.
  • Drie operationele blokken: herzien Europees kader voor cybersecuritycertificering (Titel III), kader voor ICT-toeleveringsketenbeveiliging (Titel IV), versterkt ENISA-mandaat (Titel II).
  • Reikwijdte van het ECCF wordt uitgebreid naar managed security services en het cyberpostuur van entiteiten, niet alleen ICT-producten, -diensten en -processen (Artikel 81; Overweging 92).
  • ENISA moet kandidaat-schema's binnen 12 maanden na een verzoek van de Commissie opleveren (Artikel 73).
  • Drie zekerheidsniveaus blijven bestaan: basic, substantial, high (Overweging 101). De EU-conformiteitsverklaring gebruikt alleen basic.
  • Het toeleveringsketenkader stelt de Commissie in staat derde landen aan te wijzen die "ernstige en structurele niet-technische risico's" vormen (Artikel 100). Entiteiten uit aangewezen landen worden uitgesloten van de levering van cruciale ICT-middelen, van overheidsopdrachten voor die middelen, van EU-financiering en van certificerings- en conformiteitsbeoordelingsactiviteiten.
  • De telecom-uitfasering van componenten van leveranciers met een hoog risico in mobiele netwerken is gemaximeerd op 36 maanden vanaf inwerkingtreding (Artikel 110). Voor vaste en satellietnetwerken stelt de Commissie de uitfaseringstermijnen later vast bij uitvoeringshandeling.
  • Sancties op grond van Artikel 115 gelden voor inbreuken op Titel IV (toeleveringsketen): 1%, 2% of 7% van de wereldwijde jaaromzet, afhankelijk van de geschonden bepaling. Er is geen vast plafond in EUR. Sancties onder Titel III (certificering) worden door de lidstaten vastgesteld zonder EU-breed plafond (Artikel 97).
  • Geraamde besparingen op compliancekosten voor bedrijven: EUR 14,6 miljard over vijf jaar onder de voorkeursoptie C.2 (Effectbeoordeling §4390).
  • Geraamde vervangingskosten in telecom: EUR 3,4 tot 4,3 miljard per jaar gedurende drie jaar voor niet-upgradebare apparatuur van leveranciers met een hoog risico (Effectbeoordeling §4577, §4.4.1).
122
Artikelen
in COM(2026) 11 final
36 mnd
Maximum telecom-uitfasering
mobiele netwerken, Artikel 110
€14,6 mld
Compliancebesparing
over 5 jaar, Optie C.2
€3,4–4,3 mld
Telecomvervanging
per jaar gedurende 3 jaar

Bronnen: COM(2026) 11 final (artikelen- en paginatelling); bijbehorende effectbeoordeling SWD(2026) 11 final, secties 4.3.3 en 4.4.1.

Waar elk EU-cybersecurityschema in april 2026 staat: EUCC live, EUDI Wallet in publieke consultatie, EU MSS in ontwerp v4, cyberpostuur onder CSA2 in onderhandeling.
Waar het cyber-postuurschema staat ten opzichte van het overige CSA-schemalandschap.

Wat CSA2 daadwerkelijk voorstelt

De Commissie bouwt het voorstel rond vier doelstellingen. Drie zijn hervormingen van bestaande instrumenten, één is nieuw.

1 · Herzien ECCF (Titel III)

Het Europees kader voor cybersecuritycertificering behoudt de drie zekerheidsniveaus (basic, substantial, high), maar breidt de reikwijdte uit van ICT-producten, -diensten en -processen naar ook managed security services en het cyberpostuur van entiteiten. ENISA krijgt een opleveringstermijn van 12 maanden voor kandidaat-schema's (Artikel 73) en een uitdrukkelijke grondslag om technische specificaties op te stellen (Artikel 77).

2 · Kader ICT-toeleveringsketen (Titel IV)

Een nieuw horizontaal mechanisme om niet-technische risico's in de toeleveringsketen aan te pakken. Gecoördineerde risicobeoordelingen (Artikel 99) voeden een aanwijzingsprocedure voor derde landen (Artikel 100). Entiteiten uit aangewezen landen worden uitgesloten van cruciale ICT-middelen, overheidsopdrachten, EU-financiering en activiteiten als conformiteitsbeoordelingsinstantie. Mobiele-netwerkoperators krijgen een uitfasering van 36 maanden (Artikel 110).

3 · Vereenvoudiging NIS2 · cyberpostuur

Het paradepaardje voor de reikwijdte-uitbreiding van het ECCF. Het cyber-postuurschema moet entiteiten in staat stellen om met één certificaat naleving aan te tonen van cybersecurityrisicobeheermaatregelen onder meerdere Uniehandelingen. Zoals Fohrenbach (DG CONNECT) op de ENISA-conferentie aangaf, is de koppeling met NIS2 "onderwerp van onderhandeling" met de lidstaten.

4 · ENISA-mandaat (Titel II)

ENISA krijgt expliciete rollen als beheerder van schema's, exploitant van het Single Entry Point voor crossregelgevingsmeldingen, beheerder van de EU Cybersecurity Reserve, beheerder van de Europese kwetsbaarhedendatabase en autoriteit voor Europese individuele attesteringsschema's onder het Cybersecurity Skills Framework.

Het toeleveringsketenkader, stap voor stap

Dit is het politiek meest geladen deel van het voorstel. Het mechanisme verloopt sequentieel, met elke stap verankerd in een specifiek artikel. De artikelnummers hieronder verwijzen naar COM(2026) 11 final.

  1. Risicobeoordeling (Artikel 99). De Commissie, of ten minste drie lidstaten, kan een gecoördineerde risicobeoordeling van een ICT-toeleveringsketen vragen. De beoordeling moet binnen zes maanden zijn afgerond. Er is voorzien in een spoedprocedure wanneer onmiddellijk ingrijpen gerechtvaardigd is.
  2. Aanwijzing van een land (Artikel 100). Wanneer een derde land "ernstige en structurele niet-technische risico's" voor ICT-toeleveringsketens vormt, kan de Commissie het aanwijzen. Entiteiten die in een dergelijk land zijn gevestigd of door een dergelijk land worden gecontroleerd, worden uitgesloten van de levering van ICT-componenten voor cruciale ICT-middelen, van bijbehorende overheidsopdrachten, van EU-financieringsprogramma's en van het optreden als conformiteitsbeoordelingsinstantie.
  3. Mitigerende maatregelen (Artikelen 101 tot en met 103). De Commissie kan, bij uitvoeringshandeling, entiteiten in sectoren met hoge kritikaliteit verplichten specifieke mitigerende maatregelen toe te passen, waaronder verboden op het gebruik van componenten van vermelde leveranciers met een hoog risico.
  4. Identificatie van cruciale ICT-middelen (Artikelen 102 en 103). De Commissie bepaalt, bij uitvoeringshandeling, welke ICT-middelen per sector als "cruciaal" gelden. Bijlage II definieert al vooraf de cruciale ICT-middelen voor mobiele, vaste en satelliet- elektronische communicatienetwerken.
  5. Lijsten van leveranciers met een hoog risico (Artikel 104). De Commissie publiceert lijsten van leveranciers met een hoog risico op basis van beoordelingen van vestiging, eigendom en controle, na raadpleging van de betrokken leveranciers en bevoegde autoriteiten. Artikelen 105 tot en met 107 voorzien in een ontheffingsprocedure en een openbaar register van ontheffingsbesluiten.
Telecom is de eerste sector die geraakt wordt

Bijlage II definieert vooraf de cruciale ICT-middelen voor mobiele, vaste en satelliet- elektronische communicatienetwerken. De uitfasering van componenten van leveranciers met een hoog risico in mobiele netwerken is gemaximeerd op 36 maanden vanaf inwerkingtreding (Artikel 110). De uitfaseringstermijnen voor vaste en satellietnetwerken worden door de Commissie via uitvoeringshandelingen bepaald. De effectbeoordeling raamt eenmalige vervangingskosten van EUR 3,4 tot 4,3 miljard per jaar gedurende drie jaar voor niet-upgradebare apparatuur, afgeleid uit de EU-investeringen in 5G sinds 2019 en een aandeel van 32 tot 40% aan middelen met hoog risico (IA §4577, §4.4.1).

Sancties: percentageplafonds, geen vast EUR-bedrag

De sanctiestructuur is een punt waar lezingen van CSA2 vaak misgaan. Artikel 115 stelt de maximale sanctieniveaus vast voor inbreuken op Titel IV (het toeleveringsketenkader). Het plafond is uitsluitend een percentage van de wereldwijde jaaromzet; er is geen vast EUR-plafond.

Geschonden bepalingMaximale sanctieBron
Artikel 103, lid 2, onder a) · samenwerking met de Commissie1% van de wereldwijde jaaromzetArtikel 115, lid 5
Artikel 103, lid 2, onder b) tot en met g) · verplichtingen tot mitigerende maatregelen2% van de wereldwijde jaaromzetArtikel 115, lid 6
Artikel 103, lid 1 · primaire mitigatieverplichtingen; Artikel 111 · telecomverboden7% van de wereldwijde jaaromzetArtikel 115, lid 7
Titel III · inbreuken op het certificeringskaderVastgesteld door elke lidstaat; "doeltreffend, evenredig en afschrikkend"; geen EU-breed plafondArtikel 97

De 7%-categorie raakt telecomoperators het meest direct, want zij omvat Artikel 111 (het telecom-specifieke verbod op het installeren of integreren van ICT-componenten van leveranciers met een hoog risico).

Waar dit raakt aan de CRA

CSA2 wijzigt de CRA niet. Wel verandert het drie zaken eromheen.

Componenten en zorgvuldigheidsplicht onder Artikel 13

CRA Artikel 13 verplicht fabrikanten al om zorgvuldigheid te betrachten ten aanzien van componenten van derden. CSA2 verhoogt de prijs als u dat verkeerd doet. Als uw product componenten bevat van een leverancier die later als hoog risico wordt aangewezen, en uw klant actief is in een sector die valt onder Bijlage I of II van Richtlijn (EU) 2022/2555 (NIS2), kan uw klant via uitvoeringshandeling worden verplicht die componenten te vervangen. Dat werkt door in uw roadmap. Voor de praktische lezing van componentzorgvuldigheid onder de CRA, zie de verificatiegids voor importeurs.

Conformiteitsbeoordelingsinstanties mogen niet uit aangewezen landen komen

Artikel 100, lid 2, verbiedt entiteiten uit aangewezen derde landen om conformiteitsbeoordeling uit te voeren. Als u van plan bent een conformiteitsbeoordelingsinstantie in te zetten waarvan de eigendoms- of controlestructuur in de toekomst aan de verkeerde kant van een aanwijzingsbesluit kan komen, is die keuze nu zelf onderdeel van uw toeleveringsketenrisico. Voor modulekeuze terwijl CSA-verankerde schema's nog in ontwerp zijn, zie de beslissingsgids voor conformiteitsbeoordeling.

Single Entry Point voor incidentmelding

Het Commissievoorstel verplicht ENISA om het bestaande Single Reporting Platform (het platform dat is opgezet onder CRA Artikel 16, lid 1, van Verordening (EU) 2024/2847) te onderhouden en uit te breiden tot een Single Entry Point dat incidentmeldingen consolideert over NIS2, CRA, DORA en andere Uniehandelingen. Dit is een uitbreiding van een bestaand CRA-instrument, geen nieuwe vondst van CSA2. Fabrikanten die hun CRA-meldproces nu inrichten, doen er goed aan dat vanaf het begin regelgevingsneutraal te ontwerpen.

Cyberpostuur en CRA-conformiteit, eerlijk bekeken

Het cyber-postuurschema is het kernmechanisme waarmee de Commissie betoogt dat "één certificering, meerdere regelgevingen" haalbaar is. Dat is beleidsrichting, geen vastgelegde bepaling. Twee dingen liggen nog niet vast: of de lidstaten in de onderhandelingen de koppeling tussen certificering en NIS2 aanvaarden, en hoe de uitvoeringsverordening voor maximale harmonisatie zich zal verhouden tot de nationale NIS2-omzettingen. Dezelfde vraag bepaalt of een toekomstig CRA-verankerd CSA-schema fabrikanten zou ontslaan van afzonderlijke beoordelingen onder Bijlage VIII, of er slechts naast komt te staan. Wij volgen dit in de veldnotities van de ENISA-conferentie.

Wat openstaat, los van de tijdlijn

Wordt CSA2 vóór de volledige toepassing van de CRA aangenomen?

De volledige toepassing van de CRA staat vast op 11 december 2027. CSA2 is op 20 januari 2026 gepubliceerd onder de gewone wetgevingsprocedure (2026/0011 (COD)). Drie maanden verder ligt het dossier in commissie- en Raadswerkgroepfase. De trialoog is nog maanden weg. Aanname vóór de volledige toepassing van de CRA is mogelijk, maar niet zeker, en de effectbeoordeling legt zich niet vast op een datum.

Veelgestelde vragen

Is CSA2 hetzelfde als de Cyber Resilience Act?

Nee. De CRA (Verordening (EU) 2024/2847) regelt cybersecurityvereisten voor producten met digitale elementen die op de EU-markt worden gebracht. CSA2 (COM(2026) 11 final) herziet het cybersecuritycertificeringskader van de Unie, creëert een horizontaal kader voor de ICT-toeleveringsketen en versterkt het mandaat van ENISA. Het zijn afzonderlijke instrumenten. CSA2 wijzigt de CRA-verplichtingen of -termijnen niet. Wel verandert het de certificeringsroutes en leveranciersregels die een CRA-fabrikant kan of moet gebruiken. Voor de implementatietijdlijn van de CRA, zie onze CRA-implementatietijdlijn 2025-2027.

Wanneer treedt CSA2 in werking?

Het voorstel is op 20 januari 2026 gepubliceerd onder de gewone wetgevingsprocedure. Drie maanden verder ligt het dossier in een vroege fase van behandeling in het Parlement en de Raad. De trialoog is op zijn vroegst maanden weg, en aanname hangt af van de uitkomsten van de onderhandelingen. De Commissie heeft zich niet vastgelegd op een datum. Volg de voortgang via de EUR-Lex-procedurevolger voor 2026/0011 (COD) en via onze terugblik op de ENISA Certification Conference 2026.

Verandert CSA2 mijn CRA-verplichtingen of -termijnen?

Nee. De CRA-meldverplichtingen beginnen in september 2026 en de volledige toepassing blijft 11 december 2027. CSA2 zal, indien aangenomen, aanvullende certificeringsroutes introduceren die later kunnen worden gebruikt om CRA-conformiteit aan te tonen. Daarnaast komen er regels voor de toeleveringsketen die bepalen welke conformiteitsbeoordelingsinstanties en welke leveranciers een fabrikant rechtmatig kan inzetten. Plan tot CSA2 is aangenomen tegen de CRA zoals die nu staat. Zie de beslissingsgids voor conformiteitsbeoordeling.

Dekt één Europese cybersecuritycertificering CRA, NIS2 en DORA tegelijk?

Dat is de uitgesproken beleidsrichting van de Commissie. Het is geen vastgelegde bepaling. Fohrenbach (DG CONNECT) noemde op de ENISA-conferentie van 15 April 2026 de koppeling tussen cyber-postuurcertificering en NIS2-naleving "onderwerp van onderhandeling" met de lidstaten. Voor toekomstige CSA-schema's wordt de afstemming op bestaande wetgeving al vanaf de aanvraagfase ingebouwd; voor de EUCC gebeurt dat achteraf. Behandel dit als beleidsrichting, niet als feit waarop u vandaag een complianceplan kunt baseren.

Wat is het cyber-postuurschema?

Een voorgesteld CSA2-schema waarmee entiteiten (geen producten) hun algehele cybersecurityrisicobeheermaatregelen kunnen laten certificeren (Overwegingen 92 tot en met 94 van COM(2026) 11 final). Het is het paradepaardje voor de uitbreiding van de reikwijdte van het ECCF naar entiteiten. De Commissie ziet het als route voor NIS2-plichtige entiteiten om naleving van risicobeheerverplichtingen aan te tonen, met maximale harmonisatie via een uitvoeringsverordening die op de nationale NIS2-omzettingen rust. De mechanismen die dit robuust moeten maken in 27 lidstaten zijn nog open onderhandelingspunten.

Mijn product gebruikt componenten van een niet-EU-leverancier. Moet ik nu al iets met het toeleveringsketenkader doen?

Ja, op twee specifieke manieren, los van de aanname van CSA2. Breng eerst het land van herkomst van componenten in uw SBOM's in kaart. De CRA verwacht dit al onder Artikel 13; CSA2 verhoogt de gevolgen als u dat niet kunt. Als u verkoopt aan telecom of een sector onder NIS2 Bijlage I of II, identificeer dan de blootstelling aan leveranciers die plausibel kunnen worden aangewezen, en start een plan voor alternatieve bronnen. Herontwerp uw CRA-conformiteitsstrategie pas op CSA2 zodra het is aangenomen. Zie de SBOM-generatiegids en de verificatiegids voor importeurs.

Heeft CSA2 invloed op de EUCC, en helpt de EUCC bij CRA?

CSA2 houdt de EUCC en de andere aangenomen schema's in stand. Daarnaast heeft de Commissie aangegeven vóór eind 2026 te willen vastleggen hoe de EUCC kan worden gebruikt om conformiteit met de CRA aan te tonen. ENISA voert 18 pilots uit over EUCC-naar-CRA-vermoeden van conformiteit (Fohrenbach, DG CONNECT, ENISA-conferentie 15 April 2026). Voor het meest productrelevante CRA-aanverwante schemawerk tot nu toe, zie onze analyse van het EUDI Wallet-schema.

Wat zijn de sancties onder CSA2?

Artikel 115 stelt de sanctieplafonds voor inbreuken op Titel IV (toeleveringsketen) vast als percentage van de wereldwijde jaaromzet, zonder vast EUR-plafond: 1% voor inbreuken op samenwerkingsverplichtingen onder Artikel 103, lid 2, onder a), 2% voor de overige inbreuken op de mitigerende maatregelen onder Artikel 103, lid 2, en 7% voor primaire mitigatie-inbreuken onder Artikel 103, lid 1, en de telecom-specifieke verboden onder Artikel 111. Inbreuken onder Titel III (certificeringskader) worden door de lidstaten bestraft zonder EU-breed plafond; Artikel 97 vereist alleen dat sancties "doeltreffend, evenredig en afschrikkend" zijn.

Volgende stappen

Wat dit kwartaal te doen

  1. Lees de voorstelpagina van de Commissie voor COM(2026) 11 final en de bijbehorende effectbeoordeling.
  2. Verkoopt u aan telecom (mobiele, vaste of satellietnetwerken)? Identificeer dan blootstelling aan componenten van leveranciers met een hoog risico onder Bijlage II en start nu, onder voorbehoud van aanname, een vervangingsplan van 36 maanden.
  3. Breng het land van herkomst van componenten in uw SBOM's in kaart. De CRA verwacht dit al onder Artikel 13; CSA2 verhoogt de prijs als u dat verkeerd doet. SBOM-generatiegids.
  4. Herontwerp uw CRA-conformiteitsstrategie nog niet op een toekomstig cyber-postuurschema of EUCC-naar-CRA-schema. Blijf op het modulepad van Bijlage VIII. Beslissingsgids voor conformiteitsbeoordeling.
  5. Volg de trialoog en de mijlpaal EUCC-naar-CRA eind 2026 via onze terugblik op de ENISA Certification Conference 2026.

Dit artikel dient uitsluitend ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancevraagstukken een gekwalificeerd jurist. Primaire bronnen: COM(2026) 11 final en de bijlagen, bijbehorende effectbeoordeling SWD(2026) 11 final, beschikbaar in de bibliotheek van de Europese Commissie Digital Strategy.

CRA Compliance Toeleveringsketen Certification
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
Productclassificatie

Hoe de CRA producten indeelt op risiconiveau en wat elke categorie betekent voor de verplichtingen.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
View full CRA compliance guide