EU Cyber Resilience Act: complete implementatietijdlijn 2025-2027

De EU Cyber Resilience Act (Verordening 2024/2847) vertegenwoordigt de meest significante cyberbeveiligingswetgeving voor producten met digitale elementen (PDE's) in de Europese Unie. Met handhaving die in 2025 begint en volledige compliance vereist tegen december 2027, moeten fabrikanten de tijdlijn begrijpen en zich dienovereenkomstig voorbereiden.

Deze gids behandelt elke mijlpaal, biedt uitvoerbare voorbereidingschecklists en sectorspecifieke richtlijnen om u te helpen het compliancetraject te navigeren.

Belangrijkste datums in een oogopslag

Waarschuwing: September 2026 is de eerste harde deadline. Kwetsbaarheidsrapportage aan ENISA wordt verplicht — fabrikanten moeten klaar zijn om actief misbruikte kwetsbaarheden binnen 24 uur te melden.

Fase 1: Nu tot september 2026

Dit is uw voorbereidingsvenster. Hoewel er nog geen handhavingsverplichtingen zijn, is deze periode cruciaal voor het leggen van de fundamenten van compliance.

Wat u nu zou moeten doen

1. Productinventarisatie en -classificatie

Begin met het catalogiseren van elk product met digitale elementen dat u op de EU-markt plaatst:

• Consument-IoT-apparaten (slim huis, wearables, huishoudapparaten)
• Industriële apparatuur met netwerkverbinding
• Softwareproducten die in de EU worden verkocht of verspreid
• Embedded systems en firmware

Bepaal voor elk product de CRA-classificatie (Standaard, Belangrijk Klasse I, Belangrijk Klasse II of Kritisch) omdat dit uw conformiteitsboordelingsvereisten beïnvloedt.

2. SBOM-infrastructuur

Software Bills of Materials zijn verplicht onder de CRA. Bouw nu uw SBOM-capaciteit:

• Integreer SBOM-generatie in uw CI/CD-pipeline
• Kies een standaardformaat (CycloneDX of SPDX)
• Zorg voor dekking van transitieve afhankelijkheden
• Stel SBOM-opslag en versieregistratie in

3. Instellen van kwetsbaarheidsmonitoring

Stel vóór de deadline van september 2026 uw kwetsbaarheidsdetectiecapaciteit in:

• Abonneer op kwetsbaarheidsdatabases (NVD, OSV, leveranciersadviezen)
• Implementeer geautomatiseerde scanning van uw SBOM-componenten
• Creëer interne escalatieprocedures
• Test uw notificatieworkflows

Checklist fase 1

CHECKLIST FASE 1 (nu — september 2026)

PRODUCTINVENTARIS:
[ ] Volledige lijst van PDE's die in de EU worden verkocht
[ ] CRA-classificatie voor elk product
[ ] Producten die beoordeling door derde partij vereisen identificeren
[ ] Huidige supportperiodeverplichtingen documenteren

SBOM-FUNDAMENT:
[ ] SBOM-generatietool geselecteerd en geïntegreerd
[ ] Formaat gestandaardiseerd (CycloneDX/SPDX)
[ ] Dekking van transitieve afhankelijkheden geverifieerd
[ ] SBOM-opslag met versiebeheer ingesteld

KWETSBAARHEIDSGEREEDHEID:
[ ] Monitoringsystemen aanwezig
[ ] Interne escalatieprocedures gedocumenteerd
[ ] ENISA-notificatiesjablonen voorbereid
[ ] Incidentresponsworkflow testen

DOCUMENTATIEBASIS:
[ ] Bestaande technische documentatie geauditeerd
[ ] Gapanalyse ten opzichte van Bijlage VII-vereisten
[ ] Risicobeoordelingsmethodologie geselecteerd
[ ] Documentatiesjablonen aangemaakt

Fase 2: September 2026 — kwetsbaarheidsrapportage actief

De eerste grote compliance-deadline valt in september 2026, wanneer kwetsbaarheidsrapportageverplichtingen van kracht worden voor alle fabrikanten.

De 24-uursregel

Vanaf september 2026 moet elke actief misbruikte kwetsbaarheid in uw producten binnen 24 uur na ontdekking worden gemeld aan ENISA. Dit is geen suggestie; het is een wettelijke vereiste.

De rapportagetijdlijn is als volgt:

Wat "actief misbruikt" betekent

Een kwetsbaarheid wordt als actief misbruikt beschouwd wanneer er betrouwbare aanwijzingen zijn dat kwaadaardige code door een aanvaller is uitgevoerd op een systeem zonder toestemming van de systeemeigenaar. Dit omvat:

• Bevestigde aanvallen in het wild
• Proof-of-concept met bewijs van actief gebruik
• Misbruik gerapporteerd door beveiligingsonderzoekers
• Detectie in honeypots of feeds met dreigingsintelligentie

Uw kwetsbaarheidsworkflow voorbereiden

Om aan deze strikte deadlines te voldoen, heeft u robuuste processen nodig:

Interne detectie

• Beveiligingsmonitoring op uitgerold product
• Reacties op bug bounty-programma
• Ontdekkingen via interne beveiligingstests

Externe bronnen

• CVE-databasemeldingen
• Beveiligingsadviezen van leveranciers
• Klantgemelde problemen
• Openbaarmakingen door beveiligingsonderzoekers

Escalatiepad

• Definieer wie een 24-uurs notificatie kan triggeren
• Goedkeur notificatiesjablonen vooraf
• Stel weekend-/vakantiedekking in
• Maak reservecontacten voor sleutelpersoneel

Checklist fase 2

CHECKLIST FASE 2 (september 2026 actief)

ENISA-RAPPORTAGE:
[ ] ENISA-notificatieaccount geregistreerd
[ ] Sjablonen goedgekeurd en gereed
[ ] 24/7 escalatiepad ingesteld
[ ] Juridische beoordeling van notificatieproces voltooid

KWETSBAARHEIDSBEHEER:
[ ] Actieve monitoring voor alle producten
[ ] CVE/NVD-integratie operationeel
[ ] Intern beveiligingsadviesproces actief
[ ] Klantnotificatiesjablonen gereed

COÖRDINATIE:
[ ] Beveiligingsteam getraind op CRA-vereisten
[ ] Escalatieprocedures voor management gedocumenteerd
[ ] Juridisch team geïnformeerd over rapportageverplichtingen
[ ] PR/communicatie voorbereid voor openbaarmakingen

Fase 3: December 2027 — volledige compliance

Tegen december 2027 moeten alle producten met digitale elementen die op de EU-markt worden geplaatst volledig voldoen aan CRA-vereisten. Dit is de harde deadline, en niet-conforme producten mogen na deze datum niet meer legaal in de EU worden verkocht.

Essentiële cyberbeveiligingseisen (Bijlage I)

Elk conform product moet aantonen:

Beveiliging by design

• Passend beveiligingsniveau op basis van risicobeoordeling
• Bescherming tegen ongeautoriseerde toegang
• Vertrouwelijkheid van opgeslagen, verzonden en verwerkte gegevens
• Integriteit van gegevens, opdrachten en configuraties
• Beschikbaarheid van essentiële functies

Beveiligde standaardinstellingen

• Producten geleverd in beveiligde configuratie
• Standaardwachtwoorden verboden (uniek per apparaat vereist)
• Minimaal aanvalsoppervlak out of the box
• Beveiligingsfuncties standaard ingeschakeld

Updatecapaciteit

• Beveiligd en betrouwbaar updatemechanisme
• Beveiligingsupdates scheiden van functie-updates
• Door gebruiker controleerbare updatevoorkeuren
• Updateverificatie en terugrolcapaciteit

Kwetsbaarheidsbeheer

• Proces voor het identificeren en documenteren van kwetsbaarheden
• Tijdige herstel van ontdekte kwetsbaarheden
• Gratis beveiligingsupdates gedurende de supportperiode
• Beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking

Technische documentatie (Bijlage VII)

Elk product heeft een uitgebreid technisch dossier nodig dat bevat:

Checklist fase 3

CHECKLIST FASE 3 (deadline december 2027)

PRODUCTCOMPLIANCE:
[ ] Alle producten voldoen aan Bijlage I-vereisten
[ ] Conformiteitsbeoordelingen voltooid
[ ] CE-markering correct aangebracht
[ ] EU-conformiteitsverklaring opgesteld

TECHNISCH DOSSIER:
[ ] Risicobeoordelingsdocumentatie compleet
[ ] SBOM actueel en gevalideerd
[ ] Conformiteitsbewijs georganiseerd
[ ] Supportperiode verklaard (minimaal 5 jaar)

MARKTPLAATSING:
[ ] Producten geregistreerd waar vereist
[ ] Keten van importeur/distributeur geïnformeerd
[ ] Klantgerichte documentatie bijgewerkt
[ ] Supportinfrastructuur gereed

DOORLOPENDE PROCESSEN:
[ ] Kwetsbaarheidsmonitoring actief
[ ] Updatemechanisme operationeel
[ ] Incidentrespons getest
[ ] Jaarlijkse beoordeling gepland

Diepgaande productclassificatie

Uw conformiteitsboordelingsverplichtingen zijn afhankelijk van uw productclassificatie:

Standaardcategorie

Voorbeelden: Eenvoudige consument-IoT, basale softwareapplicaties, niet-netwerkapparaten

Beoordeling: Zelfbeoordeling op basis van interne controle

• Geen betrokkenheid van derden vereist
• U documenteert compliance intern
• Meest kosteneffectieve pad

Belangrijk Klasse I

Voorbeelden: Identiteitsbeheersoftware, VPN's, netwerkbeheertools, wachtwoordmanagers, browsers

Beoordeling: Keuze uit zelfbeoordeling met geharmoniseerde normen OF beoordeling door derde partij

• Als geharmoniseerde normen bestaan en u ze volgt: zelfbeoordeling
• Anders: gecertificeerde conformiteitsinstantie vereist

Belangrijk Klasse II

Voorbeelden: Firewalls, inbraakdetectiesystemen, tamperbestendige microprocessors, beveiligde elementen

Beoordeling: Verplichte beoordeling door derde partij

• Moet gecertificeerde conformiteitsbeoordelingsinstantie gebruiken
• Hogere controle- en documentatievereisten
• Plan voor langere beoordelingstijdlijnen

Kritische categorie

Voorbeelden: Slimme meters, industriële besturingssystemen, hardware security modules (HSM's)

Beoordeling: EU-typeonderzoek vereist

• Meest strenge vereisten
• Betrokkenheid aangemelde instantie verplicht
• Verwacht 6-12 maanden voor beoordelingsproces

Branchespecifieke richtlijnen

Fabrikanten van consumentenelektronica

Tijdlijnprioriteit: Focus eerst op SBOM-automatisering. Consumentenproducten hebben doorgaans complexe toeleveringsketens met meerdere componentleveranciers.

Grootste uitdaging: Firmware-updates beheren over diverse apparaatpopulaties. Stel OTA-update-infrastructuur vroeg in.

Snelle winst: Begin met één productlijn als pilot voor CRA-compliance, schaal vervolgens processen naar uw volledige portfolio.

Softwareuitgevers

Tijdlijnprioriteit: Kwetsbaarheidsrapportageprocessen zijn het meest kritiek. Softwarekwetsbaarheden worden vaker ontdekt dan hardwareproblemen.

Grootste uitdaging: Afhankelijkheden bijhouden in moderne softwarestacks met honderden transitieve afhankelijkheden.

Snelle winst: Integreer SBOM-generatie in bestaande CI/CD-pipelines. Dit biedt onmiddellijke waarde voor beveiliging en compliance.

Fabrikanten van industriële apparatuur

Tijdlijnprioriteit: Productclassificatie en planning van beoordeling door derde partij. Industriële producten vallen vaak in Belangrijk Klasse II of Kritisch.

Grootste uitdaging: Lange productlevenscycli (10-20 jaar) die voldoen aan minimumvereisten van 5 jaar support.

Snelle winst: Documenteer bestaande beveiligingsfuncties. Industriële apparatuur heeft vaak beveiligingsmaatregelen die alleen formele documentatie nodig hebben.

Fabrikanten van IoT-apparaten

Tijdlijnprioriteit: Beveiligde updatemechanismen en eliminatie van standaardreferenties.

Grootste uitdaging: Resourcebeperkte apparaten kunnen moeite hebben met beveiligingsupdatevereisten.

Snelle winst: Adresseer het standaardwachtwoordprobleem onmiddellijk. Het is een duidelijke CRA-overtreding en relatief eenvoudig op te lossen.

Veelgemaakte fouten

Belangrijk: De deadline van december 2027 lijkt ver weg, maar beoordelingen door derde partijen kunnen 4-10 maanden duren. Producten die betrokkenheid van aangemelde instanties vereisen, moeten NU beginnen.

Te laat beginnen

De deadline van december 2027 lijkt ver weg, maar:

• Voorbereiding van technische dossiers duurt 6-12 maanden
• Beoordelingen door derde partijen kunnen 3-6 maanden duren
• Proceswijzigingen hebben tijd nodig om te verankeren
• Updates van toeleveringsketens vereisen coördinatie

SBOM-vereisten onderschatten

Een eenvoudige lijst van directe afhankelijkheden is niet voldoende. De CRA vereist:

• Volledige transitieve afhankelijkheden
• Nauwkeurige versie-informatie
• Machineleesbaar formaat
• Regelmatige updates naarmate producten veranderen

De supportperiode negeren

De minimale supporttoezegging van 5 jaar betekent:

• Beveiligingsupdates gedurende minimaal 5 jaar
• Kwetsbaarheidsrespons gedurende 5 jaar
• Bewaring van documentatie gedurende 5 jaar
• Dienovereenkomstige budget- en resourceplanning

Hoe CRA Evidence helpt

CRA Evidence biedt een compleet platform voor het beheren van uw CRA-compliancetraject:

• SBOM-beheer: SBOM's uploaden, valideren en bijhouden met TR-03183-kwaliteitsbeoordeling
• Kwetsbaarheidsregistratie: Automatische scanning met ENISA-deadlineregistratie en 24-uursmeldingen
• Technisch dossier-export: Bijlage VII-conforme documentatiepakketten genereren
• Compliance-dashboard: Gereedheid bijhouden over uw volledige productportfolio
• Audittrail: Volledige traceerbaarheid voor conformiteitsbeoordelingen en kwetsbaarheidsreacties

De deadline van december 2027 lijkt ver weg, maar het bouwen van conforme processen kost tijd. Start vandaag uw CRA-gereedheidscheck.

Classificatie: Bepaal uw productcategorie met onze productclassificatiegids.

SBOM: Bouw uw SBOM-infrastructuur met onze SBOM-vereistengids.

Rapportage: Lees meer over de 24-uursregel in onze ENISA-kwetsbaarheidsrapportagegids.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.