CRA versus ISO 27001: hoe uw ISMS productbeveiligingscompliance ondersteunt

Veel fabrikanten hebben al ISO 27001-certificering voor hun informatiebeveiligingsbeheerssysteem. Helpt dit bij CRA-compliance? Het korte antwoord: ja, maar het is niet voldoende. ISO 27001 richt zich op organisatiebeveiliging, terwijl de CRA zich richt op productbeveiliging. Ze vullen elkaar aan maar vervangen elkaar niet.

Deze gids legt de relatie tussen ISO 27001 en CRA uit.

Samenvatting

• ISO 27001 = organisatie-/bedrijfsbeveiligingsbeheer
• CRA = productcyberbeveiligingsvereisten
• ISO 27001 staat NIET gelijk aan CRA-compliance
• ISO 27001 biedt een goede basis voor beveiligde ontwikkelingsprocessen
• CRA vereist productspecifiek bewijs (SBOM, kwetsbaarheidsafhandeling, CE-markering)
• Beide samen = sterke algehele beveiligingspositie

De verschillende toepassingsgebieden begrijpen

Wat ISO 27001 dekt

ISO 27001 is een norm voor een informatiebeveiligingsbeheerssysteem (ISMS) dat het volgende dekt:

Maatregelen op organisatieniveau:

• Informatiebeveiligingsbeleid
• Activabeheer
• Toegangscontrole (tot systemen en gegevens)
• Gebruik van cryptografie
• Fysieke beveiliging
• Operationele beveiliging
• Communicatiebeveiliging
• Leveranciersrelaties
• Incidentbeheer
• Bedrijfscontinuïteit
• Compliancebeheer

Focus: Bescherming van de informatiemiddelen van uw organisatie

Wat CRA dekt

CRA is een productverordening die het volgende dekt:

Vereisten op productniveau:

• Security-by-design in producten
• Geen bekende exploiteerbare kwetsbaarheden
• Beveiligde standaardconfiguratie
• Bescherming tegen ongeautoriseerde toegang (in product)
• Gegevensbescherming (door product)
• Updatecapaciteit (van product)
• Kwetsbaarheidsafhandeling (voor product)
• SBOM voor productcomponenten
• CE-markering en conformiteitsbeoordeling

Focus: Zorgen dat de producten die u verkoopt beveiligd zijn

Het fundamentele verschil

ISO 27001 VS. CRA-TOEPASSINGSGEBIED

ISO 27001:
"Hoe beheert uw ORGANISATIE beveiliging?"
┌─────────────────────────────────────────────┐
│ Uw bedrijf                                  │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │ Systemen│ │ Gegevens│ │ Mensen  │        │
│ └─────────┘ └─────────┘ └─────────┘        │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │ Processen│ │ Netwerk │ │Facilit.│        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

CRA:
"Hoe beveiligd zijn de PRODUCTEN die u verkoopt?"
┌─────────────────────────────────────────────┐
│ Uw producten (verkocht aan klanten)         │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Product A│ │Product B│ │Product C│        │
│ └─────────┘ └─────────┘ └─────────┘        │
│                                             │
│ Elk product moet voldoen aan CRA-vereisten  │
└─────────────────────────────────────────────┘

Gedetailleerde vereistenmapping

Waar ISO 27001 CRA helpt

Waar ISO 27001 tekortschiet

Samenvatting kloofsanalyse

ISO 27001 → CRA KLOOFSANALYSE

STERKE BASIS (ISO 27001 helpt significant):
✓ Beveiligingscultuur en -bewustzijn
✓ Risicobeheersmethodologie
✓ Incidentresponscapaciteit
✓ Beveiligingsbeheer leveranciers
✓ Beleid beveiligde ontwikkelingslevenscyclus
✓ Kader voor toegangscontrole
✓ Documentatiepraktijken

GEDEELTELIJKE DEKKING (ISO 27001 helpt maar is niet voldoende):
◐ Kwetsbaarheidsbeheer (organisatie vs. productfocus)
◐ Cryptografie (beleid vs. implementatie)
◐ Beveiligingstests (enterprise vs. product)
◐ Wijzigingsbeheer (IT vs. product)

HIATEN (CRA-specifiek, niet in ISO 27001):
✗ SBOM-generatie en -onderhoud
✗ Productconformiteitsbeoordeling
✗ CE-markeringsproces
✗ ENISA-kwetsbaarheidsrapportage
✗ Productspecifiek technisch dossier
✗ Toezegging supportperiode van 5 jaar
✗ Verificatie beveiligde standaardconfiguratie
✗ Vereisten productupdatemechanisme

ISO 27001 benutten voor CRA

Gebruik uw ISMS als basis

Als u ISO 27001-gecertificeerd bent, heeft u sterke fundamenten om op te bouwen:

ISO 27001 BENUTTEN VOOR CRA

1. BESTAANDE PROCESSEN UITBREIDEN:

   ISO 27001-proces             →  CRA-uitbreiding
   ─────────────────────────────────────────────
   Risicobeoordeling (6.1)      →  Productrisicobeoordeling
   Kwetsbaarheidsbeheer (A.8.8) →  Productkvetsbaarheidsbeheer
   Leveranciersbeheer (A.5.19-22) → SBOM van leveranciers
   Incidentbeheer (A.5.24-26)   →  ENISA-rapportage
   Beveiligde ontwikkeling (A.8.25-28) → Productbeveiligingstests

2. CRA-SPECIFIEKE ELEMENTEN TOEVOEGEN:

   Nieuw proces                    Doel
   ─────────────────────────────────────────────
   SBOM-generatie                 Componentregistratie
   Conformiteitsbeoordeling       CE-markering
   Technisch dossier product      Wettelijke documentatie
   Beheer supportperiode          Toezegging 5 jaar
   ENISA-rapportage               Kwetsbaarheidsnotificatie

Praktische integratiestappen

ISO 27001 + CRA-INTEGRATIE

STAP 1: TOEPASSINGSGEBIED UITBREIDEN
- "Productbeveiliging" toevoegen aan ISMS-toepassingsgebied
- Productontwikkeling opnemen in risicobeoordeling
- Activainventaris uitbreiden met productcomponenten

STAP 2: PROCESUPDATES
- Kwetsbaarheidsprocedure bijwerken voor productrapportage
- SBOM toevoegen aan wijzigingsbeheer
- ENISA opnemen in incidentrespons

STAP 3: DOCUMENTATIETOEVOEGINGEN
- Technische dossiers product
- SBOM-gegevens
- Bewijs conformiteitsbeoordeling
- Documentatie supportperiode

STAP 4: ROLLEN EN VERANTWOORDELIJKHEDEN
- Eigenaarschap productbeveiliging toewijzen
- Verantwoordelijkheid ENISA-rapportage definiëren
- Eigenaarschap SBOM-onderhoud vaststellen

ISO 27001 Bijlage A-maatregelen en CRA

Meest relevante maatregelen

A.8.25 Beveiligde ontwikkelingslevenscyclus

• ISO 27001: Beleid voor beveiligde ontwikkeling
• CRA-gebruik: Basis voor productbeveiligingsvereisten

A.8.26 Toepassingsbeveiligingsvereisten

• ISO 27001: Beveiligingsvereisten in ontwikkeling
• CRA-gebruik: Basis voor essentiële productvereisten

A.8.27 Beveiligde systeemarchitectuur

• ISO 27001: Principes voor beveiligde architectuur
• CRA-gebruik: Productbeveiligingsarchitectuur

A.8.28 Beveiligd coderen

• ISO 27001: Beveiligde codeerpraktijken
• CRA-gebruik: Beveiliging productcode

A.8.8 Beheer van technische kwetsbaarheden

• ISO 27001: Kwetsbaarheidsafhandeling op organisatieniveau
• CRA-gebruik: Uitbreiden naar productkwetsbaarheden + ENISA-rapportage

A.5.19-22 Leveranciersrelaties

• ISO 27001: Beveiligingsbeheer leveranciers
• CRA-gebruik: SBOM-verzameling van leveranciers, beveiliging toeleveringsketen

Maatregelimplementatie voor CRA

ISO 27001-MAATREGELEN UITBREIDEN VOOR CRA

A.8.8 UITBREIDING KWETSBAARHEIDSBEHEER:

ISO 27001-vereiste:
"Informatie over technische kwetsbaarheden van
informatiesystemen in gebruik moet worden verkregen..."

CRA-uitbreiding:
- Kwetsbaarheden in UW PRODUCTEN monitoren
- Proces voor klantnotificatie implementeren
- ENISA-rapportage implementeren (24u/72u)
- Kwetsbaarheidsstatus per product bijhouden
- VEX-documenten genereren

A.8.25-28 UITBREIDING BEVEILIGDE ONTWIKKELING:

ISO 27001-vereiste:
"Regels voor de ontwikkeling van software en systemen
moeten worden vastgesteld en toegepast..."

CRA-uitbreiding:
- SBOM-generatie opnemen in bouwproces
- "Beveiligd by default"-configuratie verifiëren
- Productbeveiligingsvereisten testen
- Documenteren voor technisch dossier
- Bewijs bijhouden voor conformiteitsbeoordeling

Certificeringsoverwegingen

ISO 27001-certificering ≠ CRA-compliance

Cruciaal begrip:

• ISO 27001-certificering toont volwassenheid in organisatiebeveiliging aan
• CRA-compliance is een wettelijke vereiste per product
• ISO 27001 hebben stelt u NIET vrij van de CRA
• ISO 27001-auditors beoordelen geen CRA-compliance

ISO 27001 gebruiken in CRA-context

HOE TE VERWIJZEN NAAR ISO 27001 IN CRA-DOCUMENTATIE

IN TECHNISCH DOSSIER:
"[Bedrijf] onderhoudt een ISO/IEC 27001:2022-gecertificeerd
Informatiebeveiligingsbeheerssysteem (Certificaat
Nr. XXX, afgegeven door [Certificeringsinstelling]).

Het ISMS biedt de organisatorische grondslag voor
productbeveiliging, waaronder:
- Beveiligde ontwikkelingslevenscyclus (A.8.25-28)
- Kwetsbaarheidsbeheersproces (A.8.8)
- Leveranciersbeveiligingsvereisten (A.5.19-22)

Productspecifieke CRA-compliance is gedocumenteerd in
dit technisch dossier, voortbouwend op deze ISMS-maatregelen."

WAT DIT AANTOONT:
- Volwassenheid in beveiligingsbeheer
- Procesgrondslag bestaat
- Geen vervanging voor productbewijs

Auditsynergieën

ISO 27001- EN CRA-AUDITAFSTEMMING

ISO 27001-TOEZICHTSAUDIT:
- Jaarlijkse beoordeling van ISMS
- Kan toepassingsgebied productbeveiliging omvatten
- Bewijs herbruikbaar voor CRA

CRA-CONFORMITEITSBEOORDELING:
- Productspecifieke evaluatie
- Verwijst naar ISMS voor procesbewijs
- Heeft aanvullend productbewijs nodig

SYNERGIEKANSEN:
- Auditschema's afstemmen
- Bewijs hergebruiken waar van toepassing
- Geïntegreerde beheersysteembenadering
- Één documentatierepository

Veelvoorkomende scenario's

Scenario 1: ISO 27001-gecertificeerd, nieuw bij CRA

SCENARIO: BESTAANDE ISO 27001, NIEUW BIJ CRA

VOORDELEN:
✓ Risicometodologie bestaat
✓ Beveiligingscultuur ingesteld
✓ Documentatiepraktijken aanwezig
✓ Leveranciersbeheer bestaat
✓ Incidentresponscapaciteit

WAT TOE TE VOEGEN:
[ ] Productclassificatie per CRA
[ ] SBOM-generatiecapaciteit
[ ] ENISA-rapportageproces
[ ] Technische dossiers product
[ ] Conformiteitsbeoordelingsproces
[ ] Beheer supportperiode
[ ] Productspecifieke tests

AANPAK:
1. Kloofsanalyse ten opzichte van CRA-vereisten
2. ISMS-toepassingsgebied uitbreiden naar producten
3. CRA-specifieke processen toevoegen
4. Documentatie bijwerken
5. Relevante teams trainen

Scenario 2: Geen ISO 27001, CRA benaderen

SCENARIO: GEEN ISO 27001, CRA-COMPLIANCE NODIG

OPTIES:

OPTIE A: Alleen CRA
- CRA-vereisten direct implementeren
- Productgerichte aanpak
- Kan organisatorische beveiligingsvoordelen missen
- Sneller naar CRA-compliance

OPTIE B: ISO 27001 + CRA
- Beide kaders implementeren
- Sterkere algehele beveiliging
- Meer werk vooraf
- Betere positie op lange termijn

AANBEVELING:
Voor productfabrikanten, overweeg:
- Begin met CRA-vereisten (wettelijke deadline)
- Werk in de loop van de tijd naar ISO 27001
- Benaderingen van het begin af afstemmen

Scenario 3: Meerdere producten, centraal ISMS

SCENARIO: ISMS DAT MEERDERE PRODUCTEN ONDERSTEUNT

AANPAK:

GECENTRALISEERD (ISMS):
- Risicometodologie
- Kwetsbaarheidsafhandelingsproces
- Leveranciersbeheer
- Incidentrespons
- Ontwikkelingsnormen

PER PRODUCT (CRA):
- Technisch dossier
- SBOM
- Conformiteitsbeoordeling
- Productdocumentatie
- Supportperiode

VOORDELEN:
- Efficiënt hergebruik van processen
- Consistente beveiligingsaanpak
- Gecentraliseerde expertise
- Productspecifieke compliance

Integratiekader

Governancemodel

GEÏNTEGREERD GOVERNANCEMODEL

ORGANISATIENIVEAU (ISO 27001):
┌─────────────────────────────────────────────┐
│ Informatiebeveiligingsbeheerssysteem        │
│                                             │
│ - Beveiligingsbeleid                        │
│ - Risicobeheerssysteem                      │
│ - Beveiligingsorganisatie                   │
│ - Bewustzijn en training                    │
└─────────────────────────────────────────────┘
            │
            ▼
PRODUCTNIVEAU (CRA):
┌─────────────────────────────────────────────┐
│ Productbeveiligingscompliance               │
│                                             │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Product A│ │Product B│ │Product C│        │
│ │- Tech   │ │- Tech   │ │- Tech   │        │
│ │  dossier│ │  dossier│ │  dossier│        │
│ │- SBOM   │ │- SBOM   │ │- SBOM   │        │
│ │- DoC    │ │- DoC    │ │- DoC    │        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

Checklist: ISO 27001-organisatie die CRA toevoegt

ISO 27001 → CRA COMPLIANCECHECKLIST

BEOORDELING:
[ ] Huidig ISMS-toepassingsgebied beoordelen
[ ] Producten met digitale elementen identificeren
[ ] Producten classificeren per CRA-categorieën
[ ] Kloofsanalyse: ISMS vs. CRA-vereisten

TOEPASSINGSGEBIED UITBREIDEN:
[ ] Productbeveiliging toevoegen aan ISMS-toepassingsgebied
[ ] Risicobeoordeling bijwerken om producten op te nemen
[ ] Verklaring van toepasselijkheid uitbreiden

PROCESTOEVOEGINGEN:
[ ] SBOM-generatieproces
[ ] ENISA-rapportageprocedure
[ ] Conformiteitsbeoordelingsproces
[ ] Beheer supportperiode
[ ] Procedure technisch dossier product

DOCUMENTATIE:
[ ] Sjablonen voor technisch dossier
[ ] Sjabloon productrisicobeoordeling
[ ] SBOM-formaat en -opslag
[ ] Sjabloon conformiteitsverklaring

MAATREGELUITBREIDINGEN:
[ ] A.8.8 — Productkwetsbaarheden toevoegen
[ ] A.8.25-28 — Productbeveiligingstests toevoegen
[ ] A.5.19-22 — SBOM van leveranciers toevoegen

ROLLEN:
[ ] Eigenaar productbeveiliging toewijzen
[ ] Verantwoordelijkheid ENISA-rapportage definiëren
[ ] Rol conformiteitsbeoordeling vaststellen

TRAINING:
[ ] CRA-bewustzijn voor ontwikkelteams
[ ] Training SBOM-tools
[ ] Training conformiteitsbeoordeling

Belangrijk: ISO 27001-certificering staat NIET gelijk aan CRA-compliance. ISO 27001 dekt informatiebeveiligingsbeheer van de organisatie; de CRA vereist productspecifieke conformiteitsbeoordeling.

Gerelateerde gidsen:

• Het CRA-technisch dossier: wat er in elke sectie staat (Bijlage VII-overzicht)
• CRA-conformiteitsbeoordeling: beslissingsgids Module A vs. B+C vs. H

Hoe CRA Evidence helpt

CRA Evidence is een aanvulling op uw ISO 27001-ISMS:

• Kloofsanalyse: Identificeer wat uw ISMS niet dekt
• Productfocus: CRA-compliance per product beheren
• SBOM-integratie: Componentregistratie die uw ISMS niet biedt
• Technische dossiers: CRA-specifieke documentatie
• Bewijskoppeling: Verwijs naar ISMS-maatregelen in CRA-documentatie

Start uw CRA-compliance op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.