CRA vs ISO 27001: de compliance-lacunes die uw ISMS niet dekt
ISO 27001 dekt de CRA niet. Deze gids toont precies waar uw ISMS helpt, waar het tekortschiet en wat u nodig heeft voor de deadline van 2027.
In dit artikel
- Samenvatting
- Wat dekt ISO 27001 vergeleken met wat de CRA vereist?
- Waar ISO 27001 helpt bij CRA en waar het tekortschiet
- Hoe u ISO 27001 kunt benutten voor CRA
- ISO 27001 Bijlage A-beheersmaatregelen en CRA
- Telt ISO 27001-certificering mee voor CRA-conformiteitsbeoordeling?
- Drie veelvoorkomende scenario's voor ISO 27001 + CRA
- Checklist: ISO 27001-organisatie die CRA toevoegt
- Officiële ISO 27001- en CRA-bronnen
- Veelgestelde vragen
- Volgende stappen
Als uw bedrijf ISO 27001-gecertificeerd is, denkt u misschien dat u goed gepositioneerd bent voor de Cyber Resilience Act (CRA). Dat is niet zo. Niet zonder aanzienlijk aanvullend werk.
ISO 27001 beschermt de informatiemiddelen van uw organisatie. De Cyber Resilience Act (Verordening (EU) 2024/2847) vereist dat elk product met digitale elementen dat u op de EU-markt brengt, secure by design is, geleverd wordt met een software bill of materials (SBOM) en ondersteund wordt met beveiligingsupdates gedurende de verwachte levensduur. Dit zijn verplichtingen op productniveau, geen organisatorische. Niet-naleving kan leiden tot boetes tot EUR 15 miljoen of 2,5% van de wereldwijde jaaromzet (Art. 64). Zie de gids over CRA-sancties.
De meldingsverplichtingen van Artikel 14 gaan in op 11 september 2026. Volledige compliance is vereist per 11 december 2027. Zie de volledige CRA-implementatietijdlijn.
Deze gids over ISO 27001 vs CRA brengt precies in kaart waar uw ISMS helpt, waar het tekortschiet en wat u moet toevoegen.
Samenvatting
- ISO 27001 = organisatorisch beheer van informatiebeveiliging
- CRA = productcyberbeveiligingsvereisten (Bijlage I, Verordening (EU) 2024/2847)
- ISO 27001 staat NIET gelijk aan CRA-compliance
- ISO 27001 biedt een fundament voor veilige ontwikkelprocessen
- CRA vereist productspecifiek bewijs: SBOM, kwetsbaarheidsafhandeling, CE-markering
- Beide samen = een sterke algehele beveiligingspositie
Bron: Verordening (EU) 2024/2847, Artikelen 13, 14 en 64.
Wat dekt ISO 27001 vergeleken met wat de CRA vereist?
Wat ISO 27001 dekt
ISO 27001 is een standaard voor een informatiebeveiligingsbeheersysteem (ISMS) met de volgende onderwerpen:
Beheersmaatregelen op organisatieniveau:
- Informatiebeveiligingsbeleid
- Assetbeheer
- Toegangscontrole (tot systemen en gegevens)
- Gebruik van cryptografie
- Fysieke beveiliging
- Operationele beveiliging
- Communicatiebeveiliging
- Leveranciersrelaties
- Incidentbeheer
- Bedrijfscontinuïteit
- Compliancebeheer
Focus: bescherming van de informatiemiddelen van uw organisatie
Wat CRA dekt
CRA is een productverordening die het volgende omvat (Bijlage I):
Vereisten op productniveau:
- Secure by design in producten
- Geen bekende exploiteerbare kwetsbaarheden
- Veilige standaardconfiguratie
- Bescherming tegen ongeautoriseerde toegang (in het product)
- Gegevensbescherming (door het product)
- Updatemogelijkheden (van het product)
- Kwetsbaarheidsafhandeling en ENISA-melding (voor het product)
- SBOM voor productcomponenten (Art. 13, lid 5)
- Beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (Art. 13, lid 6)
- Openbaar contactpunt voor kwetsbaarheden (Art. 13, lid 7)
- CE-markering en conformiteitsbeoordeling
Focus: zorgen dat de producten die u verkoopt veilig zijn
De CRA deelt producten in categorieën: standaard, Belangrijk Klasse I, Belangrijk Klasse II en Kritiek (Bijlage III en IV). Elke categorie brengt andere vereisten voor conformiteitsbeoordeling met zich mee. Een product van Belangrijk Klasse II vereist verplichte beoordeling door een aangemelde instantie, ongeacht uw ISO 27001-certificeringsstatus. Zie de gids voor CRA-productclassificatie.
Het fundamentele verschil
Waar ISO 27001 helpt bij CRA en waar het tekortschiet
Waar ISO 27001 de CRA ondersteunt
| CRA-vereiste | ISO 27001-ondersteuning | Hoe het helpt |
|---|---|---|
| Veilige ontwikkeling | A.8.25-28 (Secure development) | Procesfundament |
| Kwetsbaarheidsafhandeling | A.8.8 (Technical vulnerabilities) | Organisatorisch proces |
| Incidentrespons | A.5.24-26 (Incident management) | Responsvermogen |
| Leveranciersbeheer | A.5.19-22 (Supplier relationships) | Beveiliging toeleveringsketen |
| Toegangscontrole | A.5.15-18, A.8.2-5 | Beveiliging ontwikkelomgeving |
| Cryptografie | A.8.24 (Cryptography) | Cryptografiebeleid als fundament |
| Documentatie | A.5.1 (Policies), 7.5 (Documented info) | Documentatiecultuur |
| Risicobeoordeling | 6.1 (Risk assessment) | Risicomethodologie |
Waar ISO 27001 tekortschiet
| CRA-vereiste | ISO 27001-lacune | Wat ontbreekt |
|---|---|---|
| SBOM | Gedeeltelijk: A.8.26/A.8.28 dekt componentbewustzijn, niet het machine-leesbare SBOM-formaat | Gestandaardiseerde SBOM (SPDX/CycloneDX) per Art. 13, lid 5 |
| CE-markering | Niet gedekt | Conformiteitsbeoordelingsproces |
| Productbeveiligingstests | Beperkt | Productspecifiek testbewijs voor het technisch dossier |
| Secure by default | Niet productgericht | Productconfiguratievereisten |
| Supportperiode | Niet gedekt | Minimaal 5 jaar, of verwachte productlevensduur indien korter (Art. 13, lid 8) |
| ENISA-melding | Niet gedekt | Melding binnen 24 uur / 72 uur en eindrapport aan nationaal CSIRT via Single Reporting Platform (Art. 14) |
| CVD-beleid | Niet gedekt | Gedocumenteerd beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (Art. 13, lid 6) |
| Openbaar kwetsbaarheidscontact | Niet gedekt | Enkel contactpunt voor kwetsbaarheidsmeldingen, bijv. security.txt (Art. 13, lid 7) |
| Gebruikersdocumentatie | Beperkt | Productbeveiligingsinstructies |
| Technisch dossier | Niet gedekt | CRA-documentatieformaat per Bijlage VII |
Samenvatting van de lacuneanalyse
Sterk fundament (ISO 27001 helpt aanzienlijk):
- Beveiligingscultuur en bewustzijn
- Risicobeheermethodologie
- Incidentresponsvermogen
- Leveranciersbeveiligingsbeheer
- Beleid voor veilige ontwikkellevenscyclus
- Toegangscontroleframework
- Documentatiepraktijken
Gedeeltelijke dekking (ISO 27001 helpt maar is niet toereikend):
- Kwetsbaarheidsbeheer (organisatorisch bereik tegenover productbereik)
- Cryptografie (beleid tegenover productimplementatie)
- Beveiligingstests (bedrijfssystemen tegenover producttests)
- Wijzigingsbeheer (IT-wijziging tegenover productwijziging)
- SBOM (componentbewustzijn in A.8.26/A.8.28 tegenover machine-leesbaar SBOM-formaat)
Lacunes (CRA-specifiek, niet gedekt door ISO 27001):
- SBOM-generatie en -onderhoud in een gestandaardiseerd formaat
- Productconformiteitsbeoordeling
- CE-markeringsproces
- Kwetsbaarheidsmelding aan nationaal CSIRT via Single Reporting Platform (Art. 14)
- Productspecifiek technisch dossier (Bijlage VII)
- Toezegging voor supportperiode (Art. 13, lid 8)
- Verificatie van veilige standaardconfiguratie
- Vereisten voor productupdatemechanisme
- Beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (Art. 13, lid 6)
- Openbaar contactpunt voor kwetsbaarheidsmeldingen (Art. 13, lid 7)
Hoe u ISO 27001 kunt benutten voor CRA
Gebruik uw ISMS als fundament
Als u ISO 27001-gecertificeerd bent, heeft u een sterke basis om op voort te bouwen. De sleutel is bestaande processen uitbreiden naar productverplichtingen, in plaats van opnieuw te beginnen.
Bestaande processen uitbreiden:
| ISO 27001-proces | CRA-uitbreiding |
|---|---|
| Risicobeoordeling (6.1) | Productrisicobeoordeling |
| Kwetsbaarheidsbeheer (A.8.8) | Productkwetsbaarheidsafhandeling + CSIRT-melding |
| Leveranciersbeheer (A.5.19-22) | SBOM-verzameling bij leveranciers |
| Incidentbeheer (A.5.24-26) | CSIRT-melding per Art. 14 |
| Veilige ontwikkeling (A.8.25-28) | Productbeveiligingstests en technisch dossier |
Nieuwe processen om toe te voegen:
| Nieuw proces | Doel |
|---|---|
| SBOM-generatie | Componenttracking per Art. 13, lid 5 |
| Conformiteitsbeoordeling | CE-markering |
| Technisch dossier | Regulatoire documentatie per Bijlage VII |
| Supportperiodebeheer | Toezegging per Art. 13, lid 8 |
| ENISA-meldingsprocedure | Kwetsbaarheidsmelding via nationaal CSIRT |
| CVD-beleid | Gecoördineerde openbaarmaking per Art. 13, lid 6 |
Praktische integratiestappen
Stap 1: bereikuitbreiding
- Productbeveiliging toevoegen aan uw ISMS-bereik
- Productontwikkeling opnemen in de risicobeoordeling
- Assetinventaris uitbreiden met productcomponenten
Stap 2: procesupdates
- Kwetsbaarheidsprocedure bijwerken voor productmelding aan nationaal CSIRT via het Single Reporting Platform
- SBOM toevoegen aan wijzigingsbeheer
- De cadans van 24 uur vroege waarschuwing, 72 uur eerste melding en eindrapport opnemen in uw incidentresponsproces
Stap 3: documentatietoevoegingen
- Technische dossiers per product
- SBOM-records
- Bewijs van conformiteitsbeoordeling
- Documentatie van de supportperiode
Stap 4: rollen en verantwoordelijkheden
- Eigenaarschap productbeveiliging toewijzen
- Verantwoordelijkheid voor CSIRT-melding definiëren
- Eigenaarschap SBOM-onderhoud vaststellen
- Eigenaarschap CVD-beleid toewijzen
ISO 27001 Bijlage A-beheersmaatregelen en CRA
Meest relevante beheersmaatregelen
A.8.25 Veilige ontwikkellevenscyclus
- ISO 27001: beleid voor veilige ontwikkeling
- CRA-gebruik: fundament voor productbeveiligingsvereisten (Bijlage I, deel I)
A.8.26 Beveiligingsvereisten voor applicaties
- ISO 27001: beveiligingsvereisten in ontwikkeling
- CRA-gebruik: basis voor essentiële productvereisten; gedeeltelijk fundament voor SBOM-componentinventaris
A.8.27 Veilige systeemarchitectuur
- ISO 27001: principes voor veilige architectuur
- CRA-gebruik: productbeveiligingsarchitectuur
A.8.28 Veilig coderen
- ISO 27001: praktijken voor veilig coderen, inclusief afhankelijkheidstracking
- CRA-gebruik: productcodebeveiliging; gedeeltelijk fundament voor SBOM-componentbewustzijn
A.8.8 Beheer van technische kwetsbaarheden
- ISO 27001: organisatorische kwetsbaarheidsafhandeling
- CRA-gebruik: uitbreiden naar productkwetsbaarheden en melding aan nationaal CSIRT via Single Reporting Platform (Art. 14)
A.5.19-22 Leveranciersrelaties
- ISO 27001: beveiligingsbeheer leveranciers
- CRA-gebruik: SBOM-verzameling bij leveranciers, beveiliging toeleveringsketen
Telt ISO 27001-certificering mee voor CRA-conformiteitsbeoordeling?
Dekt ISO 27001-certificering de CRA-compliance?
Belangrijk inzicht:
- ISO 27001-certificering toont volwassenheid in organisatorische beveiliging
- CRA-compliance is een regulatoire vereiste per product
- ISO 27001 vrijwaart u niet van de CRA
- ISO 27001-auditors beoordelen geen CRA-compliance
De meldingsverplichtingen van Artikel 14 gaan in op 11 september 2026. Volledige compliance is vereist per 11 december 2027. Niet-naleving kan leiden tot boetes tot EUR 15 miljoen of 2,5% van de wereldwijde jaaromzet (Art. 64).
Synergiën bij audits
ISO 27001 surveillance-audit:
- Jaarlijkse beoordeling van het ISMS
- Kan productbeveiligingsbereik omvatten
- Bewijs herbruikbaar voor CRA
CRA-conformiteitsbeoordeling:
- Productspecifieke evaluatie
- Verwijst naar ISMS voor procesbewijs
- Vereist aanvullend productbewijs
Synergiekansen:
- Auditschema's afstemmen
- Bewijs hergebruiken waar van toepassing
- Geïntegreerde managementsysteemaanpak
- Centrale documentatieopslag
Drie veelvoorkomende scenario's voor ISO 27001 + CRA
Scenario 1: ISO 27001-gecertificeerd, CRA starten
Voordelen die u al heeft:
- Risicomethodologie aanwezig
- Beveiligingscultuur gevestigd
- Documentatiepraktijken aanwezig
- Leveranciersbeheer aanwezig
- Incidentresponsvermogen
Wat u nog moet toevoegen:
- [ ] Productclassificatie per CRA (Bijlage III/IV)
- [ ] SBOM-generatiecapaciteit (Art. 13, lid 5)
- [ ] CSIRT-meldingsproces (Art. 14)
- [ ] Technische dossiers per product (Bijlage VII)
- [ ] Conformiteitsbeoordelingsproces
- [ ] Supportperiodebeheer (Art. 13, lid 8)
- [ ] Productspecifieke beveiligingstests
- [ ] CVD-beleid (Art. 13, lid 6)
- [ ] Openbaar kwetsbaarheidscontact (Art. 13, lid 7)
Aanpak:
- Lacuneanalyse ten opzichte van CRA-vereisten
- ISMS-bereik uitbreiden naar producten
- CRA-specifieke processen toevoegen
- Documentatie bijwerken
- Relevante teams trainen
Scenario 2: geen ISO 27001, CRA benaderen
Optie A: alleen CRA
- CRA-vereisten direct implementeren
- Productgerichte aanpak
- Kan organisatorische beveiligingsvoordelen missen
- Sneller pad naar CRA-compliance
Optie B: ISO 27001 + CRA
- Beide frameworks implementeren
- Sterkere algehele beveiligingspositie
- Meer werk vooraf
- Betere positie op lange termijn
Aanbeveling: begin voor productfabrikanten met de CRA-vereisten (de regulatoire deadline staat vast) en werk toe naar ISO 27001. Stem de aanpakken van meet af aan op elkaar af zodat werk niet dubbel gedaan wordt. Zie de CRA-gids voor startups voor een pad met minimale overhead.
Scenario 3: meerdere producten, centraal ISMS
Gecentraliseerd (ISMS):
- Risicomethodologie
- Proces voor kwetsbaarheidsafhandeling
- Leveranciersbeheer
- Incidentrespons
- Ontwikkelstandaarden
Per product (CRA):
- Technisch dossier
- SBOM
- Conformiteitsbeoordeling
- Productdocumentatie
- Supportperiode
Voordelen:
- Efficiënt hergebruik van processen
- Consistente beveiligingsaanpak
- Gecentraliseerde expertise
- Productspecifieke compliance
Checklist: ISO 27001-organisatie die CRA toevoegt
Beoordeling:
- [ ] Huidig ISMS-bereik beoordelen
- [ ] Producten met digitale elementen identificeren
- [ ] Producten classificeren per CRA-categorieën (Bijlage III/IV)
- [ ] Lacuneanalyse: ISMS tegenover CRA-vereisten
Bereikuitbreiding:
- [ ] Productbeveiliging toevoegen aan ISMS-bereik
- [ ] Risicobeoordeling uitbreiden naar producten
- [ ] Toepasselijkheidsverklaring bijwerken
Procestoevoegingen:
- [ ] SBOM-generatieproces (Art. 13, lid 5)
- [ ] CSIRT-meldingsprocedure (Art. 14)
- [ ] Conformiteitsbeoordelingsproces
- [ ] Supportperiodebeheer (Art. 13, lid 8)
- [ ] Procedure technisch dossier (Bijlage VII)
- [ ] CVD-beleid (Art. 13, lid 6)
- [ ] Openbaar kwetsbaarheidscontact instellen (Art. 13, lid 7)
Documentatie:
- [ ] Sjablonen voor technisch dossier
- [ ] Sjabloon productrisicobeoordeling
- [ ] SBOM-formaat en -opslag
- [ ] Sjabloon EU-conformiteitsverklaring
Uitbreiding beheersmaatregelen:
- [ ] A.8.8: productkwetsbaarheden en CSIRT-melding toevoegen
- [ ] A.8.25-28: productbeveiligingstests toevoegen
- [ ] A.5.19-22: SBOM bij leveranciers toevoegen
Rollen:
- [ ] Eigenaar productbeveiliging aanwijzen
- [ ] Verantwoordelijkheid CSIRT-melding definiëren
- [ ] Rol conformiteitsbeoordeling vaststellen
- [ ] Eigenaar CVD-beleid aanwijzen
Training:
- [ ] CRA-bewustzijn voor ontwikkelteams
- [ ] Training SBOM-tools
- [ ] Training conformiteitsbeoordeling
Officiële ISO 27001- en CRA-bronnen
ISO 27001:
- ISO/IEC 27001:2022: informatiebeveiligingsbeheer
- ISO/IEC 27002:2022: informatiebeveiligingsbeheersmaatregelen
CRA:
- Verordening (EU) 2024/2847: Cyber Resilience Act
- ENISA CRA requirements standards mapping (november 2024)
Aanvullende standaarden:
- ISO/IEC 27034: applicatiebeveiliging (brug tussen ISMS en productbeveiliging)
- IEC 62443: industriële beveiliging (sterk geschikt voor OT/IoT-fabrikanten; sterke kandidaat voor geharmoniseerde CRA-norm)
- ISO/SAE 21434: voertuigbeveiliging
ISO 27001-certificering staat NIET gelijk aan CRA-compliance. ISO 27001 dekt organisatorische informatiebeveiliging; CRA vereist productspecifieke conformiteitsbeoordeling.
Breng uw bestaande Bijlage A-beheersmaatregelen in kaart ten opzichte van CRA Bijlage I-vereisten om lacunes te identificeren. Begin met A.8.8, A.8.25-28 en A.5.19-22.
Veelgestelde vragen
Vrijwaart ISO 27001-certificering een bedrijf van CRA-conformiteitsbeoordeling?
Nee. ISO 27001-certificering toont de volwassenheid van organisatorische informatiebeveiliging aan, maar vormt geen CRA-conformiteitsbeoordeling. De CRA vereist productspecifiek bewijs: SBOM, technisch dossier, EU-conformiteitsverklaring en waar van toepassing een beoordeling door een aangemelde instantie. Een auditor die uw ISMS beoordeelt, evalueert geen CRA-compliance. Zie CRA-conformiteitsbeoordelingsroutes.
Welke ISO 27001 Bijlage A-beheersmaatregelen zijn het meest direct relevant voor CRA Bijlage I?
De beheersmaatregelen met de grootste overlap zijn A.8.25-28 (veilige ontwikkellevenscyclus), A.8.8 (beheer van technische kwetsbaarheden) en A.5.19-22 (leveranciersrelaties). Deze corresponderen met CRA-vereisten voor secure by design, de kwetsbaarheidsafhandelingsverplichting en SBOM-ketenbepalingen. A.8.8 moet worden uitgebreid om de meldplicht voor productkwetsbaarheden aan het nationale CSIRT via het ENISA Single Reporting Platform te dekken (Art. 14).
Kan ISO 27001-auditbewijs worden hergebruikt in een CRA-technisch dossier?
Ja, selectief. Bewijs uit uw ISMS over veilige ontwikkeling (A.8.25-28), kwetsbaarheidsbeheer (A.8.8) en leverancierscontroles (A.5.19-22) kan in het CRA-technisch dossier worden gerefereerd. Het technisch dossier vereist echter ook productspecifiek bewijs, waaronder beveiligingsarchitectuur, testrapporten, SBOM en documentatie van de supportperiode, dat ISO 27001-audits niet genereren.
Is ISO 27001:2022 beter afgestemd op de CRA dan ISO 27001:2013?
Ja. ISO 27001:2022 heeft beheersmaatregelen toegevoegd die meer relevant zijn voor de CRA, met name A.8.25-28 (veilige ontwikkellevenscyclus, beveiligingsvereisten voor applicaties, veilige architectuur, veilig coderen). De versie van 2013 had een zwakkere dekking op deze gebieden. Als u nog de versie van 2013 gebruikt, is een lacuneanalyse ten opzichte van de 2022-beheersmaatregelen specifiek voor CRA-doeleinden de moeite waard.
Dekt ISO 27001 de CRA SBOM-vereiste?
Gedeeltelijk. A.8.26 (beveiligingsvereisten voor applicaties) en A.8.28 (veilig coderen) bevatten concepten over componentbewustzijn en afhankelijkheidstracking. ISO 27001 vereist echter geen machine-leesbare SBOM in CycloneDX- of SPDX-formaat met de NTIA-minimumelementen, wat CRA Artikel 13, lid 5 wel vereist. Organisatorisch bewustzijn is een fundament, geen vervanging.
Kan CRA-compliancewerk worden geïntegreerd in een lopend ISO 27001-programma?
Ja, en dat is de aanbevolen aanpak voor reeds gecertificeerde bedrijven. Breid het ISMS-bereik uit met productbeveiliging, voeg productspecifieke procedures toe voor SBOM en CSIRT-melding, en verwijs naar ISMS-bewijs in uw CRA-technische dossiers. De sleutel is toevoegen in plaats van dupliceren: CRA-bewijs hoort in technische dossiers, niet in de toepasselijkheidsverklaring van het ISMS.
Gerelateerde artikelen
Is de CRA van toepassing op uw product?
Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.
Klaar om CRA-conformiteit te bereiken?
Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.