CRA vs ISO 27001: de compliance-lacunes die uw ISMS niet dekt

ISO 27001 dekt de CRA niet. Deze gids toont precies waar uw ISMS helpt, waar het tekortschiet en wat u nodig heeft voor de deadline van 2027.

CRA Evidence Team Gepubliceerd 12 januari 2026 Bijgewerkt 16 mei 2026
CRA vs ISO 27001: drie lagen van beveiligingsdekking, organisatie, gedeelde processen en product
In dit artikel

Als uw bedrijf ISO 27001-gecertificeerd is, denkt u misschien dat u goed gepositioneerd bent voor de Verordening cyberweerbaarheid (CRA). Dat is niet zo. Niet zonder aanzienlijk aanvullend werk.

ISO 27001 beschermt de informatiemiddelen van uw organisatie. De Verordening cyberweerbaarheid (Verordening (EU) 2024/2847) vereist dat elk product met digitale elementen dat u op de EU-markt brengt, secure by design is, geleverd wordt met een software bill of materials (SBOM) en ondersteund wordt met beveiligingsupdates gedurende de verwachte levensduur. Dit zijn verplichtingen op productniveau, geen organisatorische. Niet-naleving kan leiden tot boetes tot EUR 15 miljoen of 2,5% van de wereldwijde jaaromzet (Art. 64). Zie de gids over CRA-sancties.

De meldingsverplichtingen van Artikel 14 gaan in op 11 september 2026. Volledige compliance is vereist per 11 december 2027. Zie de volledige CRA-implementatietijdlijn.

Deze gids over ISO 27001 vs CRA brengt precies in kaart waar uw ISMS helpt, waar het tekortschiet en wat u moet toevoegen.

Samenvatting

  • ISO 27001 = organisatorisch beheer van informatiebeveiliging
  • CRA = productcyberbeveiligingsvereisten (Bijlage I, Verordening (EU) 2024/2847)
  • ISO 27001 staat NIET gelijk aan CRA-compliance
  • ISO 27001 biedt een fundament voor veilige ontwikkelprocessen
  • CRA vereist productspecifiek bewijs: SBOM, kwetsbaarheidsafhandeling, CE-markering
  • Beide samen = een sterke algehele beveiligingspositie
EUR 15M
Maximale boete
of 2,5% van de wereldwijde jaaromzet
11 sep 2026
Meldplicht Art. 14
kwetsbaarheidsverplichtingen starten
11 dec 2027
Volledige CRA
conformiteitsbeoordeling vereist
5 jaar
Minimale support
of verwachte levensduur (Art. 13(8))

Bron: Verordening (EU) 2024/2847, Artikelen 13, 14 en 64.

Wat dekt ISO 27001 vergeleken met wat de CRA vereist?

Wat ISO 27001 dekt

ISO 27001 is een standaard voor een informatiebeveiligingsbeheersysteem (ISMS) voor beheersmaatregelen op organisatieniveau.

Beheersmaatregelen op organisatieniveau
  • Informatiebeveiligingsbeleid
  • Assetmanagement
  • Toegangscontrole tot systemen en gegevens
  • Gebruik van cryptografie
  • Fysieke, operationele en communicatiebeveiliging
  • Leveranciersrelaties
  • Incidentmanagement
  • Bedrijfscontinuïteit
  • Compliancebeheer

Focus: de informatiemiddelen van uw organisatie beschermen.

Wat CRA dekt

De CRA is een productverordening met cybersecurityvereisten voor producten met digitale elementen (Bijlage I).

Vereisten op productniveau
  • Security-by-design in producten
  • Geen bekende exploiteerbare kwetsbaarheden
  • Veilige standaardconfiguratie
  • Bescherming tegen ongeautoriseerde toegang in het product
  • Gegevensbescherming en updatevermogen van het product
  • Kwetsbaarheidsafhandeling en ENISA-rapportage
  • SBOM voor productcomponenten (Art. 13(5))
  • Beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (Art. 13(6))
  • Openbaar kwetsbaarheidscontact (Art. 13(7))
  • CE-markering en conformiteitsbeoordeling

Focus: zorgen dat producten die u verkoopt veilig zijn.

De CRA deelt producten in categorieën: standaard, Belangrijk Klasse I, Belangrijk Klasse II en Kritiek (Bijlage III en IV). Elke categorie brengt andere vereisten voor conformiteitsbeoordeling met zich mee. Een product van Belangrijk Klasse II vereist verplichte beoordeling door een aangemelde instantie, ongeacht uw ISO 27001-certificeringsstatus. Zie de gids voor CRA-productclassificatie.

Het fundamentele verschil

Diagram ISO 27001 vs CRA: drie gestapelde lagen van beveiligingsdekking, organisatiebeveiliging gedekt door ISO 27001, gedeelde ontwikkelprocessen en productbeveiliging vereist door CRA

Waar ISO 27001 helpt bij CRA en waar het tekortschiet

Waar ISO 27001 de CRA ondersteunt

CRA-vereiste ISO 27001-ondersteuning Hoe het helpt
Veilige ontwikkeling A.8.25-28 (Secure development) Procesfundament
Kwetsbaarheidsafhandeling A.8.8 (Technical vulnerabilities) Organisatorisch proces
Incidentrespons A.5.24-26 (Incident management) Responsvermogen
Leveranciersbeheer A.5.19-22 (Supplier relationships) Beveiliging toeleveringsketen
Toegangscontrole A.5.15-18, A.8.2-5 Beveiliging ontwikkelomgeving
Cryptografie A.8.24 (Cryptography) Cryptografiebeleid als fundament
Documentatie A.5.1 (Policies), 7.5 (Documented info) Documentatiecultuur
Risicobeoordeling 6.1 (Risk assessment) Risicomethodologie

Waar ISO 27001 tekortschiet

CRA-vereiste ISO 27001-lacune Wat ontbreekt
SBOM Gedeeltelijk: A.8.26/A.8.28 dekt componentbewustzijn, niet het machine-leesbare SBOM-formaat Gestandaardiseerde SBOM (SPDX/CycloneDX) per Art. 13, lid 5
CE-markering Niet gedekt Conformiteitsbeoordelingsproces
Productbeveiligingstests Beperkt Productspecifiek testbewijs voor het technisch dossier
Secure by default Niet productgericht Productconfiguratievereisten
Supportperiode Niet gedekt Minimaal 5 jaar, of verwachte productlevensduur indien korter (Art. 13, lid 8)
ENISA-melding Niet gedekt Melding binnen 24 uur / 72 uur en eindrapport aan nationaal CSIRT via Single Reporting Platform (Art. 14)
CVD-beleid Niet gedekt Gedocumenteerd beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (Art. 13, lid 6)
Openbaar kwetsbaarheidscontact Niet gedekt Enkel contactpunt voor kwetsbaarheidsmeldingen, bijv. security.txt (Art. 13, lid 7)
Gebruikersdocumentatie Beperkt Productbeveiligingsinstructies
Technisch dossier Niet gedekt CRA-documentatieformaat per Bijlage VII

Samenvatting van de lacuneanalyse

Sterk fundament (ISO 27001 helpt aanzienlijk):

  • Beveiligingscultuur en bewustzijn
  • Risicobeheermethodologie
  • Incidentresponsvermogen
  • Leveranciersbeveiligingsbeheer
  • Beleid voor veilige ontwikkellevenscyclus
  • Toegangscontroleframework
  • Documentatiepraktijken

Gedeeltelijke dekking (ISO 27001 helpt maar is niet toereikend):

  • Kwetsbaarheidsbeheer (organisatorisch bereik tegenover productbereik)
  • Cryptografie (beleid tegenover productimplementatie)
  • Beveiligingstests (bedrijfssystemen tegenover producttests)
  • Wijzigingsbeheer (IT-wijziging tegenover productwijziging)
  • SBOM (componentbewustzijn in A.8.26/A.8.28 tegenover machine-leesbaar SBOM-formaat)

Lacunes (CRA-specifiek, niet gedekt door ISO 27001):

  • SBOM-generatie en -onderhoud in een gestandaardiseerd formaat
  • Productconformiteitsbeoordeling
  • CE-markeringsproces
  • Kwetsbaarheidsmelding aan nationaal CSIRT via Single Reporting Platform (Art. 14)
  • Productspecifiek technisch dossier (Bijlage VII)
  • Toezegging voor supportperiode (Art. 13, lid 8)
  • Verificatie van veilige standaardconfiguratie
  • Vereisten voor productupdatemechanisme
  • Beleid voor gecoördineerde kwetsbaarheidsopenbaarmaking (Art. 13, lid 6)
  • Openbaar contactpunt voor kwetsbaarheidsmeldingen (Art. 13, lid 7)

Hoe u ISO 27001 kunt benutten voor CRA

Gebruik uw ISMS als fundament

Als u ISO 27001-gecertificeerd bent, heeft u een sterke basis om op voort te bouwen. De sleutel is bestaande processen uitbreiden naar productverplichtingen, in plaats van opnieuw te beginnen.

Bestaande processen uitbreiden:

ISO 27001-proces CRA-uitbreiding
Risicobeoordeling (6.1) Productrisicobeoordeling
Kwetsbaarheidsbeheer (A.8.8) Productkwetsbaarheidsafhandeling + CSIRT-melding
Leveranciersbeheer (A.5.19-22) SBOM-verzameling bij leveranciers
Incidentbeheer (A.5.24-26) CSIRT-melding per Art. 14
Veilige ontwikkeling (A.8.25-28) Productbeveiligingstests en technisch dossier

Nieuwe processen om toe te voegen:

Nieuw proces Doel
SBOM-generatie Componenttracking per Art. 13, lid 5
Conformiteitsbeoordeling CE-markering
Technisch dossier Regulatoire documentatie per Bijlage VII
Supportperiodebeheer Toezegging per Art. 13, lid 8
ENISA-meldingsprocedure Kwetsbaarheidsmelding via nationaal CSIRT
CVD-beleid Gecoördineerde openbaarmaking per Art. 13, lid 6

Praktische integratiestappen

Stap 1: bereikuitbreiding

  • Productbeveiliging toevoegen aan uw ISMS-bereik
  • Productontwikkeling opnemen in de risicobeoordeling
  • Assetinventaris uitbreiden met productcomponenten

Stap 2: procesupdates

  • Kwetsbaarheidsprocedure bijwerken voor productmelding aan nationaal CSIRT via het Single Reporting Platform
  • SBOM toevoegen aan wijzigingsbeheer
  • De cadans van 24 uur vroege waarschuwing, 72 uur eerste melding en eindrapport opnemen in uw incidentresponsproces

Stap 3: documentatietoevoegingen

  • Technische dossiers per product
  • SBOM-records
  • Bewijs van conformiteitsbeoordeling
  • Documentatie van de supportperiode

Stap 4: rollen en verantwoordelijkheden

  • Eigenaarschap productbeveiliging toewijzen
  • Verantwoordelijkheid voor CSIRT-melding definiëren
  • Eigenaarschap SBOM-onderhoud vaststellen
  • Eigenaarschap CVD-beleid toewijzen

ISO 27001 Bijlage A-beheersmaatregelen en CRA

Meest relevante beheersmaatregelen

Beheersmaatregel ISO 27001-rol CRA-gebruik
A.8.25 Veilige ontwikkellevenscyclus

ISO 27001-rolBeleid voor veilige ontwikkeling.

CRA-gebruikFundament voor productbeveiligingsvereisten (Bijlage I, Deel I).

A.8.26 Beveiligingsvereisten voor applicaties

ISO 27001-rolBeveiligingsvereisten in ontwikkeling.

CRA-gebruikBasis voor essentiële productvereisten; gedeeltelijke basis voor SBOM-componentinventaris.

A.8.27 Veilige systeemarchitectuur

ISO 27001-rolPrincipes voor veilige architectuur.

CRA-gebruikProductbeveiligingsarchitectuur.

A.8.28 Veilig coderen

ISO 27001-rolPraktijken voor veilig coderen, inclusief afhankelijkheidstracking.

CRA-gebruikProductcodebeveiliging; gedeeltelijke basis voor SBOM-componentbewustzijn.

A.8.8 Beheer van technische kwetsbaarheden

ISO 27001-rolOrganisatorische kwetsbaarheidsafhandeling.

CRA-gebruikUitbreiden naar productkwetsbaarheden en rapportage aan het nationale CSIRT via het Single Reporting Platform (Art. 14).

A.5.19-22 Leveranciersrelaties

ISO 27001-rolBeveiligingsbeheer van leveranciers.

CRA-gebruikSBOM-verzameling bij leveranciers en supplychainbeveiliging.

Telt ISO 27001-certificering mee voor CRA-conformiteitsbeoordeling?

Dekt ISO 27001-certificering de CRA-compliance?

Belangrijk inzicht:

  • ISO 27001-certificering toont volwassenheid in organisatorische beveiliging
  • CRA-compliance is een regulatoire vereiste per product
  • ISO 27001 vrijwaart u niet van de CRA
  • ISO 27001-auditors beoordelen geen CRA-compliance

De meldingsverplichtingen van Artikel 14 gaan in op 11 september 2026. Volledige compliance is vereist per 11 december 2027. Niet-naleving kan leiden tot boetes tot EUR 15 miljoen of 2,5% van de wereldwijde jaaromzet (Art. 64).

Synergiën bij audits

ISO 27001 surveillance-audit:

  • Jaarlijkse beoordeling van het ISMS
  • Kan productbeveiligingsbereik omvatten
  • Bewijs herbruikbaar voor CRA

CRA-conformiteitsbeoordeling:

  • Productspecifieke evaluatie
  • Verwijst naar ISMS voor procesbewijs
  • Vereist aanvullend productbewijs

Synergiekansen:

  • Auditschema's afstemmen
  • Bewijs hergebruiken waar van toepassing
  • Geïntegreerde managementsysteemaanpak
  • Centrale documentatieopslag

Drie veelvoorkomende scenario's voor ISO 27001 + CRA

Scenario 1 ISO 27001-gecertificeerd, CRA starten

Gebruik het ISMS als procesbewijs. Behandel het certificaat niet als productconformiteitsbewijs.

Gebruik uit ISO 27001

Risicomethodologie, leveranciersbeheer, incidentrespons en governance voor veilige ontwikkeling.

CRA-specifiek bewijs

Productclassificatie, SBOM-generatie, Artikel 14-rapportage en technische dossiers volgens Bijlage VII.

Beslisregel: hergebruik ISMS-beheersmaatregelen alleen waar ze productbewijs opleveren.

Scenario 2 Geen ISO 27001, CRA benaderen

Geef prioriteit aan de verordening met vaste deadline. Bouw ISO 27001-discipline daaromheen in plaats van productwerk uit te stellen.

Deadlinefeiten

Artikel 14-rapportage start op 11 september 2026. Volledige CRA-toepassing start op 11 december 2027.

CRA eerst

Classificatie, SBOM, technisch dossier, CVD-beleid, openbaar contact en rapportageworkflow.

Beslisregel: start met de wettelijke productplichten en laat het operationele model daarna richting ISO 27001 rijpen. Zie de CRA-gids voor startups.

Scenario 3 Meerdere producten, centraal ISMS

Centraliseer gemeenschappelijke beheersmaatregelen, maar houd conformiteitsbewijs apart per productfamilie.

Centraliseren

Risicomethode, kwetsbaarheidsafhandeling, leveranciersvereisten en ontwikkelstandaarden.

Per product bewaren

Technisch dossier, SBOM, conformiteitsroute, supportperiode en releasebewijs.

Beslisregel: één gedeelde productbeveiligingsprocedure, één bewijsregister per productfamilie.

Werkstromen voor integratie van ISO 27001 naar CRA

Productscope en classificatie

Doel

Bepalen welke producten binnen CRA vallen en welke klasse geldt.

Output

Classificatierecord per productfamilie.

Bewijs

Bijlage III/IV-rationale en conformiteitsroute.

Risicomodel voor productbeveiliging

Doel

De ISMS-risicomethode uitbreiden naar misbruikscenario’s en levenscyclusrisico.

Output

Productrisicobeoordeling.

Bewijs

Mapping naar CRA Bijlage I-vereisten.

SBOM en leveranciersbewijs

Doel

Componentzichtbaarheid herhaalbaar maken voor elke productrelease.

Output

SBOM-proces en intakevereisten voor leveranciers.

Bewijs

Art. 13(5), A.5.19-22 en releasegekoppelde SBOM-records.

Kwetsbaarheidsafhandeling en rapportage

Doel

ISO-kwetsbaarheidsbeheer verbinden met CRA-productrapportage.

Output

CVD-beleid, openbaar contact en CSIRT-rapportagerunbook.

Bewijs

Art. 13(6)/(7), eigenaarschap voor Art. 14 en meldtermijnen.

Technisch dossier en conformiteitsroute

Doel

Procesvolwassenheid omzetten in productspecifiek conformiteitsbewijs.

Output

Technisch dossier Bijlage VII, EU-conformiteitsverklaring en modulebesluit.

Bewijs

Beveiligingsarchitectuur, testrapporten, supportperiode en conformiteitsbeoordelingsrecord.

Eigenaarschap en training

Doel

Productcompliance operationeel maken, niet een eenmalig project.

Output

Benoemde eigenaren en teamtraining.

Bewijs

Verantwoordelijkheidstabel, trainingsrecords en interne-auditcadans.

Veelgestelde vragen

Vrijwaart ISO 27001-certificering een bedrijf van CRA-conformiteitsbeoordeling?

Nee. ISO 27001-certificering toont de volwassenheid van organisatorische informatiebeveiliging aan, maar vormt geen CRA-conformiteitsbeoordeling. De CRA vereist productspecifiek bewijs: SBOM, technisch dossier, EU-conformiteitsverklaring en waar van toepassing een beoordeling door een aangemelde instantie. Een auditor die uw ISMS beoordeelt, evalueert geen CRA-compliance. Zie CRA-conformiteitsbeoordelingsroutes.

Welke ISO 27001 Bijlage A-beheersmaatregelen zijn het meest direct relevant voor CRA Bijlage I?

De beheersmaatregelen met de grootste overlap zijn A.8.25-28 (veilige ontwikkellevenscyclus), A.8.8 (beheer van technische kwetsbaarheden) en A.5.19-22 (leveranciersrelaties). Deze corresponderen met CRA-vereisten voor secure by design, de kwetsbaarheidsafhandelingsverplichting en SBOM-ketenbepalingen. A.8.8 moet worden uitgebreid om de meldplicht voor productkwetsbaarheden aan het nationale CSIRT via het ENISA Single Reporting Platform te dekken (Art. 14).

Kan ISO 27001-auditbewijs worden hergebruikt in een CRA-technisch dossier?

Ja, selectief. Bewijs uit uw ISMS over veilige ontwikkeling (A.8.25-28), kwetsbaarheidsbeheer (A.8.8) en leverancierscontroles (A.5.19-22) kan in het CRA-technisch dossier worden gerefereerd. Het technisch dossier vereist echter ook productspecifiek bewijs, waaronder beveiligingsarchitectuur, testrapporten, SBOM en documentatie van de supportperiode, dat ISO 27001-audits niet genereren.

Is ISO 27001:2022 beter afgestemd op de CRA dan ISO 27001:2013?

Ja. ISO 27001:2022 heeft beheersmaatregelen toegevoegd die meer relevant zijn voor de CRA, met name A.8.25-28 (veilige ontwikkellevenscyclus, beveiligingsvereisten voor applicaties, veilige architectuur, veilig coderen). De versie van 2013 had een zwakkere dekking op deze gebieden. Als u nog de versie van 2013 gebruikt, is een lacuneanalyse ten opzichte van de 2022-beheersmaatregelen specifiek voor CRA-doeleinden de moeite waard.

Dekt ISO 27001 de CRA SBOM-vereiste?

Gedeeltelijk. A.8.26 (beveiligingsvereisten voor applicaties) en A.8.28 (veilig coderen) bevatten concepten over componentbewustzijn en afhankelijkheidstracking. ISO 27001 vereist echter geen machine-leesbare SBOM in CycloneDX- of SPDX-formaat met de NTIA-minimumelementen, wat CRA Artikel 13, lid 5 wel vereist. Organisatorisch bewustzijn is een fundament, geen vervanging.

Kan CRA-compliancewerk worden geïntegreerd in een lopend ISO 27001-programma?

Ja, en dat is de aanbevolen aanpak voor reeds gecertificeerde bedrijven. Breid het ISMS-bereik uit met productbeveiliging, voeg productspecifieke procedures toe voor SBOM en CSIRT-melding, en verwijs naar ISMS-bewijs in uw CRA-technische dossiers. De sleutel is toevoegen in plaats van dupliceren: CRA-bewijs hoort in technische dossiers, niet in de toepasselijkheidsverklaring van het ISMS.

Volgende stappen

Wat u het komende kwartaal doet

  1. Voer een lacuneanalyse uit van de Bijlage A-beheersmaatregelen van uw ISMS ten opzichte van CRA Bijlage I. Begin met A.8.8, A.8.25-28 en A.5.19-22. Die dragen het grootste deel van het gewicht.
  2. Classificeer elk product volgens Bijlage III en IV. De route voor conformiteitsbeoordeling hangt hiervan af, niet van de status van uw ISO 27001-certificering.
  3. Breid uw ISMS-bereikverklaring uit met productbeveiliging. Werk de Toepasselijkheidsverklaring bij zodat productverplichtingen zichtbaar zijn voor auditoren.
  4. Voeg SBOM-generatie (Art. 13, lid 5) toe aan uw wijzigingsbeheerproces. CycloneDX of SPDX, machine-leesbaar, gekoppeld aan elke release.
  5. Stel de CSIRT-meldingsprocedure voor Artikel 14 op of werk deze bij: 24 uur vroege waarschuwing, 72 uur eerste melding, eindrapport binnen 14 dagen of 1 maand, afhankelijk van het type incident. Zie de gids voor het Single Reporting Platform.
  6. Wijs een eigenaar productbeveiliging en een eigenaar CVD-beleid aan (Art. 13, lid 6 en 7). Dit kan niet hetzelfde vage "beveiligingsteam"-slot zijn.
  7. Plan een gecombineerde interne audit die zowel ISO 27001-surveillance als de gereedheid van het CRA-technisch dossier dekt. Hergebruik bewijs waar van toepassing.

Dit artikel is uitsluitend bedoeld voor informatiedoeleinden en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.

CRA Beveiligingsstandaarden Compliance
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Doorlopende gidsen over de eisen, processen en rollen uit de EU-cyberweerbaarheidsverordening (CRA).

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Europese cyberbeveiligingscertificering (EUCC)

Hoe het EUCC-certificeringsschema werkt en wanneer het kan bijdragen aan CRA-conformiteit.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
Bekijk de volledige CRA-nalevingsgids