CRA voor Nederlandse fabrikanten: NCSC, RDI en Rotterdam

Landenoverzicht voor Nederlandse fabrikanten onder de CRA: NCSC-melding, beoogd RDI-markttoezicht, RvA-accreditatie, Warenwet-taalregel, Rotterdam.

CRA Evidence Team Gepubliceerd 5 januari 2026 Bijgewerkt 11 juni 2026
CRA-landenbriefing voor Nederlandse fabrikanten: verzendlabel met doorgestreept niet-EU-fabrikantmerk en eronder het label van de Nederlandse entiteit die het product hermerkt
In dit artikel

Nederlandse fabrikanten hebben dezelfde CRA-verplichtingen als elke andere EU-fabrikant, plus een nationale bijzonderheid die de meeste andere lidstaten in deze omvang niet kennen: een groot deel van de productstromen in Nederland betreft niet-EU-goederen die via de haven van Rotterdam binnenkomen, door een Nederlandse entiteit worden hermerkt en vervolgens de rest van de EU in gaan. Daarmee valt een Nederlandse entiteit vaker dan het handelsregister doet vermoeden in de fabrieksrol. Deze pagina is een landenbriefing voor Nederland: hoe kwetsbaarhedenmeldingen via het verenigde NCSC verlopen, waar RDI staat als beoogde aanmeldende en markttoezichtautoriteit, welke rol RvA vervult bij accreditatie, wat de Nederlandse taalverplichtingen inhouden, hoe de CRA-rebrand bridge (hermerking-brug) de fabrikantlijn verlegt en welke financieringsprogramma's in 2026 realistisch zijn. Raadpleeg voor het volledige verplichtingenpakket de clustergids voor fabrikanten en de clustergids voor importeurs.

Samenvatting

  • De Cyberweerbaarheidsverordening is een EU-verordening met rechtstreekse werking. Materiële verplichtingen gelden vanaf 11 december 2027. De meldklok voor kwetsbaarheden start op 11 september 2026.
  • NCSC (Nationaal Cyber Security Centrum) is de Nederlandse CRA-route voor kwetsbaarheden- en incidentmeldingen. CSIRT-DSP was al geïntegreerd in NCSC, en het Digital Trust Center is op 1 januari 2026 aangesloten bij het versterkte NCSC. Meldingen gaan via het ENISA Single Reporting Platform en mijn.NCSC.nl vanaf 11 september 2026.
  • RDI (Rijksinspectie Digitale Infrastructuur, voorheen Agentschap Telecom, onder Economische Zaken en Klimaat) is de beoogde aanmeldende autoriteit voor de CRA en tegelijk de beoogde nationale markttoezichtautoriteit onder de nog lopende implementatiewet. RvA (Raad voor Accreditatie) accrediteert kandidaat-conformiteitsbeoordelingsinstanties op grond van ISO/IEC 17065:2012.
  • Uitvoeringswet verordening cyberweerbaarheid (wetsvoorstel 36875) is het Nederlandse CRA-implementatie-instrument. Verifieer de huidige parlementaire status en de definitieve Staatsblad-tekst voordat u formele stappen zet.
  • Rotterdam is de drukste niet-EU-importhaven van de EU. Een Nederlandse entiteit die producten invoert en hermerkt, valt onder het fabrieksregime via de CRA-rebrand bridge, niet onder het lichtere importeursregime.
  • Nederlands is verplicht voor gebruikersgerichte productinformatie op de Nederlandse markt op grond van de Warenwet.
  • Nationale financiering in 2026: WBSO (R&D-loonkostenaftrek, budget EUR 1,817 miljard), MIT (regionaal mkb-innovatie), Innovatiebox, CIF-NL (Cybersecurity Innovation Fund). Het Nederlandse Herstel- en Veerkrachtplan loopt af in het NextGenerationEU-sluitingsvenster en is niet bruikbaar voor verplichtingen per 11 december 2027.

Wanneer deze gids op u van toepassing is

U bent de doellezer als uw "hoofdvestiging in de Unie" als fabrikant in Nederland ligt: de plek waar de beslissingen over de cyberbeveiliging van uw producten met digitale elementen overwegend worden genomen. Een in Nederland ingeschreven verkoop- of holdingentiteit met engineering in het buitenland is niet de hoofdvestiging. Als uw engineeringteam, uw SDLC-governance en de mensen die besluiten over beveiligingsupdates in Nederland zitten, is deze gids voor u bestemd.

Heeft u uw hoofdvestiging elders in de EU en levert u alleen aan de Nederlandse markt, dan lopen uw CRA-meldingen via het CSIRT van uw eigen lidstaat van hoofdvestiging, niet via het Nederlandse NCSC. De Nederlandse taalverplichting voor gebruikersgerichte informatie geldt wel voor elk product dat op de Nederlandse markt wordt gebracht.

Deze briefing richt zich ook op een tweede doelgroep: een Nederlandse entiteit die een niet-EU-product via Rotterdam invoert en dat product vervolgens onder eigen naam verhandelt of wezenlijk wijzigt voor eerste marktplaatsing. Die entiteit valt via de CRA-rebrand bridge onder het fabrieksregime, niet onder het lichtere importeursregime. Zie de speciale sectie hieronder.

NCSC: de Nederlandse CSIRT-route

CRA-meldingen verlopen via het CSIRT dat is aangewezen als coördinator in de lidstaat waar de fabrikant zijn hoofdvestiging in de Unie heeft. Voor een fabrikant met hoofdvestiging in Nederland is dat CSIRT het NCSC.

Nieuwkomers in de Nederlandse cyberwetgeving moeten kennis nemen van één belangrijke wijziging. CSIRT-DSP was al geïntegreerd in NCSC, en op 1 januari 2026 is het Digital Trust Center aangesloten bij het versterkte NCSC. Er is nu één nationaal CSIRT voor productfabrikanten, essentiële entiteiten, aanbieders van digitale diensten en het mkb-publiek dat het DTC vroeger bediende. Oudere documentatie die verwijst naar een tweesporig CSIRT-model (NCSC-NL plus CSIRT-DSP) beschrijft de situatie van vóór de fusie.

Het technische kanaal voor de meldingscadans van 24 uur / 72 uur / 14 dagen is het ENISA Single Reporting Platform, dat op 11 september 2026 operationeel gaat, tegelijk met het Nederlandse nationale portaal mijn.NCSC.nl. Een Nederlandse fabrikant dient in via het ENISA-platform met NCSC als ontvangende coördinator. De CSIRT-aanwijzing bepaalt de routering. Het platform verzorgt het transport.

Aangemelde instanties: RDI meldt aan, RvA accrediteert

Voor Belangrijke Klasse I-producten waarbij geen geharmoniseerde norm wordt toegepast, Belangrijke Klasse II-producten en Kritieke producten is conformiteitsbeoordeling door een aangemelde instantie vereist (Module B+C of Module H).

De Nederlandse institutionele keten is helder opgezet:

  • RvA (Raad voor Accreditatie) is de enige nationale accreditatie-instantie, met wettelijke status op grond van de Wet aanwijzing nationale accreditatie-instantie. RvA accrediteert conformiteitsbeoordelingsinstanties aan de hand van ISO/IEC 17065:2012. Accreditatie is de technische stap.
  • RDI (Rijksinspectie Digitale Infrastructuur) is de beoogde aanmeldende autoriteit die Nederlandse CRA-aangemelde instanties formeel registreert bij de Europese Commissie zodra de Nederlandse implementatiewet definitief is. RDI valt onder Economische Zaken en Klimaat en heeft deze rol overgenomen van het voormalige Agentschap Telecom. Aanmelding is de juridische stap.

Het CRA-kader voor aangemelde instanties geldt vanaf 11 juni 2026, waarna aangemelde instanties CRA-conformiteitsbeoordelingscertificaten kunnen afgeven. De Uitvoeringswet verordening cyberweerbaarheid is het Nederlandse instrument dat RDI naar verwachting in de aanmeldende-autoriteitsstoel plaatst. Verifieer de huidige parlementaire status en de definitieve Staatsblad-tekst voordat u formele stappen zet. Een Nederlandse fabrikant mag elke EU-aangemelde instantie inschakelen, niet alleen Nederlandse. Definitieve aanmeldingen verschijnen in de NANDO-database van de Europese Commissie.

RDI: de CRA-markttoezichtautoriteit

De Uitvoeringswet verordening cyberweerbaarheid zal naar verwachting de Minister van Economische Zaken, in de praktijk RDI, aanwijzen als de Nederlandse CRA-markttoezichtautoriteit. RDI zou formele toezichts- en handhavingsbevoegdheden krijgen, inclusief bestuurlijke boetebevoegdheid binnen de EU-plafonds van de CRA (tot EUR 15 miljoen of 2,5% van de mondiale omzet, naargelang welke waarde hoger is).

Nederland zou voor het geconsolideerde model kiezen, net als het Italiaanse ACN, als de definitieve tekst het wetsvoorstel volgt. Spanje (CCN + MTDFP) en Frankrijk (ANSSI + ANFR) verdelen de aanmeldende en markttoezichtrol over afzonderlijke instanties. Een Nederlandse fabrikant heeft dan één nationaal aanspreekpunt voor formele CRA-correspondentie: NCSC voor de meldingsstroom en RDI voor al het overige.

Rotterdam en de importeursinvalshoek

Rotterdam is de grootste haven van de EU gemeten naar goederenthroughput, met circa 14,5 miljoen TEU per jaar en het hoogste brutogewicht aan niet-EU-invoer van alle EU-havens. Een aanzienlijk deel van de eerste plaatsing op de EU-markt van producten met digitale elementen vindt hier plaats, vaak door een Nederlandse entiteit die afgewerkte goederen koopt bij een niet-EU-leverancier en die in de Belgische, Duitse, Franse en bredere EU-retail plaatst.

De Cyberweerbaarheidsverordening kijkt naar de rol die u feitelijk vervult, niet naar de rol op uw douanepapieren. Twee gangbare patronen in Rotterdam-stromen leiden tot verschillende regimes:

  • Patroon 1: u voert een niet-EU-product in en brengt het ongewijzigd op de EU-markt, onder het originele merk van de fabrikant. Dit is het importeursregime. U voert de vier pre-marktcontroles uit (bewijs van conformiteitsbeoordeling, EU-conformiteitsverklaring, CE-markering, identiteit en adres van de fabrikant op het product), u staat in de cascade waarbij u de meldplicht overneemt als de niet-EU-fabrikant niet bereikbaar is, en u bewaart verwijzingen naar de technische documentatie gedurende ten minste tien jaar. Zie de clustergids voor importeurs.
  • Patroon 2: u voert een niet-EU-product in, hermerkt het onder uw eigen naam, wijzigt het beoogde gebruik of brengt wezenlijke wijzigingen aan voor eerste marktplaatsing. Dit is het fabrieksregime via de CRA-rebrand bridge (ook wel: hermerking- of rebranding-brug). Uw Nederlandse entiteit wordt de fabrikant. Alle fabrieksverplichtingen zijn van toepassing, waaronder naleving van de essentiële eisen, technische documentatie, conformiteitsbeoordeling, openbaarmaking van het einde van de ondersteuningsperiode en de meldingscadans van 24 uur / 72 uur / 14 dagen.

Een veelgemaakte vergissing is Patroon 2 behandelen als Patroon 1 omdat de douanepapieren u als "aangever" vermelden. CRA-rollen volgen de Incoterms niet. Zodra het originele merk door het uwe wordt vervangen, of het originele beoogde gebruik verandert, bent u de fabrikant. SBOM's en CE-markeringen van de niet-EU-leverancier zijn invoer voor uw eigen technische documentatie, geen vervanging ervan. Dezelfde logica geldt voor private-labeling in de retail: een Nederlandse detailhandelaar die producten onder eigen merknaam verkoopt, valt onder het fabrieksregime ongeacht waar de hardware is geproduceerd.

Nederlandse taalvereisten in de praktijk

De Cyberweerbaarheidsverordening vereist dat gebruikersgerichte productinformatie is gesteld in een taal die gebruikers en de nationale markttoezichtautoriteit gemakkelijk kunnen begrijpen. Voor producten die op de Nederlandse markt worden gebracht, is dat Nederlands. De Warenwet en de aanvullende sectorale productinformatieregels stellen onafhankelijk van de CRA verplicht dat consumentproducten Nederlands bevatten voor productnaam, garantievoorwaarden, gebruiksaanwijzing, waarschuwingen en productkenmerken.

Verplicht in het Nederlands:

  • De gebruiksaanwijzing en productinformatie die met het product worden meegeleverd.
  • De contactgegevens van de fabrikant, waar deze ook worden weergegeven.
  • De vermelding van de einddatum van ondersteuning op het verkooppunt.
  • Garantievoorwaarden en consumentenrechtinformatie die met het product worden meegeleverd.

Mag meertalig:

  • Het productlabel en de CE-markering.
  • Tekst op de verpakking.
  • Onlinedocumentatie, mits een Nederlandse versie bereikbaar is.

Engels is doorgaans aanvaardbaar voor:

  • B2B-informatie tussen professionele kopers waarbij de partijen een afgesproken werktaal hanteren.
  • Interne technische documentatie. RDI kan op gemotiveerd verzoek alsnog een Nederlandse vertaling opvragen, dus plan die mogelijkheid in.

Handelsmerken, gebruikelijke wetenschappelijke of technische terminologie en aanduidingen van productoorsprong zijn uitgezonderd. De EU-conformiteitsverklaring mag worden opgesteld in elke officiële EU-taal. Fries is co-officieel in Friesland, maar de CRA verplicht geen Friese vertaling.

Grensoverschrijdend vanuit Nederland verkopen

Nederlandse fabrikanten die leveren aan Duitsland, België, Frankrijk of een andere EU-lidstaat houden dezelfde enkelvoudige routeringsregel: uw CRA-meldingen gaan nog steeds naar het NCSC, want routering volgt de hoofdvestiging, niet de bestemming per zending. De taalverplichting vertakt zich wel per markt. Een product dat naar Duitsland wordt verzonden, heeft Duitstalige gebruikersgerichte inhoud nodig. Een product naar Frankrijk heeft Franstalige inhoud nodig. Het Nederlandse taalpakket dekt die markten niet. De markttoezichtautoriteit van elke ontvangende lidstaat kan ook uw technische documentatie opvragen in een taal die die autoriteit gemakkelijk kan begrijpen. Bereid de meest gevraagde secties voor in een breed gebruikte werktaal om grensoverschrijdende gemotiveerde verzoeken op te vangen.

Nationale financieringsprogramma's

Het Nederlandse financieringslandschap voor CRA-investeringen in 2026 bestaat uit één groot belastingkredietprogramma, twee mkb-innovatieprogramma's en een specifiek cyberbeveiligingsfonds.

  • WBSO (Wet Bevordering Speur- en Ontwikkelingswerk) is de loonkostenfiscale aftrek voor O&O, uitgevoerd door RVO. Het budget voor 2026 bedraagt EUR 1,817 miljard, met een voordeel van 36% op kwalificerende O&O-loonkosten tot EUR 391.020 (50% voor starters). Security-by-design-ontwikkeling, SBOM-tooling, kwetsbaarheidsafhandelingsplatforms en het ontwerpen van een CVD-proces kwalificeren als ze zijn afgebakend als echte O&O.
  • MIT (MKB-Innovatiestimulering Regio en Topsectoren) financiert regionaal mkb-innovatieprojecten met haalbaarheidsstudies en O&O-samenwerkingstrajecten in de bandbreedte van EUR 20.000 tot EUR 350.000.
  • Innovatiebox is een verlaagd vennootschapsbelastingtarief (effectief 9%) op winst uit kwalificerende innovatieactiviteiten. De Innovatiebox wordt doorgaans gestapeld op WBSO.
  • CIF-NL (Cybersecurity Innovation Fund) is de specifieke RVO-subsidielijn voor innovatie in cyberbeveiligingsproducten. De aanvraagronde 2025-2026 had een envelop van EUR 2,5 miljoen (EUR 60.000 tot EUR 100.000 per project) gericht op crypto-behendigheid en toegankelijkheid. Aanvragen sloten op 10 februari 2026. Houd RVO en het gefuseerde NCSC in de gaten voor vervolgoproepen.
  • Nederlands Herstel- en Veerkrachtplan (RRF) loopt in zijn sluitende NextGenerationEU-venster met uitvoering verplicht voor 31 augustus 2026 en definitieve betalingsverzoeken uiterlijk 30 september 2026. Het is geen bruikbaar planningsinstrument voor de deadline van 11 december 2027.

Voor compliance-investeringen gericht op 11 december 2027 is het reële Nederlandse beeld: WBSO plus MIT plus Innovatiebox, met CIF-NL voor de daadwerkelijk innovatieve onderdelen.

Veelgestelde vragen

Welk Nederlands CSIRT ontvangt mijn CRA-kwetsbaarhedenmeldingen?

Het NCSC (Nationaal Cyber Security Centrum), de ene nationale CSIRT-route nadat CSIRT-DSP eerder in NCSC was geïntegreerd en het Digital Trust Center op 1 januari 2026 is aangesloten bij het versterkte NCSC. Meldingen worden ingediend via het ENISA Single Reporting Platform vanaf 11 september 2026, met NCSC als ontvangende coördinator. Het Nederlandse nationale portaal is `mijn.NCSC.nl`. Oudere documentatie die verwijst naar een tweesporig CSIRT-model beschrijft de situatie van vóór de fusie.

Wie wijst Nederlandse aangemelde instanties aan: RvA of RDI?

RvA (Raad voor Accreditatie) accrediteert kandidaat-conformiteitsbeoordelingsinstanties op grond van ISO/IEC 17065:2012. RDI (Rijksinspectie Digitale Infrastructuur), onder de Minister van Economische Zaken, is de beoogde aanmeldende autoriteit die Nederlandse CRA-aangemelde instanties formeel registreert bij de Europese Commissie zodra de Nederlandse implementatiewet definitief is. De Uitvoeringswet verordening cyberweerbaarheid legt deze rol naar verwachting bij RDI. Een Nederlandse fabrikant mag voor conformiteitsbeoordeling elke EU-aangemelde instantie inschakelen.

Ik importeer producten uit Azië via Rotterdam en verkoop ze onder mijn eigen merk. Ben ik fabrikant of importeur?

U bent de fabrikant. Via de CRA-rebrand bridge gelden fabrieksverplichtingen voor iedereen die een product onder eigen naam of handelsmerk op de markt brengt, ongeacht waar de hardware is geproduceerd. Hetzelfde geldt als u het product wezenlijk wijzigt of het beoogde gebruik verandert voor eerste marktplaatsing. Alle fabrieksverplichtingen zijn van toepassing op uw Nederlandse entiteit. SBOM's en CE-markeringen van de niet-EU-leverancier zijn invoer voor uw eigen technische documentatie, geen vervanging ervan. Zie de clustergids voor importeurs voor het patroon waarbij u niet hermerkt.

Welke Nederlandse autoriteit is de CRA-markttoezichtautoriteit?

RDI (Rijksinspectie Digitale Infrastructuur), onder de Minister van Economische Zaken, is de beoogde Nederlandse CRA-markttoezichtautoriteit. De Uitvoeringswet verordening cyberweerbaarheid legt naar verwachting zowel de aanmeldende-autoriteitsrol als de markttoezichtrol bij RDI. Nederland kiest voor het geconsolideerde model (hetzelfde patroon als het Italiaanse ACN), anders dan Spanje (CCN + MTDFP) of Frankrijk (ANSSI + ANFR), waar de twee rollen zijn gesplitst. Verifieer de definitieve aanwijzing in de Staatsblad-tekst voordat u formele stappen zet. Verifieer de huidige parlementaire status en de definitieve Staatsblad-tekst voordat u formele stappen zet.

Wanneer publiceert Nederland de nationale CRA-implementatiewet in het Staatsblad?

De Cyberweerbaarheidsverordening is een EU-verordening met rechtstreekse werking, dus Nederland hoeft haar niet om te zetten om de materiële verplichtingen per 11 december 2027 van kracht te laten worden. Wat Nederland wel nodig heeft, is de Uitvoeringswet verordening cyberweerbaarheid (wetsvoorstel 36875), die naar verwachting de Nederlandse markttoezichtautoriteit (RDI), de aanmeldende autoriteit (RDI) en het nationale CSIRT (NCSC) formeel aanwijst en de Nederlandse boeteschaal vaststelt binnen de EU-plafonds. De kaderdatum van 11 juni 2026 is nu verstreken. Verifieer de huidige parlementaire status en de definitieve Staatsblad-tekst, en behandel eerdere industrietoewijzingen als voorlopig totdat die tekst beschikbaar is.

Vervangt of verdubbelt de Cyberbeveiligingswet mijn CRA-verplichtingen?

Geen van beide. De Cyberbeveiligingswet is de Nederlandse NIS2-omzetting, aangenomen door de Tweede Kamer op 15 april 2026 en naar verwachting pas van kracht na aanneming door de Eerste Kamer en publicatie in het Staatsblad. De wet heeft betrekking op uw organisatie als essentiële of belangrijke entiteit in een aangewezen sector. De Cyberweerbaarheidsverordening heeft betrekking op elk product met digitale elementen dat u op de EU-markt brengt. Ze delen de CSIRT-routering (NCSC ontvangt beide), maar vervangen elkaar niet. Een Nederlandse fabrikant die onder beide regelingen valt, voert ze parallel uit met afzonderlijke meldingen.

Moet ik alles in het Nederlands vertalen voor B2B-verkopen?

Voor producten die op de Nederlandse markt worden gebracht met eindgebruikers in Nederland: ja. De Cyberweerbaarheidsverordening vereist gebruikersinformatie in het Nederlands, en de Warenwet plus de sectorale regels stellen Nederlands onafhankelijk verplicht voor productnaam, garantievoorwaarden, gebruiksaanwijzing, waarschuwingen en productkenmerken. B2B-verkopen tussen professionele kopers hebben enige flexibiliteit voor de contracttaal als de partijen dat overeenkomen, maar de CRA-verplichting maakt dit onderscheid niet zodra het product op de Nederlandse markt is gebracht. Plan voor gebruikersinformatie in het Nederlands, een ondersteuningsperiodevermelding in het Nederlands en fabriekscontactgegevens in het Nederlands, zowel voor consumenten- als professionele kanalen. Handelsmerken en gebruikelijke technische termen zijn uitgezonderd.

Kan WBSO of CIF-NL mijn CRA-compliance-tooling financieren?

WBSO wel, als het werk echte O&O betreft: security-by-design-ontwikkeling, SBOM-tooling, kwetsbaarheidsafhandelingsplatforms, nieuw CVD-procesontwerp. Puur nalevingswerk (audits, conformiteitsbeoordelingskosten) kwalificeert niet. Het WBSO-budget voor 2026 bedraagt EUR 1,817 miljard, met een voordeel van 36% op de eerste EUR 391.020 aan kwalificerende O&O-loonkosten (50% voor starters). CIF-NL is de specifieke cyberbeveiligingsinnovatiesubsidie. De aanvraagronde 2025-2026 sloot op 10 februari 2026 met een envelop van EUR 2,5 miljoen gericht op crypto-behendigheid en toegankelijkheid. Houd RVO en het gefuseerde NCSC in de gaten voor vervolgoproepen. Het Nederlandse Herstel- en Veerkrachtplan loopt in zijn sluitende NextGenerationEU-venster met projectuitvoering verplicht voor 31 augustus 2026, dus het is niet bruikbaar voor verplichtingen per 2027.

Voor Nederlandse fabrikanten in voorbereiding op 11 december 2027

  1. Bevestig uw fabrieksverplichtingen via de clustergids voor fabrikanten.
  2. Verifieer dat uw hoofdvestiging in Nederland ligt en leg de onderbouwing vast. Wat telt, is de locatie van de cyberbeveiligingsbesluitvorming, niet het handelsregister.
  3. Als een van uw producten via Rotterdam wordt ingevoerd en onder eigen merknaam wordt verkocht, werk dan de clustergids voor importeurs door en bevestig of uw werkwijze onder het fabrikants- of importeursregime valt. De rebrand bridge bepaalt de grens.
  4. Breng uw CRA-meldingsstroom in kaart naar het NCSC, met een getest indieningsproces via het ENISA Single Reporting Platform en via `mijn.NCSC.nl` zodra beide live gaan op 11 september 2026.
  5. Als uw conformiteitsbeoordelingsroute een aangemelde instantie vereist, verken RvA-geaccrediteerde instanties als thuisoptie plus een grensoverschrijdend alternatief. Houd het Staatsblad in de gaten voor de definitieve RDI-aanwijzing als aanmeldende autoriteit.
  6. Vertaal gebruiksaanwijzingen, de vermelding van de ondersteuningsperiode en de contactgegevens van de fabrikant naar het Nederlands op grond van de Warenwet. Voeg per-marktvertalingen toe voor andere EU-lidstaten waar u levert.
  7. Toets WBSO en CIF-NL aan eventuele echte O&O-investeringen in security-by-design-tooling. Plan niet op het Nederlandse Herstel- en Veerkrachtplan voor verplichtingen per 2027.
  8. Lees de leveranciersvragenlijst voor due diligence voor het componentdue-diligence-kader, in het bijzonder voor niet-EU-componenten via Rotterdam.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke CRA-compliancebegeleiding een gekwalificeerde juridisch adviseur.

CRA Netherlands Kwetsbaarheidsbeheer
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Doorlopende gidsen over de eisen, processen en rollen uit de EU-cyberweerbaarheidsverordening (CRA).

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Europese cyberbeveiligingscertificering (EUCC)

Hoe het EUCC-certificeringsschema werkt en wanneer het kan bijdragen aan CRA-conformiteit.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
Bekijk de volledige CRA-nalevingsgids