CRA en NIS2: waar cyberbeveiligingsregelgeving overlapt voor productbedrijven

U fabriceert IoT-apparaten voor de energiesector. U valt onder zowel NIS2 (als exploitant van essentiële diensten) als de CRA (als productfabrikant). Twee regelgevingen, overlappende vereisten, één compliance-budget.

Deze gids legt uit hoe CRA en NIS2 met elkaar samenhangen en hoe u aan beide kunt voldoen.

Samenvatting

• De CRA reguleert producten; NIS2 reguleert organisaties/diensten
• Veel bedrijven worden met beide geconfronteerd: fabrikanten die ook essentiële/belangrijke entiteiten zijn
• Belangrijkste overlappingen: kwetsbaarheidsbeheer, incidentmelding, ketenbeveiliging
• Verschillende toepassingsgebieden: CRA = productlevenscyclus; NIS2 = organisatorische cyberbeveiliging
• Coördinatiemogelijkheid: uniforme beveiligingsprocessen die beide regelgevingen bedienen

CRA vs. NIS2: fundamenteel verschil

CRA: productregelgeving

Wat het reguleert: Producten met digitale elementen die op de EU-markt worden geplaatst

Voor wie het geldt: Fabrikanten, importeurs, distributeurs van producten met digitale elementen

Focus: Productbeveiliging gedurende de levenscyclus

• Veilig ontwerp en ontwikkeling
• Kwetsbaarheidsafhandeling voor producten
• Beveiligingsupdates voor producten
• Incidentmelding op productniveau

NIS2: organisatieregelgeving

Wat het reguleert: Cyberbeveiliging van essentiële en belangrijke entiteiten

Voor wie het geldt: Organisaties in aangewezen sectoren die de omvangsdrempels overschrijden

Focus: Organisatorische cyberbeveiliging

• Governance en risicobeheer
• Incidentafhandeling voor diensten
• Ketenbeveiliging
• Bedrijfscontinuïteit

De overlappingszone

┌─────────────────────────────────────────────────────────────┐
│                    UW ORGANISATIE                            │
│                                                              │
│  ┌──────────────────────┐    ┌──────────────────────┐       │
│  │     NIS2-SCOPE       │    │     CRA-SCOPE        │       │
│  │                      │    │                      │       │
│  │ - Uw IT-systemen     │    │ - Producten die u    │       │
│  │ - Uw diensten        │    │   fabriceert         │       │
│  │ - Uw activiteiten    │    │ - Producten die u    │       │
│  │ - Uw toelev.keten    │    │   importeert         │       │
│  │   (als afnemer)      │    │ - Producten die u    │       │
│  │                      │    │   distribueert       │       │
│  │        ┌─────────────┴────┴───────────┐         │       │
│  │        │          OVERLAP             │         │       │
│  │        │                              │         │       │
│  │        │ - Kwetsbaarheidsbeheer        │         │       │
│  │        │ - Incidentmelding             │         │       │
│  │        │ - Ketenbeveiliging            │         │       │
│  │        │ - Beveiligingsgovernance      │         │       │
│  │        └──────────────────────────────┘         │       │
│  └──────────────────────┘    └──────────────────────┘       │
└─────────────────────────────────────────────────────────────┘

Wie wordt met beide regelgevingen geconfronteerd?

Scenario 1: Essentiële entiteit die producten fabriceert

Voorbeeld: Energiebedrijf dat slimme-netcomponenten fabriceert

• NIS2 van toepassing: Energiesectorentiteit boven de drempel
• CRA van toepassing: Fabrikant van producten met digitale elementen

Beide regelgevingen vereisen:

• Cyberbeveiligingsrisicobeheer
• Kwetsbaarheidsafhandeling
• Incidentmelding (aan verschillende instanties, verschillende triggers)
• Ketenbeveiliging

Scenario 2: Belangrijke entiteit die IoT fabriceert

Voorbeeld: Productiebedrijf dat industriële IoT-sensoren maakt

• NIS2 van toepassing: Productiesectorentiteit boven de drempel
• CRA van toepassing: Fabrikant van producten met digitale elementen

Scenario 3: Aanbieder digitale infrastructuur

Voorbeeld: Cloudaanbieder die ook hardware-appliances verkoopt

• NIS2 van toepassing: Aanbieder digitale infrastructuur
• CRA van toepassing: Fabrikant van hardwareproducten

Scenario 4: Fabrikant van gezondheidsgerelateerde producten

Voorbeeld: Bedrijf met medisch-aangrenzende producten (niet onder MDR vallende hulpmiddelen)

• NIS2 van toepassing: Entiteit in de gezondheidszorgsector
• CRA van toepassing: Producten die niet vallen onder de MDR-uitzondering

Overlappende vereisten

Kwetsbaarheidsbeheer

Coördinatiemogelijkheid: Unified kwetsbaarheidsbeheer dat zowel producten als organisatorische systemen omvat.

Incidentmelding

Sleutelonderscheid: Een kwetsbaarheid in uw product kan CRA-melding triggeren, zelfs als uw diensten niet zijn getroffen. Een serviceonderbreking kan NIS2-melding triggeren zonder dat er een productkwetsbaarheid bestaat.

Ketenbeveiliging

Coördinatiemogelijkheid: Geïntegreerd leveranciersbeheer dat zowel productcomponenten als organisatorische leveranciers omvat.

Vergelijking meldingspaden

CRA-meldingspad

PRODUCTKWETSBAARHEID (actief misbruikt)
         │
         ▼
    24-UUR VROEGTIJDIGE WAARSCHUWING
    Aan: ENISA Single Reporting Platform
         │
         ▼
    72-UUR GEDETAILLEERDE KENNISGEVING
    Aan: ENISA + relevante CSIRT's
         │
         ▼
    14-DAAGS EINDRAPPORT (kwetsbaarheid)
    30-DAAGS EINDRAPPORT (incident)

NIS2-meldingspad

SIGNIFICANT INCIDENT (treft diensten)
         │
         ▼
    24-UUR VROEGTIJDIGE WAARSCHUWING
    Aan: Nationale bevoegde autoriteit of CSIRT
         │
         ▼
    72-UUR INCIDENTKENNISGEVING
    Aan: Nationale bevoegde autoriteit of CSIRT
         │
         ▼
    1-MAANDS EINDRAPPORT
    Aan: Nationale bevoegde autoriteit of CSIRT

Wanneer beide van toepassing zijn

Eén gebeurtenis kan beide triggeren:

Voorbeeld: Een zero-day in uw product wordt actief misbruikt en treft klanten die essentiële entiteiten zijn (zoals energiebedrijven die uw slimme-netapparatuur gebruiken).

CRA-melding: U meldt de actief misbruikte kwetsbaarheid (u bent de fabrikant)

NIS2-melding: Uw getroffen klanten melden het incident (zij zijn de essentiële entiteiten)

Uw interne melding: Als u ook een essentiële entiteit bent die uw eigen producten gebruikt, kunt u onder beide verplicht zijn te melden

Harmonisatiemogelijkheden

Unified beveiligingsgovernance

In plaats van afzonderlijke CRA- en NIS2-complianceprogramma's:

UNIFORME CYBERBEVEILIGINGSGOVERNANCE

Bestuursniveau:
- Enkelvoudig cyberbeveiligingsrisico-overzicht
- Gecombineerde rapportage aan management

Operationeel niveau:
- Één kwetsbaarheidsbeheerprogramma
  ├── Productkwetsbaarheden (CRA-focus)
  └── Systeemkwetsbaarheden (NIS2-focus)

- Één incidentresponscapaciteit
  ├── Productincidenten (CRA-melding)
  └── Serviceincidenten (NIS2-melding)

- Één ketenbeveiliging programma
  ├── Productcomponenten (SBOM, CRA)
  └── Serviceleveranciers (NIS2)

Procesbeschrijving

Documentatie-efficiëntie

Sommige documentatie kan voor beide dienen:

Verschillende handhaving

CRA-handhaving

• Markttoezichtautoriteiten monitoren producten
• Focus op productcompliance
• Boetes tot €15M of 2,5% wereldwijde omzet
• Terugtrekking/terugroeping product mogelijk

NIS2-handhaving

• Nationale bevoegde autoriteiten houden toezicht op entiteiten
• Focus op organisatorische compliance
• Boetes tot €10M of 2% wereldwijde omzet
• Persoonlijke aansprakelijkheid management mogelijk

Dubbele aansprakelijkheid?

Eén tekortkoming kan theoretisch handhaving onder beide triggeren:

Voorbeeld: Slecht kwetsbaarheidsbeheer leidt tot ongepatchte producten ÉN ongepatchte interne systemen.

• CRA: Non-compliance met vereisten voor kwetsbaarheidsafhandeling
• NIS2: Non-compliance met risicobeheersmaatregelen

In de praktijk: Toezichthouders moeten coördineren. Het aantonen van unified compliance helpt.

Interactie tijdlijn compliance

NIS2-tijdlijn

• Oktober 2024: Deadline omzetting NIS2
• 2024-2025: Implementatie door lidstaten
• Doorlopend: Compliance vereist

CRA-tijdlijn

• September 2026: Meldingsverplichtingen van kracht
• December 2027: Volledige compliance vereist
• Doorlopend: Verplichtingen productlevenscyclus

Gecoördineerde aanpak

2024                    2025                    2026                    2027
│                       │                       │                       │
▼                       ▼                       ▼                       ▼
┌───────────────────────────────────────────────────────────────────────┐
│ NIS2: Organisatorische compliance gedurende gehele periode            │
└───────────────────────────────────────────────────────────────────────┘
                                                │                       │
                                                ▼                       ▼
                                        ┌───────────────────────────────┐
                                        │ CRA: Melding │ CRA: Volledig  │
                                        └───────────────────────────────┘

AANBEVELING:
Bouw nu een uniforme cyberbeveiligingsprogramma dat beide bedient.
Bouw geen aparte NIS2- en CRA-complianceprogramma's.

Praktische coördinatiechecklist

Governance-integratie

GOVERNANCE-CHECKLIST DUBBELE REGELGEVING

ORGANISATORISCH:
[ ] Enkelvoudige governance-structuur voor cyberbeveiliging
[ ] Bestuurlijk toezicht omvat product- én servicebeveiliging
[ ] Gecombineerde cyberbeveiligingsstrategie
[ ] Unified budgettoewijzing

RISICOBEHEER:
[ ] Geïntegreerde risicobeoordeling (producten + diensten)
[ ] Gecombineerd risicoregister
[ ] Uniform risicobehandelingsproces
[ ] Enkelvoudig risicoraportagekader

KWETSBAARHEIDSBEHEER:
[ ] Één kwetsbaarheidsintakekanaal
[ ] Gecombineerd triageproces
[ ] Geïntegreerde herstelworkflow
[ ] Uniforme maatstaven en rapportage

INCIDENTRESPONS:
[ ] Gecombineerd incidentresponsplan
[ ] Duidelijke routing voor CRA vs. NIS2-melding
[ ] Geïntegreerde communicatieprocedures
[ ] Unified post-incident-review

Integratie meldingen

MELDINGSMATRIX DUBBELE REGELGEVING

Type gebeurtenis                    Melden onder
─────────────────────────────────────────────────────────────
Productkwetsbaarheid (niet misbruikt) Geen (alleen CVD-proces)
Productkwetsbaarheid (misbruikt)      CRA → ENISA
Serviceincident (geen product)        NIS2 → Nationale autoriteit
Beide (productkwetsbaarheid → service) Beide (coördineren)
─────────────────────────────────────────────────────────────

Interne escalatie:
1. Beveiligingsteam beoordeelt gebeurtenis
2. Bepalen: productimpact? Serviceimpact?
3. Routeren naar passend meldingspad of paden
4. Coördineren als beide van toepassing zijn

Integratie ketenbeveiliging

UNIFORME KETENBEVEILIGING

Voor productcomponenten (CRA-focus):
- SBOM bijgehouden
- Componentkwetsbaarheidsmonitoring
- Beveiligingsvragenlijst leverancier
- Technische due diligence

Voor serviceleveranciers (NIS2-focus):
- Risicobeoordeling leverancier
- Beveiligingsvereisten in contracten
- Doorlopende monitoring
- Clausules voor incidentkennisgeving

GEÏNTEGREERDE AANPAK:
- Enkel leveranciersmanagementsysteem
- Gecombineerd risicobeoordelingskader
- Uniforme contractbeveiligingsvereisten
- Gecoördineerd monitoringsprogramma

Bijzondere overwegingen

Industriële besturingssystemen

IACS (Industrial Automation and Control Systems) staan voor bijzondere complexiteit:

• CRA: Als u IACS fabriceert voor essentiële entiteiten (NIS2), valt dit onder Belangrijk Klasse II
• NIS2: Als u IACS exploiteert als essentiële entiteit, vallen deze in het toepassingsgebied

Dubbele vereiste: Het product moet voldoen aan de CRA; de exploitatie moet voldoen aan NIS2.

Clouddiensten + producten

Cloudaanbieders die hardware-appliances verkopen:

• NIS2: Exploitatie van clouddiensten
• CRA: Verkochte hardware-appliances

Voorbeeld: De firewall-appliance van een cloudaanbieder moet voldoen aan de CRA; hun cloudserviceactiviteiten moeten voldoen aan NIS2.

Gezondheidsgerelateerde sector

Fabrikanten van medische hulpmiddelen kunnen te maken hebben met:

• Sommige producten onder MDR (uitgesloten van CRA)
• Sommige producten onder CRA (niet onder MDR)
• Organisatie onder NIS2 (entiteit in de gezondheidszorgsector)

Zorgvuldige scoping vereist: Wijs elk product aan de toepasselijke regelgeving toe.

Veelgestelde vragen

Moet ik hetzelfde incident twee keer melden?

Doorgaans niet. CRA en NIS2 hebben verschillende triggers:

• CRA: Actief misbruikte kwetsbaarheid in uw product
• NIS2: Significant incident dat uw diensten raakt

Als een misbruikte productkwetsbaarheid een serviceincident veroorzaakt, moet u mogelijk onder beide melden, maar de rapporten gaan naar verschillende ontvangers en richten zich op verschillende aspecten.

Dekt NIS2-compliance de CRA-vereisten af?

Gedeeltelijk. Sterke NIS2-compliance toont aan:

• Governance-capaciteit voor beveiliging
• Volwassenheid kwetsbaarheidsbeheer
• Incidentresponscapaciteit

Maar de CRA heeft productspecifieke vereisten (SBOM, conformiteitsbeoordeling, CE-markering) die NIS2 niet omvat.

Dekt CRA-compliance de NIS2-vereisten af?

Nee. De CRA is productgericht. NIS2 vereist:

• Organisatorisch risicobeheer
• Bedrijfscontinuïteit
• Ketenbeveiliging (breder dan productcomponenten)
• Governance-maatregelen

Welke is veeleisender?

Verschillende toepassingsgebieden, verschillende eisen:

Geen van beide is strikt "veeleisender". Ze vereisen verschillende dingen.

Belangrijk: De CRA geldt voor PRODUCTEN. NIS2 geldt voor ORGANISATIES die essentiële/belangrijke diensten exploiteren. Een bedrijf kan onder BEIDE regelgevingen vallen.

Gerelateerde gidsen:

• EU Cyber Resilience Act: volledige implementatietijdlijn 2025-2027
• CRA-sancties in de praktijk: hoe markttoezicht er werkelijk uitziet

Hoe CRA Evidence helpt

CRA Evidence ondersteunt organisaties die met beide regelgevingen te maken hebben:

• Productfocus: Volledige CRA-compliancecapaciteiten
• Integratiegereed: Kwetsbaarheidsbeheersdata exporteerbaar
• SBOM-beheer: Direct voor CRA, ondersteunt NIS2-ketenbeveiliging
• Incidenttracking: Kan routeren naar passende meldingspaden
• Documentatie: Gecentraliseerd voor regelgevingsverzoeken

Beheer uw productcompliance op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.