CRA en NIS2: waar cyberbeveiligingsregelgeving overlapt voor productbedrijven

Inzicht in de interactie tussen CRA en NIS2. Een praktische gids voor organisaties die producten fabriceren én kritieke diensten exploiteren.

CRA Evidence Team Gepubliceerd 15 januari 2026 Bijgewerkt 12 april 2026
CRA en NIS2: waar cyberbeveiligingsregelgeving overlapt voor productbedrijven
In dit artikel

U fabriceert IoT-apparaten voor de energiesector. U valt onder zowel NIS2 (als exploitant van essentiële diensten) als de CRA (als productfabrikant). Twee regelgevingen, overlappende vereisten, één compliance-budget.

Deze gids legt uit hoe CRA en NIS2 met elkaar samenhangen en hoe u aan beide kunt voldoen.

Samenvatting

  • De CRA reguleert producten; NIS2 reguleert organisaties/diensten
  • Veel bedrijven worden met beide geconfronteerd: fabrikanten die ook essentiële/belangrijke entiteiten zijn
  • Belangrijkste overlappingen: kwetsbaarheidsbeheer, incidentmelding, ketenbeveiliging
  • Verschillende toepassingsgebieden: CRA = productlevenscyclus; NIS2 = organisatorische cyberbeveiliging
  • Coördinatiemogelijkheid: uniforme beveiligingsprocessen die beide regelgevingen bedienen

CRA vs. NIS2 scope-vergelijking Venn-diagram

CRA vs. NIS2: fundamenteel verschil

CRA: productregelgeving

Wat het reguleert: Producten met digitale elementen die op de EU-markt worden geplaatst

Voor wie het geldt: Fabrikanten, importeurs, distributeurs van producten met digitale elementen

Focus: Productbeveiliging gedurende de levenscyclus

  • Veilig ontwerp en ontwikkeling
  • Kwetsbaarheidsafhandeling voor producten
  • Beveiligingsupdates voor producten
  • Incidentmelding op productniveau

NIS2: organisatieregelgeving

Wat het reguleert: Cyberbeveiliging van essentiële en belangrijke entiteiten

Voor wie het geldt: Organisaties in aangewezen sectoren die de omvangsdrempels overschrijden

Focus: Organisatorische cyberbeveiliging

  • Governance en risicobeheer
  • Incidentafhandeling voor diensten
  • Ketenbeveiliging
  • Bedrijfscontinuïteit

De overlappingszone

NIS2-BEREIK                           CRA-BEREIK
+----------------------+          +----------------------+
| - Uw IT-systemen     |          | - Producten die u    |
| - Uw diensten        |          |   fabriceert         |
| - Uw activiteiten    |          | - Producten die u    |
| - Uw toeleveringsk.  |          |   importeert         |
|   (als afnemer)      |          | - Producten die u    |
|                      |          |   distribueert       |
+----------+-----------+          +-----------+----------+
            \                                /
             \                              /
              +----------------------------+
              |          OVERLAP           |
              |                            |
              | - Kwetsbaarheidsbeheer     |
              | - Incidentmelding          |
              | - Ketenbeveiliging         |
              | - Beveiligingsgovernance   |
              +----------------------------+

Wie wordt met beide regelgevingen geconfronteerd?

Scenario 1: Essentiële entiteit die producten fabriceert

Voorbeeld: Energiebedrijf dat slimme-netcomponenten fabriceert

  • NIS2 van toepassing: Energiesectorentiteit boven de drempel
  • CRA van toepassing: Fabrikant van producten met digitale elementen

Beide regelgevingen vereisen:

  • Cyberbeveiligingsrisicobeheer
  • Kwetsbaarheidsafhandeling
  • Incidentmelding (aan verschillende instanties, verschillende triggers)
  • Ketenbeveiliging

Scenario 2: Belangrijke entiteit die IoT fabriceert

Voorbeeld: Productiebedrijf dat industriële IoT-sensoren maakt

  • NIS2 van toepassing: Productiesectorentiteit boven de drempel
  • CRA van toepassing: Fabrikant van producten met digitale elementen

Scenario 3: Aanbieder digitale infrastructuur

Voorbeeld: Cloudaanbieder die ook hardware-appliances verkoopt

  • NIS2 van toepassing: Aanbieder digitale infrastructuur
  • CRA van toepassing: Fabrikant van hardwareproducten

Scenario 4: Fabrikant van gezondheidsgerelateerde producten

Voorbeeld: Bedrijf met medisch-aangrenzende producten (niet onder MDR vallende hulpmiddelen)

  • NIS2 van toepassing: Entiteit in de gezondheidszorgsector
  • CRA van toepassing: Producten die niet vallen onder de MDR-uitzondering

Overlappende vereisten

Kwetsbaarheidsbeheer

Aspect CRA-vereiste NIS2-vereiste
Toepassingsgebied Productkwetsbaarheden Organisatorische systemen
Ontdekking Productkwetsbaarheden monitoren Alle systemen monitoren
Reactie Producten zonder vertraging patchen Kwetsbaarheden verhelpen
Melding ENISA (indien misbruikt) Nationaal CSIRT (bij incident)

Coördinatiemogelijkheid: Unified kwetsbaarheidsbeheer dat zowel producten als organisatorische systemen omvat.

Incidentmelding

Aspect CRA-vereiste NIS2-vereiste
Trigger Actief misbruikte kwetsbaarheid in product Significant incident dat diensten raakt
Tijdlijn 24u → 72u → 14/30d 24u → 72u → 1 maand
Ontvanger ENISA + nationaal CSIRT Nationale bevoegde autoriteit/CSIRT
Toepassingsgebied Productbeveiliging Beschikbaarheid/integriteit dienst

Sleutelonderscheid: Een kwetsbaarheid in uw product kan CRA-melding triggeren, zelfs als uw diensten niet zijn getroffen. Een serviceonderbreking kan NIS2-melding triggeren zonder dat er een productkwetsbaarheid bestaat.

Ketenbeveiliging

Aspect CRA-vereiste NIS2-vereiste
Focus Componenten in uw producten Leveranciers van uw organisatie
Beoordeling Technische due diligence Beveiligingsbeoordeling leverancier
Monitoring SBOM, kwetsbaarheidstracking Doorlopend risicobeheerleveranciers

Coördinatiemogelijkheid: Geïntegreerd leveranciersbeheer dat zowel productcomponenten als organisatorische leveranciers omvat.

Vergelijking meldingspaden

CRA-meldingspad

PRODUCTKWETSBAARHEID (actief misbruikt)
         │
         ▼
    24-UUR VROEGTIJDIGE WAARSCHUWING
    Aan: ENISA Single Reporting Platform
         │
         ▼
    72-UUR GEDETAILLEERDE KENNISGEVING
    Aan: ENISA + relevante CSIRT's
         │
         ▼
    14-DAAGS EINDRAPPORT (kwetsbaarheid)
    30-DAAGS EINDRAPPORT (incident)

NIS2-meldingspad

SIGNIFICANT INCIDENT (treft diensten)
         │
         ▼
    24-UUR VROEGTIJDIGE WAARSCHUWING
    Aan: Nationale bevoegde autoriteit of CSIRT
         │
         ▼
    72-UUR INCIDENTKENNISGEVING
    Aan: Nationale bevoegde autoriteit of CSIRT
         │
         ▼
    1-MAANDS EINDRAPPORT
    Aan: Nationale bevoegde autoriteit of CSIRT

Wanneer beide van toepassing zijn

Eén gebeurtenis kan beide triggeren:

Voorbeeld: Een zero-day in uw product wordt actief misbruikt en treft klanten die essentiële entiteiten zijn (zoals energiebedrijven die uw slimme-netapparatuur gebruiken).

CRA-melding: U meldt de actief misbruikte kwetsbaarheid (u bent de fabrikant)

NIS2-melding: Uw getroffen klanten melden het incident (zij zijn de essentiële entiteiten)

Uw interne melding: Als u ook een essentiële entiteit bent die uw eigen producten gebruikt, kunt u onder beide verplicht zijn te melden

Hoe u één beveiligingsprogramma voor CRA en NIS2 beheert

Unified beveiligingsgovernance

In plaats van afzonderlijke CRA- en NIS2-complianceprogramma's:

UNIFORME CYBERBEVEILIGINGSGOVERNANCE

Bestuursniveau:
- Enkelvoudig cyberbeveiligingsrisico-overzicht
- Gecombineerde rapportage aan management

Operationeel niveau:
- Één kwetsbaarheidsbeheerprogramma
  ├── Productkwetsbaarheden (CRA-focus)
  └── Systeemkwetsbaarheden (NIS2-focus)

- Één incidentresponscapaciteit
  ├── Productincidenten (CRA-melding)
  └── Serviceincidenten (NIS2-melding)

- Één ketenbeveiliging programma
  ├── Productcomponenten (SBOM, CRA)
  └── Serviceleveranciers (NIS2)

Procesbeschrijving

Proces CRA-toepassing NIS2-toepassing
Risicobeoordeling Productrisicobeoordeling Organisatorisch risicobeheer
Kwetsbaarheidsscanning Product-/componentscanning Infrastructuurscanning
Patchbeheer Productupdates Systeempatches
Incidentrespons Productincidentafhandeling Serviceincidentafhandeling
Beveiligingstesten Productbeveiligingstesten Penetratietesten
Bewustzijnstraining Training veilige ontwikkeling Algemeen beveiligingsbewustzijn

Documentatie-efficiëntie

Sommige documentatie kan voor beide dienen:

Document CRA-gebruik NIS2-gebruik
Beveiligingsbeleid Sectie productbeveiligingsbeleid Organisatorisch beveiligingsbeleid
Risicoregister Productrisico's Organisatorische risico's
Incidentresponsplan Productincidentprocedures Serviceincidentprocedures
Leveranciersbeoordeling Due diligence componentleverancier Beoordeling serviceleverancier

Verschillen in handhaving tussen CRA en NIS2

CRA-handhaving

  • Markttoezichtautoriteiten monitoren producten
  • Focus op productcompliance
  • Boetes tot €15M of 2,5% wereldwijde omzet
  • Terugtrekking/terugroeping product mogelijk

NIS2-handhaving

  • Nationale bevoegde autoriteiten houden toezicht op entiteiten
  • Focus op organisatorische compliance
  • Boetes tot €10M of 2% wereldwijde omzet
  • Persoonlijke aansprakelijkheid management mogelijk

Dubbele aansprakelijkheid?

Eén tekortkoming kan theoretisch handhaving onder beide triggeren:

Voorbeeld: Slecht kwetsbaarheidsbeheer leidt tot ongepatchte producten ÉN ongepatchte interne systemen.

  • CRA: Non-compliance met vereisten voor kwetsbaarheidsafhandeling
  • NIS2: Non-compliance met risicobeheersmaatregelen

In de praktijk: Toezichthouders moeten coördineren. Het aantonen van unified compliance helpt.

Interactie tijdlijn compliance

NIS2-tijdlijn

  • Oktober 2024: Deadline omzetting NIS2
  • 2024-2025: Implementatie door lidstaten
  • Doorlopend: Compliance vereist

CRA-tijdlijn

  • September 2026: Meldingsverplichtingen van kracht
  • December 2027: Volledige compliance vereist
  • Doorlopend: Verplichtingen productlevenscyclus

Gecoördineerde aanpak

2024                    2025                    2026                    2027
                                                                     
                                                                     
┌───────────────────────────────────────────────────────────────────────┐
 NIS2: Organisatorische compliance gedurende gehele periode            
└───────────────────────────────────────────────────────────────────────┘
                                                                       
                                                                       
                                        ┌───────────────────────────────┐
                                         CRA: Melding  CRA: Volledig  
                                        └───────────────────────────────┘

AANBEVELING:
Bouw nu een uniforme cyberbeveiligingsprogramma dat beide bedient.
Bouw geen aparte NIS2- en CRA-complianceprogramma's.

Praktische coördinatiechecklist

Governance-integratie

GOVERNANCE-CHECKLIST DUBBELE REGELGEVING

ORGANISATORISCH:
[ ] Enkelvoudige governance-structuur voor cyberbeveiliging
[ ] Bestuurlijk toezicht omvat product- én servicebeveiliging
[ ] Gecombineerde cyberbeveiligingsstrategie
[ ] Unified budgettoewijzing

RISICOBEHEER:
[ ] Geïntegreerde risicobeoordeling (producten + diensten)
[ ] Gecombineerd risicoregister
[ ] Uniform risicobehandelingsproces
[ ] Enkelvoudig risicoraportagekader

KWETSBAARHEIDSBEHEER:
[ ] Één kwetsbaarheidsintakekanaal
[ ] Gecombineerd triageproces
[ ] Geïntegreerde herstelworkflow
[ ] Uniforme maatstaven en rapportage

INCIDENTRESPONS:
[ ] Gecombineerd incidentresponsplan
[ ] Duidelijke routing voor CRA vs. NIS2-melding
[ ] Geïntegreerde communicatieprocedures
[ ] Unified post-incident-review

Integratie meldingen

MELDINGSMATRIX DUBBELE REGELGEVING

Type gebeurtenis                    Melden onder
─────────────────────────────────────────────────────────────
Productkwetsbaarheid (niet misbruikt) Geen (alleen CVD-proces)
Productkwetsbaarheid (misbruikt)      CRA → ENISA
Serviceincident (geen product)        NIS2 → Nationale autoriteit
Beide (productkwetsbaarheid → service) Beide (coördineren)
─────────────────────────────────────────────────────────────

Interne escalatie:
1. Beveiligingsteam beoordeelt gebeurtenis
2. Bepalen: productimpact? Serviceimpact?
3. Routeren naar passend meldingspad of paden
4. Coördineren als beide van toepassing zijn

Integratie ketenbeveiliging

UNIFORME KETENBEVEILIGING

Voor productcomponenten (CRA-focus):
- SBOM bijgehouden
- Componentkwetsbaarheidsmonitoring
- Beveiligingsvragenlijst leverancier
- Technische due diligence

Voor serviceleveranciers (NIS2-focus):
- Risicobeoordeling leverancier
- Beveiligingsvereisten in contracten
- Doorlopende monitoring
- Clausules voor incidentkennisgeving

GEÏNTEGREERDE AANPAK:
- Enkel leveranciersmanagementsysteem
- Gecombineerd risicobeoordelingskader
- Uniforme contractbeveiligingsvereisten
- Gecoördineerd monitoringsprogramma

Edge cases met dubbel toepassingsgebied die nauwkeurige afbakening vereisen

Industriële besturingssystemen

IACS (Industrial Automation and Control Systems) staan voor bijzondere complexiteit:

  • CRA: Als u IACS fabriceert voor essentiële entiteiten (NIS2), valt dit onder Belangrijk Klasse II
  • NIS2: Als u IACS exploiteert als essentiële entiteit, vallen deze in het toepassingsgebied

Dubbele vereiste: Het product moet voldoen aan de CRA; de exploitatie moet voldoen aan NIS2.

Clouddiensten + producten

Cloudaanbieders die hardware-appliances verkopen:

  • NIS2: Exploitatie van clouddiensten
  • CRA: Verkochte hardware-appliances

Voorbeeld: De firewall-appliance van een cloudaanbieder moet voldoen aan de CRA; hun cloudserviceactiviteiten moeten voldoen aan NIS2.

Gezondheidsgerelateerde sector

Fabrikanten van medische hulpmiddelen kunnen te maken hebben met:

  • Sommige producten onder MDR (uitgesloten van CRA)
  • Sommige producten onder CRA (niet onder MDR)
  • Organisatie onder NIS2 (entiteit in de gezondheidszorgsector)

Zorgvuldige scoping vereist: Wijs elk product aan de toepasselijke regelgeving toe.

Veelgestelde vragen over CRA en NIS2 voor productfabrikanten

Wanneer triggert één gebeurtenis zowel de CRA- als NIS2-meldingsplicht?

Wanneer een actief misbruikte kwetsbaarheid in uw product ook een significant incident veroorzaakt dat uw diensten treft. De CRA-melding wordt getriggerd door de misbruikte productkwetsbaarheid: u dient een vroegtijdige waarschuwing van 24 uur in bij ENISA, gevolgd door een kennisgeving van 72 uur. De NIS2-melding wordt afzonderlijk getriggerd als uw diensten worden verstoord: u dient die in bij uw nationale bevoegde autoriteit of CSIRT, op hetzelfde schema van 24/72 uur. De twee rapporten behandelen verschillende onderwerpen. De CRA richt zich op het product en de kwetsbaarheid. NIS2 richt zich op de serviceimpact en uw respons. Beide kunnen vereist zijn voor dezelfde initiële gebeurtenis.

Wie dient de melding in als de fabrikant ook een essentiële entiteit is?

U dient beide in, en u dient ze afzonderlijk in. Als productfabrikant meldt u de misbruikte kwetsbaarheid aan ENISA onder de CRA. Als essentiële entiteit meldt u het serviceincident aan uw nationale bevoegde autoriteit of CSIRT onder NIS2. De twee meldingen zijn onafhankelijk: verschillende formulieren, verschillende ontvangers, en in sommige gevallen verschillende deadlines. Wijs voor elk meldingspad een verantwoordelijke eigenaar aan voordat een incident zich voordoet. Ga er niet van uit dat één rapport het andere dekt.

Kan één risicoregister zowel voor CRA als voor NIS2 dienen?

Ja, mits het productrisico's scheidt van organisatorische risico's. Structureer het register zodat risico's op productniveau (componentkwetsbaarheden, updatefouten, conformiteitsgebreken) duidelijk te onderscheiden zijn van organisatorische risico's (servicecontinuïteit, governance-tekortkomingen, verstoringen in de toeleveringsketen). Beide risicosets kunnen in hetzelfde document staan en een gemeenschappelijke scoringsmethodologie delen. Wat niet samengevoegd kan worden, is de behandeling: CRA-risicobehandeling leidt tot productcontroles en updates van het technisch dossier; NIS2-risicobehandeling leidt tot organisatorische maatregelen en beleidswijzigingen. Houd de vermeldingen onderscheiden zodat elke audit kan vinden wat nodig is.

Hoe moet due diligence voor leveranciers verschillen voor componenten versus dienstverleners?

Voor productcomponenten onder de CRA is due diligence technisch: u heeft een SBOM nodig die de component omvat, bewijs van kwetsbaarheidsmonitoring door de leverancier, en een contractuele verplichting om u binnen een vastgesteld tijdvenster op de hoogte te stellen van exploiteerbare kwetsbaarheden. Voor dienstverleners onder NIS2 is due diligence organisatorisch: u beoordeelt hun beveiligingsgovernance, incidentresponscapaciteit, bedrijfscontinuïteit, en of zij voldoen aan de NIS2-beveiligingsmaatregelen die van toepassing zijn op uw sector. Beide typen kunnen een gemeenschappelijke vragenlijstsjabloon delen, maar de evaluatiecriteria en de contractuele clausules zijn verschillend.

Welk bewijs moet worden bewaard om gecoördineerde naleving van beide regimes aan te tonen?

Bewaar drie zaken. Ten eerste een mappingdocument dat aantoont welke interne processen welke regelgevingsverplichting dienen, zodat een auditor elke CRA- of NIS2-vereiste kan herleiden naar een specifieke maatregel. Ten tweede incidentdossiers die aantonen dat beide meldingspaden correct zijn geactiveerd wanneer gebeurtenissen daarvoor in aanmerking kwamen, met tijdstempels en bevestigingen van ontvangers. Ten derde bestuur- of managementrapportages die zowel productbeveiliging als organisatiebeveiliging omvatten onder één governancestructuur, waaruit blijkt dat het toezicht geünificeerd is. Als u in hetzelfde jaar wordt geauditeerd onder zowel de CRA als NIS2, is dit het bewijs dat aantoont dat u één programma beheert en geen twee losstaande.

Hoe beïnvloeden nationale NIS2-omzettingsverschillen een fabrikant die in meerdere landen actief is?

NIS2 is een richtlijn, geen verordening, wat betekent dat elke EU-lidstaat deze omzet in nationaal recht. De kernverplichtingen (risicobeheer, incidentmelding, ketenbeveiliging) zijn consistent, maar de bevoegde autoriteit, de sectordrempels, en soms de boetestructuur verschillen per land. Een fabrikant die actief is in Duitsland, Frankrijk en Polen moet vaststellen welke nationale autoriteit toezicht houdt op elke entiteit, zich bij de juiste instantie registreren in elk rechtsgebied, en NIS2-incidentmeldingen doorsturen naar het juiste nationale CSIRT. De CRA is daarentegen een verordening en is uniform van toepassing in de gehele EU. Als u een product in een EU-land verkoopt, gelden dezelfde CRA-verplichtingen.

Volgende stappen

Begin door te bevestigen of uw bedrijf zowel productfabrikant als essentiële of belangrijke entiteit onder NIS2 is. Gebruik de productclassificatiegids om elk product toe te wijzen aan zijn CRA-klasse. Breng vervolgens productrisico's en servicerisico's afzonderlijk in kaart in één register dat ze onderscheiden houdt. Definieer de interne meldingstriggers voor CRA versus NIS2 en wijs voor elk pad een verantwoordelijke eigenaar aan. Unificeer uw leveranciers- en kwetsbaarheidsintakeworkflows zodat beide typen leveranciers via één proces verlopen. Voor een volledig overzicht van CRA-deadlines, zie de CRA-implementatietijdlijn. Voer vervolgens een gezamenlijke tabletop-oefening uit die een productincident simuleert dat ook uw diensten treft: dit brengt lacunes in uw respons met dubbele reikwijdte aan het licht voordat een echte gebeurtenis dat doet.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.

CRA Productklassen Compliance
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Cyber Resilience Act valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
Productclassificatie

Hoe de CRA producten indeelt op risiconiveau en wat elke categorie betekent voor de verplichtingen.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
View full CRA compliance guide