CRA-compliance voor Spaanse fabrikanten: INCIBE-CERT en regionale ondersteuning

Spaanse fabrikanten hebben dezelfde CRA-verplichtingen als hun EU-tegenhangers, maar met toegang tot Spaanstalige resources en nationale ondersteuningsstructuren. INCIBE-CERT fungeert als het nationale referentie-CSIRT, en diverse regionale programma's kunnen mkb-bedrijven helpen zich voor te bereiden op compliance.

Deze gids behandelt CRA-compliance vanuit het perspectief van een Spaanse fabrikant.

Samenvatting

• De CRA geldt gelijkelijk voor Spaanse fabrikanten zonder nationale vrijstellingen
• INCIBE-CERT is het nationale CSIRT voor kwetsbaarheidsmelding
• Spaanstalige CRA-resources beschikbaar via INCIBE en CCN
• Regionale programma's (CDTI, ICEX, regionale agentschappen) kunnen compliance-investeringen ondersteunen
• Spaans mkb moet nu beginnen met CRA-voorbereiding; december 2027 nadert

De CRA in de Spaanse context

Dezelfde regelgeving, dezelfde verplichtingen

De CRA is een EU-Verordening (geen Richtlijn), wat betekent dat deze direct van toepassing is in Spanje zonder omzetting. Spaanse fabrikanten hebben dezelfde verplichtingen als Duitse, Franse of andere EU-fabrikanten:

• Conformiteitsbeoordeling vóór marktplaatsing
• Technische documentatie (technisch dossier)
• CE-markering
• Kwetsbaarheidsafhandeling en beveiligingsupdates
• ENISA/CSIRT-melding (indien van toepassing)

Er bestaan geen Spaans-specifieke vrijstellingen.

Spaanse implementatieorganen

INCIBE-CERT: uw nationale CSIRT

Wat is INCIBE-CERT?

INCIBE-CERT (Instituto Nacional de Ciberseguridad - Computer Emergency Response Team) is het nationale CSIRT van Spanje voor burgers, bedrijven en exploitanten van kritieke infrastructuur.

Relevantie voor de CRA:

• Ontvangt kwetsbaarheidsrapportages gerouteerd via ENISA
• Coördineert met fabrikanten bij incidenten op de Spaanse markt
• Biedt richtsnoeren en resources in het Spaans
• Ondersteunt mkb bij cyberbeveiliging

Contactinformatie INCIBE

CONTACT INCIBE-CERT

Algemene vragen:
Website: https://www.incibe.es
E-mail: incidencias@incibe-cert.es

Voor bedrijven:
017 (Nationale helpdesk cyberbeveiliging)
Website: https://www.incibe.es/empresas

Incidentmelding:
https://www.incibe.es/incibe-cert/incidentes

Kwetsbaarheidscoördinatie:
Volg ENISA SRP-procedures (vanaf september 2026)

Hoe CRA-melding zal werken

Wanneer CRA-kwetsbaarheidsmelding begint (september 2026):

KWETSBAARHEIDSMELDING STROOM (Spaanse fabrikant)

Actief misbruikte kwetsbaarheid ontdekt
                │
                ▼
        ENISA Single Reporting Platform
                │
                ├──────────────────────────────┐
                ▼                              ▼
        ENISA (EU-niveau)              Nationaal CSIRT(s)
                                              │
                                   Indien Spanje: INCIBE-CERT
                                              │
                                   Coördinatie & ondersteuning

Het ENISA SRP routeert rapportages naar relevante nationale CSIRT's op basis van waar uw producten worden verkocht. Voor producten op de Spaanse markt ontvangt INCIBE-CERT de kennisgevingen.

Spaanstalige CRA-resources

INCIBE-resources

INCIBE biedt cyberbeveiligingsresources in het Spaans:

CRA-specifiek: Volg INCIBE voor CRA-richtsnoeren naarmate de verordening van kracht wordt.

CCN-resources

Het Centro Criptológico Nacional biedt resources primair voor de publieke sector, maar nuttig voor fabrikanten:

Brancheorganisaties

Spaanse brancheorganisaties die CRA-informatie verstrekken:

Ondersteuningsprogramma's voor mkb

Spaans mkb kan ondersteuning voor CRA-compliance-investeringen aanvragen:

Nationale programma's

CDTI (Centro para el Desarrollo Tecnológico Industrial):

• Innovatiefinanciering
• Kan cyberbeveiligings-/compliance-O&O ondersteunen
• Leningen en subsidies voor technologieontwikkeling

ICEX (España Exportación e Inversiones):

• Exportondersteuning
• Kan helpen bij EU-markt compliancevereisten
• Assistentie bij internationale certificering

Kit Digital:

• Digitaliseringsondersteuning voor mkb
• Cyberbeveiligingscomponenten inbegrepen
• Potentiële afstemming op CRA-voorbereiding

Regionale programma's

Controleer regionale programma's op:

• Cyberbeveiligingssubsidies
• Ondersteuning bij certificering
• Technische assistentieprogramma's
• Financiering exportvoorbereiding

EU-programma's toegankelijk vanuit Spanje

Praktische stappen voor Spaanse fabrikanten

Fase 1: Beoordeling (nu - medio 2026)

CHECKLIST BEOORDELINGSFASE

Productportfolio:
[ ] Alle producten met digitale elementen inventariseren
[ ] CRA-classificatie per product bepalen
[ ] Producten in Spanje vs. bredere EU identificeren
[ ] Huidige compliancestatus in kaart brengen

Gapanalyse:
[ ] Huidige praktijken vergelijken met CRA-vereisten
[ ] Documentatiegebreken identificeren
[ ] Kwetsbaarheidsafhandelingscapaciteit beoordelen
[ ] Updateleveringsmechanismen evalueren

Middelen:
[ ] Benodigde compliance-investering ramen
[ ] Potentiële ondersteuningsprogramma's identificeren
[ ] Interne capaciteit vs. externe ondersteuning beoordelen

Fase 2: Voorbereiding (medio 2026 - september 2026)

CHECKLIST VOORBEREIDINGSFASE

Kwetsbaarheidsafhandeling:
[ ] Beveiligingscontact instellen (security.txt)
[ ] CVD-beleid opstellen
[ ] Voorbereiden op ENISA-melding (start september 2026)
[ ] Incidentresponsprocedures testen

Documentatie:
[ ] Begin opstellen technisch dossier
[ ] SBOM-generatie implementeren
[ ] Beveiligingsarchitectuur documenteren
[ ] Risicobeoordelingen voorbereiden

Infrastructuur:
[ ] Updateleveringsmechanisme opzetten
[ ] Klantnotificatiemogelijkheid instellen
[ ] Documentatierepository aanmaken

Fase 3: Compliance (september 2026 - december 2027)

CHECKLIST COMPLIANCEFASE

September 2026:
[ ] Rapportagecapaciteit actief
[ ] ENISA SRP-toegang ingesteld
[ ] Kwetsbaarheidsafhandelingsproces operationeel

Tot en met 2027:
[ ] Conformiteitsbeoordelingen voltooien
[ ] Technische documentatie afronden
[ ] CE-markering gereed

December 2027:
[ ] Volledige CRA-compliance
[ ] Alle producten hebben conformiteitsbeoordeling
[ ] CE-markering aangebracht
[ ] 5-jaar ondersteuningsverplichtingen aanwezig

Uitdagingen voor Spaans mkb

Uitdaging 1: Beperkte cyberbeveiligingsresources

Veel Spaanse mkb-bedrijven missen toegewijd beveiligingspersoneel.

Oplossingen:

• INCIBE-resources en training benutten
• Managed security services overwegen
• Industrieclusters voor gedeelde resources
• Regionale ondersteuningsprogramma's benutten

Uitdaging 2: Technische documentatie in het Spaans

Hoewel CRA-documentatie in het Spaans kan voor de Spaanse markt, kan componentdocumentatie (van internationale leveranciers) in het Engels zijn.

Oplossingen:

• Spaanstalige documentatie aanvragen bij EU-leveranciers
• Vertalingen gebruiken voor intern begrip
• Engelse versies handhaven voor technische nauwkeurigheid
• Spaanstalige samenvattingsdocumenten voor autoriteiten

Uitdaging 3: Leveranciersrelaties

Spaanse fabrikanten importeren mogelijk componenten van niet-EU-leveranciers die onbekend zijn met de CRA.

Oplossingen:

• Sleutelleveranciers informeren over CRA-vereisten
• CRA-clausules opnemen in inkoopcontracten
• EU-alternatieve leveranciers overwegen voor kritieke componenten
• Buffertijd inbouwen voor leverancierscompliance

Uitdaging 4: Toegang tot conformiteitsbeoordeling

Aangemelde instanties voor de CRA kunnen aanvankelijk beperkt zijn.

Oplossingen:

• Vroeg contact opnemen met potentiële aangemelde instanties
• ENAC controleren op geaccrediteerde instanties in Spanje
• Instanties in andere EU-landen overwegen (geldig EU-breed)
• Voor Standaard-producten kan zelfbeoordeling (Module A) volstaan

Sectorperspectief

IoT en elektronica

Spaanse IoT-fabrikanten vallen volledig onder de CRA:

• Productclassificatie (waarschijnlijk Belangrijk Klasse I voor velen)
• Vereisten conformiteitsbeoordeling
• 5-jaar updateverplichtingen
• SBOM en kwetsbaarheidsbeheer

Sleuteloverweging: Veel IoT-producten bevatten geïmporteerde componenten, dus due diligence in de toeleveringsketen is essentieel.

Softwarebedrijven

Spaanse softwarebedrijven:

• Zelfstandige software valt binnen de CRA
• SaaS kan buiten het toepassingsgebied vallen (dienst, geen product)
• Embedded software in producten valt zeker in toepassingsgebied

Sleuteloverweging: Onderscheid maken tussen softwareproducten (CRA van toepassing) en diensten (CRA mogelijk niet van toepassing).

Industriële apparatuur

Spaanse fabrikanten van industriële apparatuur:

• IACS voor essentiële entiteiten = Belangrijk Klasse II
• Hogere vereisten conformiteitsbeoordeling
• Langere verwachte productlevensduur

Sleuteloverweging: Industriële producten hebben vaak ondersteuningsverwachtingen langer dan 5 jaar.

Werken met Spaanse autoriteiten

Markttoezicht

Markttoezicht voor de CRA in Spanje zal waarschijnlijk betrekken:

• Ministerio de Industria of aangewezen orgaan
• Coördinatie met INCIBE voor cyberbeveiligingsaspecten
• Inspecties en documentatieverzoeken

Voorbereiding:

• Toegankelijke technische documentatie bijhouden
• Compliance-beslissingen en onderbouwing documenteren
• Snel reageren op verzoeken van autoriteiten

Meewerkverplichtingen

Onder de CRA moet u medewerken met markttoezichtautoriteiten:

• Technische documentatie verstrekken op verzoek
• Assisteren bij producttesten
• Corrigerende maatregelen doorvoeren bij bevonden non-compliance

Checklist voor Spaanse fabrikanten

CRA-GEREEDHEIDSCHECK SPAANSE FABRIKANTEN

ORGANISATIE:
[ ] CRA-verantwoordelijkheden intern toegewezen
[ ] Budget toegewezen voor compliance
[ ] Ondersteuningsprogramma's geïdentificeerd (CDTI, ICEX, regionaal)

PRODUCTBEOORDELING:
[ ] Alle producten geïnventariseerd
[ ] CRA-classificatie bepaald
[ ] Gapanalyse voltooid

INCIBE/CSIRT:
[ ] Bekend met INCIBE-CERT-diensten
[ ] Nummer 017-helpdesk bekend
[ ] Incidentmeldingsproces begrepen

DOCUMENTATIE:
[ ] Structuur technisch dossier vastgesteld
[ ] Strategie Spaans/Engels documentatie
[ ] SBOM-generatiecapaciteit

KWETSBAARHEIDSAFHANDELING:
[ ] Beveiligingscontact ingesteld
[ ] CVD-beleid (kan in het Spaans)
[ ] Voorbereiding ENISA-melding

LEVERANCIERSBEHEER:
[ ] Sleutelleveranciers geïdentificeerd
[ ] CRA-vereisten gecommuniceerd
[ ] Documentatieaanvragen verstuurd

CONFORMITEITSBEOORDELING:
[ ] Beoordelingsroute geselecteerd (A, B+C, H)
[ ] Aangemelde instantie geïdentificeerd (indien nodig)
[ ] Planning opgesteld

ONDERSTEUNING:
[ ] Betrokkenheid brancheorganisatie
[ ] Aanvragen regionale programma's
[ ] Extern advies (indien nodig)

Gerelateerde gidsen:

• EU Cyber Resilience Act: volledige implementatietijdlijn 2025-2027
• CRA-productclassificatie: is uw product Standaard, Belangrijk of Kritisch?

Hoe CRA Evidence helpt

CRA Evidence ondersteunt Spaanse fabrikanten:

• Spaanstalige interface: Platform beschikbaar in het Spaans
• INCIBE-afstemming: Rapportageworkflows afgestemd op Spaans CSIRT
• Documentatie: Sjablonen aanpasbaar voor de Spaanse markt
• Richtsnoeren: CRA-vereisten in context uitgelegd

Start uw CRA-compliance op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.