CRA voor Spaanse fabrikanten: INCIBE-CERT, CCN en ENAC

Landenoverzicht voor Spaanse fabrikanten onder de CRA: melding waarschijnlijk via INCIBE-CERT, CCN/ENAC-splitsing, Spaanse taalplichten en financiering.

CRA Evidence Team Gepubliceerd 1 januari 2026 Bijgewerkt 11 juni 2026
CRA-landenbriefing voor Spaanse fabrikanten met de nationale institutionele keten: CSIRT voor kwetsbaarhedenmeldingen, aangemelde instantie voor conformiteitscertificaten, markttoezichtautoriteit voor handhaving
In dit artikel

Spaanse fabrikanten vallen onder dezelfde verplichtingen van de Cyberweerbaarheidsverordening als elke andere EU-fabrikant. Deze pagina is een landenbriefing voor Spanje: hoe kwetsbaarheden- en incidentmeldingen via INCIBE-CERT worden gerouteerd, hoe conformiteitsbeoordelingsinstanties worden aangewezen via de Spaanse taakverdeling (CCN notificeert, ENAC accrediteert), wat de Spaanstalige verplichtingen concreet inhouden en welke nationale financieringsprogramma's nog beschikbaar zijn nu het herstelvenster sluit. Voor het volledige verplichtingenpakket van de fabrikant, zie de cluster-gids voor fabrikanten.

Samenvatting

  • De Cyberweerbaarheidsverordening is een EU-verordening met rechtstreekse werking. Er zijn geen Spaanse uitzonderingen voor productfabrikanten.
  • INCIBE-CERT is het Spaanse CSIRT dat CRA-kwetsbaarheden- en incidentmeldingen ontvangt wanneer uw hoofdvestiging in Spanje ligt.
  • CCN (Centro Criptológico Nacional) notificeert Spaanse conformiteitsbeoordelingsinstanties bij de Europese Commissie. ENAC accrediteert hen als technische stap vóór die notificatie.
  • SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) binnen Ministerio para la Transformación Digital y de la Función Pública (MTDFP) is gepositioneerd als de Spaanse CRA-markttoezichtautoriteit. Het nationaal kader is van toepassing vanaf 11 juni 2026. Verifieer de definitieve BOE-aanwijzing vóór enige formele indiening.
  • Spaans (Castiliaans) is vereist voor gebruikersinformatie bij producten op de Spaanse markt. Co-officiële talen van de autonome gemeenschappen (Catalaans, Galicisch, Baskisch) zijn niet CRA-verplicht.
  • CDTI heeft actieve 2026-innovatielijnen die R&D aangrenzend aan CRA-werk kunnen financieren. Kit Digital-rondes sloten in oktober 2025. Plan de Recuperación-projecten moeten uiterlijk 31 augustus 2026 zijn uitgevoerd en zijn geen planningsinstrument voor de deadline van 11 december 2027.

Wanneer deze gids op u van toepassing is

U bent de doellezer als uw "hoofdvestiging in de Unie" als fabrikant in Spanje ligt. Dat is de plaats waar beslissingen over de cyberbeveiliging van uw producten met digitale elementen overwegend worden genomen. Een in Spanje geregistreerde verkoopsdochter met engineering in het buitenland is geen hoofdvestiging. Als uw engineeringteam, uw SDLC-governance en de mensen die beveiligingsupdates goedkeuren in Spanje zitten, is deze gids voor u.

Als uw hoofdvestiging elders in de EU ligt en u alleen naar Spanje levert, loopt uw CRA-melding via het CSIRT van uw eigen lidstaat van vestiging, niet via INCIBE-CERT. De Spaanstalige verplichting voor gebruikersinformatie geldt wel voor elk product dat op de Spaanse markt wordt geplaatst.

INCIBE-CERT: de Spaanse CSIRT-route

CRA-meldingen worden gerouteerd via het CSIRT dat is aangewezen als coördinator van de lidstaat waar de fabrikant zijn hoofdvestiging in de Unie heeft. Voor een fabrikant met hoofdvestiging in Spanje is dat CSIRT INCIBE-CERT.

INCIBE-CERT publiceert Spaanstalige kwetsbaarheidsadviezen en beheert de incidentresponsstream voor consumentenproducten. CCN-CERT bedient de publieke sector en geclassificeerde systemen en is niet de CRA-route voor commerciële fabrikanten die producten op de open markt plaatsen.

Het technische kanaal voor de 24u / 72u / 14d-meldingscadans is het ENISA single reporting platform, dat operationeel wordt op 11 september 2026. Een Spaanse fabrikant dient via dat platform in met INCIBE-CERT als ontvangende coördinator. De CSIRT-aanwijzing bepaalt de routing. Het platform is het transport.

Aangemelde instanties: CCN notificeert, ENAC accrediteert

Voor belangrijke producten van klasse I waarbij geen geharmoniseerde norm wordt toegepast, voor belangrijke producten van klasse II en voor kritieke producten vereist de conformiteitsbeoordeling een aangemelde instantie (module B+C of module H).

De Spaanse institutionele taakverdeling is:

  • CCN (Centro Criptológico Nacional) treedt op als notificerende autoriteit die Spaanse aangemelde instanties formeel aanmeldt bij de Europese Commissie onder de Cyberweerbaarheidsverordening.
  • ENAC (Entidad Nacional de Acreditación) is de Spaanse nationale accreditatie-instantie en beoordeelt de technische bekwaamheid van een kandidaat voordat CCN die notificeert.

Het CRA-kader voor aangemelde instanties is van toepassing vanaf 11 juni 2026, waarna aangewezen instanties CRA-conformiteitsbeoordelingscertificaten kunnen beginnen uit te geven. Tot die datum wordt de Spaanse keten opgebouwd.

Een Spaanse fabrikant kan elke EU-aangemelde instantie inschakelen en is niet beperkt tot Spaans-aangewezen instanties. Voor een Spaans-aangewezen instantie kiezen is een inkooppreferentie (Spaanstalige beoordeling, logistiek in eigen land) en geen CRA-vereiste.

Markttoezicht: SETID binnen MTDFP

Het Spaanse ontwerp van Real Decreto wijst SETID binnen MTDFP aan als markttoezichtautoriteit voor CRA-producten in Spanje. Die aanwijzing blijft voorlopig tot de definitieve publicatie in het BOE.

INCIBE ondersteunt de technische kant als voorkeurslaboratorium. Het ontwerp geeft INCIBE echter geen publieke beslissingsbevoegdheden voor CRA-markttoezicht. Controleer de definitieve BOE-tekst vóór enige formele indiening.

Spaanstalige verplichtingen in de praktijk

De Cyberweerbaarheidsverordening vereist dat gebruikersinformatie bij het product is opgesteld in een taal die gemakkelijk te begrijpen is door gebruikers en de lokale markttoezichtautoriteit. Voor producten op de Spaanse markt is dat Spaans (Castiliaans).

Moet in het Spaans zijn:

  • De gebruikersinstructies en productinformatie die met het product worden meegeleverd.
  • De contactgegevens van de fabrikant (naam, adres, e-mail of ander digitaal contactmiddel) overal waar ze voorkomen, ook op het product zelf, de verpakking of het bijgevoegde document.
  • De vermelding van de einddatum van de ondersteuning op het punt van aankoop.

Mag meertalig zijn:

  • Het productlabel en de CE-markering.
  • Verpakkingstekst.
  • Online documentatie, mits een Spaanstalige versie bereikbaar is.

Engels is doorgaans aanvaard voor:

  • Interne technische documentatie. Markttoezichtautoriteiten kunnen een Spaanstalige vertaling opvragen als zij een gemotiveerd verzoek indienen, dus plan die mogelijkheid in zelfs als u niet proactief vertaalt.

Catalaans, Galicisch en Baskisch zijn co-officieel in hun respectieve autonome gemeenschappen. De Cyberweerbaarheidsverordening verplicht niet tot vertaling in co-officiële talen. Specifieke regionale aanbestedingscontracten of sectorale toezichthouders kunnen eigen taalclausules opleggen, los van de Cyberweerbaarheidsverordening.

Grensoverschrijdend leveren vanuit Spanje

Spaanse fabrikanten die aan Portugal, Frankrijk, Italië of een andere EU-lidstaat leveren, houden dezelfde enkelvoudige routeringsregel: uw meldingen gaan nog steeds naar INCIBE-CERT, want routing volgt de hoofdvestiging, niet de bestemming per zending. U dient niet bij het Portugese, Franse of Italiaanse CSIRT in.

De taalverplichting vertakt zich wel per markt. Een product dat naar de Franse markt wordt geleverd, heeft Franstalige gebruikersinformatie nodig. Een product naar de Portugese markt heeft Portugese informatie nodig. Het enkelvoudige Spaanstalige pakket dekt die markten niet.

Elk ontvangend land kan ook uw technische documentatie opvragen in een taal die die autoriteit gemakkelijk begrijpt. Als uw levering breed door de EU loopt, verwacht dan verzoeken in ten minste één veel gebruikte werktaal, en behandel vroege vertaling van de meest gevraagde secties van de technische documentatie als praktische voorzorgsmaatregel.

Nationale financieringsprogramma's

Het financieringslandschap is verschoven nu het herstelvenster sluit. Wees precies over wat open staat voordat u een budgetlijn aan een van deze programma's koppelt.

  • CDTI (Centro para el Desarrollo Tecnológico Industrial) heeft actieve 2026-lijnen: NEOTEC (techstartups in een vroeg stadium), Línea Directa de Innovación (LIC) en Misiones Ciencia e Innovación (grote samenwerkende R&D-consortia). Door de CRA gedreven werk past waar de invalshoek echte R&D en innovatie is, niet louter implementatie of compliance. CDTI plant meer dan 1,8 miljard euro te mobiliseren via zijn 2026-lijnen.
  • Activa Ciberseguridad is een klein voucherprogramma (circa 2.140 euro per begunstigde) voor industriële mkb-bedrijven, uitgevoerd door SGIPYME met de autonome gemeenschappen en EOI. Nuttig voor een eerste cyberbeveiligingsdiagnose of een plan-de-ciberseguridad, niet voor de volledige CRA-toolinginvestering.
  • Kit Digital bevindt zich in een overgangsfase. Alle Kit Digital-rondes sloten in oktober 2025. Orden TDF/39/2026 (BOE, 28 januari 2026) staat herverdeling van resterende middelen toe, maar per 25 mei 2026 is er geen open aanvraagvenster. Controleer kitdigital.red.es/convocatorias voordat u hierop rekent.
  • Plan de Recuperación, Transformación y Resiliencia (PRTR) bevindt zich in zijn slotvenster. Alle herstel- en veerkrachtprojecten moeten uiterlijk 31 augustus 2026 zijn uitgevoerd, met de definitieve betalingsverzoeken van Spanje aan de Commissie op 30 september 2026. PRTR is daarmee geen bruikbaar planningsinstrument voor de CRA-nalevingsdeadline van 11 december 2027. Het RETECH-initiatief van 162 miljoen euro via INCIBE bevindt zich in zijn laatste uitbetalingsfase.

Voor nieuwe nalevingsinvesteringen gericht op de deadline van 11 december 2027 is het realistische publieke financieringslandschap in Spanje beperkt tot CDTI-innovatielijnen en eventuele sectorspecifieke programma's via de autonome gemeenschappen. Programma's gefinancierd via herstel en veerkracht maken geen deel uit van dat beeld vanaf 2027.

Veelgestelde vragen

Welk Spaans CSIRT ontvangt mijn CRA-kwetsbaarhedenmeldingen?

INCIBE-CERT, wanneer de hoofdvestiging van de fabrikant in Spanje ligt. De Cyberweerbaarheidsverordening definieert hoofdvestiging als de plaats waar beslissingen over de cyberbeveiliging van producten met digitale elementen overwegend worden genomen. CCN-CERT fungeert niet als CRA-coördinator voor commerciële fabrikanten. Meldingen worden ingediend via het ENISA single reporting platform vanaf 11 september 2026, met INCIBE-CERT als ontvangende coördinator.

Wie wijst Spaanse aangemelde instanties aan: ENAC of CCN?

CCN (Centro Criptológico Nacional) is de notificerende autoriteit die Spaanse CRA-aangemelde instanties formeel aanmeldt bij de Europese Commissie. ENAC accrediteert de kandidaat-instanties als technische stap vóór die notificatie. Beide zijn betrokken, met onderscheiden rollen. Een Spaanse fabrikant kan voor de CRA-conformiteitsbeoordeling elke EU-aangemelde instantie inschakelen. De Spaanse keten is relevant voor inkoop, niet als CRA-vereiste.

Dekt mijn ENS- of LINCE-certificering de CRA-conformiteitsbeoordeling?

Nee, geen van beide vervangt de CRA-conformiteitsbeoordeling, hoewel beide ondersteunend bewijs kunnen opleveren. De ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) is een organisatorisch beveiligingskader voor publiekssectorinformatiesystemen en hun leveranciers, geen productcertificering. LINCE is de lichtgewicht productevaluatie van CCN die toegang geeft tot de CPSTIC-catalogus voor Spaanse overheidsopdrachten. LINCE is op EU-niveau geharmoniseerd via FITCEM EN 17640:2022, samen met de Franse CSPN- en Duitse BSZ-methodologieën, zodat de uitkomsten als ondersteunend bewijs in uw CRA-technische documentatie kunnen worden opgenomen. De eigen conformiteitsbeoordelingsroutes van de Cyberweerbaarheidsverordening (module A zelfevaluatie, module B+C type-onderzoek, module H volledig kwaliteitssysteem) werken als een afzonderlijke keten. Beschouw ENS- of LINCE-certificering als invoer voor uw CRA-dossier, niet als vervanging van de conformiteitsbeoordeling zelf.

Welke Spaanse autoriteit is de CRA-markttoezichtautoriteit?

SETID (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales) binnen Ministerio para la Transformación Digital y de la Función Pública (MTDFP) is in het Spaanse ontwerp aangewezen als CRA-markttoezichtautoriteit. Het CRA-kader van nationale bevoegde autoriteiten is van toepassing vanaf 11 juni 2026, en de officiële BOE-aanwijzing van Spanje kan op het moment van lezen nog worden afgerond. Verifieer de definitieve aanwijzing vóór enige formele indiening. INCIBE ondersteunt als technisch voorkeurslaboratorium, zonder publieke beslissingsbevoegdheden voor markttoezicht.

Wanneer publiceert Spanje zijn nationale CRA-uitvoeringswet in het BOE?

De Cyberweerbaarheidsverordening is een EU-verordening met rechtstreekse werking, dus Spanje hoeft haar niet in nationaal recht om te zetten voor de inhoudelijke verplichtingen om op 11 december 2027 in werking te treden. Wat Spanje vóór 11 juni 2026 wel moet publiceren, is een uitvoeringsinstrument (doorgaans een Real Decreto of Orden Ministerial) dat de CRA-markttoezichtautoriteit, de notificerende autoriteit voor conformiteitsbeoordelingsinstanties en het nationale contactpunt formeel aanwijst. Hetzelfde of een vervolgend instrument zal naar verwachting de Spaanse boeteschaal binnen de EU-plafonds vaststellen, de handhavingsprocedure definiëren en de afstemming met bestaande Spaanse cyberbeveiligingswetgeving verduidelijken. Per 25 mei 2026 is deze BOE-publicatie nog niet verschenen. Houd het BOE in de gaten rond de kadertermijn van 11 juni 2026 voor een aanwijzings-Real Decreto, en beschouw eerdere sectorale attributies van bevoegdheden als voorlopig totdat die tekst is gepubliceerd.

Moet ik alles vertalen naar het Catalaans, Galicisch of Baskisch?

De Cyberweerbaarheidsverordening vereist gebruikersinformatie in een taal die gemakkelijk te begrijpen is in de lidstaat van levering. Voor Spanje is dat Spaans (Castiliaans). Co-officiële talen van de autonome gemeenschappen zijn niet vereist door de Cyberweerbaarheidsverordening zelf. Specifieke regionale aanbestedingscontracten of sectorale toezichthouders kunnen aanvullende taalvereisten stellen, los van de Cyberweerbaarheidsverordening.

Kan CDTI of Kit Digital mijn CRA-compliancetooling betalen?

CDTI: waar het werk echte R&D en innovatie is (nieuwe detectiemethoden, SBOM-analysetooling, kwetsbaarheidsafhandelingspipelines), ja. Het 2026-plan van CDTI mobiliseert meer dan 1,8 miljard euro via NEOTEC, LIC, Misiones en andere lijnen. Puur compliancewerk (audits, conformiteitsbeoordelingskosten, interne procesopbouw) past moeilijker, omdat CDTI innovatiefinanciering is. Kit Digital: rondes sloten oktober 2025, geen open venster per 25 mei 2026. Orden TDF/39/2026 staat herverdeling van resterende middelen toe, maar heropent geen aanvragen. Plan de Recuperación bevindt zich in zijn slotvenster met projectuitvoering verschuldigd op 31 augustus 2026 en kan daarmee geen werk financieren dat is ingepland voor de deadline van 11 december 2027.

Ik lever vanuit Spanje naar andere EU-lidstaten. Waar meld ik incidenten?

Via INCIBE-CERT, ongeacht naar welke lidstaten u levert. De Cyberweerbaarheidsverordening koppelt de meldingsrouting aan de hoofdvestiging, niet aan de bestemming per zending. De taalverplichting vertakt zich wel per markt: Franstalige productinformatie voor producten geleverd aan Frankrijk, Portugese voor producten geleverd aan Portugal, enzovoort. Stel ten minste de meest gevraagde secties van de technische documentatie voor in een veel gebruikte werktaal om grensoverschrijdende gemotiveerde verzoeken op te kunnen vangen.

Voor Spaanse fabrikanten die zich voorbereiden op 11 december 2027

  1. Bevestig uw verplichtingen als fabrikant via de cluster-gids voor fabrikanten.
  2. Verifieer dat uw hoofdvestiging in Spanje ligt en documenteer de onderbouwing. De locatie van de cyberbeveiligingsbesluitvorming, niet het geregistreerde kantoor, is bepalend.
  3. Breng uw CRA-meldingsstroom in kaart met INCIBE-CERT als ontvangend CSIRT, met een getest indieningsproces via het ENISA single reporting platform zodra dat live gaat op 11 september 2026.
  4. Als uw conformiteitsbeoordelingsroute een aangemelde instantie vereist, inventariseer dan ENAC-geaccrediteerde en CCN-genotificeerde instanties als thuisoptie, plus ten minste één grensoverschrijdend alternatief voor risicospreiding.
  5. Vertaal gebruikersinstructies en productinformatie naar het Spaans. Voeg per-marktvertalingen toe voor andere EU-lidstaten waarnaar u levert.
  6. Onderzoek CDTI-lijnen (NEOTEC, LIC, Misiones) voor R&D-gerelateerd CRA-werk. Plan niet op Kit Digital of Plan de Recuperación voor nalevingsinvesteringen in 2027, want beide bevinden zich in slotvensters.
  7. Controleer de definitieve BOE-aanwijzing opnieuw zodra die is gepubliceerd en werk uw contactkaart voor SETID, CCN, ENAC en INCIBE-CERT bij vóór enige formele indiening.
  8. Lees de vragenlijst leveranciers-due-diligence voor het fabrikantgerichte kader voor componenten-due-diligence.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg een gekwalificeerde juridisch adviseur voor specifieke CRA-compliancevraagstukken.

CRA Spanje Kwetsbaarheidsbeheer
Share

Gerelateerde artikelen

Terug naar alle artikelen

Is de CRA van toepassing op uw product?

Beantwoord 6 eenvoudige vragen om te ontdekken of uw product onder de EU Verordening cyberweerbaarheid valt. Ontvang uw resultaat in minder dan 2 minuten.

Nu controleren

Klaar om CRA-conformiteit te bereiken?

Begin met het beheren van uw SBOMs en compliance-documentatie met CRA Evidence.

Gratis proefperiode van 14 dagen starten

Diepgaande analyse van CRA-onderwerpen

Doorlopende gidsen over de eisen, processen en rollen uit de EU-cyberweerbaarheidsverordening (CRA).

EU-conformiteitsverklaring

Wat de EU-conformiteitsverklaring moet bevatten, wie deze ondertekent en wanneer deze vereist is.

Gids lezen →
Conformiteitsbeoordeling

Hoe conformiteitsbeoordeling werkt onder de CRA en wanneer een aangemelde instantie vereist is.

Gids lezen →
Europese cyberbeveiligingscertificering (EUCC)

Hoe het EUCC-certificeringsschema werkt en wanneer het kan bijdragen aan CRA-conformiteit.

Gids lezen →
Technische documentatie

Wat de technische CRA-documentatie moet bevatten (Bijlage VII sectie voor sectie) en hoe fabrikanten deze moeten structureren.

Gids lezen →
SBOM-vereisten

Wat de CRA vereist voor SBOM's en hoe BSI TR-03183 kwaliteitscriteria definieert.

Gids lezen →
Melding van kwetsbaarheden

Hoe de 24-uurs meldingsplicht bij ENISA werkt en wat telt als een actief misbruikte kwetsbaarheid.

Gids lezen →
Verplichtingen van de importeur

Wat artikel 19 eist van importeurs en hoe de naleving van fabrikanten kan worden geverifieerd.

Gids lezen →
Planning van de ondersteuningsperiode

Wat de CRA-verplichting voor de ondersteuningsperiode betekent voor beveiligingsupdates en end-of-life planning.

Gids lezen →
Bekijk de volledige CRA-nalevingsgids