CRA-deadlines 2026 en 2027: wat verplicht is, wat geblokkeerd is

Per 30 mei 2026 zijn nul aangemelde instanties aangewezen onder de CRA. Er is geen geharmoniseerde norm gepubliceerd in het Publicatieblad. Het ENISA-meldplatform bestaat nog niet. Ongeveer 3,4 maanden resten voordat de handhaving van artikel 14 op 11 september 2026 begint.

Als u producten met digitale elementen op de EU-markt brengt, is dit de actuele situatie: wat u voor september moet inrichten, wat op dit moment geblokkeerd is, en waarom zelfevaluatie voor belangrijke klasse I vandaag niet werkt.

Drie blokkades die u niet kunt omzeilen

Geen geharmoniseerde normen

Artikel 32(2) biedt fabrikanten van belangrijke klasse I drie conformiteitsroutes: zelfevaluatie, beoordeling door een derde partij op basis van geharmoniseerde normen of gemeenschappelijke specificaties, of beoordeling door een aangemelde instantie. De middelste route vereist CRA-geharmoniseerde normen. Er is echter geen CRA-geharmoniseerde norm gepubliceerd in het Publicatieblad. Per 30 mei 2026:

• De pagina voor geharmoniseerde normen van de Commissie bevat geen vermelding voor Verordening (EU) 2024/2847.
• Er zijn geen gemeenschappelijke specificaties vastgesteld op grond van artikel 27(2).
• Er is geen gedelegeerde handeling op grond van artikel 27(9) die een Europees cyberbeveiligingscertificeringsschema aanwijst als CRA-vermoeden van overeenstemming.

Waar normen niet bestaan, vereist artikel 32(2) Module B+C (EU-typeonderzoek) of Module H (volledige kwaliteitsborging). Beide vereisen een aangemelde instantie.

Als u een product van belangrijke klasse I fabriceert, werkt zelfevaluatie vandaag dus niet. Beoordeling door een aangemelde instantie is de enige conforme weg.

CEN-CLC/JTC 13/WG 9 ontwikkelt de EN 40000-serie:

• prEN 40000-1-1 (Vocabulaire): openbare enquête afgerond, nog niet bij formele stemming.
• prEN 40000-1-2 (Principes): openbare enquête afgerond, nog niet bij formele stemming.
• prEN 40000-1-3 (Kwetsbaarheidsafhandeling): openbare enquête liep van december 2025 tot februari 2026, momenteel in commentaarverwerking.
• prEN 40000-1-4 (Generieke beveiligingsvereisten): nog in opstellingsfase.
• Type-C verticale normen (browsers, VPN's, SIEM en andere): rijpe ontwerpfase, nog niet in openbare enquête.

Vroegst realistische publicatie in het Publicatieblad: Q4 2026. Verscheidene verticale normen schuiven naar verwachting door tot 2027.

Geen aangemelde instanties

Hoofdstuk IV treedt in werking op 11 juni 2026. De doelstelling van de Commissie is voldoende NB-capaciteit op 11 december 2026 (artikel 35(2), inspanningsverplichting). Per 30 mei 2026 staan er geen door de CRA aangewezen aangemelde instanties vermeld in de Single Market Compliance Space.

Als u een beoordeling van belangrijke klasse I voor december 2027 moet afronden, reken dan op:

• Voorbereiding technisch dossier: 3 tot 6 maanden.
• Module B+C-beoordeling: 2 tot 4 maanden per product.
• NB-beschikbaarheid: onzeker totdat de formele aanwijzing na juni 2026 opengaat.

Neem nu contact op met conformiteitsbeoordelingsinstanties. Het formele mechanisme opent op zijn vroegst medio 2026. Wachten tot dan maakt het onwaarschijnlijk dat u uw beoordeling voor december 2027 afrondt.

Geen ENISA-meldplatform

Het Single Reporting Platform van artikel 16 is per 30 mei 2026 niet beschikbaar. ENISA heeft een leverancier gecontracteerd. Het platform staat gepland om voor 11 september 2026 open te gaan. Er bestaat geen registratie-URL en er is geen fabrikantgerichte toelichting gepubliceerd.

Wat u nu kunt doen:

• Meldingssjablonen opstellen conform de formaatvereisten van artikel 14: meldingen van 24 uur en 72 uur, een eindrapport kwetsbaarheid binnen 14 dagen en een eindrapport ernstig incident binnen één maand.
• De aangewezen CSIRT-coördinator van uw lidstaat identificeren.
• Vastleggen wie intern bevoegd is een 24-uursmelding te activeren tijdens een weekend of feestdag.

ENISA SRP-pagina: https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Wat voor 11 september 2026 op orde moet zijn

Ongeveer 3,4 maanden resten. Als deze punten niet zijn afgerond, loopt u niet achter op taken. U loopt achter op infrastructuur, en infrastructuur bouwen kost maanden.

Productinventaris en classificatie

U heeft een volledige lijst nodig van elk product met digitale elementen (PDE) dat u op de EU-markt brengt, met de CRA-classificatie per product bevestigd:

• Standaardklasse: zelfevaluatieroute beschikbaar.
• Belangrijke klasse I: beoordeling door een aangemelde instantie vandaag vereist (zie hierboven).
• Belangrijke klasse II: aangemelde instantie vereist. Module B+C of Module H.
• Kritiek: Module B+C of volledige kwaliteitsborging. Europese cyberbeveiligingscertificering kan ook van toepassing zijn.

Classificatiereferentie: Uitvoeringsverordening (EU) 2025/2392 (PB 1 december 2025, in werking 21 december 2025) bevat technische beschrijvingen van de productcategorieën in bijlage III en IV. Gebruik dit document om grensgevallen op te lossen.

SBOM-infrastructuur

U kunt een actief misbruikte kwetsbaarheid niet binnen 24 uur melden als u niet weet welke componenten uw product bevat. SBOM-generatie moet operationeel zijn voor september 2026.

• Formaat: CycloneDX of SPDX. Beide worden onder de CRA geaccepteerd. Kies er één en standaardiseer dat over alle producten.
• Reikwijdte: transitieve afhankelijkheden, niet alleen directe afhankelijkheden. Volledige zichtbaarheid van componenten is vereist voor de risicobeoordeling in bijlage VII.
• Opslag: versiebeheerd, gekoppeld aan productreleases. Elke SBOM moet bij een specifieke build horen.
• Integratie: CI/CD-pipeline. Een eenmalige export voldoet niet aan de doorlopende verplichting.

Monitoring van kwetsbaarheden

De 24-uurstermijn begint bij kennisname: redelijke zekerheid op basis van een eerste beoordeling. Forensisch bewijs is niet vereist om de termijn te starten. U heeft monitoring nodig die die eerste beoordeling kan produceren voordat de termijn verstrijkt.

• Abonneer u op NVD, OSV en relevante leveranciersadviezen voor uw componentenstack.
• Automatiseer het scannen op basis van uw SBOM-componenten.
• Documenteer uw interne escalatiepad en test dit van begin tot eind.
• Stel meldingssjablonen nu op, voordat het ENISA-platform live gaat.

Controlelijst voor 11 september 2026

PRODUCTINVENTARIS (begin hier: classificatie bepaalt uw conformiteitsroute):
[ ] Volledige lijst van PDE's die in de EU worden verkocht, classificatie per product bevestigd
[ ] Belangrijke klasse I: contact met conformiteitsbeoordelingsinstantie nu gestart;
    NB-aanwijzing opent pas na juni 2026; wachten zet u na december 2027
[ ] Ondersteuningsperiode gedeclareerd per verwachte productlevensduur (Art. 13(8))

SBOM (begin hier: voedt monitoring, technisch dossier en 24-uursmelding):
[ ] SBOM-generatie geïntegreerd in CI/CD-pipeline: een eenmalige export is niet genoeg
[ ] Formaat gestandaardiseerd: CycloneDX of SPDX
[ ] Dekking van transitieve afhankelijkheden geverifieerd: directe afhankelijkheden alleen zijn niet genoeg
[ ] SBOM's versiebeheerd en gekoppeld aan specifieke productreleases

MONITORING VAN KWETSBAARHEDEN (moet actief zijn voor 11 september):
[ ] Monitoring actief voor alle producten: NVD, OSV, leveranciersadviezen
[ ] Geautomatiseerd scannen op basis van SBOM actief
[ ] Intern escalatiepad gedocumenteerd en van begin tot eind getest
[ ] 24/7 dekking bevestigd, inclusief escalatiepaden voor vakanties en weekenden

MELDINGSVOORBEREIDING (ENISA-platform nog niet live: regel al het overige nu):
[ ] Sjablonen voor 24 uur, 72 uur, kwetsbaarheid binnen 14 dagen en incident binnen één maand opgesteld conform Art. 14
[ ] CSIRT-coördinator van de lidstaat geïdentificeerd
[ ] Persoon aangewezen die 24/7 bevoegd is een 24-uursmelding te activeren

DOCUMENTATIE:
[ ] Technische documentatie gecontroleerd conform bijlage VII
[ ] Gap-analyse afgerond
[ ] Risicobeoordeling gestart

Artikel 14: wat melding vereist vanaf 11 september 2026

Vanaf 11 september 2026 moet u actief misbruikte kwetsbaarheden en ernstige incidenten gelijktijdig aan twee bestemmingen melden: de aangewezen CSIRT-coördinator van uw lidstaat en ENISA via het Single Reporting Platform (artikel 16).

Uitzondering voor KMO's: artikel 64(10)(a) stelt micro-ondernemingen en kleine ondernemingen vrij van boetes voor het missen van de tijdsvereisten in artikel 14(2)(a) en 14(4)(a). De vrijstelling geldt uitsluitend voor de timing. De meldingsverplichting zelf blijft van toepassing.

Wat "actief misbruikt" betekent

Artikel 14(2)(a) is van toepassing wanneer er sterke aanwijzingen zijn dat een dreigingsactor de kwetsbaarheid in een systeem heeft uitgebuit zonder toestemming van de eigenaar. Indicatoren zijn:

• Bevestigde aanvallen waargenomen in het wild.
• Misbruik gemeld via bronnen voor dreigingsinformatie of door beveiligingsonderzoekers.
• Detectie in honeypots met bewijs van actieve inzet.

De ontwerp-toelichting van de Commissie (Ares(2026)2319816, 3 maart 2026) hanteert "sterke aanwijzingen van actief misbruik" als norm, een lagere drempel dan forensisch bewijs.

Controlelijst Fase 2

MELDINGSINFRASTRUCTUUR (voor 11 september 2026):
[ ] Meldingssjablonen klaar: formaten van 24 uur, 72 uur, kwetsbaarheid binnen 14 dagen en incident binnen één maand
[ ] CSIRT-coördinator van de lidstaat geïdentificeerd: dit is uw primaire indienpunt
    naast ENISA
[ ] 24/7 escalatiepad bevestigd, inclusief vakantiedekking en reservecontacten
[ ] Juridische beoordeling van Art. 14-verplichtingen afgerond

KWETSBAARHEIDSBEHEER:
[ ] Actieve monitoring operationeel voor alle producten
[ ] CVE/NVD-integratie actief
[ ] Meldingssjablonen voor klanten gereed

TEAMGEREEDHEID:
[ ] Beveiligingsteam getraind op Art. 14-verplichtingen en de vier termijnen
[ ] Managementescalatiepad gedocumenteerd
[ ] Juridisch team geïnformeerd over meldingsverplichtingen
[ ] Communicatieteam voorbereid op publieke bekendmakingen

Volledige naleving voor 11 december 2027

Essentiële cyberbeveiligingsvereisten (bijlage I)

Elk conform PDE moet aan deze vereisten voldoen:

Beveiliging by design

• Beveiligingsniveau passend bij het risico van het product (bijlage I, deel I, §1).
• Bescherming tegen ongeoorloofde toegang.
• Vertrouwelijkheid, integriteit en beschikbaarheid van gegevens en essentiële functies.
• Minimaal aanvalsoppervlak, veilige standaardinstellingen, geen hardgecodeerde credentials.

Kwetsbaarheidsbeheer

• Gedocumenteerd proces voor het identificeren en aanpakken van kwetsbaarheden.
• Tijdige, gratis beveiligingsupdates gedurende de ondersteuningsperiode.
• Beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (Art. 13(6)).

Updatecapaciteit

• Veilig en betrouwbaar updatemechanisme.
• Mogelijkheid om beveiligingsupdates te scheiden van functie-updates.

Technische documentatie (bijlage VII)

Ondersteuningsperiode: twee afzonderlijke verplichtingen

De CRA legt twee onderscheiden verplichtingen op met betrekking tot beveiligingsupdates.

Artikel 13(8): u moet beveiligingsupdates uitbrengen gedurende minimaal vijf jaar vanaf de datum waarop het product op de markt is gebracht, of de verwachte levensduur van het product als die korter is. Vijf jaar is de ondergrens, niet de standaard. Een product met een verwachte levensduur van tien jaar vereist een ondersteuningstoezegging van tien jaar.

Artikel 13(9): elke beveiligingsupdate die u uitbrengt, moet minimaal tien jaar na de datum van uitgifte beschikbaar blijven voor download, of voor de resterende ondersteuningsperiode, afhankelijk van welke termijn langer is.

Dit zijn onafhankelijke verplichtingen. Een update die in jaar vier van een ondersteuningsperiode van vijf jaar is uitgebracht, moet downloadbaar blijven tot jaar veertien na de datum van uitgifte. Als u oude updatepakketten verwijdert of toestaat dat distributie-infrastructuur vervalt, schendt u artikel 13(9), ook als u op schema nieuwe updates blijft uitbrengen. Plan uw opslag- en distributie-infrastructuur op de lange termijn voordat u uw eerste update onder de CRA uitbrengt.

Controlelijst voor december 2027

PRODUCTNALEVING:
[ ] Alle producten voldoen aan bijlage I-vereisten: beveiliging by design,
    kwetsbaarheidsbeheer en updatecapaciteit
[ ] Conformiteitsbeoordelingen afgerond: NB-procedure klaar voor belangrijke klasse I en klasse II
[ ] CE-markering aangebracht
[ ] EU-conformiteitsverklaring opgesteld conform Art. 28

TECHNISCH DOSSIER (bijlage VII):
[ ] Risicobeoordeling volledig en gedocumenteerd
[ ] SBOM actueel en gevalideerd
[ ] Conformiteitsbewijs geordend en toegankelijk
[ ] Ondersteuningsperiode gedeclareerd per verwachte productlevensduur (Art. 13(8))

MARKTKETEN:
[ ] Importeurs en distributeurs geïnformeerd over hun CRA-verplichtingen
[ ] Klantgerichte documentatie bijgewerkt

DOORLOPENDE VERPLICHTINGEN:
[ ] Art. 13(8): beveiligingsupdateproces actief gedurende de gehele ondersteuningsperiode
[ ] Art. 13(9): infrastructuur voor updatebeschikbaarheid ingericht: tien jaar per uitgiftedatum
[ ] Kwetsbaarheidsmonitoring actief en getest
[ ] Incidentrespons minimaal elk kwartaal geoefend

Toelichting van de Commissie: ontwerp van maart 2026

De Commissie publiceerde op 3 maart 2026 een ontwerpmededeling van ongeveer 70 pagina's (Ares(2026)2319816). De openbare raadpleging sloot op 31 maart 2026. Het document is nog niet definitief. De definitieve taalversies wachten nog. Zie voor een volledig overzicht onze toelichting op de CRA-toelichting van de Commissie.

Belangrijke uitspraken relevant voor uw tijdlijn:

RDPS-test voor SaaS-toepasselijkheid: software voor externe gegevensverwerking valt alleen onder de CRA als deze door drie voorwaarden komt. De software voert externe gegevensverwerking uit. Die externe verwerking is noodzakelijk voor de kernfunctie van het product. En de fabrikant heeft controle over de externe verwerking. SaaS die voor deze test faalt, valt buiten de reikwijdte.

Bestaande producten: er is geen reconstructie van historische documentatie vereist. U heeft een actuele risicobeoordeling nodig. Productfamilies mogen voor risicobeoordeling worden gegroepeerd.

Software-updates: een update vormt geen "ingrijpende wijziging" die een nieuwe conformiteitsbeoordeling vereist, tenzij er nieuwe dreigingsvectoren worden geïntroduceerd of het beoogde gebruik van het product verandert. De toelichting biedt een vierledige test.

24-uurstermijn: begint bij kennisname. Redelijke zekerheid op basis van een eerste beoordeling volstaat. Forensisch bewijs is niet vereist.

Minimum ondersteuningsperiode: vijf jaar is een minimum, geen standaard. De ondersteuningsperiode moet de verwachte levensduur van het product weerspiegelen.

Open source: het publiceren van broncode vormt geen plaatsing van een product op de markt. Bijdragers die geen controle hebben over de release van een afgewerkt product, zijn geen fabrikant in de zin van de CRA.

Officiële aankondiging: https://digital-strategy.ec.europa.eu/en/news/commission-publishes-feedback-draft-guidance-assist-companies-applying-cyber-resilience-act

Sancties

Artikel 64(2) van Verordening (EU) 2024/2847 stelt de hoogste boete vast op 15 miljoen euro of 2,5% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is, voor:

• Niet-naleving van de essentiële cyberbeveiligingsvereisten in bijlage I en de verplichtingen van artikel 13.
• Niet-nakoming van de verplichtingen in artikel 14 (melding van kwetsbaarheden en incidenten).

Beide overtredingen vallen in dezelfde boetecategorie. Er bestaat geen lagere categorie voor meldingsverzuim.

Artikel 64(3) (10 miljoen euro of 2%) heeft betrekking op een afzonderlijke reeks verplichtingen: artikelen 18 tot 23, 28, 30 tot 33, 39, 41, 47, 49, 53. Dit zijn voornamelijk verplichtingen voor importeurs, distributeurs en aangemelde instanties. Artikel 14 staat niet in deze lijst.

Uitzondering voor KMO's: artikel 64(10)(a) stelt micro-ondernemingen en kleine ondernemingen vrij van boetes voor het missen van de specifieke tijdsvereisten in artikel 14(2)(a) en 14(4)(a). De vrijstelling geldt voor de timing, niet voor de inhoud van de meldingsverplichting.

Sectorspecifieke aandachtspunten

Consumentenelektronica

SBOM-automatisering is de vroege investering met de hoogste waarde. Zij voedt direct de kwetsbaarheidsmonitoring en het genereren van het technisch dossier. Consumentenproducten hebben doorgaans complexe toeleveringsketens met meerdere componentleveranciers.

Het beheer van firmware-updates voor grote apparaatpopulaties vereist OTA-infrastructuur. Een update die in jaar drie van de levensduur van een product is uitgebracht, moet tien jaar na de datum van uitgifte downloadbaar blijven (artikel 13(9)). Plan uw distributie-infrastructuur nu, niet op het moment van uitgifte.

Softwareuitgevers

Kwetsbaarheidsmelding is de operationeel meest veeleisende verplichting voor softwareproducten. Detectiesnelheden liggen hoger en het bijhouden van afhankelijkheden op transitief niveau is in moderne stacks niet eenvoudig. Integreer SBOM-generatie in uw bestaande CI/CD-pipelines. Dat voedt direct de monitoring- en responsworkflow.

Industriële apparatuur

Lange productlevenscycli (10 tot 20 jaar) werken door in zowel de minimale ondergrens van vijf jaar (artikel 13(8)) als de vereiste updatebeschikbaarheid van tien jaar per uitgifte (artikel 13(9)). Een product met een verwachte levensduur van twintig jaar kan een ondersteuningstoezegging van twintig jaar vereisen.

Industriële producten vallen vaak onder belangrijke klasse I of II, wat momenteel beoordeling door een aangemelde instantie betekent. Neem nu contact op met conformiteitsbeoordelingsinstanties. De formele NB-aanwijzingsprocedure opent na juni 2026 en de capaciteit blijft naar verwachting krap tot minstens december 2026.

IoT-apparaten

Het elimineren van standaardcredentials is een harde vereiste (bijlage I, deel I, §2(e)). Pak dit als eerste aan. Het is een duidelijke overtreding van bijlage I en relatief beperkt van omvang in vergelijking met architecturele wijzigingen. Veilige updatemechanismen voor resource-beperkte apparaten vereisen meer werk. Begin met credentials, behandel daarna updates.