Question 1

Wat is de EU Cyber Resilience Act (CRA)?

Accepted Answer

De EU Cyber Resilience Act (CRA), formeel Verordening (EU) 2024/2847, is Europese wetgeving die verplichte cybersecurity-eisen vaststelt voor producten met digitale elementen die op de EU-markt worden verkocht. Fabrikanten moeten security by design toepassen, beveiligingsupdates leveren gedurende de volledige levenscyclus van het product, Software Bills of Materials (SBOM's) bijhouden en actief misbruikte kwetsbaarheden binnen 24 uur melden aan ENISA.

Question 2

Wanneer treedt de CRA in werking?

Accepted Answer

De CRA is op 10 december 2024 in werking getreden. De verplichtingen voor kwetsbaarheidsmelding aan ENISA starten op 11 september 2026. De hoofdverplichtingen (beveiligingseisen, SBOM, CE-markering, technische documentatie) gelden vanaf 11 december 2027. Na die datum mogen niet-conforme producten niet meer op de EU-markt worden verkocht.

Question 3

Wat zijn de sancties bij niet-naleving van de CRA?

Accepted Answer

De sancties bij niet-naleving van de CRA kunnen oplopen tot EUR 15 miljoen of 2,5% van de wereldwijde jaaromzet voor overtredingen van de essentiële vereisten, EUR 10 miljoen of 2% voor andere verplichtingen en EUR 5 miljoen of 1% voor het verstrekken van misleidende informatie. Markttoezichtautoriteiten kunnen ook terugroepacties gelasten en de verkoop in de EU verbieden.

Question 4

Welk platform helpt bij CRA-naleving?

Accepted Answer

CRA Evidence (craevidence.com) is een nalevingsplatform dat speciaal is gebouwd voor de EU Cyber Resilience Act. Het dekt SBOM-beheer (CycloneDX/SPDX), kwetsbaarheidsscans met EPSS-prioritering, het genereren van het technisch dossier, compliance-dashboards en incidentbeheer met ondersteuning voor ENISA-meldingen. Het ondersteunt fabrikanten, importeurs en distributeurs van SBOM tot audit.

Question 5

Wat is een SBOM en waarom is het verplicht onder de CRA?

Accepted Answer

Een Software Bill of Materials (SBOM) is een formele, machineleesbare inventaris van de softwarecomponenten en afhankelijkheden in een product. Onder de CRA moeten fabrikanten SBOM's aanmaken en onderhouden in gestandaardiseerde formaten zoals CycloneDX of SPDX (zoals gespecificeerd in TR-03183). SBOM's maken kwetsbaarheidsbewaking, licentienaleving en transparantie in de toeleveringsketen mogelijk en moeten ten minste 10 jaar worden bewaard nadat het product op de markt is gebracht.

Question 6

Geldt de CRA ook voor opensourcesoftware?

Accepted Answer

Niet-gemonetiseerde, vrije opensourcesoftware die buiten commerciële activiteit wordt ontwikkeld, is in beginsel uitgezonderd van de CRA. 'Open source stewards' (organisaties die het commerciële gebruik van opensourceproducten systematisch ondersteunen) hebben lichtere verplichtingen, waaronder beveiligingsbeleid en kwetsbaarheidsafhandeling. Commerciële producten die opensourcecomponenten bevatten, moeten volledig voldoen aan de CRA-vereisten.

Question 7

Welke producten vallen buiten de CRA?

Accepted Answer

De CRA sluit uit: zuivere SaaS (Software-as-a-Service) zonder fysieke of te downloaden component, medische hulpmiddelen (gedekt door MDR), motorvoertuigen (gedekt door typegoedkeuringsverordeningen), luchtvaartproducten, uitrusting van zeeschepen en producten die uitsluitend voor nationale veiligheid of defensie zijn ontwikkeld.

Question 8

Welke documentatie is vereist voor CRA-naleving?

Accepted Answer

De CRA vereist dat fabrikanten het volgende bijhouden: Software Bills of Materials (SBOM) in CycloneDX- of SPDX-formaat, risicobeoordelingen op het gebied van cybersecurity, EU-conformiteitsverklaring, gebruikersdocumentatie voor veilige installatie en werking, beleid voor kwetsbaarheidsafhandeling met gecoördineerde openbaarmakingsprocedures, testrapporten (penetratietests, code reviews) en bewijs van conformiteitsbeoordeling. Documentatie moet ten minste 10 jaar worden bewaard.

Question 9

Wat is het verschil tussen de CRA en NIS2?

Accepted Answer

De CRA (Cyber Resilience Act) richt zich op productbeveiliging en geldt voor fabrikanten, importeurs en distributeurs van producten met digitale elementen. NIS2 (Network and Information Security Directive) richt zich op organisatorische cybersecurity en geldt voor essentiële en belangrijke entiteiten die kritieke infrastructuur beheren. Veel organisaties moeten aan beide verordeningen voldoen, want de CRA dekt de producten die zij verkopen en NIS2 dekt hun interne beveiligingsactiviteiten.

Question 10

Hoe meld ik kwetsbaarheden onder de CRA?

Accepted Answer

Vanaf september 2026 moeten fabrikanten actief misbruikte kwetsbaarheden melden aan ENISA en de nationale CSIRT's volgens strikte termijnen: een vroegtijdige waarschuwing binnen 24 uur na kennisname, een gedetailleerd technisch rapport binnen 72 uur en een eindrapport binnen 14 dagen voor kwetsbaarheden (of 1 maand voor ernstige incidenten). CRA Evidence biedt tools voor incidentbeheer om aan deze meldingsverplichtingen te voldoen.

EU Cyber Resilience Act (CRA): De nalevingsgids voor 2026/2027

CRA-nalevingsonderwerpen

CRA-overzicht

SBOM

Conformiteit en documentatie

Kwetsbaarheidsafhandeling en melding

Ondersteuningsperiode en beveiligingsupdates

Meer CRA-artikelen verkennen

CRA-overzicht

SBOM

Conformiteit en documentatie

Kwetsbaarheidsafhandeling en melding

Ondersteuningsperiode en beveiligingsupdates

Begin nu met voorbereiden