Staat uw naam of merk op een product met digitale elementen dat op de EU-markt in de handel wordt gebracht, dan behandelt de Cyberweerbaarheidsverordening u meestal als de fabrikant. Deze pagina legt de belangrijkste CRA-fabrikantverplichtingen uit: veilig ontwerp, technische documentatie, conformiteitsbeoordeling, CE-markering, plichten tijdens de ondersteuningsperiode, kwetsbaarheidsafhandeling en verplichte melding.
Samenvatting
- Bent u de fabrikant? U bent meestal de fabrikant wanneer u het product ontwikkelt, vervaardigt of laat maken en het onder uw eigen naam of merk op de markt brengt. Het merk is de beslissende toets; het leveringscontract verplaatst de CRA-rol niet vanzelf.
- Wat moet vóór het in de handel brengen klaar zijn? Cyberbeveiligingsrisicobeoordeling, mapping van de essentiële cyberbeveiligingsvereisten, technische documentatie, conformiteitsbeoordeling, EU-conformiteitsverklaring, CE-markering, fabrikant- en contactgegevens en gebruikersinstructies.
- Wat loopt na het in de handel brengen door? Kwetsbaarheidsafhandeling, beveiligingsupdates, bekendmaking van de ondersteuningsperiode, corrigerende maatregelen, samenwerking met markttoezichtautoriteiten en documentbewaring. Beveiligingsupdates blijven ten minste 10 jaar na uitgifte beschikbaar, of voor de rest van de ondersteuningsperiode, het langste geldt.
- Wat moet worden gemeld? Actief misbruikte kwetsbaarheden en ernstige incidenten lopen via het centrale ENISA-meldingsplatform in een ritme van 24u/72u en een eindrapport. De twee stromen hebben verschillende termijnen voor het eindrapport; de details staan in de meldsectie hieronder.
- Wanneer geldt het? Melding van kwetsbaarheden en incidenten begint op 11 september 2026; de rest van het fabrikantenregime volgt daarna. Zie de implementatietijdlijn hieronder voor de volledige reeks mijlpalen.
- Boeteblootstelling: inbreuken in de hoogste categorie kunnen oplopen tot EUR 15 000 000 of 2,5% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt. Micro- en kleine ondernemingen krijgen alleen op de vroege-waarschuwingstermijnen van 24u een smalle vrijstelling. Zie boetes en handhaving voor de boeteladder artikel per artikel.
Vier cijfers die de blootstelling van de fabrikant kaderen: 21 essentiële vereisten verdeeld over product en proces, twee meldingstermijnen per stroom, hoogste boetecategorie.
Wie is fabrikant onder de CRA?
In de praktijk is de CRA-fabrikant de merkeigenaar of productmaker die verantwoordelijk is voor het op de markt brengen van het product onder zijn naam of merk. De definitie dekt entiteiten die een product ontwikkelen, vervaardigen, of laten ontwerpen, ontwikkelen of vervaardigen, en het vervolgens onder hun eigen naam of merk op de markt brengen, betaald, gemonetiseerd of gratis.
Uitbesteding verplaatst de rol niet: bouwt een OEM of opdrachtnemer het product maar staat uw naam erop, dan blijft u de fabrikant. Staat het product niet onder uw naam of merk, dan bent u mogelijk importeur, distributeur, gemachtigde of substantiële wijziger. Voor de volledige beslisboom voor rollen, zie wie aan de CRA moet voldoen.
Kernverplichtingen van de fabrikant
De fabrikantverplichtingen vallen uiteen in vier clusters: veilig ontwerp en risicobeoordeelde producteigenschappen; kwetsbaarheidsbeheersprocessen tijdens de ondersteuningsperiode; pre-markt artefacten die vóór het in de handel brengen klaar moeten zijn (technische documentatie, conformiteitsbeoordeling, EU-conformiteitsverklaring, CE-markering); en plichten na het in de handel brengen (corrigerende maatregelen, samenwerking met markttoezicht, bekendmaking van de ondersteuningsperiode, kennisgeving bij staking). De onderstaande tabel koppelt elke plicht aan het specifieke lid van Artikel 13 dat haar verankert.
| Plicht | Kernpunt | Bron |
|---|---|---|
| Ontwerpen en produceren conform essentiële vereisten | De essentiële vereisten zijn verplicht, gemoduleerd door de cyberbeveiligingsrisicobeoordeling. | Artikel 13, lid 1 |
| Cyberbeveiligingsrisicobeoordeling | Gedocumenteerd, geactualiseerd gedurende de ondersteuningsperiode, opgenomen in de technische documentatie. | Artikel 13, lid 2 |
| Zorgvuldigheid bij componenten | Betracht zorgvuldigheid bij het integreren van componenten, inclusief vrije en open source-componenten; zodra u kennis krijgt van een kwetsbaarheid in een component, documenteer die, meld die stroomopwaarts aan de componentonderhouder en herstel die in uw eigen product. | Artikel 13, lid 5, Artikel 13, lid 6 |
| Ondersteuningsperiode | Ten minste 5 jaar, of de verwachte gebruiksperiode als die korter is. Gedocumenteerd in de technische documentatie. Omvat plichten voor kwetsbaarheidsafhandeling en CVD-beleid. | Artikel 13, lid 8 |
| Beschikbaarheid van beveiligingsupdates | Elke beveiligingsupdate blijft ten minste 10 jaar na uitgifte beschikbaar, of voor de rest van de ondersteuningsperiode, het langste geldt. | Artikel 13, lid 9 |
| Substantieel gewijzigde softwareversies | De regel voor kwetsbaarheidsherstel kan beperkt zijn tot de meest recente versie waar gebruikers vrije toegang toe hebben. Openbare archieven van niet-ondersteunde versies zijn toegestaan met risicowaarschuwingen. | Artikel 13, lid 10, Artikel 13, lid 11 |
| Pre-markt technische documentatie + conformiteitsbeoordeling + CE, controles op serieproductie | Stel de technische documentatie op. Voer de conformiteitsbeoordeling uit of laat haar uitvoeren. Stel de EU-conformiteitsverklaring op en breng de CE-markering aan. Onderhoud procedures zodat de serieproductie conform blijft. | Artikel 13, lid 12 |
| Bewaring | Technische documentatie en EU-conformiteitsverklaring ter beschikking van markttoezichtautoriteiten gedurende ten minste 10 jaar of de ondersteuningsperiode, het langste geldt. | Artikel 13, lid 13 |
| Productidentificatie + identificatie fabrikant | Type-, partij- of serienummer. Naam, handelsnaam of merk van de fabrikant, postadres, digitaal contact, ook overgenomen in de informatie bij het product. | Artikel 13, lid 15, Artikel 13, lid 16 |
| Centraal aanspreekpunt | Gebruikers moeten hun voorkeursmiddel van communicatie kunnen kiezen. Mag niet beperkt zijn tot geautomatiseerde hulpmiddelen. | Artikel 13, lid 17 |
| Begeleidende gebruikersinformatie | Informatie en instructies in een voor gebruikers en markttoezicht gemakkelijk te begrijpen taal, online toegankelijk gedurende dezelfde bewaarperiode. | Artikel 13, lid 18 |
| Einddatum ondersteuningsperiode | Vermeld op het moment van aankoop, met ten minste maand en jaar. Toon een melding einde ondersteuning aan gebruikers waar technisch haalbaar. | Artikel 13, lid 19 |
| Aflevering EU-conformiteitsverklaring | Ofwel de volledige conformiteitsverklaring, ofwel een vereenvoudigde verklaring met het exacte internetadres waar de volledige verklaring kan worden geraadpleegd. | Artikel 13, lid 20 |
| Corrigerende maatregelen na het in de handel brengen + samenwerking | Bij bewustwording van non-conformiteit: uit de handel nemen, terugroepen of weer in overeenstemming brengen. Verstrek alle informatie aan markttoezicht op gemotiveerd verzoek. | Artikel 13, lid 21, Artikel 13, lid 22 |
| Beëindiging van activiteiten | Informeer markttoezicht en, met alle beschikbare middelen, gebruikers voordat de beëindiging in werking treedt. | Artikel 13, lid 23 |
| SBOM-formaat + afhankelijkheidsbeoordelingen | De Commissie kan het SBOM-formaat via uitvoeringshandelingen specificeren. ADCO kan Uniebrede afhankelijkheidsbeoordelingen uitvoeren. | Artikel 13, lid 24, Artikel 13, lid 25 |
Essentiële cyberbeveiligingsvereisten
Fabrikanten moeten aan twee sets essentiële cyberbeveiligingsvereisten voldoen: productbeveiligingsvereisten en vereisten voor kwetsbaarheidsafhandeling. De eerste set bepaalt hoe het product wordt ontworpen, ontwikkeld en geproduceerd. De tweede set bepaalt welke processen de fabrikant tijdens de ondersteuningsperiode moet uitvoeren.
Cyberbeveiligingsrisicobeoordeling
Fabrikanten voeren een cyberbeveiligingsrisicobeoordeling uit om uit te zoeken welke essentiële cyberbeveiligingsvereisten op hun specifieke product van toepassing zijn. De beoordeling wordt eenmalig gedocumenteerd en gedurende de ondersteuningsperiode actueel gehouden. Zij maakt deel uit van de technische documentatie, en wanneer een vereiste niet van toepassing is, bevat de beoordeling de schriftelijke rechtvaardiging.
Productbeveiligingsvereisten
Vóór het in de handel brengen moet het product worden ontworpen, ontwikkeld en geproduceerd om een passend niveau van cyberbeveiliging op basis van risico te bieden. De cyberbeveiligingsrisicobeoordeling van de fabrikant bepaalt welke controles uit onderstaande lijst gelden, en wanneer een controle niet van toepassing is, moet de technische documentatie een duidelijke rechtvaardiging bevatten.
- (a) Beschikbaar gesteld zonder bekende uitbuitbare kwetsbaarheden
- (b) Standaard veilige configuratie; herstel naar oorspronkelijke staat beschikbaar (op maat gemaakte producten voor zakelijke gebruikers mogen anders overeenkomen)
- (c) Kwetsbaarheden adresseerbaar via beveiligingsupdates; automatische updates worden standaard binnen een passende termijn geïnstalleerd, met opt-out- en uitsteloptie waar van toepassing
- (d) Bescherming tegen onbevoegde toegang (authenticatie, identiteits- of toegangsbeheer, melding over mogelijke onbevoegde toegang)
- (e) Vertrouwelijkheid van opgeslagen, verzonden en verwerkte gegevens, inclusief versleuteling in rust of in transit met state-of-the-art-mechanismen
- (f) Integriteitsbescherming van gegevens, opdrachten, programma's, configuratie; melding over corrupties
- (g) Gegevensminimalisatie: verwerk alleen gegevens die toereikend, ter zake dienend en beperkt zijn tot het beoogde doel
- (h) Beschikbaarheid van essentiële en basisfuncties, ook na een incident; weerbaarheid tegen denial-of-service
- (i) Negatieve impact op de beschikbaarheid van diensten geleverd door andere apparaten of netwerken minimaliseren
- (j) Beperk aanvalsoppervlakken, inclusief externe interfaces
- (k) Verminder incidentimpact via mechanismen en technieken voor mitigatie van uitbuiting
- (l) Verstrek beveiligingsinformatie door registratie en monitoring van relevante interne activiteit, met opt-out voor de gebruiker
- (m) Stel gebruikers in staat alle gegevens en instellingen veilig en eenvoudig te verwijderen; zorg waar van toepassing voor veilige gegevensoverdracht
De clausule "waar van toepassing" bij meerdere bovenstaande punten wordt bepaald door de risicobeoordeling, niet door de voorkeur van de fabrikant.
Vereisten voor kwetsbaarheidsafhandeling
Los van de productbeveiligingscontroles moet de fabrikant tijdens de ondersteuningsperiode processen voor kwetsbaarheidsafhandeling uitvoeren: componentdocumentatie, SBOM, testen, herstel, gecoördineerde openbaarmaking van kwetsbaarheden, meldkanalen, veilige updatedistributie en gebruikersadviezen.
- (1) Kwetsbaarheden en componenten identificeren en documenteren, inclusief een software bill of materials (SBOM) in een veelgebruikt machineleesbaar formaat dat ten minste de top-niveau-afhankelijkheden dekt
- (2) Kwetsbaarheden zonder vertraging adresseren en herstellen via beveiligingsupdates. Waar technisch haalbaar beveiligingsupdates scheiden van functionaliteitsupdates
- (3) Effectieve en regelmatige tests en beoordelingen van productbeveiliging toepassen
- (4) Zodra een beveiligingsupdate beschikbaar is, informatie over herstelde kwetsbaarheden delen en publiek openbaar maken (beschrijving, getroffen producten, impact, ernst, herstelinstructies). Publieke openbaarmaking mag worden uitgesteld in naar behoren gerechtvaardigde gevallen totdat gebruikers de patch kunnen toepassen
- (5) Een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (CVD) opzetten en handhaven
- (6) Het delen van informatie over potentiële kwetsbaarheden (ook in componenten van derden) faciliteren door een contactadres voor kwetsbaarheidsmeldingen aan te bieden
- (7) Mechanismen om updates veilig te distribueren zodat kwetsbaarheden tijdig en, waar van toepassing, automatisch worden verholpen
- (8) Beveiligingsupdates zonder vertraging verspreiden. Gratis tenzij anders overeengekomen met een zakelijke gebruiker voor op maat gemaakte producten. Met adviesberichten aan gebruikers
De bovenstaande vereisten voor kwetsbaarheidsafhandeling gelden vanaf het in de handel brengen tot het einde van de ondersteuningsperiode. Beveiligingsupdates blijven ten minste 10 jaar na uitgifte beschikbaar, of voor de rest van de ondersteuningsperiode, het langste geldt.
Zorgvuldigheid bij componenten
Zorgvuldigheid bij componenten geldt of het component nu commercieel is dan wel vrij en open source. De fabrikant documenteert de componentkwetsbaarheden waarvan hij op de hoogte raakt, pakt ze in zijn eigen product aan en deelt relevante informatie met de componentonderhouder (waar passend de relevante code of documentatie in machineleesbaar formaat). De documentatievlakken zijn de SBOM en het technische-documentatiedossier.
Pre-markt artefacten: wat moet bestaan voordat het product op de markt komt
Vier artefacten moeten bestaan voordat het product in de handel wordt gebracht. Elk is verankerd in een specifiek CRA-artikel en levert een specifieke nalevingshandeling op: het dossier dat de fabrikant bewaart, de beoordeling die hij uitvoert, de verklaring die hij ondertekent, de markering die hij aanbrengt.
| Artefact | Wat het bevat of vereist |
|---|---|
| Technische documentatie | Productbeschrijving, ontwerp- en ontwikkelingsinformatie, de cyberbeveiligingsrisicobeoordeling, de toegepaste geharmoniseerde normen of gemeenschappelijke specificaties, de gekozen conformiteitsbeoordelingsroute en het resultaat, de EU-conformiteitsverklaring en het proces voor kwetsbaarheidsafhandeling. Bewaard gedurende ten minste 10 jaar of de ondersteuningsperiode, het langste geldt. |
| Conformiteitsbeoordeling | Module A zelfbeoordeling voor producten in de standaardklasse en voor belangrijke klasse I wanneer geharmoniseerde normen, gemeenschappelijke specificaties of een cyberbeveiligingscertificeringsschema volledig worden toegepast. Belangrijke klasse II gebruikt routes via een aangemelde instantie (module B+C of H) of een Europees cyberbeveiligingscertificeringsschema met een betrouwbaarheidsniveau van ten minste 'substantieel'. Kritieke producten gebruiken een Europees cyberbeveiligingscertificeringsschema wanneer dat van toepassing is. Anders gebruiken zij routes via een aangemelde instantie. |
| EU-conformiteitsverklaring | Ofwel de volledige conformiteitsverklaring die met het product wordt geleverd, ofwel een vereenvoudigde verklaring met het exacte internetadres van de volledige verklaring. De inhoud van de conformiteitsverklaring: naam en adres van de fabrikant, productidentificatie, verklaring van conformiteit met de essentiële cyberbeveiligingsvereisten, toegepaste normen met referentienummers en data, naam en nummer van de aangemelde instantie waar van toepassing, certificaatreferentie, datum, handtekening, naam en functie van de ondertekenaar. |
| CE-markering | Zichtbaar, leesbaar en onuitwisbaar op het product aangebracht; gezien de aard van het product met digitale elementen mag de hoogte van de CE-markering die op het product met digitale elementen wordt aangebracht, minder dan 5 mm bedragen, mits de markering zichtbaar en leesbaar blijft. Wanneer de aard van het product dit niet toelaat, op de verpakking en de EU-conformiteitsverklaring. Wanneer een aangemelde instantie betrokken is bij de conformiteitsbeoordeling module H (volledige kwaliteitsborging), volgt haar viercijferige identificatienummer op de CE-markering. |
De keuze van de module voor de conformiteitsbeoordeling is de meest bepalende beslissing in deze sectie. De tabel en het beslisdiagram hieronder geven het detail rij voor rij.
| Module | Wanneer |
|---|---|
| A interne productiecontrole | Producten in de standaardklasse; belangrijke klasse I wanneer geharmoniseerde normen, gemeenschappelijke specificaties of een Europees cyberbeveiligingscertificeringsschema met een betrouwbaarheidsniveau van ten minste "substantieel" bestaan en volledig worden toegepast |
| B + C EU-typeonderzoek + productiecontrole | Route voor belangrijke klasse II. Klasse I waar geen relevante geharmoniseerde norm, gemeenschappelijke specificatie of Europees cyberbeveiligingscertificeringsschema wordt toegepast. Kritieke producten wanneer ze via een aangemelde instantie lopen. |
| H volledige kwaliteitsborging | Alternatief voor belangrijke producten. Kritieke producten wanneer ze via een aangemelde instantie lopen. |
Zie de gids technische documentatie, gids conformiteitsbeoordeling, gids productclassificatie en gids conformiteitsverklaring voor de details van elk artefact.
Kwetsbaarheden en ernstige incidenten melden
Fabrikanten hebben twee meldstromen. Beide routeren gelijktijdig naar de als coördinator aangewezen CSIRT en naar ENISA via het centrale meldingsplatform. De twee stromen delen de cadans van 24u/72u maar hebben verschillende termijnen voor het eindrapport, een vaak verkeerd begrepen punt.
De 24-uurs vroege-waarschuwingsklok geldt alleen voor actief uitgebuite kwetsbaarheden. Het ernstige incident heeft een eigen criterium en een eigen 24h/72h/1-maand-cadens.
| Stroom | Vroege waarschuwing 24u | Kennisgeving 72u | Eindrapport |
|---|---|---|---|
| Actief uitgebuite kwetsbaarheid | Binnen 24u na bewustwording | Binnen 72u na bewustwording | 14 dagen nadat een corrigerende of mitigerende maatregel beschikbaar is |
| Ernstig incident | Binnen 24u na bewustwording | Binnen 72u na bewustwording | Eén maand na de kennisgeving van 72u |
De klok voor het eindrapport voor kwetsbaarheden start wanneer de patch klaar is, niet bij bewustwording; het verschil kan weken of maanden zijn. De klok voor het eindrapport voor ernstige incidenten is verankerd aan de kennisgeving van 72u, dus in de praktijk dag 33 vanaf bewustwording. Zie de clustergids kwetsbaarheidsmelding voor de operationele workflow, de routeringsregels van de coördinerende CSIRT (inclusief de terugvalcascade voor niet-EU-fabrikanten), de plicht tot gebruikersnotificatie en de werking van het centrale meldingsplatform.
Ondersteuningsperiode en plichten na het in de handel brengen
De cijfers in de kop (minimumondersteuningsperiode van 5 jaar, beschikbaarheid van beveiligingsupdates 10 jaar) staan in de plichtentabel hierboven. Bepalingscriteria, bekendmaking van de einddatum op het aankoopmoment, de plicht tot melding einde ondersteuning en de regels voor substantieel gewijzigde softwareversies komen aan bod in de clustergids ondersteuningsperiode.
Twee plichten van de fabrikant na het in de handel brengen lopen mee met het regime van de ondersteuningsperiode en hebben geen eigen clusterpagina. Bij bewustwording dat het product niet meer voldoet aan de essentiële cyberbeveiligingsvereisten neemt de fabrikant onmiddellijk corrigerende maatregelen, of trekt hij het product uit de handel of roept hij het terug indien passend, en op gemotiveerd verzoek van een markttoezichtautoriteit verstrekt hij alle informatie die nodig is om conformiteit aan te tonen in een taal die de autoriteit begrijpt. Een fabrikant die zijn activiteiten beëindigt, informeert de relevante markttoezichtautoriteiten voordat de beëindiging in werking treedt, en informeert gebruikers met alle beschikbare middelen en voor zover mogelijk.
Fabrikant of substantiële wijziger?
Een substantiële wijziging is een aparte route naar verplichtingen op fabrikantniveau. Zij geldt wanneer een derde een product na het in de handel brengen wijzigt en het gewijzigde product op de markt aanbiedt. Artikel 22 zegt:
"Een andere natuurlijke of rechtspersoon dan de fabrikant, de importeur of de distributeur die een ingrijpende wijziging uitvoert aan een product met digitale elementen en het op de markt aanbiedt, wordt voor de toepassing van deze verordening als fabrikant beschouwd."
De regeling voor substantiële wijzigingen sluit fabrikanten, importeurs en distributeurs uitdrukkelijk uit. Zij geldt voor derden buiten de rolketen: systeemintegratoren, value-added resellers, IT-afdelingen die producten van leveranciers wijzigen voor herdistributie. De reikwijdte is scherp: de wijziger wordt als fabrikant behandeld voor het deel van het product dat door de substantiële wijziging wordt geraakt, of voor het gehele product als de wijziging een impact heeft op de cyberbeveiliging van het product als geheel. Een "substantiële wijziging" is een wijziging na het in de handel brengen die de naleving van de essentiële cyberbeveiligingsvereisten beïnvloedt of het beoogde doel waarvoor het product is beoordeeld, wijzigt.
| Geval | Classificatie |
|---|---|
| Origineel engineeringwerk, origineel merk | Fabrikant |
| Origineel merk, derde voegt na het in de handel brengen firmwarefuncties toe die het aanvalsoppervlak veranderen | De oorspronkelijke fabrikant blijft fabrikant. De derde is ook fabrikant voor het gewijzigde deel als substantiële wijziger. |
| White-label-rebranding van een niet-EU-product door een EU-entiteit | EU-entiteit is de fabrikant via de rebrand-brug voor importeurs en distributeurs. Dit is geen geval van substantiële wijziging door een derde. Als u begon als EU-importeur, zie de gids van het cluster importeur voor wat verandert wanneer u overgaat naar het fabrikantenregime. |
| EU-integrator bundelt compatibele producten zonder hun interne onderdelen te wijzigen | Distributeur, geen substantiële wijziger. Zie de gids van het cluster distributeur voor de verplichtingen van de distributeur. |
| IT-afdeling installeert een aangepaste firmwarebuild op apparaten van leveranciers en verkoopt vervolgens door | Substantiële wijziger. Behandeld als fabrikant voor het gewijzigde product. |
Het praktische gevolg van vangst door de regeling voor substantiële wijzigingen: volledige fabrikantverplichtingen voor het gewijzigde deel of het gehele product, inclusief een nieuw technisch dossier, een nieuwe conformiteitsverklaring, een nieuwe CE onder de verantwoordelijkheid van de wijziger, en de meldcadans hierboven.
Implementatietijdlijn
- Voorbije mijlpaal
- Aanstaande handhaving
- Einddatum
- Ecosysteem-mijlpaal
Veelgemaakte fouten
| Bewering | Waarom deze faalt |
|---|---|
| "Wij zijn niet echt de fabrikant; een OEM in een ander land bouwt het." | De merkeigenaar is de fabrikant, ongeacht wie het product bouwt. Het uitbesteden van de bouw draagt de verplichting niet over. |
| "Ons beveiligingsbeleid is goed genoeg; we hoeven geen beoordeling van essentiële vereisten uit te voeren." | De cyberbeveiligingsrisicobeoordeling is verplicht en moet deel uitmaken van de technische documentatie. |
| "Onze klanten vragen niet om een SBOM, dus maken we er geen." | Een SBOM in een veelgebruikt machineleesbaar formaat is verplicht en dekt ten minste de top-niveau-afhankelijkheden. Het belang van de klant is irrelevant. |
| "Onze chatbot is het centrale aanspreekpunt." | Gebruikers moeten hun voorkeursmiddel van communicatie kunnen kiezen. Het kanaal mag niet beperkt zijn tot geautomatiseerde hulpmiddelen. |
| "Vijf jaar vanaf de productlancering is genoeg voor de ondersteuningsperiode." | De ondersteuningsperiode loopt vanaf het in de handel brengen van elke eenheid, niet vanaf de lancering. Eenheden die in jaar 4 op de markt worden gebracht, dragen ondersteuningsverplichtingen tot in jaar 9. |
| "De termijn van 14 dagen voor het eindrapport geldt ook voor incidenten." | Nee. Voor kwetsbaarheden: 14 dagen nadat een corrigerende maatregel beschikbaar is; voor ernstige incidenten: één maand na de kennisgeving van 72u. |
| "Onze SLA dekt kwetsbaarheden al; we hoeven niet aan ENISA te melden." | Melding gaat gelijktijdig naar de coördinerende CSIRT en naar ENISA, via het centrale meldingsplatform. Klant-SLA's vervangen dit niet. |
| "Wij hebben verzekering voor inbreuken." | Administratieve boetes zijn in de meeste lidstaten niet verzekerbaar. Risico-overdracht vervangt naleving niet. |
| "Melden geldt pas zodra we een Europese entiteit hebben." | Niet-EU-fabrikanten worden via een CSIRT-cascade gerouteerd op basis van de locatie van gemachtigde, importeur, distributeur of gebruiker. De meldingsplicht begint hoe dan ook op 11 september 2026. |
| "Wij stellen de publieke openbaarmaking van elke kwetsbaarheid uit tot de volgende kwartaalrelease." | Uitstel is alleen toegestaan in naar behoren gerechtvaardigde gevallen, totdat gebruikers de patch kunnen toepassen. Routinematige kwartaalbundeling kwalificeert niet. |
CRA per EU-land
De verplichtingen hierboven zijn in elke lidstaat gelijk. Wat per land verschilt, is de institutionele keten: welke autoriteit handhaaft, welke CSIRT uw meldingen ontvangt en in welke taal uw documentatie voor gebruikers moet verschijnen. Verschillende nationale aanwijzingen worden nog afgerond, dus elke notitie markeert wat bevestigd is en wat nog wordt verwacht.
- Frankrijk: ANSSI als aanmeldende autoriteit, ANFR voor markttoezicht, melding via CERT-FR.
- Duitsland: BSI als gecombineerde markttoezicht- en aanmeldende autoriteit, melding via CERT-Bund.
- Italië: ACN als enige nationale autoriteit, met accreditatie door ACCREDIA.
- Nederland: melding via NCSC en beoogd markttoezicht door RDI.
- Polen: routering via CSIRT NASK en accreditatie door PCA.
- Spanje: melding via INCIBE-CERT en de scheiding tussen CCN en ENAC voor aangemelde instanties.
Veelgestelde vragen
Wat zijn de belangrijkste verplichtingen van een fabrikant onder de CRA?
Vier plichtenclusters. Melding van kwetsbaarheden en incidenten start op 11 september 2026; het volledige regime geldt vanaf 11 december 2027.
- Vóór het in de handel brengen. Risicobeoordeling, ontwerp conform de essentiële cyberbeveiligingsvereisten, technische documentatie, conformiteitsbeoordeling, EU-conformiteitsverklaring, CE-markering.
- Tijdens de ondersteuningsperiode. Kwetsbaarheidsafhandeling, SBOM, herstel, gecoördineerde openbaarmaking van kwetsbaarheden, veilige updates. Ten minste vijf jaar per eenheid.
- Centraal aanspreekpunt. Niet-geautomatiseerd kanaal dat door gebruikers bereikbaar is.
- Melding van kwetsbaarheden en incidenten. Cadans van 24 uur, 72 uur en eindrapport aan de coördinerende CSIRT en aan ENISA via het centrale meldingsplatform.
Wat is een fabrikant onder de CRA?
De merkeigenaar. Een fabrikant is de entiteit die een product ontwikkelt of laat maken (ook via een uitbestede fabriek) en het vervolgens onder zijn eigen naam of merk op de markt brengt, tegen betaling of gratis. Het merk op het product bepaalt wie de fabrikant is, niet de locatie van de productielijn. Beheerders van open source-software vallen onder een aparte, lichtere categorie. Consumentenwederverkoop zonder eigen merk is distributie, geen vervaardiging.
Ben ik een fabrikant of een importeur?
Dat hangt af van wiens merk op het product staat.
- Uw eigen naam of merk op het product. Fabrikantenroute, ongeacht waar het product wordt gebouwd. Volledige set verplichtingen onder het fabrikantenregime.
- Het merk van iemand anders (een niet-EU-partij) op een product dat u op de Uniemarkt brengt. Importeursroute. Alleen de verificatieset geldt.
Fabrikant versus gemachtigde: wat is het verschil?
De gemachtigde is een papierwerk-vertegenwoordiger, geen vervangende fabrikant. Een gemachtigde aanwijzen is optioneel.
- Wat de gemachtigde via een schriftelijk mandaat doet. Houdt de EU-conformiteitsverklaring en de technische documentatie ter beschikking van markttoezicht, beantwoordt gemotiveerde verzoeken en werkt mee aan handhavingsmaatregelen.
- Wat bij de fabrikant blijft. Engineering, risicobeoordeling, kwetsbaarheidsafhandeling, conformiteitsbeoordeling, plichten rond serieproductie en het in de handel brengen van het product.
Bestaan er mkb-vrijstellingen voor fabrikanten?
De inhoudelijke verplichtingen gelden ongeacht bedrijfsomvang. Er is geen vrijstelling van de verplichtingen zelf.
- Mkb-concessie, beperkt. Micro- en kleine ondernemingen zijn vrijgesteld van boetes die uitsluitend gekoppeld zijn aan de 24-uurs vroege-waarschuwingstermijnen, en niets anders.
- Strafmaatfactor. Autoriteiten moeten bij het bepalen van boetebedragen passende aandacht besteden aan de omvang van de overtreder (waaronder mkb en start-ups).
- OSS-beheerder, aparte categorie. Beheerders van open source-software genieten een bredere vrijstelling van administratieve boetes, maar zijn geen mkb.
Wanneer gelden de fabrikantverplichtingen onder de CRA?
Twee stapsgewijs ingaande data.
- Melding van kwetsbaarheden en incidenten. Start op 11 september 2026. Fabrikanten die producten op de EU-markt brengen, moeten op die datum beschikken over capaciteit voor de meldingen van 24 uur, 72 uur en het eindrapport, ook als hun volledige conformiteitsprogramma nog wordt opgebouwd.
- De rest van het fabrikantenregime. Start op 11 december 2027. Omvat de volledige set fabrikantenplichten: essentiële cyberbeveiligingsvereisten, conformiteitsbeoordeling, EU-conformiteitsverklaring, CE-markering en technische documentatie.
Wat is de ondersteuningsperiode en hoe wordt die bepaald?
Ten minste vijf jaar vanaf het in de handel brengen van elke eenheid, of de verwachte gebruiksperiode als die korter is.
- Hoe de fabrikant de periode bepaalt. Houdt rekening met redelijke gebruikersverwachtingen, de aard en het beoogde doel van het product, Unierecht over levensduren, ondersteuningsperiodes van vergelijkbare producten, beschikbaarheid van de gebruiksomgeving, ondersteuningsperiodes van geïntegreerde componenten van derden, ADCO-richtsnoeren en richtsnoeren van de Commissie. De analyse gaat in de technische documentatie.
- Bekendmaking op het aankoopmoment. Einddatum in ten minste maand-en-jaarformaat.
- Beschikbaarheid van beveiligingsupdates na afloop van de periode. Elke uitgegeven beveiligingsupdate blijft ten minste 10 jaar na uitgifte beschikbaar, of voor de rest van de ondersteuningsperiode als die langer is.
Wat is het verschil tussen een "actief misbruikte kwetsbaarheid" en een "ernstig incident"?
Verschillende definities, verschillende termijnen voor het eindrapport. Beide stromen delen de cadans van 24 uur vroege waarschuwing en 72 uur kennisgeving.
- Actief misbruikte kwetsbaarheid. Een kwetsbaarheid waarvoor betrouwbaar bewijs bestaat dat een kwaadwillende actor deze heeft uitgebuit zonder toestemming van de systeemeigenaar. Eindrapport: 14 dagen nadat een corrigerende of mitigerende maatregel beschikbaar is.
- Ernstig incident. Een incident dat (a) het vermogen van het product om beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies te beschermen negatief beïnvloedt of kan beïnvloeden, OF (b) heeft geleid of kan leiden tot het inbrengen of uitvoeren van schadelijke code in het product of in het netwerk van een gebruiker. Eindrapport: één maand na de kennisgeving van 72 uur.
Beïnvloeden open source-componenten in ons product onze verplichtingen als fabrikant?
Ja. De fabrikant betracht zorgvuldigheid bij elk geïntegreerd component van derden, inclusief niet-commerciële open source-componenten.
- Kwetsbaarheid in een component. Meld dit aan de entiteit die het component onderhoudt en herstel het in uw eigen product.
- Fixes stroomopwaarts delen. Heeft de fabrikant een fix ontwikkeld, dan deelt hij waar passend de relevante code of documentatie met de componentonderhouder, in machineleesbaar formaat waar van toepassing.
- SBOM-dekking. Ten minste de top-niveau-afhankelijkheden.
- OSS-beheerders vormen een andere categorie. Lichter regime, niet het fabrikantenregime.