De fabrikant draagt de zwaarste set CRA-verplichtingen (Verordening (EU) 2024/2847): artikel 13 (ontwerp, technische documentatie, conformiteitsbeoordeling, ondersteuningsperiode, plichten na het in de handel brengen), artikel 14 (24u/72u-melding van actief misbruikte kwetsbaarheden en ernstige incidenten aan ENISA en de coördinerende CSIRT) en bijlage I (13 productvereisten in deel I, 8 vereisten voor kwetsbaarheidsafhandeling in deel II). Deze pagina behandelt elke plicht, plus de toets van artikel 3, punt 13 die bepaalt of u überhaupt fabrikant bent.
Samenvatting
- Classificatie op grond van artikel 3, punt 13: u bent fabrikant als u producten ontwikkelt of laat ontwerpen, ontwikkelen of vervaardigen én ze onder uw eigen naam of merk in de handel brengt. De merknaam beslist; leveringscontracten niet.
- Verplichtingen van artikel 13: cyberbeveiligingsrisicobeoordeling (13, leden 2 tot en met 4), naleving van bijlage I deel I + deel II (13(1), 13(8)), zorgvuldigheid bij componenten (13, leden 5 tot en met 6), technische documentatie (artikel 31, bijlage VII), conformiteitsbeoordeling (artikel 32), EU-conformiteitsverklaring (13(20), artikel 28, bijlage V), CE-markering (artikel 30), ondersteuningsperiode van ten minste 5 jaar of de verwachte gebruiksperiode (13(8)) met gedocumenteerde einddatum (13(19)), 10 jaar bewaring of de ondersteuningsperiode indien langer (13(13)).
- Melding op grond van artikel 14: twee stromen, beide via het centrale ENISA-meldingsplatform op grond van artikel 16, gelijktijdig aan de CSIRT die als coördinator is aangewezen. Kwetsbaarheden: vroege waarschuwing binnen 24u, kennisgeving binnen 72u, eindrapport 14 dagen nadat een corrigerende maatregel beschikbaar is. Ernstige incidenten: vroege waarschuwing binnen 24u, kennisgeving binnen 72u, eindrapport binnen één maand na de kennisgeving van 72u.
- Boeteblootstelling (artikel 64, lid 2): tot EUR 15 000 000 of 2,5% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt. Artikel 64, lid 10, beperkt de vrijstelling van administratieve boetes tot micro- en kleine ondernemingen, en uitsluitend voor de termijnen van 14(2)(a) en 14(4)(a).
- Termijnen: melding van kwetsbaarheden en incidenten op grond van artikel 14 begint op 11 september 2026. Het overige fabrikantenregime begint op 11 december 2027 (artikel 71).
Drie cijfers die de blootstelling van de fabrikant kaderen: 21 essentiële vereisten in bijlage I, twee meldingstermijnen per stroom, hoogste boetecategorie.
Wie is fabrikant onder de CRA?
Artikel 3, punt 13, definieert de fabrikant letterlijk:
"Fabrikant" betekent een natuurlijke of rechtspersoon die producten met digitale elementen ontwikkelt of vervaardigt, of producten met digitale elementen laat ontwerpen, ontwikkelen of vervaardigen, en deze onder zijn eigen naam of merk in de handel brengt, ongeacht of dit tegen betaling, ter verzilvering of gratis is.
U bent fabrikant in de zin van de CRA als beide elementen van toepassing zijn:
| Element | Toets |
|---|---|
| Producten ontwikkelen, vervaardigen of laten ontwerpen/ontwikkelen/vervaardigen | Omvat uitbesteed ontwerp of contractproductie. Het werk hoeft niet in uw vestiging plaats te vinden. |
| In de handel brengen onder eigen naam of merk | Het product zoals in de handel gebracht identificeert uw entiteit als bron, via merk, verpakking, marketingmateriaal of begeleidende documentatie. |
De twee elementen zijn cumulatief. Een fabriek die een product produceert maar onder het merk van een ander bedrijf in de handel brengt, is niet de fabrikant in de zin van de CRA; de merkeigenaar wel. Omgekeerd is een onderneming die haar eigen merk plaatst op een product dat is ontworpen en gebouwd door een externe fabriek wel de fabrikant, ongeacht wie het engineeringwerk heeft gedaan. Gratis, ter verzilvering of betaalde distributie tellen alle mee; de verordening zegt expliciet "ongeacht of dit tegen betaling, ter verzilvering of gratis is".
Als geen van beide elementen van toepassing is, bent u niet de fabrikant. U bent mogelijk de importeur op grond van artikel 3, punt 16 (u brengt een product met een niet-EU-merk op de Uniemarkt), de distributeur op grond van artikel 3, punt 17 (u stelt het product na de importeur beschikbaar zonder de eigenschappen ervan te beïnvloeden), of de gemachtigde op grond van artikel 3, punt 15, en artikel 18 (u handelt namens de fabrikant op basis van een schriftelijk mandaat). Een derde die een product na het in de handel brengen substantieel wijzigt, wordt op grond van artikel 22 als de fabrikant van de gewijzigde versie beschouwd; dezelfde analyse loopt via artikel 3, punt 13, wanneer de wijziger het gewijzigde product onder zijn eigen naam in de handel brengt. Voor de volledige rolclassificatiematrix en de beslisboom met alle vijf rollen, zie wie aan de CRA moet voldoen.
Artikel 13 in een oogopslag
| Lid | Plicht | Kernpunt |
|---|---|---|
| 13(1) | Ontwerpen en produceren conform bijlage I deel I | Essentiële vereisten zijn verplicht, gemoduleerd door de cyberbeveiligingsrisicobeoordeling. |
| 13(2) tot en met (4) | Cyberbeveiligingsrisicobeoordeling | Gedocumenteerd, geactualiseerd gedurende de ondersteuningsperiode, opgenomen in de technische documentatie op grond van artikel 31. |
| 13(5) tot en met (7) | Zorgvuldigheid bij componenten | Inclusief vrije en open source-componenten. Documenteer kwetsbaarheden waarvan de fabrikant op de hoogte raakt; meld stroomopwaarts en herstel. |
| 13(8) | Ondersteuningsperiode | Ten minste 5 jaar, of de verwachte gebruiksperiode indien korter. Gedocumenteerd in de technische documentatie. Omvat plichten voor kwetsbaarheidsafhandeling en CVD-beleid. |
| 13(9) | Beschikbaarheid van beveiligingsupdates | Elke beveiligingsupdate blijft ten minste 10 jaar na uitgifte beschikbaar, of voor het resterende deel van de ondersteuningsperiode, het langste geldt. |
| 13(10) tot en met (11) | Substantieel gewijzigde softwareversies | Naleving van bijlage I deel II, punt 2, kan beperkt zijn tot de meest recente versie waar gebruikers vrije toegang toe hebben; openbare archieven van niet-ondersteunde versies zijn toegestaan met risicowaarschuwingen. |
| 13(12) tot en met (14) | Pre-markt technische documentatie + conformiteitsbeoordeling + CE; controles op serieproductie | Stel technische documentatie op grond van artikel 31 op; voer een conformiteitsbeoordeling uit op grond van artikel 32 of laat deze uitvoeren; stel de EU-conformiteitsverklaring op en breng de CE-markering aan; onderhoud procedures zodat serieproductie conform blijft. |
| 13(13) | Bewaring | Technische documentatie en EU-conformiteitsverklaring ter beschikking van markttoezichtautoriteiten gedurende ten minste 10 jaar of de ondersteuningsperiode, het langste geldt. |
| 13(15) tot en met (16) | Productidentificatie + identificatie fabrikant | Type-, partij- of serienummer; naam, handelsnaam of merk van de fabrikant, postadres, digitaal contact, ook gereproduceerd in de informatie van bijlage II. |
| 13(17) | Centraal aanspreekpunt | Gebruikers moeten hun voorkeursmiddel van communicatie kunnen kiezen. Mag niet beperkt zijn tot geautomatiseerde hulpmiddelen. |
| 13(18) | Begeleiding van bijlage II | Informatie en instructies in een voor gebruikers en markttoezicht gemakkelijk te begrijpen taal, online toegankelijk gedurende dezelfde bewaarperiode. |
| 13(19) | Einddatum ondersteuningsperiode | Vermeld op het tijdstip van aankoop, ten minste maand en jaar. Toon een melding einde ondersteuning aan gebruikers waar technisch haalbaar. |
| 13(20) | Aflevering EU-conformiteitsverklaring | Ofwel volledige conformiteitsverklaring of vereenvoudigde conformiteitsverklaring met het exacte internetadres waar de volledige conformiteitsverklaring kan worden geraadpleegd. |
| 13(21) tot en met (22) | Corrigerende maatregelen na het in de handel brengen + samenwerking | Bij bewustwording van non-conformiteit: uit de handel nemen, terugroepen of weer in overeenstemming brengen. Verstrek alle informatie aan markttoezicht op gemotiveerd verzoek. |
| 13(23) | Beëindiging van activiteiten | Informeer markttoezicht en, met alle beschikbare middelen, gebruikers voordat de beëindiging in werking treedt. |
| 13(24) tot en met (25) | SBOM-formaat + afhankelijkheidsbeoordelingen | De Commissie kan het SBOM-formaat specificeren via uitvoeringshandelingen. ADCO kan Uniebrede afhankelijkheidsbeoordelingen uitvoeren. |
Bijlage I: de essentiële cyberbeveiligingsvereisten
Bijlage I bestaat uit twee delen. Deel I somt 13 vereisten op over de eigenschappen van het product, gemoduleerd door de cyberbeveiligingsrisicobeoordeling van de fabrikant op grond van artikel 13, lid 2. Deel II somt 8 vereisten op over de processen voor kwetsbaarheidsafhandeling van de fabrikant; deze zijn niet risicogemoduleerd en gelden ongeacht producttype of klasse.
Deel I: producteigenschappen (artikel 13, lid 1, bijlage I deel I)
Producten met digitale elementen worden zodanig ontworpen, ontwikkeld en geproduceerd dat een passend niveau van cyberbeveiliging wordt gewaarborgd op basis van de risico's. Op basis van de cyberbeveiligingsrisicobeoordeling op grond van artikel 13, lid 2, geldt het volgende waar van toepassing:
| Code | Vereiste |
|---|---|
| (a) | Beschikbaar gesteld zonder bekende uitbuitbare kwetsbaarheden |
| (b) | Standaard veilige configuratie; herstel naar oorspronkelijke staat beschikbaar (op maat gemaakte producten voor zakelijke gebruikers mogen anders overeenkomen) |
| (c) | Kwetsbaarheden adresseerbaar via beveiligingsupdates; automatische updates standaard binnen een passende termijn geïnstalleerd, met opt-out- en uitsteloptie waar van toepassing |
| (d) | Bescherming tegen onbevoegde toegang (authenticatie, identiteits- of toegangsbeheer, melding over mogelijke onbevoegde toegang) |
| (e) | Vertrouwelijkheid van opgeslagen, verzonden en verwerkte gegevens, inclusief versleuteling in rust of in transit met state-of-the-art-mechanismen |
| (f) | Integriteitsbescherming van gegevens, opdrachten, programma's, configuratie; melding over corrupties |
| (g) | Gegevensminimalisatie: verwerk alleen gegevens die toereikend, ter zake dienend en beperkt zijn tot het beoogde doel |
| (h) | Beschikbaarheid van essentiële en basisfuncties, ook na een incident; weerbaarheid tegen denial-of-service |
| (i) | Negatieve impact op de beschikbaarheid van diensten geleverd door andere apparaten of netwerken minimaliseren |
| (j) | Beperk aanvalsoppervlakken, inclusief externe interfaces |
| (k) | Verminder incidentimpact via mechanismen en technieken voor mitigatie van uitbuiting |
| (l) | Verstrek beveiligingsinformatie door registratie en monitoring van relevante interne activiteit, met opt-out voor de gebruiker |
| (m) | Stel gebruikers in staat alle gegevens en instellingen veilig en eenvoudig te verwijderen; zorg waar van toepassing voor veilige gegevensoverdracht |
De clausule "waar van toepassing" in bijlage I deel I, punt 2, betekent dat de risicobeoordeling van de fabrikant bepaalt welke deel I-vereisten op het product van toepassing zijn. Wanneer een vereiste niet van toepassing is, moet de technische documentatie een duidelijke rechtvaardiging bevatten op grond van artikel 13, lid 4.
Deel II: kwetsbaarheidsafhandeling (artikel 13, lid 8, bijlage I deel II)
Deel II is onvoorwaardelijk: het geldt gedurende de volledige ondersteuningsperiode, ongeacht productklasse of risicoprofiel.
| Code | Vereiste |
|---|---|
| (1) | Kwetsbaarheden en componenten identificeren en documenteren, inclusief een software bill of materials (SBOM) in een veelgebruikt machineleesbaar formaat dat ten minste de top-niveau-afhankelijkheden dekt |
| (2) | Kwetsbaarheden zonder vertraging adresseren en herstellen via beveiligingsupdates; waar technisch haalbaar beveiligingsupdates scheiden van functionaliteitsupdates |
| (3) | Effectieve en regelmatige tests en beoordelingen van productbeveiliging toepassen |
| (4) | Zodra een beveiligingsupdate beschikbaar is, informatie over herstelde kwetsbaarheden delen en publiek openbaar maken (beschrijving, getroffen producten, impact, ernst, herstelinstructies). Publieke openbaarmaking mag worden uitgesteld in naar behoren gerechtvaardigde gevallen totdat gebruikers de patch kunnen toepassen |
| (5) | Een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (CVD) instellen en handhaven |
| (6) | Het delen van informatie over potentiële kwetsbaarheden (ook in componenten van derden) faciliteren door een contactadres voor kwetsbaarheidsmeldingen aan te bieden |
| (7) | Mechanismen om updates veilig te distribueren zodat kwetsbaarheden tijdig en, waar van toepassing, automatisch worden verholpen |
| (8) | Beveiligingsupdates zonder vertraging verspreiden; gratis tenzij anders overeengekomen met een zakelijke gebruiker voor op maat gemaakte producten; met adviesberichten aan gebruikers |
Deel II loopt vanaf het in de handel brengen tot en met de ondersteuningsperiode (artikel 13, lid 8). Beveiligingsupdates blijven ten minste 10 jaar na uitgifte beschikbaar of voor het resterende deel van de ondersteuningsperiode, het langste geldt (artikel 13, lid 9).
Pre-markt artefacten: wat moet bestaan voordat het product in de handel wordt gebracht
Vier artefacten moeten bestaan voordat het product in de handel wordt gebracht. Elk is verankerd in een specifiek CRA-artikel en levert een specifieke nalevingshandeling op: het dossier dat de fabrikant bewaart, de beoordeling die hij uitvoert, de verklaring die hij ondertekent, de markering die hij aanbrengt.
| Artefact | Verankering | Wat het bevat of vereist |
|---|---|---|
| Technische documentatie | Artikel 31, bijlage VII (opgesteld op grond van artikel 13, lid 12) | Productbeschrijving, ontwerp- en ontwikkelingsinformatie, de cyberbeveiligingsrisicobeoordeling op grond van artikel 13, lid 2, de toegepaste geharmoniseerde normen of gemeenschappelijke specificaties, de gekozen route en het resultaat van de conformiteitsbeoordeling, de EU-conformiteitsverklaring en het proces voor kwetsbaarheidsafhandeling. Bewaard gedurende ten minste 10 jaar of de ondersteuningsperiode, het langste geldt (artikel 13, lid 13). |
| Conformiteitsbeoordeling | Artikel 32 | Module A zelfbeoordeling alleen voor producten in de standaardklasse. Belangrijke klasse II standaard, en kritieke producten zonder Europees cyberbeveiligingscertificeringsschema, vereisen Module B+C of Module H via een aangemelde instantie. Belangrijke klasse I mag Module A alleen gebruiken wanneer geharmoniseerde normen, gemeenschappelijke specificaties of een cyberbeveiligingscertificeringsschema volledig worden toegepast. |
| EU-conformiteitsverklaring | Artikel 13, lid 20, artikel 28, bijlage V | Ofwel de volledige conformiteitsverklaring die met het product wordt geleverd of een vereenvoudigde conformiteitsverklaring die het exacte internetadres van de volledige conformiteitsverklaring bevat. Bijlage V legt de inhoud vast: naam en adres van de fabrikant, productidentificatie, conformiteitsverklaring met bijlage I, toegepaste normen met referentienummers en data, naam en nummer van de aangemelde instantie waar van toepassing, certificaatreferentie, datum, handtekening, naam en functie van de ondertekenaar. |
| CE-markering | Artikel 30, Verordening (EG) nr. 765/2008 | Ten minste 5 mm hoog, zichtbaar, leesbaar, onuitwisbaar, op het product of zijn typeplaatje. Wanneer afmeting of aard dit niet toelaat, op de verpakking en de begeleidende documenten. Wanneer een aangemelde instantie betrokken is bij de productiecontrole, volgt haar viercijferige identificatienummer op de CE-markering. |
De keuze van de module voor conformiteitsbeoordeling is de belangrijkste beslissing in deze sectie. De tabel en het beslisdiagram hieronder geven het detail rij voor rij.
| Module | Wanneer |
|---|---|
| A interne productiecontrole | Alleen producten in de standaardklasse |
| B + C EU-typeonderzoek + productiecontrole | Belangrijke klasse II standaard; klasse I waar geen relevante geharmoniseerde norm, gemeenschappelijke specificatie of Europees cyberbeveiligingscertificeringsschema wordt toegepast |
| H volledige kwaliteitsborging | Alternatief voor belangrijke producten; vereist voor kritieke producten zonder Europees cyberbeveiligingscertificeringsschema dat de vereisten dekt |
Zie de gids technische documentatie, gids conformiteitsbeoordeling, gids productclassificatie en gids conformiteitsverklaring voor de details van elk artefact.
Meldingstermijnen voor fabrikanten (artikel 14)
Artikel 14 stelt twee meldingsstromen vast voor fabrikanten, beide gelijktijdig gerouteerd naar de CSIRT die als coördinator is aangewezen en naar ENISA via het centrale meldingsplatform op grond van artikel 16. De twee stromen delen de cadans 24u/72u maar hebben verschillende termijnen voor het eindrapport, een vaak verkeerd begrepen punt.
| Stroom | Vroege waarschuwing 24u | Kennisgeving 72u | Eindrapport |
|---|---|---|---|
| Actief misbruikte kwetsbaarheid (14(1)–(2)) | Binnen 24u na bewustwording | Binnen 72u na bewustwording | 14 dagen nadat een corrigerende of mitigerende maatregel beschikbaar is |
| Ernstig incident (14(3)–(5)) | Binnen 24u na bewustwording | Binnen 72u na bewustwording | Eén maand na de kennisgeving van 72u |
De klok van het eindrapport voor kwetsbaarheden start wanneer de patch klaar is, niet bij bewustwording; het verschil kan weken of maanden zijn. De klok van het eindrapport voor ernstige incidenten is verankerd aan de kennisgeving van 72u, dus in de praktijk dag 33 vanaf bewustwording. Zie de clustergids kwetsbaarheidsmelding voor de operationele workflow, de routering naar de coördinerende CSIRT op grond van artikel 14, lid 7 (inclusief de terugvalcascade voor niet-EU-fabrikanten), de plicht tot gebruikersnotificatie op grond van artikel 14, lid 8, en de werking van het centrale meldingsplatform van artikel 16.
Ondersteuningsperiode en plichten na het in de handel brengen
Artikel 13, lid 8, stelt de ondersteuningsperiode op ten minste 5 jaar, of de verwachte gebruiksperiode indien korter; beveiligingsupdates blijven ten minste 10 jaar na uitgifte beschikbaar op grond van artikel 13, lid 9. De einddatum (ten minste maand en jaar) moet bekend worden gemaakt op het aankoopmoment op grond van artikel 13, lid 19. Zie de clustergids ondersteuningsperiode voor bepalingscriteria, de regels voor substantieel gewijzigde softwareversies in 13(10) en (11) en de plicht tot melding einde ondersteuning.
Twee plichten van de fabrikant na het in de handel brengen lopen mee met het regime van de ondersteuningsperiode en hebben geen eigen clusterpagina. Artikel 13, leden 21 en 22: bij bewustwording van non-conformiteit met bijlage I neemt de fabrikant onmiddellijk corrigerende maatregelen, of trekt hij het product uit de handel of roept hij het terug indien passend, en op gemotiveerd verzoek van een markttoezichtautoriteit verstrekt hij alle informatie die nodig is om conformiteit aan te tonen in een taal die de autoriteit begrijpt. Artikel 13, lid 23: een fabrikant die zijn activiteiten beëindigt, informeert de relevante markttoezichtautoriteiten voordat de beëindiging in werking treedt, en informeert gebruikers met alle beschikbare middelen en voor zover mogelijk.
Fabrikant versus substantiële wijziger op grond van artikel 22
Artikel 22 dekt een ander geval dan de classificatie van artikel 3, punt 13. Letterlijk:
"Een natuurlijke persoon of rechtspersoon, andere dan de fabrikant, de importeur of de distributeur, die een substantiële wijziging van een product met digitale elementen uitvoert en dat product op de markt aanbiedt, wordt voor de toepassing van deze verordening beschouwd als een fabrikant."
Artikel 22 sluit fabrikanten, importeurs en distributeurs expliciet uit. Het is van toepassing op derden buiten de keten van artikel 3: systeemintegratoren, value-added resellers, IT-afdelingen die producten van leveranciers wijzigen voor herdistributie. De reikwijdte van artikel 22, lid 2, is scherp: de wijziger wordt als fabrikant beschouwd voor het deel van het product dat door de substantiële wijziging wordt geraakt, of voor het gehele product als de wijziging een impact heeft op de cyberbeveiliging van het product als geheel. "Substantiële wijziging" is gedefinieerd in artikel 3, punt 30, als een wijziging na het in de handel brengen die de naleving van bijlage I deel I beïnvloedt of het beoogde doel waarvoor het product is beoordeeld, wijzigt.
| Geval | Classificatie |
|---|---|
| Origineel engineeringwerk, origineel merk | Fabrikant (artikel 3, punt 13) |
| Origineel merk, derde voegt na het in de handel brengen firmwarefuncties toe die het aanvalsoppervlak veranderen | De oorspronkelijke fabrikant blijft; de derde is ook fabrikant voor het gewijzigde deel op grond van artikel 22 |
| White-label-rebranding van een niet-EU-product door een EU-entiteit | EU-entiteit is fabrikant op grond van artikel 3, punt 13; geen "escalatie via artikel 22" |
| EU-integrator bundelt compatibele producten zonder hun interne onderdelen te wijzigen | Distributeur op grond van artikel 3, punt 17, niet artikel 22 |
| IT-afdeling installeert een aangepaste firmwarebuild op apparaten van leveranciers en verkoopt vervolgens door | Wijziger op grond van artikel 22; behandeld als fabrikant voor het gewijzigde product |
Het praktische gevolg van artikel 22 dat een derde vangt: volledige verplichtingen van artikel 13 en artikel 14 voor het gewijzigde deel of het gehele product, inclusief een nieuw technisch dossier, een nieuwe conformiteitsverklaring, nieuwe CE onder de verantwoordelijkheid van de wijziger, en de hierboven genoemde meldcadans van artikel 14.
Implementatietijdlijn
Veelgemaakte fouten
| Bewering | Waarom deze faalt |
|---|---|
| "Wij zijn niet echt de fabrikant; een OEM in een ander land bouwt het." | Artikel 3, punt 13, vangt de merkeigenaar. Het uitbesteden van de bouw draagt de verplichting niet over. |
| "Ons beveiligingsbeleid is goed genoeg; we hoeven geen beoordeling van bijlage I deel I uit te voeren." | Artikel 13, lid 2, maakt de cyberbeveiligingsrisicobeoordeling verplicht. De technische documentatie moet de beoordeling bevatten op grond van artikel 13, lid 4. |
| "Onze klanten vragen niet om een SBOM, dus maken we er geen." | Bijlage I deel II punt 1 vereist identificatie van kwetsbaarheden en componenten, inclusief een SBOM in een veelgebruikt machineleesbaar formaat. Het belang van de klant is irrelevant. |
| "Onze chatbot is het centrale aanspreekpunt." | Artikel 13, lid 17, vereist dat de gebruiker zijn voorkeursmiddel van communicatie kan kiezen. De middelen mogen niet beperkt zijn tot geautomatiseerde hulpmiddelen. |
| "Vijf jaar vanaf de productlancering is genoeg voor de ondersteuningsperiode." | Artikel 13, lid 8, laat de ondersteuningsperiode lopen vanaf het in de handel brengen van elke eenheid, niet vanaf de lancering. Eenheden die in jaar 4 op de markt worden gebracht, dragen ondersteuningsverplichtingen tot in jaar 9. |
| "De termijn van 14 dagen voor het eindrapport geldt ook voor incidenten." | Nee. Kwetsbaarheden: 14 dagen nadat een corrigerende maatregel beschikbaar is. Ernstige incidenten: één maand na de kennisgeving van 72u (artikel 14, lid 2, onder c, versus 14, lid 4, onder c). |
| "Onze SLA dekt kwetsbaarheden al; we hoeven niet aan ENISA te melden." | Melding op grond van artikel 14 gaat gelijktijdig naar de CSIRT die als coördinator is aangewezen en naar ENISA, via het centrale meldingsplatform van artikel 16. Klant-SLA's vervangen dit niet. |
| "Wij hebben verzekering voor inbreuken." | Administratieve boetes op grond van artikel 64 zijn in de meeste lidstaten niet verzekerbaar. Risico-overdracht kan naleving niet vervangen. |
| "Artikel 14 geldt pas zodra wij een Europese entiteit hebben." | Artikel 14, lid 7, derde alinea, routeert niet-EU-fabrikanten via een CSIRT-cascade op basis van de locatie van gemachtigde, importeur, distributeur of gebruiker. De meldingsplicht begint hoe dan ook op 11 september 2026. |
| "Wij stellen de publieke openbaarmaking van elke kwetsbaarheid uit tot de volgende kwartaalrelease." | Bijlage I deel II punt 4 staat uitstel alleen toe in naar behoren gerechtvaardigde gevallen totdat gebruikers de patch kunnen toepassen. Routinematige kwartaalbundeling is geen "naar behoren gerechtvaardigd geval". |
Veelgestelde vragen
Wat is een fabrikant onder de CRA?
De merkhouder. Een fabrikant is de entiteit die een product ontwikkelt of laat bouwen (ook via een uitbestede fabriek) en dat vervolgens onder zijn eigen naam of merk in de handel brengt, tegen betaling of gratis. Het merk op het product bepaalt wie de fabrikant is, niet de locatie van de productielijn. Beheerders van openbronsoftware vallen onder een aparte, lichtere categorie; consumentenwederverkoop zonder eigen merk is distributie, geen vervaardiging. *(Artikel 3(13); beheerderregime in artikel 3(14).)*
Ben ik fabrikant of importeur?
Het hangt af van wiens merk op het product staat. Staat uw eigen naam of merk op het product, dan bent u de fabrikant, ongeacht waar het product wordt gebouwd. Staat het merk van een niet-EU-partij op een product dat u op de Uniemarkt brengt, dan bent u de importeur. Plaatst u uw eigen merk op een buiten de EU gebouwd product, dan draagt u de volledige set fabrieksverplichtingen; behoudt u het oorspronkelijke merk en routeert u het via uw EU-entiteit, dan draagt u uitsluitend de verificatieset van de importeur. *(Artikelen 3(13) en 3(16); fabrikantverplichtingen in artikelen 13 en 14; importeurverplichtingen in artikel 19.)*
Fabrikant versus gemachtigde: wat is het verschil?
De gemachtigde vertegenwoordiger is een papierwerk-vertegenwoordiger, geen vervangende fabrikant. Via schriftelijk mandaat houdt de gemachtigde de EU-conformiteitsverklaring en de technische documentatie ter beschikking van markttoezichtautoriteiten, beantwoordt gemotiveerde verzoeken en werkt mee aan handhavingsmaatregelen. Engineering, risicobeoordeling, kwetsbaarheidsafhandeling, conformiteitsbeoordeling en plichten rond serieproductie blijven bij de fabrikant. De gemachtigde brengt het product niet in de handel; die handeling blijft bij de fabrikant of zijn importeur. Het aanwijzen van een gemachtigde vertegenwoordiger is optioneel, niet verplicht. *(Mandaat in artikelen 3(15) en 18(1)-(3); fabrikant-only verplichtingen in artikelen 13(1)-(11), 13(12) eerste alinea, en 13(14).)*
Bestaan er MKB-vrijstellingen voor fabrikanten?
De inhoudelijke verplichtingen gelden ongeacht bedrijfsomvang. De enige MKB-specifieke concessie betreft boetes: micro- en kleine ondernemingen zijn vrijgesteld van administratieve boetes die uitsluitend verbonden zijn aan de 24u vroege-waarschuwingstermijnen van artikel 14. Alle overige boetes gelden onverkort. Beheerders van openbronsoftware genieten een bredere vrijstelling maar vallen onder een andere categorie. Bij het bepalen van boetebedragen in individuele gevallen moeten markttoezichtautoriteiten passende aandacht besteden aan de omvang van de overtreder, waaronder mkb en start-ups; dat is een strafmaatfactor, geen verplichtingsvrijstelling. *(Artikelen 13 en 14 gelden voor alle omvangen; MKB-concessie in artikel 64(10)(a) voor de termijnen van 14(2)(a) en 14(4)(a); strafmaatfactor in artikel 64(5)(c); bredere OSS-beheerdersvrijstelling in artikelen 3(14) en 64(10)(b).)*
Wanneer gelden de verplichtingen voor de fabrikant onder de CRA?
Twee data. Melding van kwetsbaarheden en incidenten op grond van artikel 14 begint op **11 september 2026**. Het overige fabrikantenregime (artikel 13, bijlage I, conformiteitsbeoordeling, EU-conformiteitsverklaring, CE-markering, technische documentatie) begint op **11 december 2027**. Fabrikanten die producten op de EU-markt brengen, hebben tegen september 2026 een meldingscapaciteit op grond van artikel 14 nodig, ook als hun volledige conformiteitsprogramma op grond van artikel 13 nog wordt opgebouwd. *(Toepasselijkheid in artikel 71; artikel 14-melding vanaf 11 september 2026; artikelen 13, 30, 31, 32 en bijlage I vanaf 11 december 2027.)*
Wat is de ondersteuningsperiode en hoe wordt die bepaald?
Minstens 5 jaar, of de verwachte gebruiksduur indien korter. De fabrikant bepaalt de periode rekening houdend met redelijke gebruikersverwachtingen, de aard en het beoogde doel van het product, relevant Unierecht inzake productlevensduur, ondersteuningsperiodes van vergelijkbare producten op de markt, de beschikbaarheid van de gebruiksomgeving, de ondersteuningsperiodes van geïntegreerde componenten van derden en richtsnoeren van ADCO en de Commissie. De overwogen informatie moet in de technische documentatie worden opgenomen. De einddatum (ten minste maand en jaar) moet op het aankoopmoment worden vermeld. Eenmaal uitgegeven blijven beveiligingsupdates ten minste 10 jaar of het resterende deel van de ondersteuningsperiode beschikbaar, het langste geldt. *(Artikelen 13(8), 13(9) en 13(19).)*
Wat is het verschil tussen een "actief misbruikte kwetsbaarheid" en een "ernstig incident" voor artikel 14?
Verschillende definities, verschillende eindrapportage-termijnen. Een actief misbruikte kwetsbaarheid is een kwetsbaarheid waarvoor betrouwbaar bewijs bestaat dat een kwaadwillende actor deze heeft uitgebuit zonder toestemming van de systeemeigenaar. Een ernstig incident is een incident dat het vermogen van het product om beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies te beschermen negatief beïnvloedt of kan beïnvloeden, of dat heeft geleid of kan leiden tot het inbrengen of uitvoeren van schadelijke code in het product of het netwerk van een gebruiker. Beide stromen gebruiken de cadans 24u vroege waarschuwing plus 72u kennisgeving, maar de eindrapportage verschilt: kwetsbaarheden 14 dagen na beschikbaarheid van een corrigerende maatregel, incidenten binnen één maand na de kennisgeving van 72u. *(Actief misbruikte kwetsbaarheid in artikel 3(42); ernstig incident in artikel 14(5); termijnen in artikel 14(2) en (4).)*
Hebben opensourcecomponenten in ons product invloed op onze verplichtingen als fabrikant?
Ja. De fabrikant moet zorgvuldigheid betrachten bij het integreren van componenten van derden, inclusief vrije en opensourcesoftwarecomponenten die niet in het kader van een commerciële activiteit op de markt zijn aangeboden. Bij het identificeren van een kwetsbaarheid in een component meldt de fabrikant dit aan de persoon of entiteit die het component onderhoudt en herstelt de kwetsbaarheid conform bijlage I deel II. Heeft de fabrikant een fix ontwikkeld, dan deelt hij de relevante code of documentatie met de componentonderhouder waar passend, in machineleesbaar formaat waar van toepassing. Het product heeft een SBOM nodig die ten minste de top-niveau-afhankelijkheden dekt. Beheerders van openbronsoftware vormen een aparte categorie met een eigen (lichter) regime. *(Artikelen 13(5)-(7); SBOM in bijlage I deel II (1); beheerdercategorie in artikel 3(14).)*