CRA-toepassingsgebied: is de backend van uw app gegevensverwerking op afstand?

Gepubliceerd 18 juni 2026

Uw telefoon-app praat met een server die u hebt gebouwd. Onder de Cyberweerbaarheidsverordening is die server geen losstaand ding dat u kunt wegwuiven. Hij is onderdeel van het product. Het standaardvoorbeeld van gegevensverwerking op afstand in de Verordening zelf is een mobiele app die een API of een database bereikt die draait op een dienst die u hebt ontwikkeld. De backend achter uw app staat dus niet naast het product. Hij zit erin.

Deze pagina geeft u de toets, en sorteert daarna elke backend waarmee een typische app praat in drie categorieën: oplossing voor gegevensverwerking op afstand, component en buiten het toepassingsgebied. We vatten de toets samen in de analyse van de Commissieleidraad van maart 2026. Dit is de uitgewerkte versie voor iedereen die een telefoon-app, een API of een cloudbackend uitbrengt.

Samenvatting

  • Gegevensverwerking op afstand is onderdeel van het product. De CRA behandelt een verbonden product als het apparaat of de app plus de backend die u hebt gebouwd en die het nodig heeft om te werken. Mensen korten "oplossing voor gegevensverwerking op afstand" af tot RDPS, en deze pagina doet dat ook.
  • Eén toets, drie dingen die waar moeten zijn. Een backend is gegevensverwerking op afstand wanneer hij op afstand draait, uw product hem nodig heeft om een functie uit te voeren, en u hem hebt gebouwd of voor u hebt laten bouwen. Mist u een van de drie, dan is het dat niet.
  • Het schoolvoorbeeld is een app en zijn API. Het eigen standaardvoorbeeld van de Verordening is een mobiele app die een API of een database bereikt die door een dienst van uzelf wordt geleverd.
  • Drie categorieën, niets anders. Elke backend waarmee uw app praat, is een oplossing voor gegevensverwerking op afstand, een component of valt buiten het toepassingsgebied.
  • Kant-en-klare SaaS is geen RDPS, maar nog steeds uw zorg. Een dienst die u alleen in licentie neemt, is een component. U beoordeelt nog altijd het integratierisico en voert leveranciersonderzoek uit.
  • Het 5G-netwerk valt er volledig buiten. Een mobiel netwerk is een verbindingsfaciliteit, net als een router of een wifi-signaal. U bent de operator geen enkel onderzoek verschuldigd.
  • Uw CI/CD en CRM vallen erbuiten. De CRA reguleert uw bedrijfsnetwerk niet als geheel. Interne pijplijnen, salarisadministratie en red-team-infrastructuur blijven erbuiten.
3
Dingen om te controleren
Op afstand, nodig voor een functie, gebouwd door of voor u
2
Doorslaggevende vragen
Nodig voor een functie, en gebouwd door of voor u
3
Categorieën om in te sorteren
Gegevensverwerking op afstand, component, buiten toepassingsgebied
1
Standaardvoorbeeld
Een telefoon-app die de API of database bereikt die u bouwde

Gegevensverwerking op afstand in vier cijfers: de dingen die u controleert, de twee vragen die het bepalen, de categorieën waarin een afhankelijkheid kan belanden, en het voorbeeld waarmee de Verordening opent.

Wat gegevensverwerking op afstand eigenlijk betekent

De Verordening brengt het terug tot één idee, en drie dingen moeten tegelijk waar zijn. De gegevens moeten ergens anders worden verwerkt dan op het eigen apparaat van de gebruiker. Uw product moet die verwerking nodig hebben om een van zijn taken te doen. En u moet de dienst hebben gebouwd, of onder uw verantwoordelijkheid hebben laten bouwen. Klopt alle drie, dan hebt u een oplossing voor gegevensverwerking op afstand. Mist er één, dan niet.

Lees de drie afzonderlijk, want elk struikelt over een ander team.

  1. Op afstand verwerkt. De verwerking gebeurt buiten het apparaat of de omgeving van de gebruiker. Dat kan aan de rand, via een bedrade of een draadloze verbinding. Een mobiele app die een cloudfunctie bereikt, maakt deel uit van de verwerking die in de cloud plaatsvindt.
  2. Nodig voor een functie. Zonder de dienst kan het product een van zijn taken niet uitvoeren. Het woord dat de Verordening gebruikt is functies, niet kernfuncties, en dat maakt uit. De volgende paragraaf laat zien hoe breed dat is.
  3. Gebouwd door of voor u. U hebt de dienst ontworpen en ontwikkeld, of een leverancier heeft hem onder uw verantwoordelijkheid gebouwd. Ruimte huren om hem te draaien verandert het antwoord niet.

Twee punten waarop teams al vóór het sorteren struikelen:

  • Het gaat om uw software, niet de hardware waarop hij draait. De oplossing voor gegevensverwerking op afstand is de code die u hebt gebouwd en op afstand draait. De hypervisor of runtime van de leverancier eronder is een component, en de fysieke hardware waarop het geheel staat is de productomgeving. Geen van beide is uw oplossing voor gegevensverwerking op afstand, en u beoordeelt het risico van beide.
  • Het hoeft geen publieke cloud te zijn. Een oplossing voor gegevensverwerking op afstand kan op uw eigen on-premiseservers of een private cloud op uw eigen terrein draaien. De toets is ontwerp, ontwikkeling en noodzaak, niet waar de doos fysiek staat.

De drie vragen

Loop elke backend waarvan uw app afhankelijk is langs drie vragen, op volgorde. Elk pad belandt in een van de drie categorieën.

Een beslisstroom voor de toets gegevensverwerking op afstand. De eerste vraag is of gegevens op afstand worden verwerkt. Een nee valt buiten het toepassingsgebied. Een ja leidt naar de tweede vraag, of de dienst nodig is voor een functie. Een nee valt buiten het toepassingsgebied, met een communicatierisico om te beoordelen. Een ja leidt naar de derde vraag, of de dienst is gebouwd door of voor u. Een nee is een component. Een ja is een oplossing voor gegevensverwerking op afstand.
De drie-vragentoets. Beide doorslaggevende vragen moeten ja zijn voordat een afhankelijkheid een oplossing voor gegevensverwerking op afstand is.

De eerste vraag filtert alles weg wat het apparaat nooit verlaat. De volgende twee zijn het doorslaggevende paar, en beide moeten ja zijn. Drie dingen zijn het waard om vóór het sorteren vast te leggen:

  • Functies is breder dan kernfuncties. Het dekt alles wat ondersteunt hoe het product presteert, niet alleen de hoofdfunctie. Commando's naar een apparaat sturen, bestanden synchroniseren, een gebruiker onboarden, configuratie en personalisatie, updates ontvangen inclusief beveiligingspatches, en gebruikers aanmelden tellen allemaal als functies. Is een backend voor een van die taken nodig, dan is de tweede vraag ja.
  • Een handmatige terugvaloptie ontslaat u niet. Een lamp die u via een app of via een fysieke schakelaar kunt aanzetten, is voor het pad op afstand nog steeds een oplossing voor gegevensverwerking op afstand. De handmatige optie haalt de functie niet uit het toepassingsgebied.
  • Gebouwd door of voor u gaat niet over wie hem draait. U kunt het beheer aan een derde overdragen en toch verantwoordelijk blijven. Onder uw verantwoordelijkheid betekent op maat gemaakt, voor u gebouwd volgens uw specificatie, en in eigendom in plaats van in licentie. Een bestaand product in licentie nemen, of een licht aangepaste versie ervan, is niet gebouwd door of voor u.
Wat telt als een functie. Hebt u een backend nodig voor een van deze, dan is de tweede vraag ja. Zes functietypes: commando's naar een apparaat sturen, bestanden synchroniseren, een gebruiker onboarden, configuratie en personalisatie, updates ontvangen inclusief beveiligingspatches, en gebruikers aanmelden. Een handmatige terugvaloptie haalt de functie niet uit het toepassingsgebied.
De zes functietypes die de tweede vraag ja maken. Hebt u voor een ervan een backend nodig, dan is hij nodig voor een functie.

Het schoolvoorbeeld: uw app, uw API, uw database

Begin bij het geval dat de Verordening zelf als voorbeeld gebruikt. Een mobiele app heeft een API of een database nodig, en die API of database draait op een dienst die u hebt gebouwd. In dat geval is de dienst een oplossing voor gegevensverwerking op afstand, punt uit. Dit is het beeld waarop de rest van de pagina voortbouwt.

Het schoolvoorbeeld van gegevensverwerking op afstand. Een telefoon, gemarkeerd als mobiele client, stuurt een verzoek naar uw API-gateway en ontvangt een antwoord. Binnen een gebied gemarkeerd als oplossing voor gegevensverwerking op afstand, in het product, roept de API-gateway uw syncdienst aan, die uw database leest en schrijft. Daaronder is een balk gemarkeerd als uw IaaS, de gehuurde infrastructuur, een component, en de oplossing draait erop.
Het letterlijke voorbeeld uit de Verordening. De API en database die u bouwde zijn de oplossing voor gegevensverwerking op afstand. Het cloudplatform eronder is een component.

Loop een notitie-app langs de drie vragen. De app synchroniseert bestanden via uw REST-API en uw database. Op afstand verwerkt, ja. Nodig voor een functie, ja, want bestandssynchronisatie is een functie. Gebouwd door of voor u, ja, want u hebt de API en het databaseschema ontworpen. Drie keer ja. Uw API en uw database zijn een oplossing voor gegevensverwerking op afstand. Ze vallen binnen het conformiteitsgebied van het product.

Het cloudplatform eronder is een andere vraag. Huurt u infrastructuur en zet u er uw eigen code op, dan is het platform dat u huurt niet de oplossing voor gegevensverwerking op afstand. Uw code is dat. De IaaS eronder is een component. U documenteert de afhankelijkheid, beoordeelt het integratierisico, en kunt de leverancier om beveiligingsbewijs vragen.

De drie categorieën in één oogopslag

Een sorteerdiagram. De app staat bovenaan en vertakt naar drie kolommen. De kolom oplossing voor gegevensverwerking op afstand bevat uw syncbackend, uw tokendienst en uw smarthomecloud. De kolom component bevat kant-en-klare SaaS-opslag, een identiteitsprovider in licentie en een externe supportchat. De kolom buiten toepassingsgebied bevat het 5G-netwerk, uw CI/CD en CRM, en telemetrie enkel voor statistiek.
Dezelfde app, elke afhankelijkheid gesorteerd. De categorie bepaalt de verplichting, niet de naam van de leverancier.

Elke afhankelijkheid belandt in precies één categorie. Beide doorslaggevende vragen ja is een oplossing voor gegevensverwerking op afstand. Nodig voor een functie maar niet uw verantwoordelijkheid is een component. Niet nodig voor een functie valt buiten het toepassingsgebied, en u controleert het risico dat het toch meebrengt.

Categorie Wanneer het geldt Betekenis Wat u moet doen
Oplossing voor gegevensverwerking op afstand op afstand, nodig voor een functie, en gebouwd door of voor u Onderdeel van het product zelf Voldoe aan de essentiële vereisten van Bijlage I. Neem het op in de productrisicobeoordeling. Dek het in de EU-conformiteitsverklaring en de technische documentatie. Handel kwetsbaarheden af en meld ze gedurende de ondersteuningsperiode
Component op afstand en nodig voor een functie, maar niet gebouwd door of voor u Een stuk van een derde waarop uw product leunt Beoordeel het integratierisico. Beperk het op productniveau, via authenticatie, integriteitscontroles, isolatie en validatie van antwoorden. Voer leveranciersonderzoek uit en leg beveiligingsgaranties vast in de SLA. Hergebruik het bewijs dat de leverancier al heeft, zoals een CE-markering, een ISO/IEC 27001- of 27017-certificaat, een EU-cyberbeveiligingscertificaat, bewijs van de NIS2-verplichtingen van de leverancier, of zijn DORA-verplichtingen waar die gelden
Buiten toepassingsgebied niet nodig voor een functie, of pure connectiviteit Geen oplossing voor gegevensverwerking op afstand en geen component Geen conformiteits- of componentplicht. U beoordeelt nog wel elk risico dat de communicatie meebrengt. Pure connectiviteit, zoals het mobiele netwerk, wifi of een router, is het enige geval waarin u de aanbieder helemaal niets verschuldigd bent

Onze visie: in de praktijk faalt de toets zelden op de eerste twee vragen. Bijna alles waarmee een app praat draait op afstand en is voor iets nodig. Het antwoord draait om de derde vraag, eigendom, en daar zien we teams misgaan. Is een dienst voor u gebouwd en hebt u hem in eigendom, behandel hem dan als binnen het toepassingsgebied en ga verder. De dure fout die we steeds zien, is een op maat gemaakte backend onder component plaatsen omdat een leverancier hem toevallig beheert.

Uitgewerkte voorbeelden

De conceptleidraad redeneert door een reeks fictieve, archetypische producten heen, en de galerij hieronder spiegelt dat. Waar een echte technologiecategorie wordt genoemd, classificeert ze het typische patroon. Het antwoord draait om hoe u het ding gebruikt, zelfgebouwd tegenover kant-en-klaar in licentie, nooit om een juridisch oordeel over een genoemde leverancier.

A. Uw eigen syncbackend

Product: een notitie- of productiviteitsapp. De app verbindt met uw REST-API en uw database op gehuurde infrastructuur. Op afstand verwerkt, ja. Nodig voor een functie, ja, bestandssynchronisatie. Gebouwd door of voor u, ja. Dit is een oplossing voor gegevensverwerking op afstand. De gehuurde infrastructuur eronder is een component. Het is het schoolvoorbeeld uit de paragraaf hierboven.

B. Smarthome-begeleidende app

Het smarthomegeval. Een begeleidende app en een thermostaat met een handmatige schakelaar sturen beide gegevens naar uw cloudbackend, gemarkeerd als oplossing voor gegevensverwerking op afstand. Binnen de backend ontvangt een apparaatgateway de berichten, een commandodienst stuurt temperatuur instellen terug naar de thermostaat, en een voorkeurenopslag bewaart gebruikersvoorkeuren. De cloudbackend draait op IaaS van een derde, gemarkeerd als component.
Een thermostaat die u ook met de hand kunt bedienen. De handmatige schakelaar haalt het pad op afstand niet uit het toepassingsgebied.

Product: een thermostaat of een lamp met de bijbehorende app. De app praat met uw cloudbackend, die u hebt gebouwd en op infrastructuur van een derde draait. Het apparaat werkt ook via een handmatige schakelaar. Op afstand verwerkt, ja. Nodig voor een functie, ja, commando's naar een apparaat sturen, en de handmatige terugvaloptie verandert dat niet. Gebouwd door of voor u, ja. Dit is een oplossing voor gegevensverwerking op afstand. De infrastructuur eronder is een component. De Verordening bevestigt dat de cloudbesturing van een smarthome-fabrikant binnen het toepassingsgebied valt.

C. Bank-app, het geval met alle drie de categorieën

Het bankgeval met alle drie de categorieën. De bank-app stuurt een verzoek naar uw API-laag, een oplossing voor gegevensverwerking op afstand die authenticeert en routeert. De API-laag vraagt identiteit op bij het rekeningbeheersysteem en dient een transactie in bij het grootboeksysteem, beide gemarkeerd als buiten toepassingsgebied, een externe afhankelijkheid die de app nooit rechtstreeks raakt, en het grootboek retourneert de transactiestatus. Een externe supportchat die de chatsessie afhandelt is een component, geïsoleerd van de kernbankactiviteit. Uw pushnotificatiecode, die transactiemeldingen verstuurt, is een oplossing voor gegevensverwerking op afstand die draait op een PaaS van een derde, dat een component is.
Eén product, elke categorie. Het oordeel volgt wat elk stuk doet en wie het bouwde, niet waar het draait.

Product: de bank-app. Eén app, vier afhankelijkheden, drie categorieën.

  • Uw zelf gehoste API-laag is een oplossing voor gegevensverwerking op afstand. U bouwde hem, de app heeft hem nodig, hij draait op afstand.
  • Het rekening- en grootboeksysteem die de app nooit rechtstreeks raakt, vallen buiten het toepassingsgebied, een externe afhankelijkheid. Ze worden nog steeds op risico beoordeeld. U past sterke authenticatie van de backendinterfaces, integriteitsbescherming en verificatie van antwoorden toe.
  • Een supportchat-SaaS van een derde is een component. U isoleert hem van de kernbankstroom, valideert de inhoud die hij teruggeeft, en voert onderzoek uit.
  • Uw pushnotificatiecode op een PaaS van een derde is een oplossing voor gegevensverwerking op afstand. Het PaaS-platform zelf is een component. Uw code is de software die u hebt ontworpen. Het platform is de gehuurde laag eronder.

D. Identiteit en aanmelden

Het identiteitsgeval. Drie aanmeldpaden. Uw eigen authenticatiedienst die tokens uitgeeft is gemarkeerd als oplossing voor gegevensverwerking op afstand. Een kant-en-klare identiteitsprovider die u in licentie neemt is gemarkeerd als component. Een op maat gemaakte identiteitsdienst die uitsluitend voor u is gebouwd en uw eigendom is, is gemarkeerd als oplossing voor gegevensverwerking op afstand. Een onderschrift luidt: dezelfde leverancier, ander contract, ander antwoord.
Dezelfde leverancier, ander contract, ander antwoord. De toets is wie de dienst ontwierp en in eigendom heeft, niet wie hem draait.

Product: elke app. Gebruikers aanmelden is een functie, dus identiteit speelt mee.

  • Uw eigen authenticatiedienst die tokens uitgeeft is een oplossing voor gegevensverwerking op afstand. U bouwde hem, de app heeft hem nodig om gebruikers aan te melden.
  • Een identiteitsprovider van een derde die u alleen kant-en-klaar in licentie neemt is een component, geen oplossing voor gegevensverwerking op afstand. U beoordeelt het integratierisico en voert onderzoek uit.
  • Een leverancier die een op maat gemaakte identiteitsdienst uitsluitend voor u bouwt, in uw eigendom, slaat terug om naar een oplossing voor gegevensverwerking op afstand. Dezelfde leverancier, ander contract, ander antwoord.

E. Kant-en-klare SaaS-opslag

Product: een media- of e-readerapp die gekochte inhoud opslaat in een generieke SaaS-opslag van een derde. Op afstand verwerkt, ja. Nodig voor een functie, ja. Gebouwd door of voor u, nee, want u hebt een bestaand product kant-en-klaar in licentie genomen. Dit is een component, geen oplossing voor gegevensverwerking op afstand. U beveiligt de authenticatie, versleuteling en integriteit van de communicatie, en voert onderzoek uit. Vergelijk het met voorbeeld A. Dezelfde taak, bestandsopslag, belandt in een andere categorie vanwege wie de dienst bouwde.

F. AI- en LLM-functie

Het AI-functiegeval. Een app met een AI-functie stuurt een prompt en ontvangt een voltooiing. Drie paden. Uw eigen inferentiedienst die u zelf bouwde en op infrastructuur van een derde draait, is gemarkeerd als oplossing voor gegevensverwerking op afstand, en de infrastructuur is een component. Een model-API van een derde in licentie is gemarkeerd als component. Gegevens die uitsluitend voor modeltraining worden verstuurd, niet nodig voor een functie, zijn gemarkeerd als buiten toepassingsgebied.
Een AI-functie splitst op dezelfde manier als elke andere backend. Wat u bouwde is een oplossing voor gegevensverwerking op afstand, wat u in licentie neemt is een component, en data enkel voor training valt erbuiten.

Product: een app met een AI-functie.

  • Uw eigen model- of inferentiedienst die u zelf bouwde en op infrastructuur van een derde draait, is een oplossing voor gegevensverwerking op afstand.
  • Een model-API van een derde die u alleen kant-en-klaar in licentie neemt is een component, geen oplossing voor gegevensverwerking op afstand. U beoordeelt het integratierisico en voert onderzoek uit.
  • Gegevens die uitsluitend voor modeltraining of statistiek worden verstuurd, niet nodig voor een productfunctie, vallen waarschijnlijk buiten het toepassingsgebied. U beoordeelt nog wel elk risico dat die communicatie toevoegt.

G. De verzameling buiten het toepassingsgebied

De grens buiten het toepassingsgebied in twee zones. De eerste zone, niets verschuldigd, bevat het 5G-netwerk, de wifi van de gebruiker en de router. De tweede zone, geen oplossing voor gegevensverwerking op afstand maar wel een communicatierisicocontrole, bevat telemetrie enkel voor statistiek, een marketingsite of helpcentrum, en uw eigen netwerk van CI/CD, CRM, salarisadministratie en updatedistributie.
Buiten het toepassingsgebied heeft twee subzones. Connectiviteit is de operator niets verschuldigd. Telemetrie en marketingpagina's krijgen nog wel een communicatierisicocontrole.

Buiten het toepassingsgebied is niet één ding. Het heeft twee subzones, en die brengen verschillend werk mee.

  • Niets verschuldigd aan de aanbieder. Het 5G- of mobiele netwerk, de wifi van de gebruiker en de router zijn verbindingsfaciliteiten. Ze zijn geen oplossing voor gegevensverwerking op afstand en geen component. U bent de operator helemaal geen onderzoek verschuldigd.
  • Geen oplossing voor gegevensverwerking op afstand, wel een risicocontrole. Crash- of gebruikstelemetrie die uitsluitend voor statistiek of toekomstige productontwikkeling wordt verzameld, is geen oplossing voor gegevensverwerking op afstand, maar u beoordeelt elk communicatierisico dat het toevoegt. Een marketingsite of helpcentrum waar de app alleen naar verwijst, is evenmin een oplossing voor gegevensverwerking op afstand.
  • Uw eigen netwerk. Interne CRM, HR, salarisadministratie, CI/CD-pijplijnen, de interne distributie van updates naar edge-locaties, en pentest- of red-team-infrastructuur zijn geen oplossing voor gegevensverwerking op afstand. De CRA reguleert uw bedrijfsnetwerk niet als geheel.

Wat elke categorie u verplicht te doen

De categorie is geen etiket. Hij bepaalt het werk.

De cloudverantwoordelijkheidssplitsing over drie modellen. Bij IaaS is de software die u uitrolt een oplossing voor gegevensverwerking op afstand, is de hypervisor van de leverancier een component, en is de onderliggende hardware de productomgeving, buiten het productgebied en toch op risico beoordeeld. Bij PaaS is uw appcode een oplossing voor gegevensverwerking op afstand, terwijl het runtimeplatform een component is. Bij SaaS is de hele kant-en-klare applicatie een component.
Waar de lijn valt bij IaaS, PaaS en SaaS. De laag die u ontwerpt en ontwikkelt is de oplossing voor gegevensverwerking op afstand. De laag van de leverancier is een component.

De lijn verschuift met het cloudmodel. Op gehuurde infrastructuur kan de software die u uitrolt een oplossing voor gegevensverwerking op afstand zijn, is de hypervisor van de leverancier eronder een component, en is de fysieke hardware de productomgeving. Op een gehuurd platform kan uw appcode een oplossing voor gegevensverwerking op afstand zijn en is het runtimeplatform een component. Een kant-en-klare SaaS-applicatie is een component, geen oplossing voor gegevensverwerking op afstand.

Oplossing voor gegevensverwerking op afstand. Hij zit binnen het product. U voldoet aan de essentiële vereisten van Bijlage I, neemt hem op in de productrisicobeoordeling, dekt hem in de EU-conformiteitsverklaring en de technische documentatie, en handelt kwetsbaarheden af en meldt ze gedurende de ondersteuningsperiode.

Component. Het is een stuk van een derde waarop uw product leunt. U beoordeelt het integratierisico en beperkt het op productniveau, via authenticatie, integriteitscontroles, isolatie en validatie van antwoorden. U voert leveranciersonderzoek uit en legt beveiligingsgaranties vast in de SLA. U kunt bewijs hergebruiken dat de leverancier al heeft, zoals een CE-markering, een ISO/IEC 27001- of 27017-certificaat, een EU-cyberbeveiligingscertificaat, bewijs van de NIS2-verplichtingen van de leverancier, of zijn DORA-verplichtingen waar die gelden. Een externe leverancier die zijn eigen dienst wijzigt, is geen substantiële wijziging van uw product.

Buiten toepassingsgebied. Geen conformiteits- of componentplicht. U beoordeelt nog wel elk risico dat de communicatie meebrengt, behalve in het connectiviteitsgeval, waarin u de aanbieder niets verschuldigd bent.

Schrijf de oplossingen voor gegevensverwerking op afstand en de afhankelijkheid van derden in uw technische documentatie. De risicobeoordeling dekt de oplossingen voor gegevensverwerking op afstand, de afhankelijkheid van derden, en de productomgeving.

U hoeft niet uw hele backend door de conformiteit te halen. De CRA reikt alleen tot de delen van uw systemen die de gegevens opslaan of verwerken die een productfunctie nodig heeft. Die delen scheiden van de rest, zoals de bank-app zijn grootboek apart houdt van zijn API, beperkt wat binnen de beoordeling valt. En bedient één backend meerdere producten, declareer hem dan in de technische documentatie van elk product. U kunt die documentatie hergebruiken van de beoordeling van het ene product naar het volgende.

Veelgemaakte fouten

  • Uw hele cloud als binnen het toepassingsgebied behandelen. De CRA reikt niet tot uw bedrijfsnetwerk als geheel. Uw CI/CD, CRM, HR en salarisadministratie vallen erbuiten.
  • Aannemen dat wie hem draait het bepaalt. Beheer is niet de toets. Ontwerp, ontwikkeling en eigendom zijn dat.
  • Vergeten dat componenten nog werk vergen. Buiten het conformiteitsgebied is niet buiten de verplichting. Een component vergt een integratierisicobeoordeling, mitigaties op productniveau en leveranciersonderzoek.
  • Denken dat telemetrie u erbij trekt. Telemetrie enkel voor statistiek is geen oplossing voor gegevensverwerking op afstand. Ze krijgt nog wel een communicatierisicocontrole, maar is geen onderdeel van het product.
  • Productupdates verwarren met interne updatedistributie. Een product dat updates ontvangt, inclusief beveiligingspatches, is een functie, dus de updateleveringsdienst die u bouwt kan een oplossing voor gegevensverwerking op afstand zijn. De interne distributie van die updates over uw eigen edge-locaties is interne infrastructuur en valt buiten het toepassingsgebied.

Veelgestelde vragen

Valt de eigen REST-API van mijn app binnen het toepassingsgebied van de CRA?

Ja, als u hem hebt gebouwd en uw app hem nodig heeft om een functie uit te voeren. Het eigen voorbeeld van de Verordening is een mobiele app die een API of database bereikt die door een dienst van de fabrikant wordt geleverd, en dat plaatst uw API binnen het conformiteitsgebied van het product. Het cloudplatform waarop u hem draait is een aparte vraag, en wordt behandeld als een component.

Als ik mijn backend op een cloud van een derde host, maakt die cloud dan mijn hele stack een oplossing voor gegevensverwerking op afstand?

Nee. De oplossing voor gegevensverwerking op afstand is de software die u hebt ontworpen en ontwikkeld, niet het platform eronder. Dat platform is van de leverancier, niet van u, dus de gehuurde infrastructuur is een component. U beoordeelt het integratierisico en voert leveranciersonderzoek erop uit.

Is een externe aanmeldprovider een oplossing voor gegevensverwerking op afstand?

Dat hangt af van hoe u hem gebruikt. Een externe identiteitsprovider die u kant-en-klaar in licentie neemt is een component, geen oplossing voor gegevensverwerking op afstand, ook al is gebruikers aanmelden een functie. Bouwt een leverancier daarentegen een op maat gemaakte identiteitsdienst uitsluitend voor u en hebt u die in eigendom, dan slaat dat terug om naar een oplossing voor gegevensverwerking op afstand. Dezelfde leverancier, ander contract, ander antwoord.

Dekt de CRA mijn interne CI/CD-pijplijn en CRM?

Nee. De CRA reguleert uw bedrijfsnetwerk en informatiesystemen niet als geheel. Interne CRM, salarisadministratie, CI/CD-pijplijnen, de interne distributie van updates naar edge-locaties, en pentesten of red-teaming vallen er allemaal buiten. Dit is uw eigen netwerk, geen oplossing voor gegevensverwerking op afstand waarvan uw product afhankelijk is.

Valt het mobiele netwerk waarover mijn app draait binnen het toepassingsgebied?

Nee. Een 5G- of mobiel netwerk is een verbindingsfaciliteit, net als een router, een ethernetkabel of een wifi-signaal. Het is geen oplossing voor gegevensverwerking op afstand en geen component, en u bent de netwerkoperator helemaal geen onderzoek verschuldigd. Dit is het enige geval buiten het toepassingsgebied dat geen enkele verplichting tegenover de aanbieder meebrengt.

Wat is het verschil tussen een oplossing voor gegevensverwerking op afstand en een component?

Beide kunnen op afstand draaien en beide kunnen nodig zijn voor een functie. Het verschil is wie de dienst bouwde. Een oplossing voor gegevensverwerking op afstand is door u, of onder uw verantwoordelijkheid, ontworpen en ontwikkeld, en valt dus binnen het conformiteitsgebied van het product. Een component is een stuk van een derde dat u in licentie neemt, en blijft dus buiten de conformiteit maar vergt nog wel een integratierisicobeoordeling, mitigaties op productniveau en onderzoek. Zie Wat is een product met digitale elementen voor waar gegevensverwerking op afstand past in de bredere toepassingsgebiedstoets.

Waar te beginnen

  1. Maak een lijst van elke backend waarmee uw app praat: uw API, uw database, aanmelden, betalingen, supportchat, push, analytics, AI, en het netwerk waarover hij draait.
  2. Loop elk daarvan langs de drie vragen. Op afstand, nodig voor een functie, gebouwd door of voor u. Beide doorslaggevende antwoorden moeten ja zijn voor een oplossing voor gegevensverwerking op afstand.
  3. Sorteer elke afhankelijkheid in een categorie en schrijf het oordeel in uw technische documentatie, met de afhankelijkheid van derden gedeclareerd.
  4. Voer voor elke component leveranciersonderzoek uit en leg het herbruikbare bewijs vast dat de leverancier al heeft.
  5. Neem de oplossingen voor gegevensverwerking op afstand op in uw productrisicobeoordeling en uw proces voor kwetsbaarheidsmelding gedurende de ondersteuningsperiode.
  6. Controleer de overlap tussen cloud en NIS2 zodat u niet dubbel telt wat al onder Richtlijn (EU) 2022/2555 valt, en keer dan terug naar de CRA-nalevingshub.

Dit artikel dient uitsluitend ter informatie en vormt geen juridisch advies. De uitgewerkte voorbeelden volgen de conceptleidraad van de Europese Commissie, Mededeling Ares(2026)2319816 van 3 maart 2026, waarvan de consultatie op 13 april 2026 sloot en die nog niet formeel is vastgesteld. Raadpleeg voor specifiek compliance-advies een gekwalificeerd juridisch adviseur.