Wat is een product met digitale elementen onder de CRA?

Een product met digitale elementen is hardware of software die op de EU-markt wordt gebracht en waarvan het beoogde of redelijkerwijs voorzienbare gebruik een directe of indirecte gegevensverbinding met een ander apparaat of netwerk inhoudt. Drie toetsen bepalen het: de productvorm, de commerciële marktplaatsing en de verbinding. De verbinding is de toets die teams het vaakst onderschatten. Deze pagina behandelt elke toets, de cloudspecifieke gevallen en de sectoren die buiten het CRA-toepassingsgebied vallen.

Samenvatting

  • Het toepassingsgebied is verbindingsgestuurd. Hardware of software die op de EU-markt wordt gebracht, valt binnen het toepassingsgebied wanneer het beoogde of redelijkerwijs voorzienbare gebruik een gegevensverbinding met een ander apparaat of netwerk omvat.
  • De Verordening noemt vier vormen. Softwareproducten, hardwareproducten, afzonderlijk in de handel gebrachte componenten en door de fabrikant geleverde oplossingen voor gegevensverwerking op afstand.
  • Drie verbindingstypes zijn van toepassing. Logisch, fysiek en indirect. De clausule voor indirecte verbinding is de breedste vangst en bereikt elk product dat via een groter systeem een netwerk raakt.
  • Sommige sectoren zijn uitgesloten. Medische hulpmiddelen, motorvoertuigen, gecertificeerde burgerluchtvaartproducten, uitrusting van zeeschepen, reserveonderdelen en producten voor nationale veiligheid of defensie vallen erbuiten; zie Wie moet voldoen aan de CRA voor de geldende verordening per sector.
Verbinding
De toepassingsgebiedstoets
Direct of indirect, met een apparaat of netwerk
4
Vormen binnen het toepassingsgebied
Software, hardware, component, gegevensverwerking op afstand
3
Verbindingstypes
Logisch, fysiek, indirect
6+
Uitgesloten sectoren
Medisch, voertuigen, luchtvaart, scheepvaart, defensie, reserveonderdelen

Het toepassingsgebied van de CRA in vier cijfers: de toets die een product insluit, de erkende vormen, de drie manieren waarop een verbinding telt en de sectoren die erbuiten vallen.

Wat telt als product met digitale elementen?

Stel eenvoudig drie vragen. Het product valt alleen binnen het CRA-toepassingsgebied als alle drie de antwoorden ja zijn.

  1. Is het een softwareproduct, een hardwareproduct, een afzonderlijk in de handel gebrachte component of een oplossing voor gegevensverwerking op afstand? Dit zijn de vier gedekte vormen, uitgewerkt in de volgende paragraaf.
  2. Wordt het in het kader van een commerciële activiteit op de EU-markt gebracht? Zowel betaalde als gratis levering telt, zolang de activiteit commercieel is.
  3. Omvat het beoogde of redelijkerwijs voorzienbare gebruik een directe of indirecte gegevensverbinding met een ander apparaat of netwerk? De verbindingstypes worden behandeld in de gegevensverbindingstoets hieronder.

Eenvoudig gezegd omvat de definitie softwareproducten, hardwareproducten, afzonderlijk verhandelde software- of hardwarecomponenten en de diensten voor verwerking op afstand die de fabrikant als onderdeel van het product levert.

De CRA is Verordening (EU) 2024/2847. Voor de bredere context (wat de verordening dekt, de belangrijkste data en de sancties), zie Wat is de Cyber Resilience Act.

Vormen van een product met digitale elementen

De Verordening erkent vier vormen. Elk daarvan kan op uw product van toepassing zijn.

  • Softwareproduct. Besturingssystemen, firewalls, wachtwoordbeheerders, antivirussuites, browsers, browserextensies, downloadbare mobiele apps en commercieel geleverde ontwikkelaarsbibliotheken.
  • Hardwareproduct. Routers, IoT-sensoren, slimme camera's, industriële PLC's, slimme apparaten voor thuisgebruik en fitnesstrackers. Elk apparaat dat communiceert via Wi-Fi, Bluetooth, Ethernet, mobiel netwerk of een industriële fieldbus.
  • Afzonderlijk in de handel gebrachte component. Software of hardware die op zichzelf wordt geleverd voor integratie in een ander systeem. Firmware die als afzonderlijk product wordt verkocht, softwarebibliotheken aan OEM's geleverd en ingebedde modules komen allemaal in aanmerking.
  • Oplossing voor gegevensverwerking op afstand. Cloud- of externe diensten die de fabrikant ontwerpt en levert als onderdeel van het product, waarbij het ontbreken van de dienst zou voorkomen dat het product een van zijn functies uitvoert. Het standaardvoorbeeld is de cloud van een slimme-apparatenfabrikant waarmee gebruikers het apparaat op afstand kunnen bedienen. Een puur cloud-SaaS zonder gekoppeld product valt doorgaans buiten de Verordening; SaaS, PaaS en IaaS als zodanig vallen onder Richtlijn (EU) 2022/2555 (NIS2).

De doorslaggevende toets is de gegevensverbinding, niet de vormfactor.

De gegevensverbindingstoets

Elk van de drie verbindingstypes is voldoende om een product binnen het toepassingsgebied te brengen, zolang het beoogde of redelijkerwijs voorzienbare gebruik van het product die verbinding omvat.

Verbindingstype Praktische betekenis Praktijkvoorbeeld
Logisch Een virtueel gegevenspad via een softwareinterface Een REST API-aanroep tussen een microservice en een backend
Fysiek Een koppeling via elektrische, optische of mechanische interfaces, draden of radio Ethernet-kabel, Bluetooth-koppeling, RS-485 industriële bus
Indirect Een verbinding die via een groter systeem dat zelf direct verbindbaar is een apparaat of netwerk bereikt Sensor die het internet alleen bereikt via een lokale hub

De clausule voor indirecte verbinding wordt het vaakst onderschat. Een sensor die alleen met een lokale gateway communiceert, valt binnen het toepassingsgebied als de gateway het internet bereikt, ook al heeft de sensor zelf geen IP-stack.

Wanneer een clouddienst binnen de CRA valt

Een cloud- of SaaS-component valt alleen binnen het CRA-conformiteitsgebied van het product wanneer alle drie de volgende voorwaarden gelden. De conceptleidraad van de Commissie van maart 2026 (Mededeling Ares(2026)2319816) leidt fabrikanten stap voor stap door deze voorwaarden.

  1. Verwerkt de oplossing gegevens op afstand? Als de clouddienst niet daadwerkelijk gegevens op afstand verwerkt, is het geen oplossing voor gegevensverwerking op afstand.
  2. Zou het product een van zijn functies niet kunnen uitvoeren zonder deze oplossing? Een backend die optioneel is of slechts verrijkt, brengt de cloud niet binnen het toepassingsgebied; het ontbreken van de dienst moet voorkomen dat het product een geadverteerde functie levert.
  3. Is de oplossing ontworpen door of onder verantwoordelijkheid van de fabrikant? Een standaard SaaS van derden die het product toevallig gebruikt, is geen oplossing voor gegevensverwerking op afstand. Een op maat ontwikkelde dienst onder verantwoordelijkheid van de fabrikant kan dat wel zijn.

Een "nee" op een van deze vragen haalt de cloudcomponent buiten het RDPS-toepassingsgebied.

Buiten RDPS betekent niet buiten de verplichting. Zelfs wanneer een clouddienst niet kwalificeert als oplossing voor gegevensverwerking op afstand, behoudt de fabrikant due-diligenceverplichtingen voor componenten wanneer de dienst in het product is geïntegreerd. De beveiligingsverplichting verschuift van conformiteitsbeoordeling naar componentbeheer; zij verdwijnt niet.

De Commissie illustreert de toets met vijf concrete scenario's: een bank-app, een slimme thermostaat, een e-reader, een industriële robot en een mobiel netwerkapparaat. De leidraad is nog in concept, in afwachting van afronding in alle EU-taalversies. Ook een door de fabrikant beheerde mobiele-appbackend en een slimme-apparatencloud worden als nuttige grensvoorbeelden behandeld.

Wat GEEN product met digitale elementen is

Twee drempeltoetsen plaatsen een product buiten de CRA voordat de sectorvraag aan de orde komt:

  • Producten zonder software, firmware of gegevensverbinding. Een puur mechanisch apparaat zonder elektronica valt al bij de eerste toets buiten het toepassingsgebied. Een eenvoudige analoge thermostaat, een passieve kabel of een niet-elektronisch handgereedschap valt er niet onder.
  • Puur cloud-diensten zonder gekoppeld product. Een op zichzelf staande SaaS, PaaS of IaaS die geen oplossing voor gegevensverwerking op afstand van een product is, valt buiten de CRA; deze clouddienstmodellen vallen onder Richtlijn (EU) 2022/2555 (NIS2). Websites die de functionaliteit van een product met digitale elementen niet ondersteunen, vallen eveneens buiten de CRA. De Verordening bereikt een clouddienst alleen wanneer de fabrikant deze als onderdeel van een product levert en het ontbreken van de dienst zou voorkomen dat het product werkt.

Veelgestelde vragen

Valt mijn uitsluitend via Bluetooth verbonden apparaat binnen het toepassingsgebied van de CRA?

Ja. Bluetooth is een fysieke verbinding via radiogolven, en een apparaat dat kan koppelen met een telefoon, hub of andere Bluetooth-host voldoet aan de toepassingsgebiedstoets. Zelfs als het apparaat zelf het internet nooit direct bereikt, brengt de clausule voor indirecte verbinding het binnen het toepassingsgebied zodra de gekoppelde host een netwerk bereikt.

Valt SaaS, PaaS of IaaS binnen het toepassingsgebied van de CRA?

Doorgaans niet. Software as a Service, Platform as a Service en Infrastructure as a Service vallen onder Richtlijn (EU) 2022/2555 (NIS2), niet onder de CRA. Een clouddienst valt alleen onder de CRA wanneer hij is ontworpen en geleverd door de fabrikant van een product met digitale elementen en het ontbreken van de dienst zou voorkomen dat het product een van zijn functies uitvoert. Het standaardvoorbeeld binnen het toepassingsgebied is de cloud van een slimme-apparatenfabrikant waarmee gebruikers het apparaat op afstand kunnen bedienen.

Valt de backend-API van onze mobiele app binnen het toepassingsgebied van de CRA?

Ja, als de fabrikant van de app de backend ontwerpt en ontwikkelt en de app er voor zijn werking van afhankelijk is. Een mobiele applicatie die toegang vereist tot een API of database die door de dienst van de fabrikant wordt geleverd, brengt die dienst als oplossing voor gegevensverwerking op afstand binnen het CRA-toepassingsgebied.

Telt firmware die in onze eigen hardware is meegeleverd als afzonderlijke component?

Nee, tenzij u de firmware ook afzonderlijk op de markt brengt. Firmware die is meegeleverd in een hardwareproduct dat u verkoopt, maakt deel uit van dat product en is geen zelfstandige component. Verkoopt u de firmware ook afzonderlijk, bijvoorbeeld als updatepakket, OEM SDK of zelfstandige download, dan kan de afzonderlijk verkochte firmwareversie zelfstandig binnen het toepassingsgebied vallen.

Is een downloadbare mobiele app een product met digitale elementen?

Ja, wanneer geleverd in het kader van een commerciële activiteit. Een mobiele app die wordt verspreid via een app store of als download is een softwareproduct dat op de markt wordt aangeboden. Zowel betaalde als gratis commerciële apps vallen binnen het toepassingsgebied. Het feit dat een app store de app verspreidt, verschuift de CRA-verantwoordelijkheid niet naar de winkel; de fabrikant is de entiteit die de app onder eigen naam of merk in de handel brengt. Het product moet ook voldoen aan de verbindingstoets, waaraan de meeste apps voldoen via hun beoogde netwerk- of apparaat-API-gebruik.

Waar te beginnen

  1. Voer de gratis CRA-toepasbaarheidscheck uit voor een interactieve doorloop, of bevestig de verbindingstoets handmatig: elk logisch, fysiek of indirect pad naar een apparaat of netwerk telt.
  2. Bevestig dat geen sectoruitsluiting van toepassing is. De volledige toepassingsgebiedstoets staat stap voor stap uitgewerkt in Wie moet voldoen aan de CRA.
  3. Bepaal uw rol: fabrikant, importeur, distributeur of gemachtigde.
  4. Classificeer het product als Standaard, Belangrijk of Kritiek met behulp van Productclassificatie.
  5. Kies de route voor conformiteitsbeoordeling zodra de categorie is vastgesteld.
  6. Keer terug naar de CRA-nalevingshub en bouw de vier CRA-artefacten: SBOM, technisch dossier, proces voor kwetsbaarheidsafhandeling en de EU-conformiteitsverklaring.