De Verordening cyberweerbaarheid (CRA) is de eerste cyberbeveiligingswet van de EU voor producten. Vanaf 11 december 2027 moet alles wat u op de EU-markt verkoopt en software draait of een chip bevat, worden geleverd met ingebouwde beveiliging, een SBOM, een EU-conformiteitsverklaring en een proces voor behandeling van kwetsbaarheden dat loopt gedurende de gehele ondersteuningsperiode. Deze pagina legt uit wat de wet vereist, wanneer zij begint te bijten en wat er gebeurt als u haar negeert.
Samenvatting
- De CRA is van kracht, maar u hebt tijd. Verordening (EU) 2024/2847 is op 10 december 2024 in werking getreden en is volledig van toepassing vanaf 11 december 2027 (artikel 71, lid 2).
- Melding begint 15 maanden eerder. Vanaf 11 september 2026 moeten fabrikanten ernstige incidenten en actief misbruikte kwetsbaarheden melden aan ENISA en hun CSIRT (artikel 14).
- Naleving levert vier artefacten op. Een SBOM, een EU-conformiteitsverklaring, een technisch dossier op grond van bijlage VII en een gedocumenteerd proces voor behandeling van kwetsbaarheden. Die set is hoe "CRA-klaar" eruitziet.
- Boetes zijn reëel. Tot 15 000 000 EUR of 2,5% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt, voor de zwaarste inbreuken (artikel 64, lid 2).
- Het is geen GDPR en geen NIS2. De CRA reguleert de cyberbeveiliging van het product zelf, niet persoonsgegevens en niet de operationele beveiliging van essentiële entiteiten.
- Uw verplichtingen hangen af van uw rol en productklasse. Fabrikant, importeur, distributeur of openbronsoftwarebeheerder; standaard, belangrijke klasse I of II, of kritiek. De volgende pagina ordent dat.
De vier cijfers die de CRA bepalen: wanneer zij geldt, wanneer melding begint, de maximale boete en de minimale ondersteuningsperiode voor beveiligingsupdates.
Wat de Verordening cyberweerbaarheid reguleert
De CRA is Verordening (EU) 2024/2847. Artikel 1 behandelt vier gebieden:
| Wat de CRA dekt | Waar het in de Verordening staat |
|---|---|
| Regels voor het in de handel brengen van producten met digitale elementen op de EU-markt | Hoofdstuk I, artikelen 1 tot en met 7 |
| Essentiële cyberbeveiligingseisen voor ontwerp, ontwikkeling en productie | Bijlage I, deel I, met fabrikantverplichtingen in artikel 13 |
| Behandeling van kwetsbaarheden zolang het product wordt ondersteund | Bijlage I, deel II, artikel 13, lid 8, en artikel 14 |
| Markttoezicht en handhaving van de regels | Hoofdstuk VII, artikelen 52 tot en met 66 |
In de praktijk introduceert de CRA een CE-markeringsregime voor cyberbeveiliging. Een product met digitale elementen (hardware, software of een door de fabrikant geleverde oplossing voor gegevensverwerking op afstand) mag niet op de EU-markt worden gebracht tenzij de fabrikant kan aantonen dat het voldoet aan bijlage I en een proces voor behandeling van kwetsbaarheden uitvoert gedurende de gehele ondersteuningsperiode.
De CRA is horizontaal: zij snijdt door productcategorieën heen en hoort niet in één enkele sector thuis. Wanneer een product al onder een sectorspecifiek cyberbeveiligingsregime valt (medische hulpmiddelen, motorvoertuigen, burgerluchtvaart, uitrusting van zeeschepen of defensie), schermt artikel 2 de overlap af zodat hetzelfde product niet tweemaal voor hetzelfde risico wordt gereguleerd.
Wanneer de CRA geldt: de belangrijke data
| Datum | Wat geldt | Bron |
|---|---|---|
| 10 december 2024 | Verordening treedt in werking (twintigste dag na publicatie in het PB) | Artikel 71, lid 1 |
| 11 juni 2026 | Hoofdstuk IV (artikelen 35 tot en met 51) over aanmelding van conformiteitsbeoordelingsinstanties geldt | Artikel 71, lid 2 |
| 11 september 2026 | Meldplichten van artikel 14 gelden voor ernstige incidenten en actief misbruikte kwetsbaarheden, ook voor producten die al in de handel zijn | Artikelen 71, lid 2, en 69, lid 3 |
| 11 december 2027 | Verordening geldt volledig voor alle producten met digitale elementen die vanaf die datum op de EU-markt worden gebracht | Artikel 71, lid 2 |
Producten die vóór 11 december 2027 op de EU-markt zijn gebracht, zijn niet onderworpen aan de volledige Verordening, tenzij zij vanaf die datum een substantiële wijziging ondergaan (artikel 69, lid 2). De meldplicht van artikel 14 geldt echter voor alle binnen het toepassingsgebied vallende producten op de markt vanaf 11 september 2026, ongeacht wanneer zij in de handel zijn gebracht (artikel 69, lid 3).
Hoe CRA-naleving eruitziet
Vier artefacten samen maken een product CRA-conform. Welke u verschuldigd bent, hangt af van uw rol en van de conformiteitsbeoordelingsklasse van het product; zie Wie aan de CRA moet voldoen.
| Artefact | Antwoord in gewone taal | Waar het verplicht is |
|---|---|---|
| SBOM (details) | Een lijst van wat er in uw product zit, in CycloneDX of SPDX, bijgehouden tijdens de ondersteuningsperiode. | Bijlage I, deel I |
| EU-conformiteitsverklaring (details) | Uw ondertekende verklaring dat "dit product aan de regels voldoet", met vermelding van de gebruikte conformiteitsroute. Eén per product, tien jaar bewaard. | Artikel 28, bijlage V |
| Technische documentatie van bijlage VII (details) | De bewijsmap achter de verklaring: risicobeoordeling, ontwerp- en ontwikkelingsinformatie, proces voor de behandeling van kwetsbaarheden en bewijs van de conformiteitsbeoordeling. | Bijlage VII |
| Proces voor de behandeling van kwetsbaarheden (details) | Hoe u beveiligingsupdates vindt, herstelt en uitbrengt gedurende de hele ondersteuningsperiode: openbaarmakingsbeleid, triage, herstel en gratis patches. | Bijlage I, deel II |
Boetes op grond van artikel 64
Artikel 64 kent drie boetecategorieën. Het hoogste van het absolute plafond of het percentage van de wereldwijde omzet geldt.
| Categorie | Aanleidende inbreuk | Maximale boete |
|---|---|---|
| Categorie 1 | Niet-naleving van de essentiële cyberbeveiligingseisen van bijlage I, of van de verplichtingen van artikelen 13 en 14 | 15 000 000 EUR of 2,5% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, het hoogste bedrag geldt |
| Categorie 2 | Niet-naleving van de verplichtingen van artikelen 18 tot en met 23, 28, 30, leden 1 tot en met 4, 31, leden 1 tot en met 4, 32, leden 1 tot en met 3, 33, lid 5, 39, 41, 47, 49 en 53 | 10 000 000 EUR of 2% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt |
| Categorie 3 | Verstrekking van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties en markttoezichtautoriteiten | 5 000 000 EUR of 1% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt |
Markttoezichtautoriteiten houden rekening met de aard, ernst en duur van de inbreuk, herhaalde inbreuken en de omvang van de marktdeelnemer, en passen lichtere toetsing toe op micro-ondernemingen, kleine ondernemingen en start-ups (artikel 64, lid 5, en artikel 64, lid 10). Openbronsoftwarebeheerders zijn vrijgesteld van de boetes van categorie 2 en categorie 3 (artikel 64, lid 10, onder b). Naast boetes kunnen markttoezichtautoriteiten ook corrigerende maatregelen gelasten, de verkoop beperken, niet-conforme producten terugroepen en verdere beschikbaarheid op de EU-markt verbieden (artikel 54).
Wat de CRA niet is
De CRA staat naast verschillende andere EU-wetten die ook cyberbeveiliging raken. Drie veelvoorkomende verwarringen:
- De CRA is geen GDPR. GDPR (Verordening 2016/679) beschermt persoonsgegevens. De CRA beschermt de cyberbeveiliging van het product. Een product kan GDPR-relevant zijn, CRA-relevant, beide of geen van beide.
- De CRA is geen NIS2. NIS2 (Richtlijn 2022/2555) reguleert de operationele cyberbeveiliging van essentiële en belangrijke entiteiten. De CRA reguleert de ontwerp- en levenscycluscyberbeveiliging van de producten die deze entiteiten kopen en gebruiken.
- De CRA vervangt geen sectorwetten. Medische hulpmiddelen (MDR, IVDR), motorvoertuigen (Verord. 2018/858), luchtvaart (Verord. 2018/1139) en uitrusting van zeeschepen (Richtl. 2014/90/EU) behouden hun cyberbeveiligingsregimes; de CRA schermt ze af in artikel 2. De Machineverordening 2023/1230 en de Radioapparatenrichtlijn overlappen op smalle wijze met de CRA, uitgelegd in de gids voor de overlap tussen CRA en Machineverordening.
Veelgestelde vragen
Wanneer geldt de CRA daadwerkelijk voor mijn product?
Dat hangt af van wanneer het product op de EU-markt wordt gebracht. De volledige Verordening geldt voor elk product met digitale elementen dat vanaf 11 december 2027 in de handel wordt gebracht. Producten die vóór die datum in de handel zijn gebracht, vallen niet retroactief binnen het toepassingsgebied, tenzij zij na 11 december 2027 een substantiële wijziging ondergaan. In dat geval tellen zij als een nieuw product (artikelen 71, lid 2, en 69, lid 2).
Wat verandert er op 11 september 2026, voordat het volledige regime geldt?
De melding van artikel 14 begint. Vanaf die datum moeten fabrikanten van producten die binnen het toepassingsgebied vallen, ernstige incidenten en actief misbruikte kwetsbaarheden melden aan ENISA en het relevante CSIRT, ook voor producten die al op de markt zijn. De rest van de Verordening geldt nog niet, maar de meldplicht wel (artikel 69, lid 3).
Is de CRA hetzelfde als GDPR of NIS2?
Nee. GDPR beschermt persoonsgegevens. NIS2 reguleert de operationele beveiliging van essentiële en belangrijke entiteiten (energie-exploitanten, ziekenhuizen, cloudaanbieders enzovoort). De CRA reguleert de cyberbeveiliging van het product zelf: hoe het is ontworpen, met welke kwetsbaarheden het wordt geleverd en hoe de fabrikant kwetsbaarheden behandelt gedurende de ondersteuningsperiode. Hetzelfde bedrijf kan tegelijk onder alle drie vallen, maar de verplichtingen rusten op verschillende objecten: gegevens, organisaties en producten.
Geldt de CRA voor vrije en opensourcesoftware?
Alleen wanneer deze wordt geleverd in het kader van een commerciële activiteit. Zuiver niet-commerciële opensourceprojecten vallen buiten het toepassingsgebied. Wanneer een project wordt gemonetariseerd (betaalde ondersteuning, commerciële distributie, ingebed in een product dat in de handel wordt gebracht), geldt de CRA. Artikel 24 schept een lichter regime voor openbronsoftwarebeheerders (stichtingen en vergelijkbare entiteiten die opensourceprojecten op duurzame basis onderhouden), dat bepaalde governance-plichten met zich meebrengt maar niet de volledige fabrikantverplichtingen (artikelen 2, lid 2, en 24; vrijstelling van boetes in artikel 64, lid 10, onder b).
Wat gebeurt er met producten die al op de markt zijn op 11 december 2027?
Zij behouden hun bestaande markttoegang en worden niet retroactief door de CRA-conformiteitsbeoordeling geforceerd. Een reeds bestaand product valt alleen onder de volledige Verordening wanneer het na 11 december 2027 een substantiële wijziging ondergaat, in welk geval het wordt behandeld als een nieuw product dat in de handel wordt gebracht. De meldplicht geldt wel voor die oudere producten vanaf 11 september 2026, en beveiligingsupdates die verschuldigd zijn op grond van een bestaande ondersteuningsverbintenis blijven doorlopen (artikel 69, lid 2; meldplicht in artikel 69, lid 3).
Wie handhaaft de CRA en waar komen de boetes vandaan?
Elke lidstaat wijst een of meer markttoezichtautoriteiten aan, gecoördineerd via de Administratieve Samenwerkingsgroep (ADCO) en ondersteund door ENISA. Autoriteiten kunnen technische documentatie opvragen, corrigerende maatregelen eisen, niet-conforme producten beperken of terugroepen en de boetes van artikel 64 opleggen. De Commissie kan optreden voor producten met een Uniebrede impact. ENISA beheert het centrale meldingsplatform voor incidenten en kwetsbaarheden van artikel 14.