Wat is de CRA? Cyber Resilience Act (EU) 2024/2847

Gepubliceerd 6 mei 2026 Bijgewerkt 15 juni 2026

De Verordening cyberweerbaarheid (CRA) is de eerste cyberbeveiligingswet van de EU voor producten. Vanaf 11 december 2027 moet alles wat u op de EU-markt verkoopt en software draait of een chip bevat, worden geleverd met ingebouwde beveiliging, een SBOM, een EU-conformiteitsverklaring en een proces voor behandeling van kwetsbaarheden dat loopt gedurende de gehele ondersteuningsperiode. Deze pagina legt uit wat de wet vereist, wanneer zij begint te bijten en wat er gebeurt als u haar negeert.

Samenvatting

  • De CRA is van kracht, maar u hebt tijd. Verordening (EU) 2024/2847 is op 10 december 2024 in werking getreden en is volledig van toepassing vanaf 11 december 2027.
  • Melding begint 15 maanden eerder. Vanaf 11 september 2026 moeten fabrikanten ernstige incidenten en actief uitgebuite kwetsbaarheden melden aan ENISA en hun CSIRT.
  • Naleving levert vier artefacten op. Een SBOM, een EU-conformiteitsverklaring, een technisch dossier en een gedocumenteerd proces voor behandeling van kwetsbaarheden. Die set is hoe "CRA-klaar" eruitziet.
  • Boetes zijn reëel. Tot 15 000 000 EUR of 2,5% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt, voor de zwaarste inbreuken.
  • Het is geen GDPR en geen NIS2. De CRA reguleert de cyberbeveiliging van het product zelf, niet persoonsgegevens en niet de operationele beveiliging van essentiële entiteiten.
  • Uw verplichtingen hangen af van uw rol en productklasse. Fabrikant, importeur, distributeur of opensourcesoftwaresteward; standaard, belangrijke klasse I of II, of kritiek. De pagina Wie moet voldoen aan de CRA werkt dat stap voor stap uit.
11 dec 2027
Volledige toepasselijkheid
Verordening 2024/2847
11 sep 2026
Melding begint
Ernstige incidenten en misbruikte kwetsbaarheden
€15M / 2,5%
Hoogste boetecategorie
Het hoogste bedrag geldt
5j
Minimale ondersteuningsperiode
Tenzij verwacht gebruik korter is

De vier cijfers die de CRA bepalen: wanneer zij geldt, wanneer melding begint, de maximale boete en de minimale ondersteuningsperiode voor beveiligingsupdates.

Wat de Verordening cyberweerbaarheid reguleert

De Verordening cyberweerbaarheid, of CRA, is Verordening (EU) 2024/2847. Zij introduceert verplichte cyberbeveiligingseisen voor producten met digitale elementen die op de EU-markt worden gebracht en geldt voor zowel hardware als software. Fabrikanten moeten aantonen dat hun producten veilig zijn ontworpen en gebouwd, moeten ze leveren met een SBOM en een EU-conformiteitsverklaring, en moeten gedurende de gehele ondersteuningsperiode een proces voor kwetsbaarheidsafhandeling uitvoeren.

De CRA is ook horizontaal. Zij snijdt dwars door productcategorieën in plaats van binnen één enkele sector te vallen. Wanneer een product al valt onder een sectorspecifiek cyberbeveiligingsregime (medische hulpmiddelen, motorvoertuigen, burgerluchtvaart, uitrusting van zeeschepen of defensie), schermt de CRA de overlap af zodat hetzelfde product niet tweemaal voor hetzelfde risico wordt gereguleerd.

In de praktijk doet de CRA vier dingen:

  • Regels voor het in de handel brengen van producten met digitale elementen op de EU-markt
  • Essentiële cyberbeveiligingseisen voor ontwerp, ontwikkeling en productie
  • Behandeling van kwetsbaarheden zolang het product wordt ondersteund
  • Markttoezicht en handhaving van de regels

Wanneer de CRA geldt: de belangrijke data

CRA Implementatietijdlijn 2024–2027 Cyber Resilience Act: fabrieksverplichtingen en ecosysteem-mijlpalen
10 dec 2024 CRA treedt in werking
11 jun 2026 AO-melding (lidstaat)
11 sep 2026 Kwetsbaarheidsmelding start start op 11/09/2026
!
11 dec 2027 Volledige naleving vereist
Geharmoniseerde normen (EN 40000-serie): nog niet aangehaald in het PbEU (op zijn vroegst in Q4 2026)
In openbare enquête / commentaarverwerking
Q4 2026 Vroegste PbEU-vermelding (verticalen: waarschijnlijk 2027)
  • Voorbij mijlpaal
  • Aanstaande handhaving
  • Einddatum
  • Ecosysteem-mijlpaal
CRA-implementatiemijlpalen. De Verordening is op 10 december 2024 in werking getreden; de meldplicht voor incidenten en kwetsbaarheden geldt vanaf 11 september 2026; het volledige regime geldt vanaf 11 december 2027.
Datum Wat geldt
10 december 2024 De Verordening treedt in werking, 20 dagen na publicatie in het Publicatieblad van de EU
11 juni 2026 Regels voor aanmelding van conformiteitsbeoordelingsinstanties gaan gelden
11 september 2026 De meldplicht begint. Fabrikanten moeten ernstige incidenten en actief uitgebuite kwetsbaarheden melden, ook voor producten die al in de handel zijn
11 december 2027 De Verordening geldt volledig voor elk product met digitale elementen dat op de EU-markt wordt gebracht

Producten die vóór 11 december 2027 op de EU-markt zijn gebracht, zijn niet onderworpen aan de volledige Verordening, tenzij zij vanaf die datum een ingrijpende wijziging ondergaan. De meldplicht geldt echter voor alle binnen het toepassingsgebied vallende producten op de markt vanaf 11 september 2026, ongeacht wanneer zij in de handel zijn gebracht.

Hoe CRA-naleving eruitziet

Vier artefacten samen maken een product CRA-conform. Welke u verschuldigd bent, hangt af van uw rol en van de conformiteitsbeoordelingsklasse van het product; zie Wie aan de CRA moet voldoen.

Artefact Antwoord in gewone taal
SBOM Een lijst van wat er in uw product zit, in CycloneDX of SPDX, bijgehouden tijdens de ondersteuningsperiode.
EU-conformiteitsverklaring Uw ondertekende verklaring dat "dit product aan de regels voldoet", met vermelding van de gebruikte conformiteitsroute. Eén per product, ten minste tien jaar bewaard, of de ondersteuningsperiode indien die langer is.
Technische documentatie De bewijsmap achter de verklaring: risicobeoordeling, ontwerp- en ontwikkelingsinformatie, proces voor de behandeling van kwetsbaarheden en bewijs van de conformiteitsbeoordeling.
Proces voor de behandeling van kwetsbaarheden Hoe u beveiligingsupdates vindt, herstelt en uitbrengt gedurende de hele ondersteuningsperiode: openbaarmakingsbeleid, triage, herstel en gratis patches.

CRA-boetes en handhaving

De CRA kent drie boetecategorieën. Voor ondernemingen geldt het omzetpercentage als dat hoger is dan het vaste EUR-plafond.

Categorie Aanleidende inbreuk Maximale boete
Categorie 1 Niet-naleving van de essentiële cyberbeveiligingseisen, of van de verplichtingen voor fabrikanten en meldingen 15 000 000 EUR of 2,5% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, het hoogste bedrag geldt
Categorie 2 Schending van andere verplichtingen voor marktdeelnemers en conformiteit: controles door importeurs en distributeurs, CE- en documentatieplichten, samenwerking met autoriteiten en regels voor aangemelde instanties 10 000 000 EUR of 2% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt
Categorie 3 Verstrekking van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties en markttoezichtautoriteiten 5 000 000 EUR of 1% van de totale wereldwijde jaaromzet, het hoogste bedrag geldt

Bij het vaststellen van de boete moeten markttoezichtautoriteiten rekening houden met de aard, ernst en duur van de inbreuk, herhaalde inbreuken en de omvang van de marktdeelnemer, inclusief of het een micro-onderneming, mkb-onderneming of start-up is. Openbronsoftwarebeheerders zijn vrijgesteld van de boetes van categorie 2 en categorie 3. Naast boetes kunnen markttoezichtautoriteiten ook corrigerende maatregelen gelasten, de verkoop beperken, niet-conforme producten terugroepen en verdere beschikbaarheid op de EU-markt verbieden.

Voor de volledige uitleg van de boetecategorieën, terugroepbevoegdheden en het bewijs dat een autoriteit kan vragen, zie CRA-boetes en handhaving.

Wat de CRA niet is

De CRA staat naast verschillende andere EU-wetten die ook cyberbeveiliging raken. Drie veelvoorkomende verwarringen:

  • De CRA is geen GDPR. GDPR (Verordening 2016/679) beschermt persoonsgegevens. De CRA beschermt de cyberbeveiliging van het product. Een product kan GDPR-relevant zijn, CRA-relevant, beide of geen van beide.
  • De CRA is geen NIS2. NIS2 (Richtlijn 2022/2555) reguleert de operationele cyberbeveiliging van essentiële en belangrijke entiteiten. De CRA reguleert de ontwerp- en levenscycluscyberbeveiliging van de producten die deze entiteiten kopen en gebruiken.
  • De CRA vervangt geen sectorwetten. Medische hulpmiddelen (MDR, IVDR), motorvoertuigen (Verord. 2019/2144), luchtvaart (Verord. 2018/1139) en uitrusting van zeeschepen (Richtl. 2014/90/EU) behouden hun cyberbeveiligingsregimes; de CRA schermt ze af. De Machineverordening 2023/1230 en de Radioapparatenrichtlijn overlappen op smalle wijze met de CRA, uitgelegd in de gids voor de overlap tussen CRA en Machineverordening.

Veelgestelde vragen

Wanneer geldt de CRA daadwerkelijk voor mijn product?

Dat hangt af van wanneer het product op de EU-markt wordt gebracht. De volledige Verordening geldt voor elk product met digitale elementen dat vanaf 11 december 2027 in de handel wordt gebracht. Producten die vóór die datum in de handel zijn gebracht, vallen niet retroactief binnen het toepassingsgebied, tenzij zij na 11 december 2027 een ingrijpende wijziging ondergaan. In dat geval tellen zij als een nieuw product.

Wat verandert er op 11 september 2026, voordat het volledige regime geldt?

De melding begint. Vanaf die datum moeten fabrikanten van producten die binnen het toepassingsgebied vallen, ernstige incidenten en actief uitgebuite kwetsbaarheden melden aan ENISA en het relevante CSIRT, ook voor producten die al op de markt zijn. De rest van de Verordening geldt nog niet, maar de meldplicht wel.

Is de CRA hetzelfde als GDPR of NIS2?

Nee. GDPR beschermt persoonsgegevens. NIS2 reguleert de operationele beveiliging van essentiële en belangrijke entiteiten (energie-exploitanten, ziekenhuizen, cloudaanbieders enzovoort). De CRA reguleert de cyberbeveiliging van het product zelf: hoe het is ontworpen, met welke kwetsbaarheden het wordt geleverd en hoe de fabrikant kwetsbaarheden behandelt gedurende de ondersteuningsperiode. Hetzelfde bedrijf kan tegelijk onder alle drie vallen, maar de verplichtingen rusten op verschillende objecten: gegevens, organisaties en producten.

Geldt de CRA voor vrije en opensourcesoftware?

Alleen wanneer deze wordt geleverd in het kader van een commerciële activiteit. Zuiver niet-commerciële opensourceprojecten vallen buiten het toepassingsgebied. Wanneer een project wordt gemonetariseerd (betaalde ondersteuning, commerciële distributie, ingebed in een product dat in de handel wordt gebracht), geldt de CRA. Voor opensourcesoftwarestewards geldt een lichter regime (stichtingen en vergelijkbare entiteiten die opensourceprojecten op duurzame basis onderhouden), dat bepaalde governance-plichten met zich meebrengt maar niet de volledige fabrikantverplichtingen, en stelt hen vrij van de boetes van categorie 2 en categorie 3.

Wat gebeurt er met producten die al op de markt zijn op 11 december 2027?

Zij behouden hun bestaande markttoegang en worden niet retroactief door de CRA-conformiteitsbeoordeling geforceerd. Een reeds bestaand product valt alleen onder de volledige Verordening wanneer het na 11 december 2027 een ingrijpende wijziging ondergaat, in welk geval het wordt behandeld als een nieuw product dat in de handel wordt gebracht. De meldplicht geldt wel voor die oudere producten vanaf 11 september 2026, en beveiligingsupdates die verschuldigd zijn op grond van een bestaande ondersteuningsverbintenis blijven doorlopen.

Wie handhaaft de CRA en waar komen de boetes vandaan?

Elke lidstaat wijst een of meer markttoezichtautoriteiten aan, gecoördineerd via de Administratieve Samenwerkingsgroep (ADCO) en ondersteund door ENISA. Autoriteiten kunnen technische documentatie opvragen, corrigerende maatregelen eisen, niet-conforme producten beperken of terugroepen en boetes opleggen. De Commissie kan optreden voor producten met een Uniebrede impact. ENISA beheert het centrale meldingsplatform voor ernstige incidenten en misbruikte kwetsbaarheden.

Waar te beginnen

  1. Voer de toets van toepasselijkheid uit: lees Wie aan de Verordening cyberweerbaarheid moet voldoen voor de toets van het toepassingsgebied en de roldefinities voor fabrikant, importeur en distributeur.
  2. Bepaal uw rol en productklasse. Fabrikanten dragen de zwaarste last; importeurs en distributeurs dragen verificatieplichten; opensourcesoftwarestewards vallen onder een lichter regime.
  3. Bouw de vier artefacten in deze volgorde: SBOM, technisch dossier, kwetsbaarheidsafhandeling, EU-conformiteitsverklaring.
  4. Kies de route voor conformiteitsbeoordeling op basis van of uw product standaard, belangrijke klasse I of II of kritiek is, en of geharmoniseerde normen of een aangemelde instantie nodig zijn.
  5. Keer terug naar de CRA-nalevingshub en werk de vier kaarten af: SBOM, conformiteit en documentatie, behandeling en melding van kwetsbaarheden, en ondersteuningsperiode.