De Cyber Resilience Act geldt voor elk product met digitale elementen dat direct of indirect verbinding maakt met een apparaat of netwerk en op de EU-markt komt. Als die toets is geslaagd en u niet onder een uitsluiting valt, is de volgende vraag welke rol u speelt in de EU-toeleveringsketen: fabrikant, importeur, distributeur, gemachtigde of open-source-beheerder. Deze pagina sorteert u naar de juiste rol voordat u in een rolspecifiek artikel duikt.
Samenvatting
- De toepassingsgebiedstoets past in één zin. Hij draait om een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk, ruimer dan de meeste teams aannemen.
- De belangrijkste uitsluitingen omvatten sectorregimes, reserveonderdelen en defensiegevallen. Medische hulpmiddelen, motorvoertuigen, burgerluchtvaart, uitrusting van zeeschepen, identieke reserveonderdelen en producten die uitsluitend zijn ontwikkeld of aangepast voor nationale veiligheid, defensie of de verwerking van gerubriceerde informatie.
- Drie rollen van marktdeelnemers doen het meeste werk. Fabrikant, importeur, distributeur.
- Let op de schakelaar voor fabrikantverplichtingen. Importeurs en distributeurs die hun eigen merk gebruiken of een product ingrijpend wijzigen, worden als fabrikant beschouwd; andere derden die ingrijpend wijzigen, vallen onder een aparte regeling.
- Open-source-beheerders vallen onder een lichter regime. Een gedocumenteerd cyberbeveiligingsbeleid en een samenwerkingsplicht, niet de volledige fabrikantenlast.
- Meerdere rollen stapelen tot de strengste. Valt u onder meer dan één definitie, dan geldt de zwaarste set verplichtingen.
Vier ankers die bepalen of de CRA op u van toepassing is en hoe zwaar: de toepassingsgebiedstoets, de uitsluitingen, de rolas en de schakelaar voor fabrikantverplichtingen.
Is de CRA van toepassing op uw product?
Begin bij het product, niet bij de juridische verwijzing. De eerste CRA-toets is of u software, hardware of een digitaal component op de EU-markt aanbiedt, en of het beoogde of redelijkerwijs voorzienbare gebruik een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk omvat.
De meest bepalende uitdrukking is "directe of indirecte logische of fysieke gegevensverbinding". In gewone taal:
| Type verbinding | Gewone betekenis | Voorbeeld uit de praktijk |
|---|---|---|
| Logisch | Een virtueel gegevenspad via een softwareinterface. | Een REST API-aanroep tussen een microservice en een backend; een MQTT-topic tussen een IoT-apparaat en een broker. |
| Fysiek | Een verbinding via elektrische, optische of mechanische interfaces, draden of radiogolven. | Een Ethernet-kabel; een Bluetooth-koppeling; een industriële RS-485-bus. |
| Indirect | Een verbinding die loopt via een groter systeem dat zelf direct verbindbaar is. | Een sensor die alleen met een lokale hub praat, terwijl de hub zelf het internet bereikt. De sensor valt binnen het toepassingsgebied via de hub. |
De clausule over indirecte verbinding is het breedste vangnet. Een sensor die alleen met een lokale hub praat, valt binnen het toepassingsgebied als de hub zelf verbindbaar is. Een sensoraccessoire dat via Bluetooth aan een telefoon koppelt, valt binnen het toepassingsgebied via de telefoon. Een fabrieks-PLC die het internet alleen bereikt via een industriële gateway, valt binnen het toepassingsgebied via de gateway. Industriële en IoT-fabrikanten die ervan uitgaan dat "geen Wi-Fi betekent geen CRA", missen deze clausule en missen daarmee de Verordening volledig.
Een "product met digitale elementen" omvat vervolgens software- of hardwareproducten en de bijbehorende oplossingen voor gegevensverwerking op afstand, met inbegrip van software- of hardwarecomponenten die afzonderlijk in de handel worden gebracht. Op zichzelf staande componenten die op de markt worden gebracht, vallen eveneens binnen het toepassingsgebied.
Sectoren die al elders gereguleerd zijn
Sommige sectoren vallen buiten de CRA, ongeacht de drempeltoetsen hierboven, omdat zij al onder hun eigen cyberbeveiligingsregimes vallen.
| Sector | Wordt in plaats daarvan geregeld door | Uitgesloten door |
|---|---|---|
| Medische hulpmiddelen | Verordening (EU) 2017/745 (MDR) | Artikel 2(2), letter (a) |
| Medische hulpmiddelen voor in-vitrodiagnostiek | Verordening (EU) 2017/746 (IVDR) | Artikel 2(2), letter (b) |
| Motorvoertuigen | Verordening (EU) 2019/2144 | Artikel 2(2), letter (c) |
| Gecertificeerde burgerluchtvaartproducten | Verordening (EU) 2018/1139 | Artikel 2(3) |
| Uitrusting van zeeschepen | Richtlijn 2014/90/EU | Artikel 2(4) |
| Reserveonderdelen (vervanging van identieke componenten) | Niet van toepassing; buiten het toepassingsgebied per definitie | Artikel 2(6) |
| Producten voor nationale veiligheid, defensie en de verwerking van gerubriceerde informatie | Bevoegdheid van de lidstaat | Artikel 2(7) |
De Commissie kan de toepassing van de CRA ook beperken of uitsluiten wanneer een andere Uniehandeling dezelfde risico's reeds dekt op een gelijkwaardig of hoger beschermingsniveau.
Voor de cyberbeveiligingscategorie van uw product (standaard, belangrijk klasse I, belangrijk klasse II of kritiek), zie CRA-productclassificatie en CRA-conformiteitsbeoordeling.
CRA-rollen: fabrikant, importeur, distributeur of gemachtigde?
Zodra een product binnen het toepassingsgebied valt, hangen uw CRA-verplichtingen af van wat u in de EU-toeleveringsketen doet: wiens merk op het product staat, wie het de Unie binnenbrengt, wie het aanbiedt en of iemand het vóór doorverkoop wijzigt.
Fabrikant
U brengt het product onder uw eigen naam of merk in de handel. U ontwikkelt of laat een product met digitale elementen ontwerpen en vervaardigen, en u brengt het onder uw eigen merk op de markt, betaald of gratis. Fabrikanten dragen de volledige set verplichtingen: risicogebaseerd ontwerp, kwetsbaarheidsafhandeling, technische documentatie, EU-conformiteitsverklaring, CE-markering en melding van ernstige incidenten en actief misbruikte kwetsbaarheden. Een door een OEM ontworpen en gebouwd product onder uw eigen merk verkopen maakt u nog steeds tot fabrikant. Zie CRA-verplichtingen voor de fabrikant.
Importeur
U bent in de Unie gevestigd en brengt een niet-EU-gemerkt product op de EU-markt. Vóór het in de handel brengen moet u verifiëren dat de fabrikant de conformiteitsbeoordeling heeft uitgevoerd, de technische documentatie heeft opgesteld, de CE-markering heeft aangebracht en de EU-conformiteitsverklaring en de vereiste gebruikersinformatie heeft verstrekt. Importeurs moeten de documentatie tien jaar bewaren en samenwerken met markttoezichtautoriteiten. Zie CRA-verplichtingen voor de importeur.
Distributeur
U biedt een product op de Uniemarkt aan zonder de eigenschappen ervan te beïnvloeden. U zit in de toeleveringsketen, niet zijnde de fabrikant of de importeur. Vóór het op de markt aanbieden moet u verifiëren dat de CE-markering is aangebracht, de EU-conformiteitsverklaring beschikbaar is en de fabrikant de vereiste informatie en instructies heeft verstrekt. Zie CRA-verplichtingen voor de distributeur.
Gemachtigde
U bent in de Unie gevestigd op grond van een schriftelijk mandaat van een fabrikant. De CRA laat een fabrikant toe om bij schriftelijk mandaat een gemachtigde aan te wijzen, maar de aanwijzing is niet automatisch of verplicht enkel omdat de fabrikant buiten de EU is gevestigd. De gemachtigde handelt binnen de gemandateerde taken. Zie CRA-gemachtigde.
Productwijzigingen: wanneer u fabrikant wordt
U zit in de toeleveringsketen na een derde-partij-fabrikant. Voer de twee volgende controles uit voordat u aanneemt dat u importeur of distributeur blijft.
Uw eigen merk op het product van iemand anders zetten maakt u vanaf het begin de fabrikant, niet via een afgeleide route.
Een ingrijpende wijziging beïnvloedt de naleving van de essentiële cyberbeveiligingsvereisten, of verandert het beoogde doel waarvoor het product oorspronkelijk is beoordeeld.
Het product van iemand anders wijzigen kan u verantwoordelijk maken als fabrikant. Een importeur of distributeur wordt als fabrikant beschouwd wanneer hij het product onder zijn eigen naam of merk verkoopt, of een reeds in de handel gebracht product ingrijpend wijzigt. Dezelfde behandeling als fabrikant geldt voor iedere andere natuurlijke of rechtspersoon die een product ingrijpend wijzigt en het gewijzigde product vervolgens aanbiedt.
Voor andere derden die wijzigingen aanbrengen, volgt de verantwoordelijkheid de impact op de cyberbeveiliging: de fabrikantverplichtingen gelden voor het deel van het product dat door de wijziging wordt geraakt, tenzij de wijziging de cyberbeveiliging van het gehele product beïnvloedt; in dat geval dekken de plichten het gehele product.
Een "ingrijpende wijziging" is een wijziging na het in de handel brengen van het product die hetzij de naleving van de essentiële cyberbeveiligingsvereisten beïnvloedt, hetzij het beoogde doel waarvoor het product oorspronkelijk is beoordeeld, wijzigt. Twee patronen activeren dit het vaakst: een apparaat van een derde opnieuw flashen of herverpakken met aangepaste firmware, en een product van een derde zo in een systeem integreren dat het beoogde doel verandert.
Het labelen onder uw eigen merk is geen aanleiding voor een ingrijpende wijziging; het is de definitie van fabrikant zelf, en geldt vanaf het begin.
Open-source-beheerders
Een open-source-softwarebeheerder is een rechtspersoon, niet zijnde een fabrikant, met als doel de ontwikkeling van specifieke opensourceproducten die bestemd zijn voor commerciële activiteiten systematisch te ondersteunen en de levensvatbaarheid ervan te waarborgen. In de praktijk zijn beheerders doorgaans stichtingen of rechtspersonen zonder winstoogmerk die een bovenstrooms project zelf in stand houden, geen ondernemingen die opensourcesoftware in hun eigen producten uitleveren.
De plichten zijn beperkter dan het fabrikantenregime, maar wel concreet:
- Documenteer een cyberbeveiligingsbeleid dat de veilige ontwikkeling van het project en effectieve kwetsbaarheidsafhandeling door de ontwikkelaars bevordert, vrijwillige kwetsbaarheidsmelding aanmoedigt en informatiedeling binnen de opensourcegemeenschap ondersteunt.
- Werk samen met markttoezichtautoriteiten op gemotiveerd verzoek, onder meer door de documentatie van het cyberbeveiligingsbeleid te verstrekken.
Dit regime is niet van toepassing op de meeste ondernemingen die opensourcesoftware in een commercieel product uitleveren. Neemt u een opensourcebibliotheek, integreert u die in een product dat u op de markt brengt, en brengt u dat product onder uw eigen naam op de EU-markt, dan bent u fabrikant, geen beheerder.
Beslisboom: identificeer uw nalevingstraject
| Als u ... | Bent u ... | Ga naar ... |
|---|---|---|
| Een product met digitale elementen ontwerpt of laat vervaardigen dat u onder uw naam of merk op de EU-markt brengt | Fabrikant | Verplichtingen voor de fabrikant |
| In de EU bent gevestigd en een product op de EU-markt brengt dat de naam of het merk draagt van een niet-EU-persoon | Importeur | Verplichtingen voor de importeur |
| In de toeleveringsketen zit (niet de fabrikant of importeur) en een product op de EU-markt aanbiedt zonder de eigenschappen ervan te beïnvloeden | Distributeur | Verplichtingen voor de distributeur |
| Als importeur of distributeur, onder uw eigen naam of merk verkoopt, of een reeds in de handel gebracht product ingrijpend wijzigt | Fabrikantenverplichtingen gelden | Volledige fabrikantenverplichtingen gelden |
| Als andere derde, een product ingrijpend wijzigt en het aanbiedt op de markt | Fabrikantenverplichtingen gelden | Volledige fabrikantenverplichtingen gelden voor het getroffen deel of het gehele product |
| Een niet-EU-fabrikant bent die producten op de EU-markt brengt en een EU-gemandateerde aanwijst | Fabrikant, met een gemachtigde die alleen binnen het schriftelijke mandaat handelt | Gemachtigde |
| Een rechtspersoon bent die als kerntaak systematisch een opensourceproject ondersteunt, niet commerciële distributie | OSS-beheerder | OSS-beheerderregime |
Valt u onder meer dan één rol, dan geldt de strengste set verplichtingen. Een onderneming die een product ontwikkelt, het van haar merk voorziet en op de EU-markt brengt, is fabrikant ongeacht welke onderaannemers het ontwerp of de bouw hebben gedaan; een importeur of distributeur die een reeds in de handel gebracht product ingrijpend wijzigt, wordt als fabrikant beschouwd.
Veelvoorkomende valkuilen
| Valkuil | Waarom het misgaat |
|---|---|
| "We zitten alleen op een lokaal netwerk, dus de CRA is niet van toepassing." | De clausule over indirecte verbinding vangt alles op wat een verbindbaar systeem bereikt via een hub, telefoon of gateway. |
| "Wij voorzien het OEM-product van ons merk, dus we zijn de distributeur." | Verkopen onder uw eigen naam of merk maakt u vanaf het begin de fabrikant, niet via een afgeleide route. |
| "We gebruiken opensourcebibliotheken in ons product, dus we kwalificeren als beheerder." | Beheerders houden bovenstroomse projecten als kerntaak in stand; benedenstroomse afnemers van opensourcesoftware zijn fabrikant voor het product dat zij uitleveren. |
| "Onze marktplaats bemiddelt alleen voor niet-EU-verkopers, dus wij hebben geen plichten." | Een marktplaats die EU-voorraad aanhoudt of de aanbieding bezit, komt op het terrein van de importeur en erft de verificatie- en bewaarplichten. |
Veelgestelde vragen
Mijn product zit alleen op een lokaal netwerk. Valt de CRA dan toch binnen het toepassingsgebied?
Waarschijnlijk wel. De toepassingsgebiedstoets dekt elke indirecte verbinding: een product valt binnen het toepassingsgebied als het verbinding maakt via een groter systeem dat zelf verbindbaar is. Een sensor op een lokale hub, een Bluetooth-randapparaat dat aan een telefoon koppelt of een PLC achter een industriële gateway: elk valt binnen het toepassingsgebied via het apparaat waarmee het verbindt. Het enige product dat erbuiten valt, heeft geen software, geen firmware en geen pad naar enig ander apparaat of netwerk.
Ik exploiteer een SaaS-dienst. Is de CRA op mij van toepassing?
Doorgaans niet. SaaS valt onder NIS2, niet onder de CRA, die van toepassing is op software- of hardwareproducten die in de handel worden gebracht. Een puur in de cloud gehoste dienst voldoet niet aan die definitie. De uitzondering is een oplossing voor gegevensverwerking op afstand die door de fabrikant wordt geleverd: een cloudcomponent die noodzakelijk is om het product zijn functies te laten uitvoeren, valt binnen het toepassingsgebied als onderdeel van dat product. Levert uw SaaS ook een installeerbare client mee (een desktop- of mobiele app, een SDK, een on-prem agent), dan valt dat installeerbare deel binnen het toepassingsgebied.
Wij verkopen ongewijzigde hardware door onder ons eigen merk. Fabrikant of distributeur?
Fabrikant. Wie een product onder zijn eigen naam of merk in de handel brengt, is de fabrikant, ongeacht wie het heeft ontworpen of gebouwd. Het labelen van een OEM-product onder uw eigen merk is het schoolvoorbeeld; u erft de volledige set fabrikantverplichtingen. Dit gaat niet via een afgeleide route; u bent fabrikant vanaf het begin.
Wij gebruiken opensourcebibliotheken in ons product. Zijn wij beheerder?
Nee. Beheerders zijn doorgaans stichtingen of rechtspersonen zonder winstoogmerk die een opensourceproject als kerntaak systematisch ondersteunen. Een onderneming die een opensourcebibliotheek neemt, die in een commercieel product integreert en dat product op de EU-markt brengt, is fabrikant voor dat product. Het lichtere regime is voor de entiteit die het bovenstroomse project in stand houdt, niet voor de benedenstroomse afnemers ervan.
Een niet-EU-onderneming verkoopt rechtstreeks aan EU-consumenten via onze marktplaats. Wie is verantwoordelijk?
Dat hangt af van de keten. De CRA laat de niet-EU-fabrikant toe om bij schriftelijk mandaat een gemachtigde aan te wijzen, maar de importeursvraag hangt af van wie het product op de EU-markt brengt en welke marktdeelnemer in de EU is gevestigd. Een marktplaats die alleen bemiddelt en niet zelf producten in de handel brengt, is doorgaans niet de importeur; bezit de marktplaats de aanbieding of vervult zij de bestelling vanuit EU-voorraad, dan komt zij op het terrein van de importeur. Toets de werkelijke transactiestroom voordat u beslist.