Implementatie en programmaleiderschap

Technische implementatie en programmaleiding voor de EU Cyber Resilience Act.

Zoekt u iemand die uw CRA-programma draagt? Wij leiden het technische werk samen met uw team, met de tools die bij uw stack passen.

Boek een gratis CRA-roadmapcall
Nog niet bekend met de Cyber Resilience Act? Lees onze gratis CRA-compliancegids
Hoe wij werken

Drie situaties, drie trajecten.

Elk traject sluit aan op een concrete situatie: voorbereiden op de meldingsdeadline van 11 september 2026, het sectoroverstijgende CRA-werk uitvoeren dat uw team niet zelf kan dragen, of klaarstaan voor de eerste meldingsplichtige kwetsbaarheid of toezichthoudersbrief.

De scope ligt vast en wordt vooraf afgestemd. De doorlooptijd bespreken we in de roadmapcall, want reële planningen hangen af van het aantal producten en van hoeveel voorbereidend werk al gedaan is.

Kies het traject dat past

CRA Technical Readiness Sprint

Traject met vaste scope
Voor wie dit is

Fabrikanten zonder interne CRA-eigenaar, met één tot drie productlijnen, die zich voorbereiden op de meldingsdeadline van 11 september 2026.

Wat u overhoudt
  • Een schriftelijke CRA-scope-notitie per productlijn, met de verplichtingen van Artikel 13 en de classificatiekeuzes
  • Een geprioriteerde gap-analyse tegen Bijlage I, met een remediatieplan dat uw engineering lead kan uitvoeren
  • Een technisch dossier volgens Bijlage VII, goedgekeurd door uw engineering lead
  • Een operationeel kwetsbaarheidsafhandelingsproces dat uw team doorlopend uitvoert, niet een eenmalige scan
  • Een schriftelijk draaiboek voor kwetsbaarheidsmelding, afgestemd op de termijnen uit Artikel 14
Scope en prijs worden bepaald tijdens de roadmapcall.

CRA Programme Lead

Doorlopend retainer, cadans afgestemd met uw team
Voor wie dit is

Bedrijven waar niemand het sectoroverstijgende CRA-werk draagt en waar de oprichter of CTO het er informeel bij doet.

Wat u overhoudt
  • Technisch eigenaarschap over uw CRA-programma, met een werkritme dat is afgestemd met uw product-, engineering- en securityteams
  • Een levende verplichtingenkalender gekoppeld aan de CRA-deadlines, die actueel blijft naarmate verplichtingen en normen zich ontwikkelen
  • Een technisch dossier dat actueel blijft terwijl uw producten in productie gaan, geen document dat tussen audits verpietert
  • Een operationeel kwetsbaarheidsresponsproces dat uw on-call engineer zonder twijfel kan uitvoeren
  • Periodieke compliance-reviews tegen de verplichtingen van Bijlage I, met vooraf afgestemde escalatiepaden
Scope en prijs worden bepaald tijdens de roadmapcall.

Authority and Incident Response Plan

Opzettraject plus on-call-retainer
Voor wie dit is

Teams wier werkelijke zorg de eerste meldingsplichtige kwetsbaarheid is, of de eerste brief van ENISA of een nationale toezichthouder.

Wat u overhoudt
  • Een schriftelijk incident-responsplaybook dat uw on-call engineer kan uitvoeren binnen de meldingsklok van Artikel 14
  • Sjablonen voor vroegwaarschuwing en incidentmelding, vooraf opgesteld voor elke nationale CSIRT waaraan u moet melden
  • Een on-call-responstijdvenster dat meldingsplichtige incidenten afdekt gedurende de retainerperiode
  • Een draaiboek voor het samenstellen van een compleet bewijspakket wanneer een markttoezichthouder erom vraagt
Scope en prijs worden bepaald tijdens de roadmapcall.

Prijs per traject

Wij publiceren geen prijsranges. De vorm van een CRA-traject hangt af van uw rol onder de verordening, de technische complexiteit van uw producten en hoeveel voorbereidend werk al gedaan is. Een start-up met één complex embedded product is een ander traject dan een fabrikant met een dozijn eenvoudiger SKU's. Het exacte bedrag stemmen wij af in de roadmapcall van 30 minuten, met een uitgewerkt schriftelijk voorstel binnen 48 uur.

Wij werken met uw bestaande tools

Elk traject is tool-onafhankelijk. Wij leiden het technische werk binnen uw stack, of dat nu open source is (CycloneDX, SPDX, Grype, Trivy), commerciële tools die u al afneemt, of interne systemen die uw team heeft gebouwd. Waar het CRA Evidence-platform goed past, bieden wij het aan, maar het is nooit een vereiste en nooit de oplevering. De opleveringen zijn de compliance-uitkomsten.

Waarom dit werkt

Wij hebben CRA Evidence gebouwd op de volledige tekst van Verordening (EU) 2024/2847, Bijlagen I tot en met VIII en de 41 geharmoniseerde normen onder standaardisatieverzoek M/606 van de Commissie. Het platform koppelt elke verplichting aan bewijs, werkstroom en rapportage. Dezelfde koppeling stuurt elk traject.

CRA Evidence is gebouwd door engineers met een achtergrond in infrastructuur en cloudsecurity bij Europese technologiebedrijven. Het platform en elk traject weerspiegelen die operationele achtergrond.

Wij nemen per kwartaal een beperkt aantal nieuwe CRA-programma's aan om de kwaliteit van de oplevering hoog te houden. Elk traject wordt geleid door dezelfde senior mensen die het platform bouwen.

Wat er gebeurt tijdens de call van 30 minuten

Een werkgesprek, geen verkooppraatje. Het gaat op volgorde over drie punten:

1
Uw rol onder de verordening. Fabrikant, importeur en distributeur hebben elk andere verplichtingen. Dit goed vaststellen bepaalt welk traject past.
2
Welk traject past, of alleen het platform de juiste keuze is. Niet elk bedrijf heeft implementatieondersteuning nodig. Past alleen het platform beter, dan zeggen wij dat.
3
Een uitgewerkt voorstel binnen 48 uur. Na de call ontvangt u een schriftelijk voorstel met scope, opleveringen en prijs voor uw specifieke situatie.

Scope en beperkingen

CRA Evidence biedt een complianceplatform en technische implementatiediensten. Wij zijn transparant over wat wij wel en niet zijn.

Wij zijn geen aangemelde instantie. Wij voeren geen conformiteitsbeoordeling uit onder Artikel 32 van Verordening (EU) 2024/2847, en onze diensten vormen geen conformiteitsbeoordeling of certificering van uw producten. Wanneer uw product een conformiteitsbeoordeling door een derde partij vereist, moet u een geaccrediteerde aangemelde instantie inschakelen.

Wij zijn geen advocatenkantoor. Wij geven geen juridisch advies. Voor juridische interpretatie van de regelgeving, juridische opinies over productclassificatie of contractuele compliancevraagstukken werken wij samen met uw juridisch adviseur.

Wij zijn een commerciële leverancier van het CRA Evidence-platform. Onze implementatiediensten staan los van het platform: wij werken met welke tools ook bij uw situatie passen, zoals open source, commerciële software van derden die u al afneemt, en ons eigen platform waar dat het beste past. Zouden uw behoeften beter gediend zijn met tools of diensten buiten ons product, dan zeggen wij dat.

Veelgestelde vragen

Allebei, en ze staan los van elkaar. CRA Evidence is een SaaS-platform voor naleving van de EU Cyber Resilience Act dat u zelfstandig kunt gebruiken, en daarnaast leveren wij praktische implementatiediensten onder leiding van infrastructure engineers. De diensten zijn tool-onafhankelijk: wij werken binnen uw bestaande stack met open source, met commerciële tools die u al gebruikt, of met ons platform als dat het beste past. Er zijn drie trajecten met vaste scope: een Technical Readiness Sprint voor fabrikanten die zich voorbereiden op de meldingsdeadline van 11 september 2026, een Programme Lead-retainer voor doorlopend technisch eigenaarschap van uw CRA-programma, en een Authority and Incident Response Plan voor kwetsbaarheidsmelding en brieven van markttoezichthouders.

Wij publiceren geen prijsranges, want de scope hangt af van te veel reële variabelen: uw rol onder de verordening, de technische complexiteit van elk product, hoeveel producten u op de markt brengt, hoeveel voorbereidend werk intern al is gedaan, en welke tools u al gebruikt. Een start-up met één complex embedded product is een ander traject dan een fabrikant met een dozijn eenvoudiger SKU's. Het exacte bedrag wordt afgestemd in een roadmapcall van 30 minuten, met een uitgewerkt schriftelijk voorstel in uw inbox binnen 48 uur.

Nee, op beide punten niet. CRA Evidence is geen aangemelde instantie. Wij voeren geen conformiteitsbeoordeling uit onder Artikel 32 van Verordening (EU) 2024/2847, en onze diensten vormen geen certificering van uw producten. Wanneer uw product een conformiteitsbeoordeling door een derde partij vereist, moet u een geaccrediteerde aangemelde instantie inschakelen. CRA Evidence is ook geen advocatenkantoor. Voor juridische interpretatie van de regelgeving en juridische adviezen werken wij samen met uw eigen juridisch adviseur.

Big Four-kantoren bieden strategisch en juridisch advies, maar bouwen of beheren zelden de technische systemen die CRA-compliance duurzaam maken. Trajecten van CRA Evidence worden geleid door infrastructure- en cloudsecurity-engineers die samen met uw engineeringteam het technisch dossier opstellen, een kwetsbaarheidsafhandelingsproces opzetten en bewijsgeneratie integreren in uw bestaande pipelines. De opgeleverde resultaten zijn operationeel en draaien binnen uw stack, geen slidedeck.

CTO's, VP's Engineering, product security leads en compliance leads bij EU-fabrikanten, -importeurs of -distributeurs van producten met digitale elementen. De call is het nuttigst wanneer u al weet dat u CRA-verplichtingen hebt, maar niemand in uw team capaciteit heeft om het sectoroverstijgende werk op zich te nemen. Weet u nog niet zeker of de CRA op u van toepassing is, begin dan met de gratis CRA Applicability Check.

De Cyber Resilience Act geldt voor elke fabrikant, importeur of distributeur die producten met digitale elementen op de EU-markt brengt, in iedere sector en bij elke bedrijfsomvang. Onze trajecten zijn het nuttigst wanneer CRA-verplichtingen reëel zijn maar nog geen enkel team intern het sectoroverstijgende werk draagt, of dat nu een start-up van 15 mensen is die een eerste connected product uitbrengt of een grotere fabrikant met tientallen productlijnen. Weet u niet zeker of uw situatie past, boek dan de roadmapcall en wij zeggen u eerlijk wat wij ervan vinden.

Ja. Platform en diensten staan los van elkaar. U kunt het CRA Evidence-platform zelfstandig gebruiken met een gratis proefperiode van 14 dagen en op rol gebaseerde prijzen, zonder ons ooit voor advies in te schakelen. Diensten zijn er voor bedrijven waar intern niemand het sectoroverstijgende CRA-werk draagt, of waar de eerste meldingsplichtige kwetsbaarheid of toezichthoudersbrief een concrete zorg is. En diensten vereisen ook ons platform niet: het traject werkt met welke tools ook bij uw stack passen. Bekijk prijzen voor onze zelfbedieningsplannen.

De Cyber Resilience Act geldt voor elk bedrijf dat producten met digitale elementen op de EU-markt brengt, ongeacht waar het hoofdkantoor staat. Onze dienstverlening wordt op dit moment in het Engels geleverd aan bedrijven binnen de Europese Unie. Fabrikanten, importeurs en distributeurs van buiten de EU met EU-marktblootstelling zijn welkom om een roadmapcall te boeken om te bespreken of wij passen.

11 september 2026 is de datum vanaf wanneer de meldplichten voor kwetsbaarheden en incidenten onder Artikel 14 van Verordening (EU) 2024/2847 van toepassing worden. Fabrikanten moeten actief misbruikte kwetsbaarheden en ernstige incidenten binnen 24 uur kunnen melden bij ENISA en de relevante nationale CSIRT, met een vervolgmelding na 72 uur en een eindrapport na 14 dagen. De volledige CRA wordt van toepassing op 11 december 2027. Bekijk onze CRA-compliancegids voor de volledige tijdlijn.
Volgende stap

Past uw situatie bij een van de drie trajecten, of weet u niet zeker waar die past, laat het ons weten en we reageren binnen 48 uur.

U ontvangt een uitgewerkt schriftelijk voorstel in uw inbox, zonder druk om door te gaan.

Neem contact op

Liever direct een slot boeken? Boek een roadmapcall van 30 minuten.