Technische implementatie en programmaleiding voor de EU Cyber Resilience Act

Zoekt u iemand die uw CRA-programma draagt? Wij leiden het technische werk samen met uw team, met de tools die bij uw stack passen.

CRA-meldplichten beginnen op 11 september 2026. Plan uw programma nu.

Boek een gratis CRA-roadmapcall
Nog niet bekend met de Verordening cyberweerbaarheid? Lees onze gratis CRA-compliancegids
Hoe wij werken

Drie veelvoorkomende startpunten. Elke opdracht stemmen we af op uw situatie.

Dit zijn de drie situaties die we het vaakst zien: voorbereiden op de meldingsdeadline van 11 september 2026, het cross-functionele CRA-werk overnemen dat uw team niet de capaciteit heeft om te dragen, of u klaarmaken voor de eerste meldingsplichtige kwetsbaarheid of de eerste brief van een autoriteit. De meeste opdrachten zijn een mix, en veel lijken in niets op deze lijst. Wij stemmen af op de situatie waarin u zich werkelijk bevindt.

De scope ligt vast en wordt vooraf afgestemd. De doorlooptijd bespreken we in de roadmapcall, want reële planningen hangen af van het aantal producten en van hoeveel voorbereidend werk al gedaan is.

Waar teams meestal beginnen

Sprint voor technische CRA-gereedheid

Voor wie dit is

Fabrikanten zonder interne CRA-eigenaar, met één tot drie productlijnen, die vanaf 11 september 2026 klaar moeten zijn voor meldingen op grond van Artikel 14 en tegelijk het technisch dossier en de controles uit Bijlage I opbouwen die nodig zijn voor volledige CRA-toepassing op 11 december 2027.

Wat u ontvangt
  • Een schriftelijke CRA-scope-notitie per productlijn, met de verplichtingen van Artikel 13 en de classificatiekeuzes
  • Een geprioriteerde gap-analyse tegen Bijlage I, met een remediatieplan dat uw engineering lead kan uitvoeren
  • CRA technische documentatie afgestemd op Bijlage VII, ondertekend door uw engineering-lead
  • Een operationeel kwetsbaarheidsafhandelingsproces dat uw team doorlopend uitvoert, niet een eenmalige scan
  • Een schriftelijk draaiboek voor kwetsbaarheidsmelding, afgestemd op de termijnen uit Artikel 14

CRA-programmaleiding

Voor wie dit is

Bedrijven waar niemand het sectoroverstijgende CRA-werk draagt en waar de oprichter of CTO het er informeel bij doet.

Waarvoor wij eigenaarschap nemen
  • Eigenaarschap over het CRA-programma, waarbij CRA Evidence het werk van product, engineering, security en directie coördineert
  • Implementatieondersteuning voor technische beheersmaatregelen, bewijsleemtes en dekkingsvragen die voortgang blokkeren
  • Een levende verplichtingenkalender gekoppeld aan CRA-deadlines, productreleases, normen en openstaande verantwoordelijkheden
  • Een technisch dossier dat wij actueel houden terwijl uw producten worden uitgebracht, zodat bewijs niet veroudert tussen audits
  • Operationeel eigenaarschap over kwetsbaarheidsrespons, met reviews tegen de verplichtingen van Bijlage I en afgestemde escalatiepaden

Plan voor autoriteiten en incidentrespons

Voor wie dit is

Teams wier werkelijke zorg de eerste meldingsplichtige kwetsbaarheid is, of de eerste brief van ENISA of een nationale toezichthouder.

Wat wordt gedekt
  • Een schriftelijk incident-responsplaybook dat uw on-call engineer kan uitvoeren binnen de meldingsklok van Artikel 14
  • Sjablonen voor vroegwaarschuwing en incidentmelding, vooraf opgesteld voor elke nationale CSIRT waaraan u moet melden
  • Een on-call-responstijdvenster dat meldingsplichtige incidenten afdekt gedurende de retainerperiode
  • Een draaiboek voor het samenstellen van een compleet bewijspakket wanneer een markttoezichthouder erom vraagt
Staat het er niet bij?

Ziet uw situatie er anders uit?

Veel teams passen niet netjes in een van de drie, en dat is prima. De meeste opdrachten worden uiteindelijk een mix, en sommige zijn iets heel anders. Vertel ons waar u echt mee te maken hebt, dan stemmen we een opdracht daarop af. In het roadmapgesprek bepalen we de juiste vorm, of self-service de betere keuze is.

Boek een gratis CRA-roadmapcall →

Prijs per traject

Wij publiceren geen prijsranges. De vorm van een CRA-traject hangt af van uw rol onder de verordening, de technische complexiteit van uw producten en hoeveel voorbereidend werk al gedaan is. Een start-up met één complex embedded product is een ander traject dan een fabrikant met een dozijn eenvoudiger SKU's. Het exacte bedrag stemmen wij af in de roadmapcall van 30 minuten, met een uitgewerkt schriftelijk voorstel binnen 48 uur.

Wij werken met uw bestaande tools

Elk traject is tool-onafhankelijk. Wij leiden het technische werk binnen uw stack, of dat nu open source is (CycloneDX, SPDX, Grype, Trivy), commerciële tools die u al afneemt, of interne systemen die uw team heeft gebouwd. Waar het CRA Evidence-platform goed past, bieden wij het aan, maar het is nooit een vereiste en nooit de oplevering. De opleveringen zijn de compliance-uitkomsten.

Waarom dit werkt

Wij hebben CRA Evidence gebouwd op de volledige tekst van Verordening (EU) 2024/2847, Bijlagen I tot en met VIII en de 41 geharmoniseerde normen onder standaardisatieverzoek M/606 van de Commissie. Het platform koppelt elke verplichting aan bewijs, werkstroom en rapportage. Dezelfde koppeling stuurt elk traject.

CRA Evidence is gebouwd door engineers die bij Europese technologiebedrijven producten hebben verzonden, kwetsbaarheidsprogramma's hebben gerund en technische bewijzen hebben onderhouden. Het platform en elke opdracht weerspiegelen die operationele achtergrond.

Wij nemen per kwartaal een beperkt aantal nieuwe CRA-programma's aan om de kwaliteit van de oplevering hoog te houden. Elk traject wordt geleid door dezelfde senior mensen die het platform bouwen.

Wat er gebeurt tijdens de call van 30 minuten

Een werkgesprek, geen verkooppraatje. Het gaat op volgorde over drie punten:

1
Uw rol onder de verordening. Verplichtingen voor fabrikanten en importeurs verschillen. Zuivere distributeurssituaties worden meestal beter geholpen met zelfbedieningsadvies, en dit goed vaststellen bepaalt welk traject past.
2
Welk traject past, of alleen het platform de juiste keuze is. Niet elk bedrijf heeft implementatieondersteuning nodig. Past alleen het platform beter, dan zeggen wij dat.
3
Een uitgewerkt voorstel binnen 48 uur. Na de call ontvangt u een schriftelijk voorstel met scope, opleveringen en prijs voor uw specifieke situatie.

Scope en beperkingen

CRA Evidence biedt een complianceplatform en technische implementatiediensten. Wij zijn transparant over wat wij wel en niet zijn.

Wij zijn geen aangemelde instantie. Wij voeren geen conformiteitsbeoordeling uit onder Artikel 32 van Verordening (EU) 2024/2847, en onze diensten vormen geen conformiteitsbeoordeling of certificering van uw producten. Wanneer uw product een conformiteitsbeoordeling door een derde partij vereist, moet u een geaccrediteerde aangemelde instantie inschakelen.

Wij zijn geen advocatenkantoor. Wij geven geen juridisch advies. Voor juridische interpretatie van de regelgeving, juridische opinies over productclassificatie of contractuele compliancevraagstukken werken wij samen met uw juridisch adviseur.

Wij zijn een commerciële leverancier van het CRA Evidence-platform. Onze implementatiediensten staan los van het platform: wij werken met welke tools ook bij uw situatie passen, zoals open source, commerciële software van derden die u al afneemt, en ons eigen platform waar dat het beste past. Zouden uw behoeften beter gediend zijn met tools of diensten buiten ons product, dan zeggen wij dat.

Veelgestelde vragen

Allebei, en ze staan los van elkaar. CRA Evidence is een SaaS-platform voor naleving van de EU Verordening cyberweerbaarheid dat u zelfstandig kunt gebruiken, en daarnaast leveren wij praktische implementatiediensten onder leiding van infrastructure engineers. De diensten zijn tool-onafhankelijk: wij werken binnen uw bestaande stack met open source, met commerciële tools die u al gebruikt, of met ons platform als dat het beste past. Drie opdrachten dekken de meest voorkomende situaties: een Sprint voor technische gereedheid voor fabrikanten die zich voorbereiden op de meldingsdeadline van 11 september 2026, een Programmaleiding-retainer voor doorlopend technisch eigenaarschap van uw CRA-programma, en een Plan voor autoriteiten en incidentrespons voor kwetsbaarheidsmelding en brieven van markttoezichthouders. De meeste opdrachten zijn een mix hiervan, en als uw situatie bij geen enkele past, stemmen we een opdracht op maat af.

Wij publiceren geen prijsranges, want de scope hangt af van te veel reële variabelen: uw rol onder de verordening, de technische complexiteit van elk product, hoeveel producten u op de markt brengt, hoeveel voorbereidend werk intern al is gedaan, en welke tools u al gebruikt. Een start-up met één complex embedded product is een ander traject dan een fabrikant met een dozijn eenvoudiger SKU's. Het exacte bedrag wordt afgestemd in een roadmapcall van 30 minuten, met een uitgewerkt schriftelijk voorstel in uw inbox binnen 48 uur.

Nee, op beide punten niet. CRA Evidence is geen aangemelde instantie. Wij voeren geen conformiteitsbeoordeling uit onder Artikel 32 van Verordening (EU) 2024/2847, en onze diensten vormen geen certificering van uw producten. Wanneer uw product een conformiteitsbeoordeling door een derde partij vereist, moet u een geaccrediteerde aangemelde instantie inschakelen. CRA Evidence is ook geen advocatenkantoor. Voor juridische interpretatie van de regelgeving en juridische adviezen werken wij samen met uw eigen juridisch adviseur.

Big Four-firma's leveren strategisch en juridisch advies, maar bouwen of beheren zelden de technische systemen die CRA-compliance duurzaam maken. CRA Evidence-opdrachten worden geleid door engineers die naast uw team werken om het technische dossier te schrijven, een kwetsbaarheidsproces op te zetten en bewijsgeneratie te integreren in uw bestaande pipelines. De resultaten zijn operationeel, draaien in uw stack, geen slidedeck.

CTO's, VP's Engineering, product security leads en compliance leads bij fabrikanten of importeurs die producten met digitale elementen op de EU-markt brengen. De call is het nuttigst wanneer u al weet dat u CRA-verplichtingen hebt, maar niemand in uw team capaciteit heeft om het sectoroverstijgende werk op zich te nemen. Weet u nog niet zeker of de CRA op u van toepassing is, begin dan met de gratis CRA Applicability Check.

Elke branche, elke grootte. De CRA geldt over de hele linie, of u nu een startup van 15 mensen bent die zijn eerste connected product verstuurt of een fabrikant met tientallen productlijnen. Engagements zijn het meest nuttig wanneer CRA-verplichtingen reëel zijn maar er intern nog geen enkel team het cross-functionele werk bezit.

Ja. Platform en diensten staan los van elkaar. U kunt het CRA Evidence-platform zelfstandig gebruiken met een gratis proefperiode van 14 dagen en op rol gebaseerde prijzen, zonder ons ooit voor advies in te schakelen. Diensten zijn er voor bedrijven waar intern niemand het sectoroverstijgende CRA-werk draagt, of waar de eerste meldingsplichtige kwetsbaarheid of toezichthoudersbrief een concrete zorg is. En diensten vereisen ook ons platform niet: het traject werkt met welke tools ook bij uw stack passen. Bekijk prijzen voor onze zelfbedieningsplannen.

Ja. De Verordening cyberweerbaarheid geldt voor elk bedrijf dat producten met digitale elementen op de EU-markt plaatst, ongeacht de vestigingsplaats van het bedrijf. Als u producten naar de EU verzendt, valt u onder de regelgeving en kunnen wij helpen. Opdrachten worden in het Engels geleverd.

11 september 2026 is de datum vanaf wanneer de meldplichten voor kwetsbaarheden en incidenten onder Artikel 14 van Verordening (EU) 2024/2847 van toepassing worden. Fabrikanten moeten actief misbruikte kwetsbaarheden en ernstige incidenten binnen 24 uur kunnen melden bij ENISA en de relevante nationale CSIRT, met een vervolgmelding na 72 uur en een eindrapport na 14 dagen voor kwetsbaarheden of binnen één maand voor ernstige incidenten. De volledige CRA wordt van toepassing op 11 december 2027. Bekijk onze CRA-compliancegids voor de volledige tijdlijn.
Volgende stap

Past een van deze trajecten, vertel ons dan welke. Is uw CRA-implementatiebehoefte anders, vertel ons dan waar u hulp bij nodig heeft.

U ontvangt een uitgewerkt schriftelijk voorstel in uw inbox, zonder druk om door te gaan.

Neem contact op

Liever direct een slot boeken? Boek een roadmapcall van 30 minuten.