CRA-nalevingswoordenlijst
Essentiële terminologie voor het begrijpen van de EU Cyber Resilience Act, beveiligingsstandaarden voor de softwaretoeleveringsketen en nalevingsvereisten.
Geen overeenkomende termen gevonden.
A
Aangemelde instantie
Onafhankelijke conformiteitsbeoordelingsinstantie aangewezen door een EU-lidstaat om te beoordelen of producten aan regelgevingseisen voldoen. Vereist voor conformiteitsbeoordeling door derden van Belangrijk product (Klasse I), Belangrijk product (Klasse II) en Kritieke producten onder CRA Annex III en IV.
Artikel 13 - Verplichtingen van fabrikanten
CRA Art. 13 beschrijft de kernverplichtingen van fabrikanten: security by design, SBOM-onderhoud, kwetsbaarheidsbeheer, het leveren van beveiligingsupdates gedurende de gehele productlevenscyclus en het bewaren van technische documentatie gedurende ten minste 10 jaar.
Artikel 14 - Rapportageverplichtingen
CRA Art. 14 vereist dat fabrikanten actief uitgebuite kwetsbaarheden melden aan ENISA binnen 24 uur (vroegtijdige waarschuwing), 72 uur (gedetailleerd rapport) en 14 dagen (eindrapport). Ernstige incidenten volgen hetzelfde patroon maar met een termijn van 30 dagen voor het eindrapport.
B
Belangrijk product (Klasse I) - CRA Bijlage III, deel I
Producten met digitale elementen die een cyberbeveiligingsrelevante functie vervullen of een verhoogd risico dragen. Klasse I omvat identiteitsbeheersystemen, VPN's, netwerkbeheertools, SIEM-systemen, bootmanagers en andere categorieën opgenomen in CRA Annex III Deel I. Fabrikanten moeten ofwel geharmoniseerde normen toepassen die alle essentiële eisen dekken (waardoor zelfbeoordeling mogelijk is), ofwel conformiteitsbeoordeling door derden ondergaan bij een aangemelde instantie.
Belangrijk product (Klasse II) - CRA Bijlage III, deel II
Producten met digitale elementen die kritieke cyberbeveiligingsfuncties vervullen en een aanzienlijk risico dragen. Klasse II omvat besturingssystemen, hypervisors, firewalls, inbraakdetectiesystemen, microcontrollers, industriële automatiseringssystemen en andere categorieën opgenomen in CRA Annex III Deel II. Deze producten vereisen altijd conformiteitsbeoordeling door derden bij een aangemelde instantie, ongeacht of er geharmoniseerde normen bestaan.
Bijlage VII
CRA Annex VII specificeert de minimale inhoud van de EU-conformiteitsverklaring die fabrikanten moeten opstellen voor producten met digitale elementen. Omvat productidentificatie, fabrikantgegevens, toegepaste normen en de handtekening van een gemachtigde vertegenwoordiger.
C
CE-markering
Europees conformiteitsmerk dat naleving van EU-wetgeving aangeeft. Onder de CRA moeten producten met digitale elementen het CE-merkteken dragen om legaal op de EU-markt te worden verkocht. Vereist voltooiing van de conformiteitsbeoordeling en EU-conformiteitsverklaring.
Conformiteitsbeoordeling
Proces dat verifieert of een product voldoet aan de essentiële CRA-cyberbeveiligingseisen. Standaardproducten kunnen zelfbeoordeling (Module A) gebruiken, terwijl Belangrijk product (Klasse I), Belangrijk product (Klasse II) en Kritieke producten beoordeling door derden bij aangemelde instanties vereisen.
CRA - Cyber Resilience Act
EU-verordening 2024/2847 die verplichte cyberbeveiligingseisen vaststelt voor producten met digitale elementen (PDE's) die in de Europese Unie worden verkocht. In werking getreden op 10 december 2024. Hoofdverplichtingen gelden vanaf 11 december 2027. Omvat hardware- en softwareproducten met netwerkconnectiviteit.
CSAF - Common Security Advisory Framework
OASIS-standaard voor machineleesbare beveiligingsadviezen. Maakt geautomatiseerde verwerking van kwetsbaarheidsmeldingen mogelijk. Gebruikt voor gecoördineerde kwetsbaarheidsopenbaarmaking (CVD) en ENISA-rapportage onder CRA-vereisten.
CSIRT - Computer Security Incident Response Teams
Aangewezen cyberbeveiligingsinstanties waaraan fabrikanten actief uitgebuite kwetsbaarheden en significante incidenten moeten melden conform CRA Artikel 14, en die samenwerken met ENISA bij de respons op EU-niveau.
CVD - Gecoördineerde kwetsbaarheidsopenbaarmaking
Proces voor het verantwoord openbaar maken van beveiligingskwetsbaarheden aan leveranciers voorafgaand aan publieke bekendmaking. CRA Art. 13(8) vereist dat fabrikanten CVD-beleid opstellen en publiceren, inclusief contactgegevens voor beveiliging.
CVE - Veelvoorkomende kwetsbaarheden en blootstellingen
Gestandaardiseerde identificatiecode voor publiek bekende cyberbeveiligingskwetsbaarheden (bijv. CVE-2024-12345). Beheerd door MITRE Corporation. Wereldwijd gebruikt voor kwetsbaarheidstracking, openbaarmaking en coördinatie van herstel.
CVSS - Veelgebruikt kwetsbaarheidsbeoordelingssysteem
Industriestandaard voor het beoordelen van de ernst van kwetsbaarheden op een schaal van 0-10. CVSS 4.0 is de nieuwste versie. Biedt basis-, temporele en omgevingsmetrieken. Kritiek (9.0-10.0), Hoog (7.0-8.9), Midden (4.0-6.9), Laag (0.1-3.9).
CycloneDX
OWASP-standaard voor het opstellen van Software Bills of Materials (SBOMs) en gerelateerde artefacten. Ondersteunt SBOM, VEX, HBOM, SaaSBOM en meer. Versie 1.5+ aanbevolen. Door BSI TR-03183 gerefereerd als voorkeursformaat voor CRA-compliance.
D
Distributeur
Elke entiteit in de toeleveringsketen, anders dan de fabrikant of importeur, die een product met digitale elementen beschikbaar stelt op de EU-markt. Distributeurs moeten verifiëren dat het product de CE-markering draagt en vergezeld gaat van de EU-conformiteitsverklaring voordat het beschikbaar wordt gesteld. Als een distributeur het product wijzigt, wordt deze een fabrikant onder de CRA.
E
ENISA - Agentschap van de Europese Unie voor Cyberbeveiliging
EU-agentschap verantwoordelijk voor cyberbeveiligingsbeleid en incidentcoördinatie. Onder de CRA moeten fabrikanten actief uitgebuite kwetsbaarheden binnen 24 uur aan ENISA melden, en ernstige incidenten binnen 72 uur. Meldingsplicht begint op 11 september 2026.
EPSS - Exploit Prediction Scoring System
FIRST.org-model dat de waarschijnlijkheid (0-100%) schat dat een kwetsbaarheid in de praktijk wordt uitgebuit binnen de komende 30 dagen. Gebruikt voor risicogebaseerde kwetsbaarheidsprioritering naast CVSS. Hogere EPSS = hogere prioriteit voor herstel.
EU-conformiteitsverklaring
Formeel document dat verklaart dat een product voldoet aan de toepasselijke EU-wetgeving inclusief de CRA. Moet worden ondertekend door de fabrikant of gemachtigde vertegenwoordiger. Vereist voor CE-markering. Moet verwijzen naar toepasselijke geharmoniseerde normen.
EU-Machinerichtlijn - Verordening (EU) 2023/1230
EU-verordening ter vervanging van de Machinerichtlijn 2006/42/EG, van toepassing vanaf 20 januari 2027. Vereist cyberbeveiligingsbewijzen in het technisch dossier (Bijlage III §1.1.9 — bescherming tegen bederf) voor machines met digitale elementen. Producten met digitale elementen moeten gelijktijdig aan deze verordening en de CRA voldoen.
F
Fabrikant
De entiteit die een product met digitale elementen ontwikkelt of produceert en het op de EU-markt brengt onder eigen naam of handelsmerk. Fabrikanten dragen de primaire CRA-verplichtingen: het uitvoeren van risicobeoordelingen, het bijhouden van SBOMs, het beheren van kwetsbaarheden, het leveren van beveiligingsupdates gedurende ten minste vijf jaar en het melden van uitgebuite kwetsbaarheden aan ENISA.
G
Geharmoniseerde normen
Europese normen die zijn aangenomen door erkende normalisatie-instellingen (CEN, CENELEC, ETSI) en waarnaar wordt verwezen in het Publicatieblad van de EU. Producten die voldoen aan geharmoniseerde normen profiteren van een vermoeden van conformiteit met de overeenkomstige essentiële CRA-eisen, waardoor de conformiteitsbeoordeling wordt vereenvoudigd.
Gemachtigde vertegenwoordiger - Artikel 18
Under Article 18(1) of Regulation (EU) 2024/2847 (the EU Cyber Resilience Act), a manufacturer may, by written mandate, appoint an EU-established legal or natural person as authorised representative. Appointment is optional under the CRA, unlike MDR Article 11 or RED Article 5 which require an authorised representative for non-EU manufacturers. Under Article 18(3), the authorised representative holds the EU Declaration of Conformity and the technical documentation at the disposal of market surveillance authorities for at least 10 years (or the support period, whichever is longer), provides information on reasoned request, and cooperates on actions taken to eliminate risks. Article 18(2) excludes the substantive Article 13 cybersecurity obligations from the mandate. Distinct from the Article 19 importer role. See the Article 18 explainer at /cra-authorised-representative.
H
HBOM - Hardware Bill of Materials
Machineleesbare inventaris van hardwarecomponenten in een product, waaronder processors, geheugen, geïntegreerde schakelingen en firmware. Vult SBOM aan voor volledige producttransparantie. CycloneDX ondersteunt het HBOM-formaat.
I
Importeur
Een in de EU gevestigde entiteit die een product met digitale elementen van een fabrikant buiten de EU op de Europese markt brengt. Importeurs moeten verifiëren dat de fabrikant de conformiteitsbeoordeling heeft uitgevoerd, dat CE-markering is aangebracht en dat technische documentatie beschikbaar is. Zij delen de aansprakelijkheid voor niet-conforme producten.
K
KEV - Bekende uitgebuite kwetsbaarheden
CISA's gezaghebbende catalogus van kwetsbaarheden die actief worden uitgebuit in de praktijk. Hoogste prioriteit voor herstel aangezien het bevestigde reële bedreigingen betreft. Federale instanties moeten KEV-kwetsbaarheden binnen vastgestelde termijnen verhelpen.
Kritiek product (Bijlage IV) - CRA Bijlage IV
Producten met digitale elementen die essentiële cyberbeveiligingsfuncties vervullen voor andere producten, netwerken of diensten. Opgenomen in CRA Annex IV, waaronder hardwarebeveiligingsmodules (HSM's), smartcardlezers, beveiligde elementen en hardwareapparaten met beveiligingsboxen. Kritieke producten vereisen Europese cyberbeveiligingscertificering onder een toepasselijk schema, of, waar geen schema bestaat, conformiteitsbeoordeling door derden bij een aangemelde instantie.
N
NVD - Nationale kwetsbaarheidsdatabase
Amerikaans overheidsrepository voor kwetsbaarheidsgegevens, beheerd door NIST. Gebaseerd op CVE-identificatiecodes. Biedt CVSS-scores, CPE-informatie (getroffen producten), CWE-classificaties en hersteladviezen.
O
OSV.dev - Open Source Kwetsbaarheidsdatabase
Open Source Kwetsbaarheidsdatabase beheerd door Google. Aggregeert beveiligingsadviezen van GitHub (GHSA), Go, Rust, PyPI en 15+ ecosystemen in een enkele bevraagbare API. CRA Evidence gebruikt OSV.dev als secundaire kwetsbaarheidsbron naast NVD om adviezen op te vangen die ecosysteemspecifieke databases volgen voordat ze CVE-IDs ontvangen.
P
PDE - Product met digitale elementen
Elk software- of hardwareproduct met een verbinding (direct of indirect) naar een ander apparaat of netwerk. De kernreikwijdte van de CRA-verordening. Omvat IoT-apparaten, industriële apparatuur, consumentenelektronica en standalone software.
prEN 50742
Europees ontwerp-normconcept voor de veiligheid van machines met betrekking tot bescherming tegen bederf. Biedt technische specificaties voor de implementatie van §1.1.9 van de Machinerichtlijn (EU) 2023/1230. Definieert twee conformiteitspaden: een zelfstandige aanpak en integratie met IEC 62443 voor fabrikanten die al werken binnen dat industriële cyberbeveiligingskader. Na publicatie als geharmoniseerde norm creëert conformiteit een vermoeden van conformiteit met de cyberbeveiligingsvereisten van de Machinerichtlijn. Publicatie verwacht eind 2026.
PURL - Package URL
Gestandaardiseerd formaat voor het identificeren van softwarepakketten over ecosystemen heen (bijv. pkg:npm/lodash@4.17.21). Gebruikt in SBOMs om componenten uniek te identificeren. Maakt geautomatiseerde kwetsbaarheidsmatching en licentienaleving mogelijk.
R
RDPS - Oplossingen voor externe gegevensverwerking
Cloud or SaaS functionality that processes data remotely as part of a product with digital elements. Falls within the product's CRA conformity assessment scope if it meets a three-part test: data is processed 'at a distance', the product would lose a core function without it, and it is designed by or under the responsibility of the manufacturer. Third-party SaaS that does not meet this test must still be treated as a component under Article 13(5) due diligence.
Risicobeoordeling
Systematisch proces van het identificeren, analyseren en evalueren van cyberbeveiligingsrisico's verbonden aan een product met digitale elementen. Vereist door CRA Art. 13(2) en moet worden gedocumenteerd in het technische dossier. Omvat bedreigingen, kwetsbaarheden, potentiële impact en risicobeperkende maatregelen gedurende de gehele productlevenscyclus.
S
SBOM - Software Bill of Materials
Formeel, machineleesbaar overzicht van softwarecomponenten en afhankelijkheden, inclusief versies, licenties en relaties. Vereist door CRA Art. 13(4) voor kwetsbaarheidsbeheer en transparantie in de toeleveringsketen. Kan in CycloneDX- of SPDX-formaat zijn.
SPDX - Software Package Data Exchange
ISO/IEC 5962:2021-standaard voor het communiceren van software bill of materials-informatie. Ontwikkeld door de Linux Foundation. Breed gebruikt voor licentienaleving en kwetsbaarheidstracking. Versie 2.2.1+ aanbevolen voor CRA-naleving.
Standaard product
Producten met digitale elementen die niet vallen onder de categorieën Belangrijk of Kritiek zoals gedefinieerd in CRA Annexen III en IV. Standaardproducten kunnen de conformiteitsbeoordeling ondergaan via interne controle (zelfbeoordeling) door de fabrikant conform CRA Annex VIII, zonder betrokkenheid van derden. Dit dekt het overgrote deel van consumenten- en commerciële software en hardware.
T
Technisch dossier
Compleet documentatiepakket dat CRA-naleving aantoont. Omvat risicobeoordeling, SBOM, beveiligingsontwerpdocumentatie, kwetsbaarheidsbeheerprocedures, testresultaten en EU-conformiteitsverklaring. Moet 10 jaar of de productlevensduur (welke langer is) worden bewaard.
TR-03183
Technische richtlijn van het Duitse BSI (Bundesamt für Sicherheit in der Informationstechnik) met gedetailleerde eisen voor het opstellen en beheren van SBOMs. Breed gerefereerd als best practice voor naleving van CRA Art. 13. Specificeert minimale SBOM-velden, formaten en updatevereisten.
V
VEX - Vulnerability Exploitability eXchange
Document dat de uitbuitbaarheidsstatus van kwetsbaarheden in een specifiek product communiceert. Geeft aan of een CVE uw product treft (getroffen, niet getroffen, opgelost, in onderzoek). Helpt afnemers om alarmmoeheid door foutieve meldingen te verminderen.
VKB - Kwetsbaarheidskennisbank
Een continu bijgewerkte kwetsbaarheidsdatabase die adviezen uit meerdere bronnen aggregeert — zoals NVD/cvelistV5, OSV.dev, GitHub Advisories, CISA KEV en EPSS — in één doorzoekbare kennisbank. In plaats van afhankelijkheden op aanvraag te scannen tegen één bron, onderhoudt een VKB een lokale spiegel van alle bekende kwetsbaarheden en koppelt ze aan softwarecomponenten zodra nieuwe CVE's worden gepubliceerd. Dit verkort de detectietijd van uren of dagen naar minuten, en kruisverwijzing van meerdere bronnen verlaagt het risico op gemiste adviezen.
Klaar om CRA-gereed te worden?
CRA Evidence helpt u bij het beheren van SBOMs, het volgen van kwetsbaarheden en het genereren van auditklare documentatie.