CRA-nalevingswoordenlijst
Essentiële terminologie voor het begrijpen van de EU Verordening cyberweerbaarheid, beveiligingsstandaarden voor de softwaretoeleveringsketen en nalevingsvereisten.
Geen overeenkomende termen gevonden.
A
Aangemelde instantie
Onafhankelijke conformiteitsbeoordelingsinstantie die door een EU-lidstaat is aangewezen om te beoordelen of producten voldoen aan de CRA-regelgevingsvereisten.
Artikel 13 - Verplichtingen van fabrikanten
CRA Art. 13 beschrijft de kernverplichtingen van fabrikanten: security by design, SBOM-onderhoud, kwetsbaarheidsbeheer, het leveren van beveiligingsupdates gedurende de gehele productlevenscyclus en het bewaren van technische documentatie gedurende ten minste 10 jaar.
Artikel 14 - Rapportageverplichtingen
CRA Art. 14 vereist dat fabrikanten actief uitgebuite kwetsbaarheden melden aan ENISA binnen 24 uur (vroegtijdige waarschuwing), 72 uur (gedetailleerd rapport) en 14 dagen (eindrapport). Ernstige incidenten volgen hetzelfde patroon maar met een termijn van 30 dagen voor het eindrapport.
B
Belangrijk product (Klasse I) - CRA Bijlage III, deel I
Producten met digitale elementen die een cyberbeveiligingsrelevante functie vervullen of een verhoogd risico dragen. Klasse I omvat identiteitsbeheersystemen, VPN's, netwerkbeheertools, SIEM-systemen, bootmanagers en andere categorieën opgenomen in CRA Annex III Deel I. Fabrikanten moeten ofwel geharmoniseerde normen toepassen die alle essentiële eisen dekken (waardoor zelfbeoordeling mogelijk is), ofwel conformiteitsbeoordeling door derden ondergaan bij een aangemelde instantie.
Belangrijk product (Klasse II) - CRA Bijlage III, deel II
Producten met digitale elementen die kritieke cyberbeveiligingsfuncties vervullen en een aanzienlijk risico dragen. Klasse II omvat besturingssystemen, hypervisors, firewalls, inbraakdetectiesystemen, microcontrollers, industriële automatiseringssystemen en andere categorieën opgenomen in CRA Annex III Deel II. Deze producten vereisen altijd conformiteitsbeoordeling door derden bij een aangemelde instantie, ongeacht of er geharmoniseerde normen bestaan.
Bijlage VII
CRA Annex VII specificeert de minimale inhoud van de EU-conformiteitsverklaring die fabrikanten moeten opstellen voor producten met digitale elementen. Omvat productidentificatie, fabrikantgegevens, toegepaste normen en de handtekening van een gemachtigde vertegenwoordiger.
C
CE-markering
Europees conformiteitsmerk dat naleving van EU-wetgeving aangeeft. Onder de CRA moeten producten met digitale elementen het CE-merkteken dragen om legaal op de EU-markt te worden verkocht. Vereist voltooiing van de conformiteitsbeoordeling en EU-conformiteitsverklaring.
Conformiteitsbeoordeling
Proces dat verifieert of een product voldoet aan de essentiële cyberbeveiligingseisen van de CRA. Standaardproducten voeren een zelfbeoordeling uit (Module A). Belangrijke producten van Klasse I kunnen zichzelf ook beoordelen wanneer geharmoniseerde normen, gemeenschappelijke specificaties of een cyberbeveiligingscertificeringsschema volledig worden toegepast; anders is een beoordeling door derden vereist. Producten van Klasse II en kritieke producten vereisen een beoordeling door derden (Module B+C of Module H) of een Europees cyberbeveiligingscertificeringsschema.
CRA - Verordening cyberweerbaarheid
EU-verordening 2024/2847 die verplichte cyberbeveiligingseisen vaststelt voor producten met digitale elementen (PDE's) die in de Europese Unie worden verkocht. In werking getreden op 10 december 2024. Hoofdverplichtingen gelden vanaf 11 december 2027. Omvat hardware- en softwareproducten met netwerkconnectiviteit.
CSAF - Common Security Advisory Framework
OASIS-standaard voor machineleesbare beveiligingsadviezen. Maakt geautomatiseerde verwerking van kwetsbaarheidsmeldingen mogelijk. Gebruikt voor gecoördineerde kwetsbaarheidsopenbaarmaking (CVD) en ENISA-rapportage onder CRA-vereisten.
CSIRT - Computer Security Incident Response Teams
Aangewezen cyberbeveiligingsinstanties waaraan fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten moeten melden op grond van artikel 14 van de CRA, en die met ENISA de respons op kwetsbaarheden op EU-niveau coördineren.
CVD - Gecoördineerde kwetsbaarheidsopenbaarmaking
Proces voor het verantwoord openbaar maken van beveiligingskwetsbaarheden aan leveranciers voorafgaand aan publieke bekendmaking. CRA Art. 13(8) vereist dat fabrikanten CVD-beleid opstellen en publiceren, inclusief contactgegevens voor beveiliging.
CVE - Veelvoorkomende kwetsbaarheden en blootstellingen
Gestandaardiseerde identificatiecode voor publiek bekende cyberbeveiligingskwetsbaarheden (bijv. CVE-2024-12345). Beheerd door MITRE Corporation. Wereldwijd gebruikt voor kwetsbaarheidstracking, openbaarmaking en coördinatie van herstel.
CVSS - Veelgebruikt kwetsbaarheidsbeoordelingssysteem
Industriestandaard voor het beoordelen van de ernst van kwetsbaarheden op een schaal van 0-10. CVSS 4.0 is de nieuwste versie. Biedt basis-, temporele en omgevingsmetrieken. Kritiek (9.0-10.0), Hoog (7.0-8.9), Midden (4.0-6.9), Laag (0.1-3.9).
CycloneDX
OWASP-standaard voor het opstellen van Software Bills of Materials (SBOMs) en gerelateerde artefacten. Ondersteunt SBOM, VEX, HBOM, SaaSBOM en meer. Versie 1.5+ aanbevolen. Door BSI TR-03183 gerefereerd als voorkeursformaat voor CRA-compliance.
D
Distributeur
Elke entiteit in de toeleveringsketen, anders dan de fabrikant of importeur, die een product met digitale elementen beschikbaar stelt op de EU-markt. Distributeurs moeten verifiëren dat het product de CE-markering draagt en vergezeld gaat van de EU-conformiteitsverklaring voordat het beschikbaar wordt gesteld. Als een distributeur het product wijzigt, wordt deze een fabrikant onder de CRA.
E
ENISA - Agentschap van de Europese Unie voor Cyberbeveiliging
EU-agentschap dat verantwoordelijk is voor cyberbeveiligingsbeleid en incidentcoördinatie. Op grond van artikel 14 van de CRA melden fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten via één meldplatform aan ENISA en het coördinerende CSIRT, met een vroegtijdige waarschuwing binnen 24 uur en een vervolgmelding binnen 72 uur. De meldplicht gaat in op 11 september 2026.
EPSS - Exploit Prediction Scoring System
FIRST.org-model dat de waarschijnlijkheid (0-100%) schat dat een kwetsbaarheid in de praktijk wordt uitgebuit binnen de komende 30 dagen. Gebruikt voor risicogebaseerde kwetsbaarheidsprioritering naast CVSS. Hogere EPSS = hogere prioriteit voor herstel.
EU-conformiteitsverklaring
Formeel document dat verklaart dat een product voldoet aan de toepasselijke EU-wetgeving inclusief de CRA. Moet worden ondertekend door de fabrikant of gemachtigde vertegenwoordiger. Vereist voor CE-markering. Moet verwijzen naar toepasselijke geharmoniseerde normen.
EU-Machinerichtlijn - Verordening (EU) 2023/1230
EU-verordening ter vervanging van de Machinerichtlijn 2006/42/EG, van toepassing vanaf 20 januari 2027. Vereist cyberbeveiligingsbewijzen in het technisch dossier (Bijlage III §1.1.9 — bescherming tegen bederf) voor machines met digitale elementen. Producten met digitale elementen moeten gelijktijdig aan deze verordening en de CRA voldoen.
F
Fabrikant
De entiteit die een product met digitale elementen ontwikkelt of produceert en het op de EU-markt brengt onder eigen naam of handelsmerk. Fabrikanten dragen de primaire CRA-verplichtingen: het uitvoeren van risicobeoordelingen, het bijhouden van SBOMs, het beheren van kwetsbaarheden, het leveren van beveiligingsupdates gedurende ten minste vijf jaar en het melden van uitgebuite kwetsbaarheden aan ENISA.
G
Geharmoniseerde normen
Europese normen die zijn aangenomen door erkende normalisatie-instellingen (CEN, CENELEC, ETSI) en waarnaar wordt verwezen in het Publicatieblad van de EU. Producten die voldoen aan geharmoniseerde normen profiteren van een vermoeden van conformiteit met de overeenkomstige essentiële CRA-eisen, waardoor de conformiteitsbeoordeling wordt vereenvoudigd.
Gemachtigde vertegenwoordiger - Artikel 18
Op grond van artikel 18, lid 1, van Verordening (EU) 2024/2847 (de Verordening cyberweerbaarheid) kan een fabrikant door middel van een schriftelijk mandaat een in de Unie gevestigde natuurlijke of rechtspersoon aanwijzen als gemachtigde vertegenwoordiger. De aanwijzing is facultatief onder de Verordening cyberweerbaarheid, anders dan artikel 11 MDR of artikel 5 RED, die een gemachtigde vertegenwoordiger voorschrijven voor fabrikanten van buiten de Unie. Op grond van artikel 18, lid 3, houdt de gemachtigde vertegenwoordiger de EU-conformiteitsverklaring en de technische documentatie ter beschikking van markttoezichtautoriteiten gedurende ten minste tien jaar (of de ondersteuningsperiode indien die langer is), verstrekt informatie na een met redenen omkleed verzoek en verleent medewerking aan maatregelen om risico's weg te nemen. Artikel 18, lid 2, sluit de inhoudelijke cyberbeveiligingsverplichtingen uit artikel 13 uit van het mandaat. Onderscheiden van de rol van de importeur uit artikel 19. Zie het overzicht van artikel 18 op /nl/gemachtigde-vertegenwoordiger-cra.
H
HBOM - Hardware Bill of Materials
Machineleesbare inventaris van hardwarecomponenten in een product, waaronder processors, geheugen, geïntegreerde schakelingen en firmware. Vult SBOM aan voor volledige producttransparantie. CycloneDX ondersteunt het HBOM-formaat.
I
Importeur
Een in de EU gevestigde entiteit die een product met digitale elementen van een fabrikant buiten de EU op de Europese markt brengt. Importeurs moeten verifiëren dat de fabrikant de conformiteitsbeoordeling heeft uitgevoerd, dat CE-markering is aangebracht en dat technische documentatie beschikbaar is. Zij delen de aansprakelijkheid voor niet-conforme producten.
K
KEV - Bekende uitgebuite kwetsbaarheden
CISA's gezaghebbende catalogus van kwetsbaarheden die actief worden uitgebuit in de praktijk. Hoogste prioriteit voor herstel aangezien het bevestigde reële bedreigingen betreft. Federale instanties moeten KEV-kwetsbaarheden binnen vastgestelde termijnen verhelpen.
Kritiek product (Bijlage IV) - CRA Bijlage IV
Producten met digitale elementen die essentiële cyberbeveiligingsfuncties vervullen voor andere producten, netwerken of diensten. Opgenomen in CRA Annex IV, waaronder hardwarebeveiligingsmodules (HSM's), smartcardlezers, beveiligde elementen en hardwareapparaten met beveiligingsboxen. Kritieke producten vereisen Europese cyberbeveiligingscertificering onder een toepasselijk schema, of, waar geen schema bestaat, conformiteitsbeoordeling door derden bij een aangemelde instantie.
N
NVD - Nationale kwetsbaarheidsdatabase
Amerikaans overheidsrepository voor kwetsbaarheidsgegevens, beheerd door NIST. Gebaseerd op CVE-identificatiecodes. Biedt CVSS-scores, CPE-informatie (getroffen producten), CWE-classificaties en hersteladviezen.
O
OSV.dev - Open Source Kwetsbaarheidsdatabase
Open Source Kwetsbaarheidsdatabase beheerd door Google. Aggregeert beveiligingsadviezen van GitHub (GHSA), Go, Rust, PyPI en 15+ ecosystemen in een enkele bevraagbare API. CRA Evidence gebruikt OSV.dev als secundaire kwetsbaarheidsbron naast NVD om adviezen op te vangen die ecosysteemspecifieke databases volgen voordat ze CVE-IDs ontvangen.
P
PDE - Product met digitale elementen
Een product met digitale elementen is hardware of software die op de EU-markt wordt aangeboden en waarvan het beoogde of redelijkerwijs te verwachten gebruik een directe of indirecte gegevensverbinding met een ander apparaat of netwerk omvat. De juridische definitie staat in artikel 3, punt 1, van de CRA. De CRA onderscheidt vier vormen: softwareproducten (artikel 3, punt 4), hardwareproducten (artikel 3, punt 5), afzonderlijk in de handel gebrachte componenten (artikel 3, punt 6, met inbegrip van firmware en SDK's) en door de fabrikant geleverde oplossingen voor gegevensverwerking op afstand (artikel 3, punt 2, cloud- of externe diensten die nodig zijn om het product zijn functies te laten vervullen). Een zuivere cloud-SaaS zonder installeerbare client valt doorgaans buiten de CRA; een hybride product waarbij de clouddienst van de fabrikant nodig is om het product te laten functioneren, valt via artikel 3, punt 2, binnen de reikwijdte. De beslissende toets is de gegevensverbinding, en artikel 3, punten 8, 9 en 10, onderscheidt logische, fysieke en indirecte verbindingen.
prEN 50742
Europees ontwerp-normconcept voor de veiligheid van machines met betrekking tot bescherming tegen bederf. Biedt technische specificaties voor de implementatie van §1.1.9 van de Machinerichtlijn (EU) 2023/1230. Definieert twee conformiteitspaden: een zelfstandige aanpak en integratie met IEC 62443 voor fabrikanten die al werken binnen dat industriële cyberbeveiligingskader. Na publicatie als geharmoniseerde norm creëert conformiteit een vermoeden van conformiteit met de cyberbeveiligingsvereisten van de Machinerichtlijn. Publicatie verwacht eind 2026.
PURL - Package URL
Gestandaardiseerd formaat voor het identificeren van softwarepakketten over ecosystemen heen (bijv. pkg:npm/lodash@4.17.21). Gebruikt in SBOMs om componenten uniek te identificeren. Maakt geautomatiseerde kwetsbaarheidsmatching en licentienaleving mogelijk.
R
RDPS - Oplossingen voor externe gegevensverwerking
Cloud- of SaaS-functionaliteit die gegevens op afstand verwerkt als onderdeel van een product met digitale elementen. Valt binnen de reikwijdte van de CRA-conformiteitsbeoordeling van het product als het voldoet aan een test in drie delen: gegevens worden 'op afstand' verwerkt, het product zou zonder deze functionaliteit een kernfunctie verliezen, en ze is ontworpen door of onder verantwoordelijkheid van de fabrikant. SaaS van derden die niet aan deze test voldoet, moet alsnog als component worden behandeld op grond van de zorgvuldigheidsplicht van artikel 13, lid 5.
Risicobeoordeling
Systematisch proces van het identificeren, analyseren en evalueren van cyberbeveiligingsrisico's verbonden aan een product met digitale elementen. Vereist door CRA Art. 13(2) en moet worden gedocumenteerd in het technische dossier. Omvat bedreigingen, kwetsbaarheden, potentiële impact en risicobeperkende maatregelen gedurende de gehele productlevenscyclus.
S
SBOM - Software Bill of Materials
Formeel, machineleesbaar overzicht van softwarecomponenten en afhankelijkheden, inclusief versies, licenties en relaties. Vereist door CRA Art. 13(4) voor kwetsbaarheidsbeheer en transparantie in de toeleveringsketen. Kan in CycloneDX- of SPDX-formaat zijn.
SCA - Analyse van softwaresamenstelling
Analyse van softwaresamenstelling (SCA) identificeert open-source en externe componenten, versies, licenties en bekende kwetsbaarheden in een softwareproduct. Het wordt vaak gebruikt om SBOM's te genereren, actueel te houden over releases heen en kwetsbaarheidsmonitoring onder CRA Artikel 13 te voeden.
SPDX - Software Package Data Exchange
ISO/IEC 5962:2021-standaard voor het communiceren van software bill of materials-informatie. Ontwikkeld door de Linux Foundation. Breed gebruikt voor licentienaleving en kwetsbaarheidstracking. Versie 2.2.1+ aanbevolen voor CRA-naleving.
Standaard product
Producten met digitale elementen die niet vallen onder de categorieën Belangrijk of Kritiek zoals gedefinieerd in CRA Annexen III en IV. Standaardproducten kunnen de conformiteitsbeoordeling ondergaan via interne controle (zelfbeoordeling) door de fabrikant conform CRA Annex VIII, zonder betrokkenheid van derden. Dit dekt het overgrote deel van consumenten- en commerciële software en hardware.
T
Technisch dossier
Compleet documentatiepakket dat CRA-naleving aantoont. Omvat risicobeoordeling, SBOM, beveiligingsontwerpdocumentatie, kwetsbaarheidsbeheerprocedures, testresultaten en EU-conformiteitsverklaring. Moet 10 jaar of de productlevensduur (welke langer is) worden bewaard.
TR-03183
Technische richtlijn van het Duitse BSI (Bundesamt für Sicherheit in der Informationstechnik) met gedetailleerde eisen voor het opstellen en beheren van SBOMs. Breed gerefereerd als best practice voor naleving van CRA Art. 13. Specificeert minimale SBOM-velden, formaten en updatevereisten.
V
VEX - Vulnerability Exploitability eXchange
Document dat de uitbuitbaarheidsstatus van kwetsbaarheden in een specifiek product communiceert. Geeft aan of een CVE uw product treft (getroffen, niet getroffen, opgelost, in onderzoek). Helpt afnemers om alarmmoeheid door foutieve meldingen te verminderen.
VKB - Kwetsbaarheidskennisbank
Een continu bijgewerkte kwetsbaarheidsdatabase die adviezen uit meerdere bronnen aggregeert — zoals NVD/cvelistV5, OSV.dev, GitHub Advisories, CISA KEV en EPSS — in één doorzoekbare kennisbank. In plaats van afhankelijkheden op aanvraag te scannen tegen één bron, onderhoudt een VKB een lokale spiegel van alle bekende kwetsbaarheden en koppelt ze aan softwarecomponenten zodra nieuwe CVE's worden gepubliceerd. Dit verkort de detectietijd van uren of dagen naar minuten, en kruisverwijzing van meerdere bronnen verlaagt het risico op gemiste adviezen.
Klaar om CRA-gereed te worden?
CRA Evidence helpt u bij het beheren van SBOMs, het volgen van kwetsbaarheden en het genereren van auditklare documentatie.