CRA för holländska tillverkare: NCSC, RDI och Rotterdam

Landöversikt för holländska tillverkare under CRA: NCSC-rapportering, planerad RDI-marknadskontroll, RvA-ackreditering, Warenwet-språkkrav, Rotterdam.

CRA Evidence Team Publicerad 5 januari 2026 Uppdaterad 11 juni 2026
CRA-landöversikt för holländska tillverkare med ett fraktetikett som visar ursprungslabel med NON-EU MFR överkorsad och NL ENTITY rebrand-etikett nedanför: ett illustrerat varumärkesöverföringsbrygga för Rotterdam-importörer
I denna artikel

Holländska tillverkare har samma skyldigheter under cyberresiliensförordningen som alla andra EU-tillverkare, men med ett nationellt särdrag som de flesta andra medlemsstater inte bär i samma skala: en stor del av landets produkttrafik är varor från länder utanför EU som landar i Rotterdam, märks om av en holländsk enhet och skickas vidare till resten av EU. Det innebär att en holländsk enhet hamnar i tillverkarrollen oftare än det registrerade sätet antyder. Den här sidan är en landöversikt för Nederländerna: hur sårbarhetrapporter routas genom det sammanslagna NCSC, var RDI sitter som anmälnings- och marknadskontrollmyndighet, hur RvA passar in på ackrediteringssidan, vad de holländska språkskyldigheterna kräver, hur Rotterdam-rebrand-bryggan svänger tillverkarlinjen och vilka finansieringsprogram som är realistiska under 2026. För det fullständiga skyldighetsutbudet, se klusterguiden för tillverkare och klusterguiden för importörer.

Sammanfattning

  • Cyberresiliensförordningen är en EU-förordning med direkt effekt. Materiella skyldigheter gäller från 11 december 2027, med klockstarten för sårbarhetsrapportering den 11 september 2026.
  • NCSC (Nationaal Cyber Security Centrum) är den holländska CRA-vägen för sårbarhet- och incidentrapporter. CSIRT-DSP hade redan integrerats i NCSC, och Digital Trust Center anslöt till det förstärkta NCSC den 1 januari 2026. Rapporter skickas via ENISA:s gemensamma rapporteringsplattform och mijn.NCSC.nl från 11 september 2026.
  • RDI (Rijksinspectie Digitale Infrastructuur, tidigare Agentschap Telecom, under Economische Zaken en Klimaat) är den avsedda ledande CRA-anmälningsmyndigheten och den avsedda nationella marknadskontrollmyndigheten enligt den ännu pågående holländska genomförandelagen. RvA (Raad voor Accreditatie) ackrediterar kandidater till organ för bedömning av överensstämmelse enligt ISO/IEC 17065:2012.
  • Uitvoeringswet verordening cyberweerbaarheid (proposition 36875) är det holländska CRA-genomförandeinstrumentet. Verifiera aktuell parlamentarisk status och den slutliga Staatsblad-texten innan du gör formella inlagor.
  • Rotterdam är EU:s mest trafikerade importport för varor utanför EU. En holländsk enhet som importerar och märker om varor faller under tillverkarregimen via CRA-rebrand-bryggan, inte under det lättare importörregimen.
  • Holländska (Nederlands) krävs för användarinriktad produktinformation på den holländska marknaden enligt Warenwet (varulagen).
  • Nationell finansiering under 2026: WBSO (R&D-löneskatteavdrag, budget EUR 1,817 miljarder), MIT (regional SME-innovation), Innovation Box, CIF-NL (Cybersecurity Innovation Fund). Det holländska Herstel- en Veerkrachtplan (RRF) befinner sig i det avslutande NextGenerationEU-fönstret och är inte ett realistiskt planeringsalternativ för skyldigheterna med start 11 december 2027.

När den här guiden gäller dig

Du är målläsaren om tillverkarens "huvudsakliga etablering i unionen" ligger i Nederländerna: den plats där beslut som rör cybersäkerheten för dina produkter med digitala element huvudsakligen fattas. En holländsk försäljnings- eller holdingentitet med teknikresurser utomlands är inte den huvudsakliga etableringen. Om ditt teknikteam, din SDLC-styrning och de personer som godkänner säkerhetsuppdateringar befinner sig i Nederländerna gäller den här guiden dig.

Om din huvudsakliga etablering finns på annan plats inom EU och du bara säljer till Nederländerna, routas dina CRA-rapporter via CSIRT:en i din etableringsmedlemsstat, inte via holländska NCSC. Skyldigheten att använda holländska för användarinriktad information gäller fortfarande för alla produkter som placeras på den holländska marknaden.

Den här guiden vänder sig också till en andra målgrupp: en holländsk enhet som importerar en icke-EU-produkt via Rotterdam och antingen säljer den vidare under eget varumärke eller gör väsentliga ändringar före det första utsläppandet. Den entiteten faller under tillverkarregimen via CRA-rebrand-bryggan, inte under det lättare importörregimen. Se det dedikerade avsnittet nedan.

NCSC: den holländska CSIRT-vägen

CRA-anmälningar routas via den CSIRT som utsetts till koordinator i den medlemsstat där tillverkaren har sin huvudsakliga etablering i unionen. För en tillverkare med huvudsaklig etablering i Nederländerna är den CSIRT:en NCSC.

En förändring från den föregående generationens holländska cybervägledning är viktig för nya läsare. CSIRT-DSP hade redan integrerats i NCSC, och den 1 januari 2026 anslöt Digital Trust Center till det förstärkta NCSC. Det finns nu en enda nationell CSIRT för produkttillverkare, viktiga entiteter, leverantörer av digitala tjänster och den SME-målgrupp som DTC tidigare betjänade. Äldre vägledning som hänvisar till en modell med två CSIRT:er (NCSC-NL plus CSIRT-DSP) beskriver strukturen före sammanslagningen.

Den tekniska kanalen för rapporteringskadensen 24 timmar / 72 timmar / 14 dagar är ENISA:s gemensamma rapporteringsplattform, som tas i drift den 11 september 2026, samtidigt som den holländska nationella portalen på mijn.NCSC.nl. En holländsk tillverkare lämnar in via ENISA-plattformen med NCSC som mottagande koordinator. CSIRT-utpekandet är routningen. Plattformen är transporten.

Anmälda organ: RDI anmäler, RvA ackrediterar

För Important Class I-produkter där ingen harmoniserad standard tillämpas, Important Class II-produkter och kritiska produkter krävs ett anmält organ för bedömning av överensstämmelse (Modul B+C eller Modul H).

Den holländska institutionella kedjan är en ren uppdelning:

  • RvA (Raad voor Accreditatie) är det enda nationella ackrediteringsorganet, med lagstadgad status enligt Wet aanwijzing nationale accreditatie-instantie (lagen om utpekande av nationellt ackrediteringsorgan). RvA ackrediterar organ för bedömning av överensstämmelse mot ISO/IEC 17065:2012. Ackrediteringen är det tekniska steget.
  • RDI (Rijksinspectie Digitale Infrastructuur) är den avsedda ledande anmälningsmyndigheten som formellt registrerar holländska CRA-anmälda organ hos Europeiska kommissionen när den holländska genomförandelagen är slutlig. RDI lyder under Economische Zaken en Klimaat och tog över denna roll från det tidigare Agentschap Telecom. Anmälan är det rättsliga steget.

CRA-ramverket för anmälda organ tillämpas från 11 juni 2026, varefter anmälda organ kan börja utfärda CRA-intyg om bedömning av överensstämmelse. Uitvoeringswet verordening cyberweerbaarheid är det holländska instrument som väntas placera RDI i rollen som anmälningsmyndighet. Verifiera aktuell parlamentarisk status och den slutliga Staatsblad-texten innan du gör formella inlagor. En holländsk tillverkare kan använda vilket EU-anmält organ som helst, inte bara organ anmälda i Nederländerna. Slutliga anmälningar visas i Europeiska kommissionens NANDO-databas.

RDI: CRA:s marknadskontrollmyndighet

Uitvoeringswet verordening cyberweerbaarheid väntas utse ekonomiministern, i praktiken RDI, som holländsk CRA-marknadskontrollmyndighet. RDI skulle få formella tillsyns- och verkställighetsbefogenheter, inklusive administrativ bötesrätt inom CRA:s EU-nivåtak (upp till EUR 15 miljoner eller 2,5 procent av den globala omsättningen, det högre beloppet gäller).

Nederländerna skulle tillhöra det konsoliderade lägret i denna utformning, tillsammans med italienska ACN, om sluttexten följer propositionen. Spanien (CCN + MTDFP) och Frankrike (ANSSI + ANFR) delar upp anmälnings- och marknadskontrollrollerna mellan separata institutioner. En holländsk tillverkare skulle då få en enda nationell motpart för formell CRA-korrespondens: NCSC för rapporteringsflödet, RDI för allt annat.

Rotterdam och importörsvinkeln

Rotterdam är EU:s största hamn sett till godsgenomströmning, med ungefär 14,5 miljoner TEU per år och den högsta bruttovikten av icke-EU-import bland alla EU-hamnar. För produkter med digitala element sker en betydande andel av det första EU-utsläppandet här, ofta av en holländsk enhet som köper färdiga varor från en icke-EU-leverantör och distribuerar dem vidare till belgiska, tyska, franska och bredare EU-marknader.

Cyberresiliensförordningen bryr sig om vilken roll du faktiskt fyller, inte den roll som står i dina tulldokument. Två driftsmodeller är vanliga i Rotterdam-routade flöden och de faller under olika regimer:

  • Mönster 1: du importerar en icke-EU-produkt och lanserar den på EU-marknaden oförändrad, under originalförpackarens varumärke. Det är importörregimen. Du genomför de fyra kontrollerna före utsläppandet (bevis för bedömning av överensstämmelse, EU-försäkran om överensstämmelse, CE-märkning, tillverkarens identitet och adress på produkten), du ingår i den kaskad där den icke-EU-tillverkaren inte kan nås, och du sparar teknisk dokumentation i minst tio år. Se klusterguiden för importörer.
  • Mönster 2: du importerar en icke-EU-produkt och märker sedan om den under ditt eget namn, ändrar det avsedda ändamålet eller gör väsentliga ändringar före det första utsläppandet. Det är tillverkarregimen via CRA-rebrand-bryggan. Din holländska enhet blir tillverkaren. Alla skyldigheter kopplade till tillverkaren gäller fullt ut, inklusive uppfyllande av väsentliga säkerhetskrav, teknisk dokumentation, bedömning av överensstämmelse, sista supportdatum och rapporteringskadensen 24 timmar / 72 timmar / 14 dagar.

En vanlig förväxling är att behandla Mönster 2 som Mönster 1 för att tulldokumenten visar "importer of record". CRA-roller följer inte Incoterms. Så snart originalvarumärket byts mot ditt, eller det ursprungliga avsedda ändamålet ändras, är du tillverkaren. SBOM:ar och CE-märkningar från den icke-EU-leverantören är indata till din tekniska dokumentation, inte ersättningar för den. Samma logik gäller private label-handel: en holländsk detaljist som säljer produkter under eget varumärke bär tillverkarregimen oavsett var hårdvaran producerades.

Holländska språkkrav i praktiken

Cyberresiliensförordningen kräver att användarinriktad produktinformation ska finnas på ett språk som lätt förstås av användare och den lokala marknadskontrollmyndigheten. För produkter som lanseras på den holländska marknaden innebär det holländska (Nederlands). Warenwet (varulagen) och de relaterade sektorsspecifika produktinformationsreglerna kräver självständigt holländska för konsumentproduktnamn, garantivillkor, bruksanvisningar, varningar och produktegenskapsinformation.

Måste finnas på holländska:

  • Bruksanvisningar och produktinformation som medföljer produkten.
  • Tillverkarens kontaktuppgifter, var de än förekommer.
  • Upplysningen om sista supportdatum som visas vid köptillfället.
  • Garantivillkor och information om konsumenträttigheter som medföljer produkten.

Kan vara flerspråkigt:

  • Produktetikett och CE-märkning.
  • Förpackningstext.
  • Onlinedokumentation, förutsatt att en holländsk version är tillgänglig.

Engelska godtas normalt för:

  • B2B-information mellan professionella köpare där parterna har ett överenskommet arbetsspråk.
  • Intern teknisk dokumentation. RDI kan fortfarande begära en holländsk översättning om det finns skäl för det, så planera för den situationen.

Varumärken, vedertagen vetenskaplig eller teknisk terminologi och ursprungsbeteckningar är undantagna. EU-försäkran om överensstämmelse kan upprättas på vilket officiellt EU-språk som helst. Frisiska är medofficiellt språk i Friesland, men cyberresiliensförordningen kräver inte frisisk översättning.

Försäljning över gränserna från Nederländerna

Holländska tillverkare som säljer till Tyskland, Belgien, Frankrike eller någon annan EU-medlemsstat följer samma enda routingregel: dina CRA-rapporter går fortfarande till NCSC, eftersom routningen följer den huvudsakliga etableringen, inte varje enskild leverans. Språkskyldigheten sprider sig däremot per marknad. En produkt som levereras till Tyskland behöver tyskt användarinnehåll, en produkt som levereras till Frankrike behöver franskt innehåll. Det holländska språkpaketet täcker inte de marknaderna. Varje mottagande medlemsstats marknadskontrollmyndighet kan också begära att din tekniska dokumentation ges på ett språk som den myndigheten förstår. Förbered de mest efterfrågade avsnitten på ett vanligt arbetsspråk för att kunna hantera gränsöverskridande motiverade begäranden.

Nationella finansieringsprogram

Det holländska finansieringslandskapet för CRA-investeringar under 2026 innehåller ett stort skatteavdragsprogram, två SME-innovationsprogram och en dedikerad cybersäkerhetsfond.

  • WBSO (Wet Bevordering Speur- en Ontwikkelingswerk) är skattekredit för R&D-lönekostnader som administreras av RVO. Budgeten för 2026 är EUR 1,817 miljarder, med 36 procent förmån på kvalificerade R&D-löner upp till EUR 391 020 (50 procent för nystartade). Säkerhets-by-design-utveckling, SBOM-verktyg, plattformar för sårbarhetshantering och CVD-processdesign kvalificerar när de avgränsas som genuint R&D.
  • MIT (MKB-Innovatiestimulering Regio en Topsectoren) finansierar SME-innovationsprojekt regionalt, med förstudier och FoU-samarbetsspår i spannet EUR 20 000 till EUR 350 000.
  • Innovation Box (Innovatiebox) är en reducerad bolagsskatt (effektivt 9 procent) på vinster från kvalificerande innovationsverksamheter. Den kombineras ofta med WBSO.
  • CIF-NL (Cybersecurity Innovation Fund) är den dedikerade RVO-subventionslinjen för cybersäkerhetsinnovation. Utlysningen 2025-2026 hade ett anslag på EUR 2,5 miljoner (EUR 60 000 till EUR 100 000 per projekt) med fokus på kryptoagilitet och tillgänglighet. Ansökningstiden stängde den 10 februari 2026. Bevaka RVO och det sammanslagna NCSC för kommande utlysningar.
  • Holländska Herstel- en Veerkrachtplan (RRF) befinner sig i det avslutande NextGenerationEU-fönstret med projektgenomförande som ska slutföras 31 augusti 2026 och slutliga betalningsansökningar den 30 september 2026. Det är inte ett realistiskt planeringsalternativ för skyldighetsfristen 11 december 2027.

För efterlevnadsinvesteringar daterade mot 11 december 2027 är den realistiska holländska bilden WBSO plus MIT plus Innovation Box, med CIF-NL som alternativ för de genuint innovativa delarna.

Vanliga frågor

Vilken holländsk CSIRT tar emot mina CRA-sårbarhetanmälningar?

NCSC (Nationaal Cyber Security Centrum), den enda nationella CSIRT-vägen efter CSIRT-DSP:s tidigare integration i NCSC och Digital Trust Centers anslutning till det förstärkta NCSC den 1 januari 2026. Rapporter lämnas in via ENISA:s gemensamma rapporteringsplattform från 11 september 2026, med NCSC som mottagande koordinator. Den holländska nationella portalen är `mijn.NCSC.nl`. Äldre vägledning som hänvisar till en modell med två CSIRT:er beskriver strukturen före sammanslagningen.

Vem utser holländska anmälda organ, RvA eller RDI?

RvA (Raad voor Accreditatie) ackrediterar kandidater till organ för bedömning av överensstämmelse enligt ISO/IEC 17065:2012. RDI (Rijksinspectie Digitale Infrastructuur), under ekonomiministern, är den avsedda ledande anmälningsmyndigheten som formellt registrerar holländska CRA-anmälda organ hos Europeiska kommissionen när den holländska genomförandelagen är slutlig. Uitvoeringswet verordening cyberweerbaarheid väntas placera RDI i den rollen. En holländsk tillverkare kan ändå använda vilket EU-anmält organ som helst för CRA-bedömning av överensstämmelse.

Jag importerar produkter från Asien via Rotterdam och säljer vidare under eget varumärke. Är jag tillverkare eller importör?

Tillverkaren. CRA-rebrand-bryggan kopplar tillverkarskyldigheter till den som lanserar en produkt under eget namn eller varumärke, oavsett var hårdvaran producerades. Detsamma gäller om du gör väsentliga ändringar av produkten eller ändrar det avsedda ändamålet före det första utsläppandet. Alla tillverkarskyldigheter gäller din holländska enhet fullt ut. SBOM:ar och CE-märkningar från den icke-EU-leverantören är indata till din tekniska dokumentation, inte ersättningar. Se klusterguiden för importörer för det mönster där du inte märker om.

Vilken holländsk myndighet är CRA:s marknadskontrollmyndighet?

RDI (Rijksinspectie Digitale Infrastructuur), under ekonomiministern, är den avsedda holländska CRA-marknadskontrollmyndigheten. Uitvoeringswet verordening cyberweerbaarheid väntas placera RDI både i rollen som anmälningsmyndighet och i rollen som nationell marknadskontrollmyndighet. Nederländerna tillhör det konsoliderade lägret i denna utformning (samma mönster som italienska ACN), till skillnad från Spanien (CCN + MTDFP) eller Frankrike (ANSSI + ANFR), där de två rollerna är uppdelade. Verifiera det slutliga utpekandet i Staatsblad-texten innan du gör formella inlagor. Verifiera aktuell parlamentarisk status och den slutliga Staatsblad-texten innan du gör formella inlagor.

När publicerar Nederländerna sin nationella CRA-genomförandelag i Staatsblad?

Cyberresiliensförordningen är en EU-förordning med direkt effekt, så Nederländerna behöver inte transponera den för att de materiella skyldigheterna ska gälla från 11 december 2027. Vad Nederländerna behöver är Uitvoeringswet verordening cyberweerbaarheid (proposition 36875), som väntas formellt utse CRA-marknadskontrollmyndigheten (RDI), anmälningsmyndigheten (RDI) och den nationella CSIRT:en (NCSC), och fastställa den holländska bötesnivån inom CRA:s EU-tak. Ramverksdatumet 11 juni 2026 har nu passerat. Verifiera aktuell parlamentarisk status och den slutliga Staatsblad-texten, och betrakta tidigare branschhänvisningar som preliminära tills texten är publicerad.

Ersätter eller duplicerar Cyberbeveiligingswet mina CRA-skyldigheter?

Varken eller. Cyberbeveiligingswet är den holländska NIS2-transpositionen, antagen av Tweede Kamer den 15 april 2026 och förväntas träda i kraft under kvartal 2 2026 efter antagande i Eerste Kamer och publicering i Staatsblad. Den täcker din organisation som en viktig eller betydelsefull entitet i en utpekad sektor. Cyberresiliensförordningen täcker varje produkt med digitala element som du lanserar på EU-marknaden. De delar CSIRT-routningen (NCSC tar emot båda) men ersätter inte varandra. En holländsk tillverkare som omfattas av båda kör dem parallellt med separata inlagor.

Måste jag översätta allt till holländska för B2B-försäljning?

För produkter som lanseras på den holländska marknaden med slutanvändare i Nederländerna: ja. Cyberresiliensförordningen kräver användarinformation på holländska, och Warenwet plus de sektorsspecifika reglerna kräver självständigt holländska för produktnamn, garantivillkor, bruksanvisningar, varningar och produktegenskapsinformation. B2B-försäljning mellan professionella köpare har viss flexibilitet gällande avtalsspråk om parterna är överens, men CRA-skyldigheten gör ingen åtskillnad på den grunden när produkten väl lanseras på den holländska marknaden. Planera att leverera holländsk användarinformation, holländsk upplysning om supportperiod och holländska tillverkaruppgifter i både konsument- och professionella kanaler. Varumärken och vedertagen teknisk terminologi är undantagna.

Kan WBSO eller CIF-NL finansiera mina CRA-efterlevnadsverktyg?

WBSO ja, när arbetet är genuint R&D (säkerhets-by-design-utveckling, SBOM-verktyg, plattformar för sårbarhetshantering, ny CVD-processdesign). Rent efterlevnadsarbete (revisioner, avgifter för bedömning av överensstämmelse) kvalificerar inte. WBSO-budgeten för 2026 är EUR 1,817 miljarder, med 36 procent förmån på de första EUR 391 020 av kvalificerade R&D-löner (50 procent för nystartade). CIF-NL är den dedikerade cybersäkerhetssubventionen. Utlysningen 2025-2026 stängde den 10 februari 2026 med ett anslag på EUR 2,5 miljoner med fokus på kryptoagilitet och tillgänglighet. Bevaka RVO och det sammanslagna NCSC för kommande CIF-NL-utlysningar. Det holländska RRF befinner sig i det avslutande NextGenerationEU-fönstret med projektgenomförande som ska avslutas 31 augusti 2026, vilket gör det orealistiskt för skyldigheterna 2027.

För holländska tillverkare som förbereder sig inför 11 december 2027

  1. Bekräfta dina tillverkarskyldigheter med hjälp av klusterguiden för tillverkare.
  2. Verifiera att din huvudsakliga etablering finns i Nederländerna och dokumentera motiveringen. Det är var cybersäkerhetsbesluten fattas, inte det registrerade sätet, som avgör.
  3. Om några av dina produkter importeras via Rotterdam och säljs vidare under eget varumärke, gå igenom klusterguiden för importörer och bekräfta om din driftsmodell faller under tillverkar- eller importörregimen. Rebrand-bryggan avgör linjen.
  4. Koppla ditt CRA-rapporteringsflöde till NCSC, med en testad inlämning via ENISA:s gemensamma rapporteringsplattform och via `mijn.NCSC.nl` när båda är tillgängliga från 11 september 2026.
  5. Om din väg för bedömning av överensstämmelse kräver ett anmält organ, planera med RvA-ackrediterade organ som hemmaval plus ett gränsöverskridande alternativ. Bevaka Staatsblad för det slutliga RDI-utpekandet som anmälningsmyndighet.
  6. Översätt bruksanvisningar, upplysningen om supportperiod och tillverkarens kontaktuppgifter till holländska enligt Warenwet. Lägg till per-marknadsöversättningar för övriga EU-medlemsstater du levererar till.
  7. Avgränsa WBSO och CIF-NL mot genuina R&D-investeringar i säkerhets-by-design-verktyg. Planera inte mot det holländska RRF för skyldigheterna 2027.
  8. Läs frågeguiden för leverantörsgranskning för ramverket för komponent-due-diligence, särskilt för icke-EU-komponenter routade via Rotterdam.

Den här artikeln är enbart avsedd för informationsändamål och utgör inte juridisk rådgivning. Konsultera kvalificerade juridiska rådgivare för specifik CRA-efterlevnadsvägledning.

CRA Netherlands Sårbarhetshantering
Share

Relaterade artiklar

Tillbaka till alla artiklar

Gäller CRA för din produkt?

Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.

Kontrollera nu

Redo att uppnå CRA-efterlevnad?

Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.

Starta 14-dagars gratis provperiod

Djupdykning i CRA-ämnen

Tidlösa guider om de krav, processer och roller som anges i EU:s cyberresiliensförordning (CRA).

EU-försäkran om överensstämmelse

Vad EU-försäkran om överensstämmelse måste innehålla, vem som undertecknar den och när den krävs.

Läs guiden →
Bedömning av överensstämmelse

Hur överensstämmelsebedömning fungerar under CRA och när ett anmält organ krävs.

Läs guiden →
Europeisk cybersäkerhetscertifiering (EUCC)

Hur EUCC-certifieringssystemet fungerar och när det kan stödja CRA-överensstämmelse.

Läs guiden →
Teknisk dokumentation

Vad CRA:s tekniska dokumentation måste innehålla (Bilaga VII avsnitt för avsnitt) och hur tillverkare bör strukturera den.

Läs guiden →
SBOM-krav

Vad CRA kräver för SBOM:er och hur BSI TR-03183 definierar kvalitetskriterier.

Läs guiden →
Rapportering av sårbarheter

Hur kravet på 24-timmarsanmälan till ENISA fungerar och vad som räknas som en aktivt utnyttjad sårbarhet.

Läs guiden →
Importörens skyldigheter

Vad artikel 19 kräver av importörer och hur tillverkarens efterlevnad verifieras.

Läs guiden →
Planering av supportperiod

Vad CRA:s skyldighet om supportperiod innebär för säkerhetsuppdateringar och end-of-life-planering.

Läs guiden →
Visa hela guiden för CRA-efterlevnad