De Cyber Resilience Act (CRA) is de EU-verordening (Verordening (EU) 2024/2847, sinds 10 december 2024 in werking) die cybersecurity-eisen stelt aan elke fabrikant van hardware of software met digitale elementen, met een meldplicht vanaf 11 september 2026. Bij overtreding kan een boete volgen tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet.
De CRA is de eerste EU-brede wetgeving die fabrikanten verplicht om cybersecurity al vanaf het ontwerp van hun producten mee te nemen, in plaats van pas achteraf te repareren. Doel is minder kwetsbare software en hardware op de Europese markt, en duidelijkheid voor gebruikers over hoe lang een product veilig te gebruiken is (Europese Commissie, 2024).
Omdat de CRA een verordening is, geldt ze rechtstreeks in alle EU-lidstaten, zonder dat er eerst nationale wetgeving nodig is. De verplichtingen gelden wel gefaseerd: de meldplicht voor kwetsbaarheden en incidenten vanaf september 2026, de meeste overige verplichtingen waaronder CE-markering vanaf december 2027 (EUR-Lex, 2024).
De CRA geldt voor fabrikanten, importeurs en distributeurs van connected hardware en software die binnen de EU wordt verkocht. Het is een productveiligheidsregel, geen norm voor de interne beveiliging van een organisatie zoals NIS2 of ISO 27001 dat wel zijn.
Begin daarom met een inventarisatie van welke producten je als organisatie zelf ontwikkelt of op de markt brengt, zodat je weet of de CRA voor jou geldt en welke verplichtingen op je afkomen.
Wat is de Cyber Resilience Act?
De Cyber Resilience Act (CRA) is de EU-verordening die cybersecurity-eisen stelt aan producten met digitale elementen: hardware en software met een directe of indirecte verbinding met een ander apparaat of netwerk. De verordening staat officieel bekend als Verordening (EU) 2024/2847 en is op 10 december 2024 in werking getreden (EUR-Lex, 2024).
De CRA is de eerste EU-brede wet die fabrikanten verplicht cybersecurity al bij het ontwerp van een product mee te nemen, in plaats van achteraf te patchen. Het uitgangspunt is dat een product zijn hele levensduur veilig te gebruiken moet blijven, niet alleen op het moment van aankoop (Europese Commissie, 2024).
Omdat de CRA een verordening is en geen richtlijn, geldt ze rechtstreeks in elke EU-lidstaat. Dat onderscheidt de CRA van NIS2, een richtlijn die eerst via een nationale wet wordt omgezet.
Voor wie geldt de CRA?
De CRA geldt voor fabrikanten, importeurs en distributeurs van hardware- en softwareproducten met digitale elementen die op de Europese markt worden gebracht. Concreet:
- Fabrikanten: bedrijven die de producten ontwikkelen en op de markt brengen, dragen de meeste verplichtingen, van security-by-design tot de CE-markering.
- Importeurs: partijen die producten van buiten de EU op de Europese markt brengen, moeten controleren of de fabrikant aan de CRA voldoet.
- Distributeurs: partijen die producten verkopen of leveren binnen de EU, moeten controleren of het product de vereiste CE-markering en documentatie heeft.
De CRA is een productveiligheidsverordening en richt zich op het product zelf, niet op de organisatie die het gebruikt. Dat is een belangrijk verschil met NIS2, dat juist eisen stelt aan de interne beveiliging van organisaties.
Een gewone eindgebruikersorganisatie, bijvoorbeeld een MKB-bedrijf dat IT-diensten van een ander bedrijf afneemt, valt zelf niet onder de CRA. Wie zelf software ontwikkelt of connected hardware verkoopt binnen de EU, is voor die producten wel fabrikant in de zin van de CRA.
Is de CRA verplicht?
Ja, de CRA is verplicht. Omdat het een verordening is, is de CRA direct van toepassing in elke EU-lidstaat, zonder dat daar eerst een nationale wet voor nodig is (EUR-Lex, 2024).
De verplichtingen gelden niet allemaal vanaf dezelfde datum, maar volgens een gefaseerde tijdlijn:
- Vanaf 11 september 2026: de meldplicht voor actief misbruikte kwetsbaarheden en ernstige beveiligingsincidenten gaat in (EUR-Lex, 2024).
- Vanaf 11 december 2027: de meeste overige verplichtingen gelden, waaronder de conformiteitsbeoordeling en de CE-markering (EUR-Lex, 2024).
Fabrikanten die nu al producten ontwikkelen, doen er goed aan ruim vóór deze data te beginnen met het inrichten van security-by-design en een kwetsbaarhedenbeleid. Die processen staan niet van de ene op de andere dag.
Wat zijn de belangrijkste verplichtingen onder de CRA?
De CRA legt fabrikanten een aantal kernverplichtingen op, gericht op de hele levenscyclus van een product. De belangrijkste:
- Security-by-design en -by-default: producten moeten al vanaf het ontwerp met een minimaal aanvalsoppervlak en veilige standaardinstellingen worden gebouwd.
- Kwetsbaarhedenbeheer en coordinated disclosure: fabrikanten moeten een proces inrichten voor het opsporen, verhelpen en gecoördineerd openbaar maken van kwetsbaarheden in hun producten.
- Verplichte beveiligingsupdates: fabrikanten moeten gedurende de verwachte levensduur van het product beveiligingsupdates leveren, met een ondersteuningsperiode van minimaal 5 jaar tenzij de verwachte levensduur korter is (EUR-Lex, 2024).
- CE-markering: fabrikanten moeten via een conformiteitsbeoordeling aantonen dat het product aan de verplichte cybersecurity-eisen voldoet, en dat bevestigen met de CE-markering.
Daarnaast geldt de meldplicht: fabrikanten moeten actief misbruikte kwetsbaarheden en ernstige incidenten melden bij ENISA. Een vroege waarschuwing volgt binnen 24 uur, een volledige melding binnen 72 uur na constatering (EUR-Lex, 2024).
De CRA vergeleken met andere normen en wetten
De CRA staat niet op zichzelf: de verordening overlapt qua doel met NIS2 en ISO 27001, maar regelt een ander niveau. Het belangrijkste verschil is dat de CRA eisen stelt aan het product, niet aan de organisatie.
CRA vs NIS2
Het verschil tussen de CRA en NIS2 is het aangrijpingspunt. NIS2 stelt eisen aan de interne beveiliging van organisaties, zoals essentiële entiteiten en belangrijke entiteiten, inclusief een meldplicht voor eigen incidenten. De CRA stelt eisen aan de producten die een fabrikant op de markt brengt, ongeacht wie ze later gebruikt.
Een softwareleverancier kan met beide te maken krijgen: de CRA voor de producten die het bedrijf zelf ontwikkelt en verkoopt, en NIS2 voor de eigen organisatorische beveiliging als het bedrijf onder de NIS2-reikwijdte valt.
CRA vs ISO 27001
Het verschil tussen de CRA en ISO 27001 is vergelijkbaar. ISO 27001 is een managementsysteem-norm voor de informatiebeveiliging van een organisatie, de CRA is een productveiligheidsverordening voor hardware en software. Een ISO 27001-certificaat toont aan dat een organisatie de eigen informatiebeveiliging op orde heeft, maar zegt niets over of de software die het bedrijf verkoopt aan de CRA voldoet.
Voor een softwareleverancier zijn beide relevant en los van elkaar: ISO 27001 voor de eigen organisatie, de CRA voor de producten die het bedrijf op de markt brengt.
Zo helpt ClickOn met de CRA
De CRA is in de kern een verplichting voor fabrikanten, niet voor de organisaties die producten gebruiken. Voor de meeste ClickOn-klanten geldt de CRA daarom niet rechtstreeks: zij nemen producten met digitale elementen af, maar brengen ze zelf niet op de Europese markt.
Ontwikkel of verkoop je als organisatie zelf software of connected hardware, dan ben je voor die producten fabrikant in de zin van de CRA en gelden de verplichtingen wel. Security-by-design in de ontwikkelstraat, de conformiteitsbeoordeling en de CE-markering vallen buiten het IT-beheer dat ClickOn levert; daarvoor is gespecialiseerd productveiligheids- of compliance-advies nodig.
Wat ClickOn wel doet, is de organisatorische informatiebeveiliging eronder op orde brengen. ClickOn is zelf ISO 27001-gecertificeerd sinds 2021 en heeft 100 procent van 25 audits doorstaan. De Compliance Sprint brengt de technische maatregelen en de bewijsvoering binnen 30 dagen op orde, tegen een vaste prijs per werkplek.
Met compliant werkplekbeheer (PremiumOn) blijft die basis daarna geborgd: Microsoft 365-werkplekken op ISO 27001-niveau ingericht, voor 148 euro per werkplek per maand inclusief 24/7 bewaking en support, binnen 24 uur compliant ingericht. Zo’n fundament maakt het voor een softwareleverancier ook makkelijker om de kwetsbaarhedenbeheer- en meldprocessen in te richten die de CRA eist, ook al levert ClickOn de CRA-productcompliance zelf niet.
Ontwikkel of verkoop je zelf software of connected hardware binnen de EU? Neem contact op Bekijk compliant werkplekbeheer
Veelgestelde vragen over de CRA
Is de CRA verplicht?
Ja. De CRA is een EU-verordening en daarmee direct van toepassing, zonder nationale omzetting. De verplichtingen gelden gefaseerd: de meldplicht voor kwetsbaarheden en incidenten vanaf 11 september 2026, de meeste overige verplichtingen waaronder de CE-markering vanaf 11 december 2027 (EUR-Lex, 2024).
Voor wie geldt de CRA?
De CRA geldt voor fabrikanten, importeurs en distributeurs van hardware- en softwareproducten met digitale elementen die op de Europese markt worden gebracht. Organisaties die zelf geen producten ontwikkelen of verkopen, vallen niet onder de CRA.
Wat is het verschil tussen de CRA en NIS2?
De CRA regelt de cybersecurity van producten, NIS2 regelt de cybersecurity van organisaties. Een softwareleverancier kan onder allebei vallen: de CRA voor de producten die het bedrijf ontwikkelt, NIS2 voor de eigen organisatie.
Wanneer moet ik aan de CRA voldoen?
De CRA is sinds 10 december 2024 in werking getreden. De meldplicht voor actief misbruikte kwetsbaarheden en ernstige incidenten gaat in vanaf 11 september 2026, de meeste overige verplichtingen waaronder de CE-markering vanaf 11 december 2027 (EUR-Lex, 2024).
Wat zijn de boetes bij overtreding van de CRA?
Bij overtreding van de verplichte cybersecurity-eisen kan een boete worden opgelegd tot 15 miljoen euro of 2,5 procent van de wereldwijde jaaromzet, wat van de twee hoger is (EUR-Lex, 2024).