NIS2 & DORA van kracht. EU AI Act volgt — boek een demo
Alle frameworks
Raamwerk

Cyber Resilience Act-compliance, volledig geautomatiseerd

De CRA schrijft cyberveiligheid voor voor alle producten met digitale elementen die in de EU worden verkocht. Matproof dekt security by design, kwetsbaarheidsbeheer, SBOM-beheer, ENISA-rapportage en conformiteitsbeoordeling.

Demo aanvragen

Wat is de Cyber Resilience Act (CRA)?

De Cyber Resilience Act (Verordening 2024/2847) is een EU-verordening die horizontale cyberveiligheidsvereisten vaststelt voor producten met digitale elementen - zowel hardware als software die op de Europese markt worden verkocht. Gepubliceerd in het Publicatieblad op 20 november 2024, pakt het de groeiende cyberveiligheidsrisico's aan van verbonden producten, van slimme huishoudelijke apparaten en routers tot besturingssystemen en industriele besturingssoftware.

De CRA vult een belangrijke lacune in de regelgeving: terwijl bestaande EU-kaders netwerk- en informatiebeveiliging (NIS2) en sectorspecifieke weerbaarheid (DORA) behandelen, vereiste geen horizontale regelgeving eerder dat cyberveiligheid in de ontwerpfase in producten werd ingebouwd. De CRA schrijft voor dat fabrikanten, importeurs en distributeurs ervoor zorgen dat producten gedurende hun gehele levenscyclus aan essentiele cyberveiligheidsvereisten voldoen, inclusief doorlopend kwetsbaarheidsbeheer en beveiligingsupdates.

Belangrijke verplichtingen omvatten security by design en standaard (Annex I Deel I), systematisch kwetsbaarheidsbeheer (Annex I Deel II), onderhoud van Software Bill of Materials (SBOM), snelle rapportage van kwetsbaarheden aan ENISA en nationale CSIRT's, gratis beveiligingsupdates gedurende de ondersteuningsperiode van het product (minimaal 5 jaar) en conformiteitsbeoordeling met CE-markering. Producten worden ingedeeld in standaard, Klasse I, Klasse II en kritieke categorieen, met toenemende beoordelingsstrengheid.

De CRA volgt een gefaseerde implementatie: rapportageverplichtingen voor kwetsbaarheden gelden vanaf 11 september 2026 en de volledige verordening is van toepassing vanaf 11 december 2027. Dit geeft fabrikanten de tijd om hun productontwikkelingsprocessen aan te passen, workflows voor kwetsbaarheidsbeheer op te zetten en zich voor te bereiden op conformiteitsbeoordelingen.

Wie moet voldoen aan de CRA?

De CRA is van toepassing op alle marktdeelnemers die producten met digitale elementen op de EU-markt brengen. Een product met digitale elementen is elk software- of hardwareproduct en de bijbehorende oplossingen voor gegevensverwerking op afstand die een directe of indirecte logische of fysieke verbinding met een apparaat of netwerk omvatten:

Fabrikanten

  • Hardwarefabrikanten (IoT-apparaten, routers, smart home-producten)
  • Softwareontwikkelaars (applicaties, besturingssystemen, firmware)
  • Fabrikanten van embedded systemen (industriele controllers, automotive ECU's)
  • SaaS-aanbieders waarbij software een productcomponent is
  • Open-source softwarebeheerders (commerciele stichtingen)
  • Bedrijven die componenten van derden in producten integreren

Importeurs en distributeurs

  • EU-importeurs van buiten de EU gefabriceerde producten
  • Distributeurs die producten op de EU-markt brengen
  • Online marktplaatsen die producten met digitale elementen verkopen
  • Systeemintegratoren die producten samenstellen uit componenten
  • Wederverkopers van software- en hardwareproducten
  • White-label productdistributeurs

Zuivere SaaS-diensten die geen product op de markt brengen vallen over het algemeen buiten het CRA-toepassingsgebied (zij vallen mogelijk onder NIS2). Als de SaaS echter downloadbare softwarecomponenten, firmware of IoT-apparaatintegratie omvat, vallen die elementen wel binnen het toepassingsgebied. Open-source software die in een niet-commerciele context is ontwikkeld, is ook uitgesloten, hoewel open-source softwarebeheerders (bijv. commerciele stichtingen die kritieke bibliotheken onderhouden) specifieke verplichtingen hebben onder Art. 25.

Not sure if you're compliant?

Take the free CRA readiness assessment — 10 questions, 3 minutes.

Check your readiness

Belangrijkste CRA-vereisten

1. Essentiele cyberveiligheidsvereisten (Annex I Deel I)

Producten moeten zo worden ontworpen, ontwikkeld en geproduceerd dat een passend niveau van cyberveiligheid wordt gewaarborgd op basis van hun risico's. Dit omvat: geen bekende exploiteerbare kwetsbaarheden bij het op de markt brengen, veilige standaardconfiguratie zonder standaardwachtwoorden, bescherming van vertrouwelijkheid en integriteit van gegevens, minimalisatie van gegevensverwerking, mechanismen voor toegangscontrole, minimalisatie van het aanvalsoppervlak, registratie van beveiligingsrelevante informatie en een veilig updatemechanisme. Producten moeten ook bestand zijn tegen denial-of-service-aanvallen.

2. Kwetsbaarheidsbeheer (Annex I Deel II)

Fabrikanten moeten een systematisch proces opzetten en onderhouden voor het identificeren, documenteren en herstellen van kwetsbaarheden gedurende de gehele productlevenscyclus. Dit omvat regelmatige beveiligingstesten, tijdig herstel via gratis beveiligingsupdates, een beleid voor gecoordineerde openbaarmaking van kwetsbaarheden voor externe onderzoekers, openbare bekendmaking van verholpen kwetsbaarheden met CVE-identificatoren, mechanismen voor het delen van kwetsbaarheidsinformatie en een veilig updatedistributiemechanisme. Patches moeten gratis en zonder onnodige vertraging worden geleverd.

3. SBOM-beheer (Annex I.2(9))

Fabrikanten moeten een Software Bill of Materials (SBOM) genereren en bijhouden waarin alle top-level afhankelijkheden, componenten, bibliotheken en code van derden in hun producten worden gedocumenteerd. De SBOM maakt snelle kwetsbaarheidsbeoordeling mogelijk wanneer nieuwe CVE's worden gepubliceerd, transparantie in de toeleveringsketen en wettelijke rapportage. De SBOM moet actueel worden gehouden gedurende de gehele ondersteuningsperiode van het product en op verzoek beschikbaar worden gesteld aan markttoezichtautoriteiten.

4. Rapportage van kwetsbaarheden aan ENISA (Art. 14)

Wanneer een fabrikant op de hoogte raakt van een actief misbruikte kwetsbaarheid of een ernstig beveiligingsincident, moet hij rapporteren aan de aangewezen CSIRT en ENISA volgens strikte termijnen: een vroegtijdige waarschuwing binnen 24 uur na kennisname, een gedetailleerde kwetsbaarheidsmelding binnen 72 uur inclusief ernstigheidsanalyse en herstelstatus, en een eindrapport binnen 14 dagen. Gebruikers moeten ook zonder onnodige vertraging worden geinformeerd over de kwetsbaarheid en beschikbare corrigerende maatregelen.

5. Conformiteitsbeoordeling en CE-markering (Art. 28-32)

Voordat een product op de EU-markt wordt gebracht, moeten fabrikanten een conformiteitsbeoordeling uitvoeren, een EU-conformiteitsverklaring (Annex V) opstellen en de CE-markering aanbrengen. Standaardproducten kunnen zelfbeoordeling gebruiken (Annex VI Deel I). Klasse I-producten (Annex III - bijv. identiteitsbeheer, VPN's, firewalls) vereisen conformiteit met geharmoniseerde standaarden of beoordeling door derden. Klasse II-producten (Annex IV - bijv. besturingssystemen, slimme meters) vereisen verplichte beoordeling door derden. Kritieke producten vereisen EU-typeonderzoek.

6. Productondersteuningsperiode (Art. 13(7))

Fabrikanten moeten de productondersteuningsperiode vaststellen en communiceren waarin zij beveiligingsupdates leveren - minimaal 5 jaar of de verwachte productlevensduur, afhankelijk van welke langer is. Gedurende deze periode moeten alle beveiligingsupdates gratis en zonder onnodige vertraging worden geleverd. De ondersteuningsperiode moet duidelijk aan gebruikers worden gecommuniceerd bij aankoop. Fabrikanten moeten ook verantwoorde einde-levensduurovergangen plannen en uitvoeren wanneer de ondersteuning eindigt.

7. Technische documentatie (Annex VII)

Fabrikanten moeten uitgebreide technische documentatie bijhouden die het volgende omvat: productbeschrijving en beoogd doel, cyberveiligheidsrisicobeoordeling, ontwerp- en ontwikkelinformatie inclusief architectuur en gegevensstromen, informatie over kwetsbaarheidsbeheersprocessen, toegepaste geharmoniseerde standaarden of gemeenschappelijke specificaties, resultaten van conformiteitsbeoordelingen en bewijs van hoe aan essentiele vereisten is voldaan. Documentatie moet 10 jaar of de ondersteuningsperiode worden bewaard, afhankelijk van welke langer is.

Sancties bij niet-naleving van de CRA

De CRA stelt een gelaagd sanctiekader vast dat wordt gehandhaafd door nationale markttoezichtautoriteiten. Sancties worden berekend als het hogere van een vast bedrag of een percentage van de wereldwijde jaaromzet:

Tot EUR 15 miljoen / 2,5%

voor niet-naleving van essentiele cyberveiligheidsvereisten (Annex I) - de zwaarste categorie

Tot EUR 10 miljoen / 2%

voor niet-naleving van overige fabrikantverplichtingen, waaronder kwetsbaarheidsrapportage en conformiteitsbeoordeling

Tot EUR 5 miljoen / 1%

voor het verstrekken van onjuiste, onvolledige of misleidende informatie aan markttoezichtautoriteiten of aangemelde instanties

Terugtrekking van de markt

autoriteiten kunnen terugtrekking, terugroeping of beperking van de beschikbaarheid op de EU-markt gelasten totdat aan de vereisten is voldaan

Markttoezichtautoriteiten beschikken over ruime bevoegdheden, waaronder het uitvoeren van producttesten, het opvragen van documentatie, toegang tot bedrijfsruimten en het opleggen van bindende corrigerende maatregelen. Niet-conforme producten kunnen volledig van de EU-markt worden geweerd. Voor open-source softwarebeheerders zijn sancties proportioneel aan hun omvang en marktaandeel.

Hoe u zich voorbereidt op CRA-compliance

Met rapportageverplichtingen voor kwetsbaarheden vanaf 11 september 2026 en volledige toepassing vanaf 11 december 2027, moeten fabrikanten nu beginnen met de voorbereiding:

  1. 1

    Productinventaris en -classificatie

    Maak een uitgebreide inventaris van alle producten met digitale elementen. Classificeer elk product volgens CRA-categorieen: standaard, Klasse I (Annex III), Klasse II (Annex IV) of kritiek. Identificeer de juiste conformiteitsbeoordelingsprocedure voor elke productklasse.

  2. 2

    SBOM-generatie en afhankelijkheidsmapping

    Implementeer geautomatiseerde SBOM-generatie voor alle producten. Documenteer alle componenten, bibliotheken en afhankelijkheden. Kruisverwijzing met CVE-databases en richt continue monitoring in voor nieuw ontdekte kwetsbaarheden in uw softwaretoeleveringsketen.

  3. 3

    Kwetsbaarheidsbeheersproces

    Stel een systematisch kwetsbaarheidsbeheersproces op dat identificatie, documentatie, herstel en openbaarmaking omvat. Richt kanalen in voor gecoordineerde openbaarmaking van kwetsbaarheden. Bouw de capaciteit op om te voldoen aan de 24u/72u/14d ENISA-rapportagetermijnen. Test het proces met gesimuleerde kwetsbaarheidsscenario's.

  4. 4

    Integratie van Security by Design

    Integreer de essentiele CRA-cyberveiligheidsvereisten in uw productontwikkelingslevenscyclus. Implementeer veilige standaardconfiguraties, toegangscontrole, minimalisatie van het aanvalsoppervlak en veilige updatemechanismen. Voer beveiligingstesten uit gedurende de gehele ontwikkeling, niet alleen voor de release.

  5. 5

    Voorbereiding conformiteitsbeoordeling

    Stel technische documentatie op conform Annex VII. Schakel voor Klasse I/II-producten aangemelde instanties in voor beoordeling door derden. Stel de EU-conformiteitsverklaring en CE-markeringsdocumentatie op. Zorg dat uw kwaliteitsmanagementsysteem doorlopende conformiteit ondersteunt.

  6. 6

    Ondersteuningsperiode en update-infrastructuur

    Stel ondersteuningsperioden vast voor alle producten (minimaal 5 jaar). Bouw een veilige infrastructuur voor updatelevering. Stel processen op voor einde-levensduurplanning en gebruikerscommunicatie. Zorg dat u gedurende de gehele ondersteuningsperiode gratis beveiligingspatches kunt leveren.

Veelgestelde vragen over de CRA

Wat is de Cyber Resilience Act?

De CRA (Verordening 2024/2847) is een EU-verordening die horizontale cyberveiligheidsvereisten vaststelt voor producten met digitale elementen. Het schrijft security by design, kwetsbaarheidsbeheer, SBOM-beheer en incidentrapportage aan ENISA voor. Kwetsbaarheidsrapportage begint in september 2026, volledige toepassing vanaf december 2027.

Wie moet voldoen aan de CRA?

De CRA is van toepassing op fabrikanten, importeurs en distributeurs van producten met digitale elementen die op de EU-markt worden gebracht. Dit omvat elk hardware- of softwareproduct met een netwerkverbinding. Zuivere SaaS-diensten zijn over het algemeen uitgesloten, tenzij zij downloadbare componenten bevatten.

Wat zijn de CRA-rapportagetermijnen voor kwetsbaarheden?

Fabrikanten moeten binnen 24 uur na kennisname van een actief misbruikte kwetsbaarheid een vroegtijdige waarschuwing sturen naar de aangewezen CSIRT, binnen 72 uur een gedetailleerde melding en binnen 14 dagen een eindrapport. Gebruikers moeten ook zonder onnodige vertraging worden geinformeerd.

Wat is een SBOM en waarom vereist de CRA dit?

Een Software Bill of Materials is een gedetailleerde inventaris van alle softwarecomponenten in een product. De CRA vereist SBOM's om kwetsbaarheidsmonitoring, transparantie in de toeleveringsketen en snellere incidentrespons mogelijk te maken wanneer kwetsbaarheden worden ontdekt in componenten van derden.

Hoe classificeert de CRA producten?

Standaardproducten gebruiken zelfbeoordeling. Klasse I-producten (bijv. VPN's, firewalls) vereisen conformiteit met standaarden of beoordeling door derden. Klasse II-producten (bijv. besturingssystemen) vereisen verplichte beoordeling door derden. Kritieke producten vereisen EU-typeonderzoek.

Wat is de minimale ondersteuningsperiode onder de CRA?

Fabrikanten moeten minimaal 5 jaar of gedurende de verwachte productlevensduur gratis beveiligingsupdates leveren, afhankelijk van welke langer is. De ondersteuningsperiode moet duidelijk aan gebruikers worden gecommuniceerd bij aankoop.

CRA Readiness Assessment

Assess your Cyber Resilience Act readiness

Take the free assessment

Belangrijkste functies

Security by Design (Annex I)

Volg en documenteer essentiele cyberveiligheidsvereisten van productontwerp tot levering. Veilige standaardinstellingen, minimalisatie van het aanvalsoppervlak en toegangscontrole - allemaal met bewijs.

Kwetsbaarheidsbeheer (Annex I.2)

Systematische identificatie, documentatie en herstel van kwetsbaarheden. Gecoordineerde openbaarmakingsprocessen met volledige audit trail en SBOM-integratie.

SBOM-beheer (Annex I.2(9))

Genereer en onderhoud Software Bills of Materials. Volg alle componenten, bibliotheken en afhankelijkheden. Automatische kruisverwijzing met bekende kwetsbaarheidsdatabases.

ENISA/CSIRT-rapportage (Art. 14)

Voldoe aan de deadlines van 24 uur vroegtijdige waarschuwing, 72 uur melding en 14 dagen eindrapport. Kant-en-klare templates, geautomatiseerde workflows en deadlinebewaking.

Conformiteitsbeoordeling (Art. 32)

Zelfbeoordeling voor standaardproducten, begeleide beoordeling door derden voor Klasse I/II. EU-conformiteitsverklaring en CE-markeringsdocumentatie.

Beheer van ondersteuningsperiode (Art. 13(7))

Volg productondersteuningsperioden (minimaal 5 jaar), levering van beveiligingsupdates en einde-levensduurovergangen. Geautomatiseerde waarschuwingen en compliancedocumentatie.

Waarom Matproof

Dekt alle essentiele CRA-cyberveiligheidsvereisten
Geautomatiseerde SBOM-generatie en kwetsbaarheidsmonitoring
Kant-en-klare ENISA/CSIRT-rapportagetemplate met deadlinebewaking
100% EU-gegevensresidentie (gehost in Duitsland)

CRA Readiness Assessment

Assess your Cyber Resilience Act readiness

Take the free assessment

Klantverhalen

Teams die niet meer opzien tegen het auditseizoen.

85%minder voorbereidingstijd

Matproof heeft ons maanden aan auditvoorbereiding bespaard. We koppelden onze tools op maandag en hadden vrijdag al DORA-gemapt bewijsmateriaal. Onze auditor was onder de indruk van de diepgang van de audit trail.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Klaar om te beginnen?

Klaar om te beginnen?

Ontdek hoe Matproof compliance automatiseert voor uw organisatie.

Demo aanvragen