Een praktische leidraad voor omgang, classificatie en naleving planning
Dit artikel geeft je een concreet, praktisch antwoord. We laten je zien hoe je bepaalt of je producten onder de CRA vallen, hoe je je rol en verplichtingen als fabrikant, importeur of distributeur identificeert, hoe je elk product classificeert (standaard, belangrijk of kritiek) en hoe je deze bevindingen omzet in een realistisch nalevingsplan, met duidelijke eigenaren, tijdlijnen, bewijsvereisten en mijlpalen.
Of u nu net begint met het beoordelen van uw blootstelling of klaar bent om over te gaan tot uitvoering, deze gids zal u helpen om door de complexiteit heen te prikken en de juiste eerste stappen te nemen. Het is geen vervanging voor juridisch advies en het is niet de bedoeling om elke CRA-verplichting diepgaand te behandelen. Zie het als het startpunt dat de uitvoering deblokkeert.
Wat is de EU Cyber Resilience Act en waarom doet deze er nu toe?
De Cyber Resilience Act (CRA) is een EU-verordening die verplichte cyberbeveiligingseisen vaststelt voor producten met digitale elementen, zoals software, hardware en aangesloten apparaten die in de EU op de markt worden gebracht. Het belangrijkste doel is om de lange -probleem van onveilige digitale producten door beveiliging doorontwerp, beveiliging door standaardinstellingen en effectief beheer van kwetsbaarheden af te dwingen gedurende de gehele levenscyclus van het product.
De CRA legt de primaire verantwoordelijkheid bij fabrikanten, maar introduceert ook verplichtingen voor importeurs en distributeurs, en vereist conformiteitsbeoordelingen, technische documentatie, rapportage van incidenten en kwetsbaarheden, en CE-markering. De CRA, die in december 2024 van kracht werd, zal vanaf december 2027 volledig van toepassing zijn en vormt een aanvulling op bestaande kaders zoals NIS2 door zich specifiek te richten op cyberbeveiliging op productniveau in plaats van op organisatorische beveiliging.
Belangrijke deadlines die je niet mag missen: september 2026 en december 2027
Uiterlijk op 11 september 2026 voert de CRA haar eerste bindende operationele verplichtingen in, die beperkt blijven tot het melden van incidenten en kwetsbaarheden. Vanaf die datum moeten fabrikanten van producten met digitale elementen actief misbruikte kwetsbaarheden en ernstige beveiligingsincidenten melden zodra zij hiervan op de hoogte zijn. Meldingen moeten aan strikte termijnen voldoen, waaronder een vroegtijdige waarschuwing binnen 24 uur, een gedetailleerd rapport binnen 72 uur en een eindrapport zodra corrigerende maatregelen beschikbaar zijn binnen 14 dagen of 1 maand, met gebruikmaking van het CRA Single Reporting Platform dat wordt gecoördineerd door ENISA en nationale CSIRT’s. Deze meldingsplichten gelden niet alleen voor nieuwe producten, maar ook voor oudere producten die al op de EU-markt zijn gebracht, ook al zijn de bredere productconformiteitseisen nog niet van kracht.
Vanaf 11 december 2027 is de CRA volledig van kracht. Vanaf die datum moeten alle producten met digitale elementen die op de EU-markt worden gebracht, voldoen aan de essentiële cyberbeveiligingseisen die in de verordening zijn vastgelegd, waaronder “secure-by-design” en “secure-by-default” ontwikkeling, gedocumenteerde risicobeoordelingen, processen voor het omgaan met kwetsbaarheden gedurende de levenscyclus en het verstrekken van beveiligingsupdates. Fabrikanten moeten technische documentatie opstellen, de relevante conformiteitsbeoordelingsprocedures uitvoeren, een EU-conformiteitsverklaring afgeven en de CE-markering aanbrengen. Importeurs en distributeurs moeten controleren of aan deze verplichtingen is voldaan voordat zij producten op de EU-markt aanbieden.
Is de CRA van toepassing op jouw organisatie?
Hoe weet u in de praktijk of u onder de CRA valt en zo ja, hoe gaat u dan te werk om aan de eisen van de verordening te voldoen?
Het antwoord begint bij het begrijpen van uw rol. De CRA maakt onderscheid tussen fabrikanten, importeurs en distributeurs en kent aan elk van hen verschillende verplichtingen toe. Bepalen welke rol op uw organisatie van toepassing is en voor welke producten, vormt de basis voor alles wat volgt.
CRA-compliance is een traject. Bij Approach Cyber structureren we dit in drie concrete stappen: beoordeling van de reikwijdte, analyse van hiaten en retroplanning, waarbij elke stap voortbouwt op de vorige. En omdat onze aanpak modulair is, kun je in elke fase aan de slag, of je nu een volledige beoordeling nodig hebt, een gerichte gap analyse of praktische ondersteuning bij het omzetten van je plan in actie.
Stap 1 | Scope assessment: Bouwen van je product inventaris
De beoordeling van het toepassingsgebied is de eerste actie die u moet ondernemen. Als u wilt weten of uw producten onder de CRA vallen, is het namelijk verplicht om elk product met digitale elementen dat u verkoopt, importeert of distribueert op de EU-markt te beoordelen.
Bij Approach Cyber kunnen we u hierbij ondersteunen. Wij zullen uw producten beoordelen door uw documentatie door te nemen en gesprekken te voeren met de belanghebbenden om te bepalen welke producten onder Klasse I, Klasse II of de standaardcategorie vallen. Dit wordt uitgevoerd met behulp van onze beoordelingsdossiers, die systematisch zijn afgestemd op de wetstekst, de bijlagen en de normen die zijn gepubliceerd om de implementatie ervan te ondersteunen.
Deze stap is cruciaal: de weg naar naleving verschilt aanzienlijk per productklasse en is niet uniform van toepassing op alle categorieën. Onze methodologie is technologie-diagnostisch en classificatie-diagnostisch, Ze is van toepassing ongeacht of je ingebedde hardware, SaaS-producten of verbonden apparaten bouwt.
Stap 2 | Gap analyse: Waar sta je vandaag?
Na afronding van de scope assessment evalueren we uw huidige compliance-niveau door onderscheid te maken tussen bestaande compliant maatregelen, lopende initiatieven en resterende lacunes. Tijdens deze gap analyse bespreken we samen de specifieke acties afhankelijk van de reikwijdte en context van uw bedrijf om voldoen aan de CRA.
Het is de moeite waard om op te merken dat naleving van de CRA niet louter een juridische exercitie is. Het vereist concrete technische capaciteiten: secure-by-design ontwikkeling, stuklijst software (SBOM), kwetsbaarheidsbeheer en gedocumenteerde risicobeoordelingen. Dit zijn gebieden waarop Approach Cyber al werkt dagelijks, onafhankelijk van de CRA, via onze Secure Development Advisory praktijk.
Stap 3 | Retroplanning: Structureren van je pad naar naleving
Ten slotte, zodra de aanbevolen acties die nodig zijn om naleving te bereiken zijn geïdentificeerd, zal het nodig zijn om de tijd in te schatten die nodig is om elke actie te implementeren. Op basis van toepasselijke deadlines en zakelijke beperkingen stellen we een retro -planning om de implementatie van elke aanbeveling te structureren en organiseren.
Een eerste concrete actie op de retroplanning zou het implementeren van een Coordinated Vulnerability Disclosure kunnen zijn om actief misbruikte kwetsbaarheden te melden. De geschatte tijd zou 1 tot 4 weken kunnen zijn, afhankelijk van of je al iets hebt ingevoerd of dat je onder de NIS2-richtlijn valt.
Waarom zou je samenwerken met een partner die zelf onder toezicht van de CRA staat?
Voorbij het adviseren van anderen zijn we zelf onderworpen aan de regelgeving door de producten die we momenteel ontwikkelen. Als gevolg daarvan hebben we onze expertise van direct, handen–op ervaring. We beoordelen onze eigen naleving streng en hebben een duidelijk, einde–naar–eind begrip van elke stap die nodig is om aan te tonen naleving van de regelgeving.
Bij Approach Cyber combineren wewij combineren technische expertise in veilige softwareontwikkeling met naleving van regelgeving en productbeveiliging, en we ondersteunen hands-on implementatie gedurende het hele proces.
Klaar om uit te vinden waar je staat?
Ons doel is eenvoudig: je team de duidelijkheid, structuur en het vertrouwen geven om de CRA zonder paniek en zonder giswerk tegemoet te treden. Wat wij ‘cybersereniteit’ noemen.
Download gratis de CRA Quick Guide