De Cyberweerbaarheidswet: Wat Belgische bedrijven moeten weten

Bij Approach Cyber volgen we de ontwikkeling van de CRA op de voet en bereiden we onze klanten voor op wat een van de belangrijkste cyberbeveiligingsregels van de afgelopen jaren belooft te worden. Voor Belgische fabrikanten, importeurs en distributeurs van digitale producten betekent de CRA zowel een uitdaging op het vlak van naleving als een kans op concurrentie. Degenen die deze vereisten vroegtijdig begrijpen en zich erop voorbereiden, zullen zich in een betere positie bevinden in een markt die zich steeds meer op beveiliging richt.

Het toepassingsgebied van de verordening is opmerkelijk breed en omvat vrijwel elk product dat verbinding kan maken met een netwerk of digitale gegevens kan verwerken. Van consumentenelektronica tot bedrijfssoftware, van IoT-sensoren tot clouddiensten – als het een digitaal element heeft en in de EU wordt verkocht, valt het waarschijnlijk onder het toepassingsgebied van de CRA. Dit is niet zomaar een regelgevend selectievakje; het is een fundamentele verschuiving in de richting van security-by-design die de productontwikkeling en go-to-market strategieën in verschillende industrieën zal veranderen.

De CRA begrijpen: meer dan zomaar een verordening

De Cyber Resilience Act is de eerste uitgebreide poging van de EU om cyberveiligheid op productniveau aan te pakken. De wet is ontstaan uit de erkenning dat onvoldoende beveiligde digitale producten systeemrisico’s opleveren voor het hele digitale ecosysteem. De CRA verplicht fabrikanten om veiligheidsoverwegingen te integreren in de gehele levenscyclus van een product – van het eerste ontwerp tot de verwijdering aan het einde van de levensduur¹.

De doelstellingen van de verordening zijn eenvoudig maar ambitieus: ervoor zorgen dat producten met digitale elementen met minder kwetsbaarheden op de EU-markt worden gebracht, fabrikanten verplichten om beveiliging serieus te nemen gedurende de levenscyclus van een product en consumenten en bedrijven in staat stellen om weloverwogen beveiligingsbeslissingen te nemen bij de aankoop van digitale producten². In tegenstelling tot sectorspecifieke regelgeving is de CRA horizontaal van toepassing op alle bedrijfstakken, waardoor er een uniforme basis voor beveiliging wordt gecreëerd voor de Europese digitale markt.

De business case voor de CRA is overtuigend. Hardware- en softwareproducten zijn steeds vaker het doelwit van succesvolle cyberaanvallen. De verordening pakt twee fundamentele tekortkomingen van de markt aan: het lage niveau van cyberbeveiliging in veel digitale producten, wat tot uiting komt in wijdverspreide kwetsbaarheden en onvoldoende beveiligingsupdates, en het gebrek aan transparantie waardoor gebruikers geen geïnformeerde beveiligingsbeslissingen kunnen nemen.

Voor Belgische bedrijven betekent het horizontale karakter van de CRA dat bedrijven uit vrijwel alle sectoren zullen worden getroffen. Productiebedrijven die connected apparatuur produceren, softwareontwikkelaars die bedrijfsapplicaties maken, importeurs van consumentenelektronica en distributeurs van digitale producten vallen allemaal binnen het toepassingsgebied van de verordening. De hamvraag is niet of je organisatie wordt beïnvloed, maar hoe uitgebreid en in welke hoedanigheid.

Tijdlijn en implementatiefasen: Wat kunt u verwachten

De CRA volgt een gefaseerde implementatieaanpak die is ontworpen om bedrijven de tijd te geven zich aan te passen en tegelijkertijd te zorgen voor zinvolle vooruitgang in de richting van verbeterde cyberbeveiliging. Inzicht in deze tijdlijnen is cruciaal voor de bedrijfsplanning en de toewijzing van middelen.

• Fase 1 (11 december 2025): De Europese Commissie zal uitvoeringshandelingen aannemen waarin de technische beschrijvingen voor Klasse I, Klasse II en kritieke productcategorieën worden gespecificeerd. Deze fase verschaft duidelijkheid over welke producten aan de strengste eisen moeten voldoen, zodat bedrijven hun nalevingsverplichtingen nauwkeurig kunnen beoordelen ³.
• Fase 2 (11 september 2026): Verplichtingen voor het melden van kwetsbaarheden en incidenten treden in werking. Fabrikanten moeten actief misbruikte kwetsbaarheden binnen 24 uur (vroegtijdige waarschuwing) en 72 uur (gedetailleerde kennisgeving) beginnen te melden, gevolgd door eindrapporten binnen 14 dagen voor kwetsbaarheden of een maand voor ernstige incidenten ^. Dit betekent een aanzienlijke operationele verandering die robuuste bewakings- en reactiemogelijkheden vereist.
• Fase 3 (11 december 2027): Volledige naleving van de CRA wordt verplicht. Alle cyberveiligheidseisen, conformiteitsbeoordelingen, CE-markeringsverplichtingen en verantwoordelijkheden voor levenscyclusbeheer worden van kracht. Producten die niet aan de eisen voldoen, mogen niet op de EU-markt worden gebracht ⁵.

Vanuit ons adviesperspectief is de deadline voor de rapportage van 2026 bijzonder belangrijk. Organisaties hebben monitoringsystemen nodig die kunnen detecteren wanneer hun producten actief worden misbruikt, procedures om incidenten op te lossen die kunnen voldoen aan strakke rapportagetermijnen en coördinatiemechanismen met Computer Security Incident Response Teams (CSIRT’s) in alle EU-lidstaten. Deze capaciteiten ontstaan niet van de ene op de andere dag en vereisen een aanzienlijke voorbereiding.

De overgangsperiode van drie jaar lijkt misschien ruim, maar productontwikkelingscycli, de complexiteit van de toeleveringsketen en de behoefte aan beoordelingen door derden maken een vroege voorbereiding essentieel. Bedrijven die wachten tot 2026 om te beginnen met een serieuze voorbereiding op de ratingbureaus zullen te maken krijgen met verkorte tijdschema’s en mogelijk hogere nalevingskosten.

Voor wie: Reikwijdte en verplichtingen

De reikwijdte van de CRA is bewust breed en omvat elk hardware- of softwareproduct dat direct of indirect verbinding kan maken met een apparaat of netwerk. Hieronder vallen consumentenapparaten (smartphones, slimme huishoudelijke apparaten, aangesloten speelgoed), bedrijfsapparatuur (IoT-sensoren, netwerkinfrastructuur, industriële besturingssystemen), softwaretoepassingen (mobiele apps, clouddiensten, ingebouwde firmware) en clouddiensten die gegevens verwerken voor aangesloten producten ⁶.

De verordening maakt onderscheid tussen verschillende soorten marktdeelnemers, elk met specifieke verplichtingen:

• Fabrikanten dragen de zwaarste nalevingslast en zijn verantwoordelijk voor cyberbeveiliging door ontwerp, conformiteitsbeoordelingen, technische documentatie, kwetsbaarheidsrapportage en levenscyclusbeheer. Hieronder vallen entiteiten die producten ontwerpen, vervaardigen of laten vervaardigen om ze onder hun naam of handelsmerk in de EU in de handel te ^brengen7.
• Importeurs moeten ervoor zorgen dat fabrikanten van buiten de EU aan hun verplichtingen hebben voldaan, relevante documentatie bijhouden en controleren of producten de vereiste conformiteitsmarkeringen dragen. Zij zijn het eerste aanspreekpunt voor markttoezichtautoriteiten in de EU wanneer zij met fabrikanten van buiten de EU te maken hebben ⁸.
• Distributeurs hebben minder zware verplichtingen, maar moeten ervoor zorgen dat ze geen producten in de handel brengen die niet aan de eisen voldoen, CE-markeringen en conformiteitsverklaringen controleren en samenwerken met markttoezichtautoriteiten. Ze moeten ook fabrikanten of importeurs op de hoogte brengen als ze ontdekken dat ze niet aan de eisen voldoen ⁹.
• Open Source Software (OSS) stewards vormen een nieuwe categorie die speciaal voor de CRA in het leven is geroepen, waarbij de unieke aard van open source-ontwikkeling wordt erkend en tegelijkertijd wordt gezorgd voor passend toezicht op de beveiliging ¹⁰.

Productcategorisering bepaalt het vereiste niveau van onderzoek en beoordeling. Niet-kritische producten ondergaan zelfbeoordeling door de fabrikant en interne conformiteitsprocedures. Belangrijke producten (Klasse I en II, zoals wachtwoordbeheerders, VPN’s en endpoint-detectiesystemen) vereisen conformiteitsbeoordeling door derden. Kritieke producten(waaronder slimme meters, smartcards en bepaalde industriële controlesystemen) moeten een Europese cyberbeveiligingscertificering op “substantieel” zekerheidsniveau ¹¹ krijgen.

Essentiële vereisten: Beveiliging door ontwerp in de praktijk

De CRA stelt uitgebreide essentiële eisen op waaraan producten moeten voldoen voordat ze op de EU-markt worden gebracht. Deze eisen betekenen een verschuiving van reactieve beveiligingspatches naar proactief beveiligingsontwerp, waardoor de manier waarop producten worden ontworpen, ontwikkeld en onderhouden fundamenteel verandert.

De belangrijkste cyberbeveiligingsvereisten omvatten:

Producten moeten worden ontworpen met de juiste cyberbeveiligingsniveaus op basis van beoordeelde risico’s, zonder bekende exploiteerbare kwetsbaarheden en met veilige standaardconfiguraties. Ze moeten negatieve gevolgen voor andere diensten minimaliseren, aanvalsoppervlakken beperken en gebruikmaken van mechanismen om uitbuiting tegen te gaan ¹².

Operationele vereisten vereisen dat producten beveiligingsgerelateerde monitoring en logging mogelijkheden bieden, veilige mechanismen voor gegevensverwijdering bieden en veilige gegevensoverdracht garanderen bij migratie naar andere systemen. Deze vereisten erkennen dat beveiliging niet alleen gaat over het voorkomen van aanvallen, maar ook over het behouden van zichtbaarheid en controle gedurende de gehele levenscyclus van het product ¹³.

Het omgaan met kwetsbaarheden is een kritieke operationele component. Fabrikanten moeten kwetsbaarheden identificeren en documenteren, ze zonder onnodige vertraging behandelen en een gecoördineerd beleid implementeren om kwetsbaarheden openbaar te maken. Ze moeten ook zorgen voor een tijdige verspreiding van beveiligingsupdates en, wanneer automatische updates niet mogelijk zijn, duidelijke richtlijnen geven voor handmatige updateprocedures ¹⁴.

Vanuit zakelijk oogpunt vereisen deze vereisten fundamentele veranderingen in de productontwikkelingsprocessen. Bedrijven moeten beveiligingsbeoordelingen integreren in ontwerpbeoordelingen, veilige coderingspraktijken implementeren, programma’s voor het beheer van kwetsbaarheden opstellen en mogelijkheden creëren om op incidenten te reageren. Dit zijn niet alleen technische uitdagingen, maar ook organisatorische transformaties die de inzet van leidinggevenden en coördinatie tussen verschillende functies vereisen.

Voor Belgische bedrijven gaan de praktische implicaties verder dan naleving. Organisaties die deze eisen in een vroeg stadium omarmen, merken vaak dat de principes van security-by-design de algehele productkwaliteit verbeteren, de ondersteuningskosten op de lange termijn verlagen en concurrentievoordelen creëren in markten die zich bewust zijn van beveiliging. Omgekeerd krijgen organisaties die beveiliging als een bijzaak beschouwen te maken met hogere nalevingskosten en mogelijke beperkingen van de markttoegang.

Markttoezicht en -handhaving: Reële gevolgen

De CRA bevat robuuste handhavingsmechanismen die ontworpen zijn om een zinvolle naleving te garanderen in plaats van louter papierwerk. Markttoezichtautoriteiten in elke EU-lidstaat hebben ruime bevoegdheden om niet-naleving te onderzoeken, corrigerende maatregelen te eisen en hoge boetes op te leggen.

Niet-conforme producten mogen niet op de EU-markt worden gebracht en de autoriteiten kunnen producten uit de handel nemen of terugroepen. Administratieve boetes kunnen oplopen tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is ¹⁵. Deze boetes gelden voor fabrikanten, importeurs en distributeurs, maar met name niet voor niet-commerciële open source-ontwikkelaars.

Afgezien van de financiële sancties zijn de zakelijke gevolgen van niet-naleving ernstig. Het terugroepen van producten schaadt de merkreputatie, verstoort toeleveringsketens en zorgt voor een lastige klantenservice. Beperkingen van de markttoegang kunnen inkomstenstromen wegnemen en dure productherontwerpen vereisen. Misschien wel het belangrijkste is dat cyberbeveiligingsincidenten met niet-conforme producten organisaties blootstellen aan aansprakelijkheidsclaims van getroffen klanten en partners.

De handhavingsaanpak van het Bureau legt de nadruk op preventie in plaats van op bestraffing. Van markttoezichtautoriteiten wordt verwacht dat ze met bedrijven samenwerken om naleving te bereiken, vooral voor kleine en middelgrote ondernemingen. Deze coöperatieve aanpak mag echter niet worden verward met toegeeflijke handhaving. De verordening bevat specifieke bepalingen voor de ondersteuning van KMO’s, waaronder speciale communicatiekanalen en begeleidend materiaal, maar over nalevingsverplichtingen valt niet te onderhandelen.

Belgische bedrijven profiteren van de proactieve aanpak van het Centre for Cyber Security Belgium (CCB) op het gebied van cyberbeveiligingsregelgeving, zoals blijkt uit de implementatie van NIS2. Het CCB heeft zich geëngageerd om de naleving van de regelgeving te ondersteunen door middel van bewustmakingscampagnes, begeleidingsmateriaal en coördinatie met de Europese autoriteiten. Dit creëert mogelijkheden voor vroegtijdige betrokkenheid en verduidelijking van de nalevingsvereisten.

Voorbereiden op naleving: Een strategische aanpak

• Succesvolle compliance met de CRA vereist een strategische langetermijnaanpak die cyberbeveiliging integreert in de kernprocessen van het bedrijf. Op basis van onze ervaring met het helpen van organisaties om zich voor te bereiden op complexe regelgeving, raden we een gestructureerde aanpak aan die voorziet in directe behoeften en tegelijkertijd duurzame capaciteiten opbouwt.
• Beoordeling en kloofanalyse vormen de basis van een effectieve voorbereiding. Organisaties moeten eerst bepalen welke van hun producten onder het toepassingsgebied van de CRA vallen, ze classificeren op basis van risicocategorieën en de huidige beveiligingspraktijken beoordelen op basis van de essentiële vereisten. Deze beoordeling moet niet alleen technische mogelijkheden onderzoeken, maar ook organisatorische processen, documentatienormen en relaties met leveranciers.
• Productontwikkelingsprocessen moeten fundamenteel worden herzien en vaak ingrijpend worden aangepast. Beveiliging moet een integraal onderdeel worden van ontwerpbeoordelingen, met dreigingsmodellering, veilige codeerpraktijken en kwetsbaarheidsbeoordelingen die zijn ingebed in de levenscycli van ontwikkeling. Veel organisaties merken dat dit zowel technische training als cultureel veranderingsmanagement vereist om van reactieve beveiligingspatches over te stappen op proactief beveiligingsontwerp.
• De capaciteiten op het gebied van kwetsbaarheidsbeheer moeten in de meeste organisaties worden versterkt. De rapportagevereisten van de CRA vereisen monitoringsystemen die kunnen detecteren wanneer producten actief worden geëxploiteerd, procedures voor het reageren op incidenten die aan strakke deadlines voldoen en coördinatiemechanismen met meerdere CSIRT’s in de EU-lidstaten. Deze mogelijkheden vereisen investeringen in zowel technologie als gespecialiseerde expertise.
• Documentatie en kwaliteitsmanagementsystemen moeten evolueren om conformiteitsbeoordelingen te ondersteunen. Technische documentatie, gebruikersinstructies, conformiteitsverklaringen en software stuklijsten (SBOM’s) worden wettelijke vereisten in plaats van optionele best practices. Organisaties hebben processen nodig die accurate, up-to-date documentatie bijhouden gedurende de gehele levenscyclus van een product.

Bij Approach Cyber helpen we organisaties met deze complexe vereisten door middel van onze uitgebreide adviesservices voor cyberbeveiliging. Ons team combineert diepgaande technische expertise met praktische ervaring op het gebied van regelgeving, waardoor we compliancestrategieën kunnen ontwikkelen die zowel aan de wettelijke verplichtingen als aan de bedrijfsdoelstellingen voldoen. We begrijpen dat cyberbeveiliging niet alleen gaat over het vermijden van boetes – het gaat over het opbouwen van duurzame concurrentievoordelen in een steeds digitalere markt.

Het Belgische voordeel: Bouwen op bestaande sterktes

De Belgische aanpak van cyberbeveiligingsregelgeving biedt unieke voordelen voor organisaties die zich voorbereiden op CRA-compliance. De succesvolle NIS2-implementatie van het land toont zowel regelgevende competentie als bedrijfsvriendelijke uitvoering, en creëert een basis van vertrouwen en samenwerking die de CRA-voorbereiding ten goede komt.

De rol van het CCB reikt verder dan handhaving en omvat ook opleiding, bewustmaking en ondersteuning voor nalevingsinspanningen. Als de aangewezen nationale cyberbeveiligingsautoriteit zal het CCB de rapportering van kwetsbaarheden coördineren, begeleidend materiaal ter beschikking stellen en fungeren als de primaire interface tussen Belgische bedrijven en de CRA-administratie op EU-niveau ¹⁶. Deze gecentraliseerde aanpak vermindert de complexiteit en biedt duidelijke kanalen voor vragen en begeleiding. Deze gecentraliseerde aanpak vermindert de complexiteit en biedt duidelijke kanalen voor vragen en begeleiding.

Het Belgische cyberbeveiligingsecosysteem biedt organisaties die zich voorbereiden op de naleving van de CRA-regels stevige ondersteuning. De Cyber Security Coalition biedt mogelijkheden voor het delen van kennis en coördinatie binnen de sector. Gevestigde adviesbureaus zoals Approach Cyber bieden gespecialiseerde expertise in naleving van de regelgeving en implementatie van security-by-design. Academische instellingen bieden onderzoeks- en opleidingsmogelijkheden die de ontwikkeling van arbeidskrachten ondersteunen.

De sterke technologiesector van het land biedt extra voordelen. Belgische bedrijven hebben uitgebreide ervaring met complexe regelgevende omgevingen, van GDPR tot NIS2 tot sectorspecifieke vereisten. Deze kennis van de regelgeving versnelt de invoering van CRA’s en verlaagt de nalevingskosten. De aanwezigheid van EU-instellingen in Brussel creëert mogelijkheden voor vroegtijdige betrokkenheid bij ontwikkelingen op het gebied van regelgeving en beleidsverduidelijking.

Kleine en middelgrote ondernemingen, die de ruggengraat vormen van de Belgische industrie, genieten van specifieke KMO-bepalingen die bedoeld zijn om de nalevingslasten te verlichten. De Europese Commissie heeft toegezegd om specifieke richtlijnen voor KMO’s te publiceren en elke lidstaat moet speciale communicatiekanalen opzetten voor micro- en kleine ^{ondernemingen17}. De gezamenlijke regelgevende aanpak van België suggereert dat deze bepalingen effectief zullen worden geïmplementeerd.

Vooruitblik: Ratingbureau in het bredere regelgevingslandschap

De CRA staat niet op zichzelf, maar maakt deel uit van een zich ontwikkelend regelgevend kader voor cyberbeveiliging dat NIS2, de Digital Operational Resilience Act (DORA) en opkomende regelgeving voor kunstmatige intelligentie omvat. Inzicht in deze onderlinge verbanden is cruciaal voor het ontwikkelen van efficiënte nalevingsstrategieën die dubbel werk voorkomen en synergieën maximaliseren.

De relatie tussen CRA en NIS2 is bijzonder belangrijk voor Belgische bedrijven. Terwijl NIS2 zich richt op organisatorische beveiligingsmaatregelen voor kritieke infrastructuur en essentiële diensten, richt het CRA zich op productbeveiliging voor digitale elementen die overal in de economie worden gebruikt. Organisaties die onder beide regels vallen, kunnen gebruikmaken van gemeenschappelijke elementen zoals kwetsbaarheidsbeheer, reactie op incidenten en beveiliging van de toeleveringsketen om op een efficiënte manier aan de regels te voldoen.

In de toekomst gaat de EU door met het ontwikkelen van aanvullende wetgeving op het gebied van cyberbeveiliging met betrekking tot kunstmatige intelligentie, IoT-apparaten en de veerkracht van kritieke infrastructuur. Organisaties die de CRA zien als onderdeel van een bredere digitale beveiligingstransformatie positioneren zichzelf voordelig voor toekomstige ontwikkelingen op het gebied van regelgeving. Principes voor beveiliging door ontwerp, robuust beheer van kwetsbaarheden en uitgebreide mogelijkheden om op incidenten te reageren dienen meerdere regelgevende kaders en creëren tegelijkertijd operationele voordelen.

De wereldwijde invloed van de CRA reikt verder dan de EU-grenzen, aangezien grote technologiebedrijven hun producten aanpassen om aan de Europese vereisten te voldoen en andere rechtsgebieden soortgelijke wetgeving overwegen. Belgische bedrijven die in een vroeg stadium CRA-compliance bereiken, behalen concurrentievoordelen in wereldwijde markten waar beveiligingsnormen snel toenemen.

Conclusie: Actiestappen voor Belgische bedrijven

De Cyber Resilience Act is zowel een nalevingsverplichting als een strategische opportuniteit voor Belgische bedrijven. Organisaties die nu beginnen met de voorbereiding kunnen de kosten spreiden over de tijd, de productontwikkelingscycli effectief beïnvloeden en zich voordelig positioneren in een markt die zich steeds meer bewust wordt van beveiliging.

Onmiddellijke actiestappen zijn onder andere:

Uitgebreide productbeoordelingen uitvoeren om de reikwijdte en classificatievereisten van de Ratingbureau’s te bepalen. Deze beoordeling moet de huidige productportfolio’s, ontwikkelingsprocessen en marktstrategieën onderzoeken om gebieden te identificeren die aandacht behoeven.

In zee gaan met cyberbeveiligingsdeskundigen die zowel de technische vereisten als de implicaties voor de regelgeving begrijpen. Op Approach Cyber helpen we organisaties bij het ontwikkelen van praktische compliancestrategieën die zowel aan de wettelijke verplichtingen als aan de bedrijfsdoelstellingen voldoen.

Het opbouwen van mogelijkheden voor het beheer van kwetsbaarheden die rapportagetermijnen kunnen halen en met meerdere CSIRT’s kunnen coördineren. Deze capaciteiten vereisen zowel technologische investeringen als procesontwikkeling.

Het integreren van security-by-designprincipes in productontwikkelingsprocessen, zodat cyberveiligheid een kernoverweging wordt in plaats van een bijzaak.

De driejarige overgangsperiode van de CRA biedt voldoende tijd voor een doordachte voorbereiding, maar vroegtijdige actie biedt aanzienlijke voordelen. Organisaties die de principes van security-by-design omarmen, investeren in robuust kwetsbaarhedenbeheer en uitgebreide mogelijkheden ontwikkelen om incidenten op te lossen, bevinden zich niet alleen in een goede positie voor naleving van de CRA-richtlijnen, maar ook voor succes in een steeds meer digitale en beveiligingsbewuste bedrijfsomgeving.

De toekomst van cyberbeveiliging ligt niet in reactieve compliance, maar in proactieve beveiligingsintegratie die zowel de regelgeving als de bedrijfsdoelstellingen dient. Belgische bedrijven hebben unieke voordelen om deze integratie tot stand te brengen en het is nu tijd om ermee te beginnen.

Op zoek naar hulp? Kijk dan eens naar onze Secure Developments Solutions.

Referenties

1. Centrum voor Cyberveiligheid België, “De Cyberweerbaarheidswet (CRA)” ccb.belgium.be/regulation/cra
2. Europese Commissie, “Cyber Resilience Act” digitale-strategie.ec.europa.eu
3. Intertek, “What Manufacturers Need to Know About the EU Cyber Resilience Act” november 2024
4. TXOne Networks, “De Cyber Resilience Act: Een gids voor fabrikanten” april 2025
5. Loyens & Loeff, “The EU Cyber Resilience Act” november 2024
6. Verordening (EU) 2024/2847, Publicatieblad van de Europese Unie
7. Ibid., artikel 13
8. Ibid., artikel 15
9. Ibid., artikel 16
10. Ibid., artikel 3, lid 14
11. Ibid., bijlagen III en IV
12. Ibid., bijlage I, deel I
13. Ibid., bijlage I, deel II
14. Ibid., artikel 13, lid 6
15. Ibid., artikel 53
16. Centrum voor cyberveiligheid België, CRA FAQ
17. Europese Commissie, richtsnoeren voor de tenuitvoerlegging van ratingbureaus