Wij maken software of slimme apparaten, raakt de Cyber Resilience Act ons?
De Cyber Resilience Act (CRA) is Europese productwetgeving voor producten met digitale elementen. Hij raakt fabrikanten, importeurs en distributeurs van hardware en software, met gefaseerde verplichtingen.
support/compliance-en-wetgeving/cyber-resilience-act-productstappen: 5
Probeer dit eerst zelf
- Bepaal of je product onder de CRA-scope valt. Software die je commercieel op de markt brengt en hardware met digitale elementen vallen er doorgaans onder.
- Maak een security-by-design dossier: dreigingsanalyse, vulnerability handling, secure update-mechanisme en een SBOM voor je componenten.
- Richt een coordinated vulnerability disclosure-proces in, met een herkenbaar contactkanaal en interne SLA om meldingen op te volgen.
- Plan productbeveiliging voor de levensduur van het product. Updates leveren tijdens de support-periode, en gebruikers helder informeren over support-einde.
- Volg de officiele tijdlijn via de Europese Commissie. CRA is in december 2024 in werking getreden; meldplicht voor actief misbruikte kwetsbaarheden geldt vanaf 11 september 2026, volledige toepassing vanaf 11 december 2027.
Wanneer ons inschakelen
Beveiligingsproducten en kritieke producten kennen strengere eisen. Heb je daar een product in, schakel een specialist in voor de conformiteitsbeoordeling.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.