Wat is de Cyber Resilience Act?
De Cyber Resilience Act, formeel Verordening (EU) 2024/2847 en in het Nederlands de cyberweerbaarheidsverordening, is de eerste Europese wet die horizontale cybersecurity-eisen stelt aan zogenoemde producten met digitale elementen (in het Engels: products with digital elements, of PDE). Daaronder valt vrijwel alle hard- en software die op de Europese markt wordt aangeboden: van slimme thermostaten, routers en industriele besturingssystemen tot mobiele apps, besturingssoftware en bibliotheken.
De verordening trad op 10 december 2024 in werking en wordt gefaseerd van toepassing. Het achterliggende idee is eenvoudig maar verstrekkend: producten met onbekende of onbeheerde kwetsbaarheden vormen een risico voor de hele digitale keten. Door fabrikanten te verplichten hun producten secure-by-design te ontwikkelen en gedurende de hele levensduur te onderhouden, wil de EU het aantal succesvolle cyberaanvallen via onveilige producten structureel terugdringen.
Belangrijk is dat de CRA aansluit op een breder pakket aan Europese digitale wetgeving. Waar de NIS2-richtlijn zich richt op de cyberweerbaarheid van organisaties en essentiele diensten, richt de CRA zich op de veiligheid van de producten zelf. Samen met de AI Act en de DORA-verordening vormt de CRA zo een samenhangend Europees raamwerk voor digitale weerbaarheid.
Voor wie geldt de CRA?
De verordening legt verplichtingen op aan alle marktdeelnemers die producten met digitale elementen op de Europese markt aanbieden. De zwaarte van die verplichtingen verschilt per rol:
- Fabrikanten: dragen verreweg de meeste verantwoordelijkheid. Zij moeten het product veilig ontwerpen, een risicobeoordeling uitvoeren, kwetsbaarheden afhandelen, technische documentatie opstellen en de conformiteit aantonen.
- Importeurs: mogen alleen producten op de markt brengen die aan de CRA voldoen en moeten dat actief controleren.
- Distributeurs: moeten met de nodige zorgvuldigheid handelen en nagaan of een product de vereiste CE-markering en documentatie heeft.
Een belangrijk aandachtspunt: een importeur of distributeur wordt juridisch als fabrikant aangemerkt, met alle bijbehorende verplichtingen, zodra hij een product onder zijn eigen naam of merk verkoopt of het product wezenlijk wijzigt. Voor organisaties die open-source software op structurele en duurzame basis beheren, de zogeheten open-source software stewards, geldt een lichter regime met een beperktere meldplicht.
De drie productcategorieen
Niet elk product valt onder hetzelfde regime. De CRA deelt producten met digitale elementen in op basis van hun risico, en bepaalt zo welke conformiteitsroute een fabrikant moet volgen.
| Categorie | Voorbeelden | Conformiteitsbeoordeling |
|---|---|---|
| Standaard (default) | Circa 90% van alle producten, zoals tekstverwerkers, fotobewerkers en slimme speakers | Zelfbeoordeling door de fabrikant |
| Belangrijk - klasse I | Wachtwoordmanagers, netwerkbeheersoftware, VPN's, identity-managementsystemen | Zelfbeoordeling mits geharmoniseerde normen worden toegepast, anders externe toetsing |
| Belangrijk - klasse II | Firewalls, inbraakdetectiesystemen, hypervisors, tamper-resistant microprocessors | Altijd verplichte beoordeling door een externe instantie |
| Kritiek (critical) | Hardware security modules, smartcards en producten met de hoogste risico's | Europese cybersecurity-certificering (EUCC) verplicht |
De volledige lijsten van belangrijke en kritieke producten staan in de bijlagen van de verordening (Annex III en IV). Voor de overgrote meerderheid van producten volstaat een zelfbeoordeling, maar juist de producten die het hart vormen van de IT-beveiliging vallen onder het strengste regime.
De essentiele beveiligingsvereisten
De kern van de CRA bestaat uit een set essentiele cyberbeveiligingsvereisten die in Annex I van de verordening zijn vastgelegd. Deze zijn opgesplitst in twee delen: eisen aan de eigenschappen van het product zelf, en eisen aan de manier waarop de fabrikant met kwetsbaarheden omgaat. Concreet betekent dit onder meer dat een product:
- zonder bekende, uitbuitbare kwetsbaarheden op de markt wordt gebracht;
- standaard met een veilige configuratie wordt geleverd (secure-by-default);
- gegevens vertrouwelijk en integer verwerkt, met passende encryptie waar nodig;
- het aanvalsoppervlak beperkt en bescherming biedt tegen ongeoorloofde toegang;
- beveiligingsupdates kan ontvangen, waar mogelijk automatisch en gescheiden van functionele updates.
Daarnaast moet de fabrikant een proces inrichten voor het afhandelen van kwetsbaarheden, inclusief een Software Bill of Materials (SBOM) die inzicht geeft in de gebruikte componenten. Een belangrijke verplichting is de ondersteuningsperiode: gedurende de verwachte levensduur van het product, en ten minste vijf jaar, moet de fabrikant beveiligingsupdates kosteloos beschikbaar stellen. Dit voorkomt dat consumenten en bedrijven blijven werken met producten waarvoor geen patches meer verschijnen.
Op zoek naar een security of compliance functie?
Vind de beste IT compliance, security en privacy vacatures in Nederland. Van junior tot management niveau.
Bekijk Security VacaturesMeldplicht voor kwetsbaarheden en incidenten
Een van de meest concrete en vroege verplichtingen is de meldplicht. Vanaf 11 september 2026 moeten fabrikanten actief misbruikte kwetsbaarheden en ernstige beveiligingsincidenten melden bij het bevoegde CSIRT en het Europese agentschap ENISA. De CRA hanteert daarvoor strakke termijnen:
| Stap | Termijn |
|---|---|
| Vroege waarschuwing (early warning) | Binnen 24 uur na ontdekking |
| Volledige melding met details | Binnen 72 uur na ontdekking |
| Eindrapportage | Uiterlijk 14 dagen na beschikbaar zijn van een corrigerende maatregel (kwetsbaarheid) of binnen een maand (ernstig incident) |
Deze meldcyclus lijkt sterk op de meldplicht die organisaties al kennen onder NIS2. Voor fabrikanten betekent het dat zij een goed werkend incident- en kwetsbaarhedenproces moeten inrichten, met duidelijke verantwoordelijkheden en monitoring, ruim voordat de bredere verplichtingen in 2027 ingaan.
De tijdlijn: belangrijke data
De CRA kent een gefaseerde invoering. Dat geeft organisaties tijd om zich voor te bereiden, maar de eerste deadlines komen sneller dichterbij dan veel bedrijven denken.
| Datum | Wat gaat in |
|---|---|
| 10 december 2024 | Inwerkingtreding van de verordening |
| 11 juni 2026 | Regels voor aangemelde conformiteitsbeoordelingsinstanties |
| 11 september 2026 | Meldplicht voor actief misbruikte kwetsbaarheden en ernstige incidenten |
| 11 december 2027 | Alle overige verplichtingen, waaronder CE-markering en essentiele eisen |
CE-markering en conformiteitsbeoordeling
Net als bij andere productwetgeving in de EU wordt cybersecurity onder de CRA zichtbaar via de CE-markering. Vanaf december 2027 mag een fabrikant een product met digitale elementen pas op de markt brengen als hij de juiste conformiteitsbeoordeling heeft doorlopen en kan aantonen dat het product aan de essentiele eisen voldoet. De CE-markering wordt daarmee een zichtbaar bewijs dat ook de digitale veiligheid op orde is.
Welke route een fabrikant kiest, hangt af van de productcategorie. Voor standaardproducten en veel klasse I-producten volstaat een interne zelfbeoordeling, mits de fabrikant geharmoniseerde normen toepast. Voor klasse II-producten is altijd een onafhankelijke conformiteitsbeoordeling door een aangemelde instantie verplicht, en voor kritieke producten geldt een Europese cybersecurity-certificering. Dit principe lijkt op de gestructureerde aanpak die je ook terugziet bij een ISO 27001-certificering: aantoonbaarheid en onafhankelijke toetsing staan centraal.
Toezicht en handhaving in Nederland
In Nederland wordt de uitvoering van de CRA geregeld via de Uitvoeringswet verordening cyberweerbaarheid. De Rijksinspectie Digitale Infrastructuur (RDI) is aangewezen als markttoezichthouder, mede vanwege haar bestaande rol bij de Radioapparatenrichtlijn, NIS2 en de AI Act. De RDI kan producten controleren, corrigerende maatregelen eisen, een product uit de handel laten nemen of het op de Nederlandse markt verbieden.
De sancties zijn fors. Het niet naleven van de essentiele cyberbeveiligingsvereisten kan leiden tot boetes tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet van het voorgaande boekjaar, afhankelijk van welk bedrag hoger is. Daarmee verschuift productveiligheid definitief van een kwaliteitsvraagstuk naar een wettelijke plicht met serieus toezicht. Voor compliance-afdelingen betekent dit dat de CRA hoog op de agenda hoort te staan, ook bij organisaties die zichzelf niet meteen als softwarefabrikant beschouwen.
Wat de CRA betekent voor jouw carriere
Net als NIS2 en de AI Act zorgt de Cyber Resilience Act voor een groeiende vraag naar professionals die regelgeving en techniek met elkaar kunnen verbinden. Bedrijven die hardware of software ontwikkelen moeten hun productontwikkeling, security en compliance veel nauwer op elkaar afstemmen. Dat creeert kansen voor mensen met kennis van secure development, productcompliance en kwetsbaarhedenbeheer.
De CRA raakt onder meer de volgende rollen:
- Product Security Officer / PSIRT-lead: een groeiende rol gericht op de beveiliging van producten en het afhandelen van kwetsbaarheden gedurende de levenscyclus.
- CISO: productveiligheid en compliance worden onderdeel van de bredere security-strategie en bestuurlijke verantwoordelijkheid.
- IT Security Officer: vertaalt de essentiele eisen naar concrete maatregelen binnen ontwikkel- en beheerprocessen.
- IT auditor: de vraag naar auditors die conformiteitsbeoordelingen en SBOM-processen kunnen toetsen neemt toe.
- GRC-manager: brengt CRA, NIS2 en AI Act samen in een geintegreerd compliance-raamwerk.
Voor professionals die zich willen onderscheiden, is kennis van de Cyber Resilience Act in 2026 en 2027 een waardevolle aanvulling op het profiel. Wie nu investeert in secure-by-design, kwetsbaarhedenbeheer en productcompliance, speelt in op een vraag die de komende jaren alleen maar groter wordt. Benieuwd hoe de bredere arbeidsmarkt zich ontwikkelt? Lees dan ook onze salaristrends voor 2026.