Blogbericht

De Cyber Resilience Act (CRA) in 10 vragen en antwoorden

Gepubliceerd op04/03/2026
De Cyber Resilience Act (CRA) in 10 vragen en antwoorden

Table of Contents

Terwijl de NIS2-richtlijn bepaalt dat essentiële en belangrijke organisaties een bepaald niveau van cyberbeveiliging moeten behalen, introduceert de Cyber Resilience Act (CRA) naast het cyberbeveiligingsniveau op organisatieniveau ook cyberbeveiligingsvereisten op productniveau.

Producten met digitale elementen (PDE’s) moeten onder de CRA dus aan bepaalde minimumvereisten voldoen inzake cyberbeveiliging. We lichten in deze blog verder toe wat dit betekent.

Key takeaways

  • De CRA maakt cyberbeveiliging een wettelijke productvereiste. Producten met digitale elementen moeten veilig worden ontworpen, onderhouden en ondersteund gedurende hun volledige levenscyclus om op de EU-markt te mogen blijven.
  • De rol van fabrikant wordt bepaald door de positie in de keten, niet door wie de software heeft ontwikkeld. Organisaties die producten onder hun eigen naam aanbieden of software van derden integreren, kunnen juridisch als fabrikant worden beschouwd en dragen de bijhorende verplichtingen.
  • Contracten spelen een belangrijke rol in het realiseren van CRA-compliance. Fabrikanten blijven wettelijk verantwoordelijk, maar contracten bepalen hoe kwetsbaarhedenbeheer, updates en samenwerking met leveranciers worden georganiseerd en afgedwongen.
  • Voorbereiding moet nu starten, niet in 2027. Organisaties moeten hun toeleveringsketen, contracten en rollen vandaag al herzien om CRA-verplichtingen te kunnen naleven wanneer de regelgeving volledig van toepassing wordt.

1. Waarom hebben we cyberbeveiligingsvereisten voor producten nodig?

Waarom we cyberbeveiligingsvereisten voor producten met digitale elementen (hierna PDE’s of producten) nodig hebben, tonen we best aan met een eenvoudig voorbeeld.

Stel u voor: een fabrikant brengt een slim toegangscontrolesysteem op de markt dat bepaalt wie toegang krijgt tot het kantoorgebouw. De hardware en software van het systeem werken perfect. Maar 6 maanden later ontdekt een hacker een kwetsbaarheid in een softwarecomponent van het systeem. Door deze kwetsbaarheid te misbruiken, kan de hacker toegang krijgen tot het kantoorgebouw. Het is niet de fabrikant die deze softwarecomponent ontwikkelde, maar wel een leverancier van de fabrikant.

Een kwetsbaar toegangscontrolesysteem betekent een risico voor de klant van de fabrikant, namelijk de gebruiker van het systeem. Nu blijkt dat sommige klanten het systeem niet alleen gebruiken voor toegang tot het kantoorgebouw, maar ook voor toegang tot serverruimtes en industriële faciliteiten.

Deze situatie leidt tot enkele moeilijke vragen:

  • Wie is verantwoordelijk om de kwetsbaarheid op te lossen (de fabrikant of de leverancier van de kwetsbare softwarecomponent)?
  • Moeten de klanten worden geïnformeerd over de kwetsbaarheid?
  • Als de klanten moeten worden geïnformeerd, wie gaat dat dan doen?
  • Wie draagt de kosten van het oplossen van de kwetsbaarheid?
  • Wie draait op voor eventuele schade als gevolg van de kwetsbaarheid?

Tot voor kort was het antwoord op deze vragen dat het tot de contractuele vrijheid behoort om hierover afspraken te maken. Wie dan het best uit deze onderhandeling kwam, werd bepaald door de onderhandelingspositie. De Cyber Resilience Act (CRA) verandert dat.

Dit voorbeeld staat niet op zichzelf. Naast kwetsbaarheden, is het soms ook onduidelijk hoelang de fabrikant het product gaat ondersteunen of hoe vaak het product beveiligingsupdates zal krijgen.

De CRA verandert dit door fabrikanten te verplichten de cyberbeveiliging van hun producten te waarborgen gedurende de volledige levenscyclus van het product. Dit omvat onder meer:

  • beveiligd ontwerp,
  • beheer van kwetsbaarheden,
  • beveiligingsupdates en
  • incidentmelding.

Kortom, een goede cyberbeveiliging is belangrijk om een product op de EU-markt aan te mogen bieden.

2. Wat valt er onder de CRA?

Niet alle producten moeten voldoen aan de cyberbeveiligingsvereisten uit de CRA. Het gaat enkel om producten met digitale elementen die op de Europese markt worden aangeboden en die zelf, of via het toestel waarop ze draaien, gegevens kunnen uitwisselen met andere apparaten of netwerken.

Maar wat zijn producten met digitale elementen onder de CRA? Het gaat om zowel hardware- als softwareproducten, inclusief afzonderlijk op de markt gebrachte softwarecomponenten, die direct of indirect verbinding maken met netwerken of andere apparaten. Denk aan het slimme toegangscontrolesysteem uit het voorbeeld hierboven.

Een volledig offline product zonder enige vorm van connectiviteit valt in principe buiten het toepassingsgebied.

3. Vanaf wanneer is de CRA van toepassing?

De CRA is reeds in werking getreden in december 2024, maar de verplichtingen uit de CRA worden gefaseerd van toepassing.

  • De eerste belangrijke mijlpaal is september 2026. Vanaf dat moment moeten fabrikanten actief uitgebuite kwetsbaarheden en ernstige incidenten met betrekking tot hun producten melden.
  • De volledige CRA is van toepassing vanaf december 2027. Vanaf dat moment moeten alle producten met digitale elementen die op de EU-markt worden aangeboden voldoen aan de cyberbeveiligingsvereisten van de CRA.

Hoewel deze overgangsperiode lang kan lijken, worden contracten vaak voor een langere periode gesloten. Bijvoorbeeld, veel leveranciersovereenkomsten die vandaag worden afgesloten, zullen nog van kracht zijn wanneer de CRA volledig van toepassing wordt. Dit betekent dat organisaties nu al rekening moeten houden met de CRA bij het afsluiten van nieuwe contracten.

4. Op wie is de CRA van toepassing?

De CRA is van toepassing op alle marktdeelnemers die producten met digitale elementen op de EU-markt aanbieden.

Dit omvat:

  • fabrikanten
  • importeurs
  • distributeurs
  • gemachtigde vertegenwoordigers

Belangrijk is dat de CRA kijkt naar uw feitelijke rol in de keten, niet enkel naar uw contractuele kwalificatie. Als u een product onder uw eigen naam of merk op de markt brengt, wordt u beschouwd als de fabrikant. Zelfs als een andere partij het product oorspronkelijk heeft ontwikkeld. Als u een product wijzigt op een manier die de cyberbeveiliging beïnvloedt, kunt u juridisch ook als fabrikant worden beschouwd.

Dit heeft belangrijke gevolgen voor organisaties die:

  • producten onder white label aanbieden
  • software van derden integreren
  • software bundelen in hun eigen oplossingen
  • verbonden producten onder hun eigen merk doorverkopen

In deze situaties kunnen contractuele rollen en juridische rollen uiteenlopen. Uiteindelijk bepaalt de juridische rol uw wettelijke verplichtingen.

5. Wie is de fabrikant onder de CRA?

Een van de belangrijkste en vaak verkeerd begrepen vragen onder de CRA is wie een fabrikant is. Het is belangrijk om dat te weten, want de fabrikant heeft belangrijke verplichtingen onder de CRA.

De CRA definieert de fabrikant als de entiteit die het product met digitale elementen ontwikkelt of vervaardigt of die producten laat ontwerpen, ontwikkelen of vervaardigen, en die onder zijn naam of merk in de handel brengt. Met andere woorden, u kan dus ook een fabrikant zijn zonder het product zelf te produceren. 

Dit heeft belangrijke praktische gevolgen:

  • Als u een product (bv. software) onder white label aanbiedt onder uw eigen merk, bent u de fabrikant.
  • Als u een product (bv. software) van derden integreert in uw eigen product en dit als één oplossing aanbiedt, bent u de fabrikant.
  • Als u een product wijzigt op een manier die de cyberbeveiliging beïnvloedt, kunt u eveneens als fabrikant worden beschouwd.

De kwalificatie als fabrikant is dus doorslaggevend voor de vraag welke verplichtingen onder de CRA op u rusten.

6. Hoe verschilt de CRA van NIS2?

De CRA en NIS2-richtlijn worden vaak samen genoemd, maar zij regelen verschillende aspecten van cyberbeveiliging.

  • De NIS2-richtlijn richt zich op organisaties.

Dit betekent dat de NIS2-richtlijn middelgrote en grote organisaties in bepaalde sectoren verplicht om cyberbeveiligingsgovernance, risicobeheer en incidentmelding te implementeren.

  • De CRA richt zich op producten.

Dit betekent dat de CRA verplicht dat producten zelf veilig zijn voordat zij op de markt worden gebracht.

De CRA en de NIS2-richtlijn vullen elkaar wel aan. Bijvoorbeeld, zowel de CRA als de NIS2-richtlijn besteden veel aandacht aan de beveiliging van de toeleveringsketen. Cyberbeveiligingsrisico’s kunnen zich immers door de volledige toeleveringsketen verspreiden. Een kwetsbaarheid in één component kan soms zelfs duizenden downstreamproducten beïnvloeden.

7. Wat is de impact van de CRA op uw contracten?

Tot nu toe waren cyberbeveiligingsclausules vaak algemeen of risicogebaseerd geformuleerd. Begrippen zoals “passende beveiligingsmaatregelen” of “industrie-standaard beveiliging” kwamen veel voor. Met de CRA zullen dergelijke clausules niet meer voldoen.

Fabrikanten moeten bijvoorbeeld:

  • kwetsbaarheden identificeren en verhelpen
  • beveiligingsupdates verstrekken gedurende de levenscyclus van het product
  • de cyberbeveiliging van hun producten monitoren
  • kwetsbaarheden en incidenten melden
  • de cyberbeveiliging van geïntegreerde componenten waarborgen

Hoewel de CRA fabrikanten niet uitdrukkelijk verplicht om hun contracten aan te passen, hebben de CRA-verplichtingen wel indirect een impact op zowel leveranciersovereenkomsten (upstream) als klantcontracten (downstream). Organisaties doen er daarom goed aan hun bestaande contracten te herbekijken en nieuwe contracten in lijn te brengen met de CRA.

Zonder contractuele afspraken met de leverancier kan het zijn dat de fabrikant niet aan de CRA kan voldoen omdat de leverancier niet meewerkt, of omdat de leverancier bijkomende kosten aanrekent voor zijn medewerking. De CRA is mogelijks niet rechtstreeks van toepassing op de leverancier, waardoor enkel contractuele afspraken de leverancier dwingen de fabrikant te helpen bij CRA-compliance (bv. bij het verhelpen van kwetsbaarheden, zie volgende vraag).

In een afzonderlijke blogpost gaan wij dieper in op de concrete contractuele aandachtspunten en clausules die in het licht van de CRA bijzondere aandacht verdienen.

8. Wat als het product software van derden integreert?

Moderne producten bestaan zelden volledig uit eigen software. Vaak integreren producten open-sourcecomponenten, softwarebibliotheken van derden en externe softwaremodules.

De CRA houdt hier expliciet rekening mee. Fabrikanten blijven verantwoordelijk voor de cyberbeveiliging van het volledige product, inclusief geïntegreerde componenten. De CRA vereist dat fabrikanten passende zorgvuldigheid (“due diligence”) toepassen bij de integratie van componenten van derden en dat zij kwetsbaarheden zonder onnodige vertraging aanpakken in hun product als geheel.

Het feit dat een kwetsbaarheid zich bevindt in een component van een derde, ontslaat de fabrikant dus niet van zijn verplichtingen onder de CRA. Daarom is het van belang dat de afspraken (en contracten) met leveranciers voldoende duidelijk zijn om deze wettelijke verplichtingen effectief te kunnen naleven.

9. Wat als mijn product niet aan de CRA voldoet?

Indien een product met digitale elementen niet voldoet aan de vereisten van de CRA, kan dit belangrijke gevolgen hebben.

In de eerste plaats kunnen markttoezichtautoriteiten optreden. Zij kunnen de fabrikant verplichten om het product in overeenstemming te brengen met de CRA. Indien de non-conformiteit voortduurt, kunnen zij het op de markt aanbieden beperken of verbieden, of het product uit de handel laten nemen of terugroepen.

Daarnaast voorziet de CRA in administratieve geldboeten die kunnen oplopen tot 15 miljoen euro of 2,5 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Naast sancties kan niet-conformiteit ook leiden tot reputatieschade en verlies van vertrouwen bij klanten en partners.

10. Wat moet ik nu doen om te voldoen aan de CRA?

Hoewel de CRA pas volledig van toepassing wordt in 2027, moeten organisaties nu al actie ondernemen, waaronder:

  • Bepaal of u onder de CRA als fabrikant, importeur of distributeur wordt beschouwd.
  • Identificeer welke van uw producten binnen het toepassingsgebied van de CRA vallen.
  • Analyseer uw toeleveringsketen en identificeer componenten van derden.
  • Verduidelijk interne verantwoordelijkheden voor productbeveiliging, conformiteitsbeoordeling, kwetsbaarhedenbeheer en incidentmelding.
  • Herzie upstream en downstream contracten om te verzekeren dat zij verplichtingen bevatten inzake updates, kwetsbaarhedenbeheer en samenwerking.
  • Actualiseer contracttemplates zodat toekomstige overeenkomsten CRA-conform zijn.

Conclusie

Cyberbeveiliging verdient aandacht op zowel organisatieniveau als op productniveau. Terwijl het organisatieniveau wordt behandeld door de NIS2-richtlijn, behandelt de CRA het productniveau. Dit niveau gaat over het waarborgen dat producten zelf voldoen aan wettelijke cyberbeveiligingsvereisten.

De CRA bepaalt voortaan belangrijke verplichtingen voor de fabrikant, zoals het beheer van kwetsbaarheden en het bieden van ondersteuning en beveiligingsupdates tijdens de levensduur van het product. Daarnaast bepaalt de CRA hoe verantwoordelijkheden worden verdeeld in de toeleveringsketen.

Organisaties mogen de CRA zeker niet behandelen als een louter technisch project, want dan riskeren zij de impact van de CRA op hun contracten (zowel upstream als downstream) over het hoofd te zien. Daarmee creëren zij een juridisch risico.

Net zoals de NIS2-richtlijn, vereist ook de CRA een multidisciplinaire aanpak waarbij de juridische en technische teams nauw met elkaar samenwerken.

Deel op:

Geschreven door

Bernd Fiten

Bernd Fiten

Michael Thomas

Michaël Thomas

Hi! Hoe kunnen we helpen?

Heb je interne privacyhulp nodig of een externe DPO? Neem contact met ons op en we zoeken samen met jou naar de beste oplossing.

Contacteer ons

Meer artikels

Alle artikels

Jouw vertrouwde partner in data governance en compliance.

Menu

Oplossingen

Contact

ISO 27001 certification

© 2026 – CRANIUM – PrivacyverklaringCookie PolicyAlgemene Voorwaarden

  • Oplossingen
    Privacy
    Digital Law
    Data Governance
    Campus
  • Resources
    Inzichten en updates
    Het nieuwste van onze blog
    Openbaarheid van bestuur vs Inzagerecht GDPR

    Openbaarheid van bestuur vs Inzagerecht GDPR

    21 april 2026 Geen onderdeel van een categorie
    NIS 2.0 naleven? Ontdek hoe eIDAS de juiste bouwstenen aanreikt.

    NIS 2.0 naleven? Ontdek hoe eIDAS de juiste bouwstenen aanreikt.

    7 april 2026 Blogbericht
    Wat is de impact van de Cyber Resilience Act op je contracten en processen?

    Wat is de impact van de Cyber Resilience Act op je contracten en processen?

    20 maart 2026 Blogbericht
  • Werken bij
    Nieuws rond Talent
    In the spotlight: Jill | “Sales is geen spelletje om targets te halen, het gaat om impact, voor klant én collega.”

    In the spotlight: Jill | “Sales is geen spelletje om targets te halen, het gaat om impact, voor klant én collega.”

    16 september 2025 Careers
    In the spotlight: Lisa | “ik wil blijven bijleren en mijn expertise verder uitbouwen. Bij CRANIUM krijg je daar ook echt de ruimte voor.”

    In the spotlight: Lisa | “ik wil blijven bijleren en mijn expertise verder uitbouwen. Bij CRANIUM krijg je daar ook echt de ruimte voor.”

    6 juni 2025 Careers
    In the Spotlight: Enzo | “Ik vond bij CRANIUM de vrijheid om mijn eigen pad uit te stippelen”

    In the Spotlight: Enzo | “Ik vond bij CRANIUM de vrijheid om mijn eigen pad uit te stippelen”

    20 mei 2025 Careers
    Werken bij CRANIUM
  • Over
    Over
Contact