ISMS Copilot
Ondersteunde frameworks

EU Cyber Resilience Act (CRA) voor productfabrikanten

De EU Cyber Resilience Act (CRA) is een verordening die fabrikanten van producten met digitale elementen verplicht om gedurende de gehele levenscyclus van het product aan cybersecurity-eisen te voldoen. De CRA is in 2024 aangenomen en de handhaving begint eind 2027. Het doel is de beveiliging van aangesloten apparaten, software en hardware die in de EU worden verkocht te verbeteren door veilig ontwerp, kwetsbaarheidsbeheer en transparantie over beveiligingseigenschappen verplicht te stellen.

De CRA is van toepassing op productfabrikanten, niet op dienstverleners. Als u SaaS- of clouddiensten aanbiedt, is de CRA waarschijnlijk niet op u van toepassing — richt u in dat geval op NIS2, AVG (GDPR) of DORA.

Wie moet er voldoen?

De CRA is van toepassing op fabrikanten die "producten met digitale elementen" op de EU-markt brengen:

  • Hardwarefabrikanten: IoT-apparaten, routers, smart home-apparaten, industriële sensoren, netwerkapparatuur

  • Softwareleveranciers: Besturingssystemen, browsers, beveiligingssoftware, productiviteitsapplicaties, mobiele apps (indien verkocht als zelfstandige producten)

  • Fabrikanten van embedded systemen: Medische apparatuur, auto-onderdelen, slimme huishoudelijke apparaten met firmware

  • Beheerders van open-source software: Organisaties die commerciële ondersteuning bieden of CE-markering aanvragen voor open-source producten

Producten die zijn vrijgesteld van de CRA zijn onder meer:

  • Medische hulpmiddelen, voertuigsystemen en luchtvaartsystemen die al vallen onder sectorspecifieke EU-regelgeving

  • Pure SaaS- of clouddiensten (geen downloadbare software)

  • Maatwerksoftware die voor één enkele klant is ontwikkeld

  • Open-source software die buiten commerciële activiteiten om wordt ontwikkeld of geleverd (geen CE-markering of commercialisering)

Als u hardware produceert of downloadbare software verkoopt in de EU, is de CRA waarschijnlijk van toepassing.

CRA-risicoclassificatie

Producten worden ingedeeld in risicoklassen die de nalevingsvereisten bepalen:

Standaardproducten (standaard cybersecurity):

  • De meeste consumenten- en zakelijke producten (smart home-apparaten, productiviteitssoftware, netwerkapparatuur)

  • Zelfbeoordeling voor conformiteit

  • Fabrikant verklaart naleving via CE-markering

Belangrijke producten (Klasse I):

  • Identiteitsbeheersystemen, authenticatietools, VPN's, firewalls, antivirus, browsers, wachtwoordbeheerders

  • Producten die integraal deel uitmaken van kritieke infrastructuur of hoogwaardige activa

  • Conformiteitsbeoordeling door een derde partij vereist

  • Een aangemelde instantie (Notified Body) beoordeelt het ontwerp en de processen

Kritieke producten (Klasse II):

  • Besturingssystemen, hypervisors, industriële besturingssystemen, slimme meters, smartcards voor betalingen

  • Hoogste mate van toezicht met uitgebreide beoordeling door derden

  • Aangemelde instantie auditeert de ontwikkelingscyclus en beveiligingscontroles

De meeste fabrikanten zullen zichzelf indelen in de "standaardklasse", tenzij hun product expliciet wordt vermeld in de bijlagen van de CRA.

Een onjuiste classificatie van het risiconiveau van uw product kan leiden tot niet-naleving. Bestudeer CRA-bijlagen III (Belangrijk) en IV (Kritiek) zorgvuldig, of raadpleeg een aangemelde instantie.

Kernvereisten

Alle producten met digitale elementen moeten voldoen aan essentiële cybersecurity-eisen:

Veilig door ontwerp en standaardinstellingen (secure by design and default):

  • Minimaliseer het aanvalsoppervlak (schakel onnodige functies, diensten en poorten standaard uit)

  • Veilige standaardinstellingen (sterke authenticatie, encryptie standaard ingeschakeld)

  • Principe van de minste privileges (beperkte machtigingen voor processen en gebruikers)

  • Defense in depth (gelaagde beveiligingscontroles)

Afhandeling van kwetsbaarheden:

  • Publiceer een beleid voor de openbaarmaking van kwetsbaarheden (VDP) met contactinformatie

  • Beoordeel en verhelp gemelde kwetsbaarheden binnen gestelde termijnen (kritiek: 24-72 uur; hoog: 14 dagen; medium: 90 dagen)

  • Meld actief misbruikte kwetsbaarheden aan gebruikers en ENISA (het EU-agentschap voor cyberbeveiliging)

  • Bied beveiligingsupdates gedurende de verwachte levensduur van het product of minimaal 5 jaar (welke van de twee het langst is)

Veilige updates:

  • Lever beveiligingspatches automatisch of met een melding aan de gebruiker

  • Zorg dat updates geauthenticeerd (ondertekend) zijn en niet gemanipuleerd kunnen worden

  • Sta herstel naar eerdere versies toe als updates mislukken

Gegevensbescherming:

  • Bescherm de vertrouwelijkheid en integriteit van opgeslagen en verzonden gegevens (encryptie in rust en in transit)

  • Implementeer veilige opslag van inloggegevens (geen hardcoded wachtwoorden)

  • Verwerk alleen noodzakelijke gegevens (dataminimalisatie)

Weerbaarheid en beschikbaarheid:

  • Bescherm tegen denial-of-service-aanvallen

  • Zorg voor functionaliteit onder abnormale omstandigheden of bij aanvallen

  • Bied logging- en monitoringmogelijkheden voor beveiligingsgebeurtenissen

Transparantie en documentatie:

  • Geef gebruikers duidelijke beveiligingsinstructies (hoe veilig te configureren, hoe te updaten, hoe kwetsbaarheden te melden)

  • Publiceer een Software Bill of Materials (SBOM) met een lijst van componenten en afhankelijkheden

  • Vermeld de ondersteunde levensduur en de data voor het einde van de ondersteuning

Conformiteitsbeoordeling

Fabrikanten moeten conformiteit aantonen voordat zij producten op de EU-markt brengen:

Voor standaardproducten:

  1. Voer een risicobeoordeling en beveiligingstests uit

  2. Bereid technische documentatie voor (ontwerpspecificaties, SBOM, testresultaten, beveiligingsmaatregelen)

  3. Stel de EU-conformiteitsverklaring op

  4. Breng de CE-markering aan

  5. Registreer het product in de EU-database (beheerd door ENISA)

Voor belangrijke/kritieke (Klasse I/II) producten:

  1. Voltooi de bovenstaande stappen

  2. Schakel een aangemelde instantie (geaccrediteerde externe beoordelaar) in

  3. Onderga een ontwerpbeoordeling en/of audit van de cybersecurityprocessen

  4. Ontvang het certificaat van de aangemelde instantie

  5. Breng de CE-markering aan inclusief het ID van de aangemelde instantie

  6. Registreer het product in de EU-database

Beoordelingen door aangemelde instanties kunnen 3 tot 12 maanden duren en kosten tussen de €20.000 en €100.000+, afhankelijk van de complexiteit van het product.

Begin vroegtijdig met de conformiteitsbeoordeling. Voor Klasse I/II producten kunnen vertragingen in de beschikbaarheid van aangemelde instanties uw marktintroductie met 6 tot 12 maanden vertragen.

Verplichtingen gedurende de levenscyclus

De CRA-verplichtingen blijven van kracht na de marktintroductie:

  • Continue monitoring: Volg kwetsbaarheidsrapporten, threat intelligence en exploits die invloed hebben op uw product

  • Incidentrapportage: Meld binnen 24 uur na ontdekking actief misbruikte kwetsbaarheden of ernstige incidenten die de productbeveiliging aantasten aan ENISA

  • Levering van updates: Zorg voor tijdige beveiligingsupdates gedurende de ondersteunde levensduur (minimaal 5 jaar)

  • Archivering: Bewaar technische documentatie en bewijs van conformiteit gedurende 10 jaar

  • Samenwerking met markttoezicht: Reageer op verzoeken van EU-autoriteiten voor markttoezicht

Het niet handhaven van de naleving na marktintroductie kan leiden tot productterugroepingen of een verkoopverbod.

Sancties bij niet-naleving

De CRA bevat aanzienlijke financiële sancties:

  • Tot €15 miljoen of 2,5% van de wereldwijde jaaromzet (welke van de twee het hoogst is) voor het niet naleven van de essentiële eisen

  • Tot €10 miljoen of 2% van de omzet voor het niet meewerken met autoriteiten of het niet verstrekken van documentatie

  • Tot €5 miljoen of 1% van de omzet voor het verstrekken van onjuiste of onvolledige informatie

Lidstaten kunnen aanvullende sancties opleggen, waaronder productterugroepingen, marktverboden of strafrechtelijke aansprakelijkheid bij ernstige overtredingen.

Tijdlijn en transitie

De CRA is in 2024 aangenomen met een gefaseerde implementatie:

  • Eind 2027: Volledige handhaving van de CRA begint (exacte datum nog te bepalen na officiële publicatie)

  • Overgangsperiode: Producten die al op de markt zijn vóór de handhaving mogen blijven, maar updates moeten voldoen aan de CRA-vereisten voor het afhandelen van kwetsbaarheden

  • Accreditatie van aangemelde instanties: Lidstaten wijzen gedurende 2025-2027 aangemelde instanties aan

Fabrikanten moeten nu beginnen met de voorbereiding op naleving, vooral voor Klasse I/II producten die een beoordeling door derden vereisen.

De CRA bevat een "gratieperiode" voor beheerders van open-source software, maar de details hiervan worden nog uitgewerkt. Houd de uitvoeringsbesluiten van de EU in de gaten voor verduidelijking.

Belangrijke documentatie

Fabrikanten moeten het volgende opstellen en onderhouden:

  • Technische documentatie: Productbeschrijving, ontwerpspecificaties, risicobeoordeling, SBOM, resultaten van beveiligingstests, bewijs van veilige ontwikkelingscyclus

  • EU-conformiteitsverklaring: Formele verklaring dat het product voldoet aan de CRA-eisen

  • Beleid voor openbaarmaking van kwetsbaarheden: Gepubliceerd proces voor het ontvangen en afhandelen van kwetsbaarheidsrapporten

  • Beveiligingsinstructies: Richtlijnen voor gebruikers over veilige configuratie, updates en incidentrapportage

  • Conformiteitscertificaten: Certificaten van aangemelde instanties voor Klasse I/II producten

CRA en andere regelgeving

De CRA overlapt en werkt samen met andere EU-regelgeving:

  • AVG (GDPR): De eisen voor gegevensbescherming in de CRA vullen de AVG aan (maar vervangen deze niet)

  • NIS2: De CRA richt zich op producten; NIS2 richt zich op de beveiliging van organisaties en incidentrapportage voor dienstverleners

  • AI Act: Producten met AI moeten mogelijk voldoen aan zowel de CRA (cybersecurity) als de AI Act (veiligheid, transparantie)

  • Richtlijn Radioapparatuur (RED): Draadloze producten moeten aan zowel de RED als de CRA voldoen

  • Verordening Machines: Industriële machines met digitale elementen moeten aan beide voldoen

Coördineer compliance over verschillende regelgevingen heen om dubbel werk of tegenstrijdige vereisten te voorkomen.

Hoe ISMS Copilot helpt

ISMS Copilot kan de voorbereiding op CRA-naleving ondersteunen:

  • Beleid maken: Genereer beleid voor openbaarmaking van kwetsbaarheden, beleid voor veilige ontwikkeling en procedures voor incidentrespons

  • Risicobeoordeling: Ontwikkel sjablonen voor risicobeoordeling van productbeveiliging

  • Procesdocumentatie: Maak veilige SDLC-procedures (threat modeling, secure coding, beveiligingstesten, patchbeheer)

  • Content voor gebruikers: Stel beveiligingsinstructies op voor productdocumentatie

  • Gap-analyse: Upload bestaande documentatie over productbeveiliging om tekortkomingen te identificeren

Hoewel ISMS Copilot nog geen specifieke CRA-kennismodule heeft, kunt u algemene vragen stellen over veilige productontwikkeling, kwetsbaarheidsbeheer en best practices voor SBOM.

Probeer eens: "Maak een beleid voor de openbaarmaking van kwetsbaarheden voor een hardwarefabrikant" of "Wat moet ik opnemen in de documentatie voor productbeveiliging?"

Aan de slag

Voorbereiden op CRA-naleving met ISMS Copilot:

  1. Classificeer uw producten op basis van de CRA-risicoklasse (standaard, Klasse I, Klasse II)

  2. Maak een specifieke werkruimte aan voor uw CRA-complianceproject

  3. Voer een risicobeoordeling voor productbeveiliging uit (identificeer bedreigingen, kwetsbaarheden en impacts)

  4. Gebruik de AI om een beleid voor de openbaarmaking van kwetsbaarheden te genereren

  5. Ontwikkel procedures voor een veilige ontwikkelingscyclus (threat modeling, code review, beveiligingstests, updateprocessen)

  6. Maak een Software Bill of Materials (SBOM) voor elk product

  7. Stel beveiligingsinstructies op voor gebruikers (veilige configuratie, updateprocedures, melding van kwetsbaarheden)

  8. Identificeer en benader voor Klasse I/II producten in een vroeg stadium een aangemelde instantie

Gerelateerde bronnen

  • Officiële tekst van de CRA-verordening (EU 2024/XXXX — raadpleeg EUR-Lex voor de definitieve publicatie)

  • ENISA CRA-richtlijnen en veelgestelde vragen

  • Registers van aangemelde instanties (lijsten van lidstaten met geaccrediteerde beoordelaars)

  • SBOM-standaarden (SPDX, CycloneDX)

Was dit nuttig?