CRA compliance: Wat de Cyber Resilience Act betekent voor jouw digitale producten

CRA

Key takeaways

  • De Cyber Resilience Act (CRA) legt minimumvereisten vast voor de cybersecurity van producten met digitale elementen.
  • De wet richt zich niet op organisaties, maar op de producten zelf.
  • Wie een digitaal product op de EU-markt brengt, moet aantonen dat het veilig ontworpen, gebouwd én onderhouden wordt.
  • Security moet geïntegreerd worden in zowel de bouwfase (secure-by-design) als de supportfase.
  • Kwetsbaarheden moeten actief opgevolgd worden en ernstige incidenten moeten vanaf september 2026 gemeld worden.
  • CE-markering wordt het bewijs van conformiteit, gebaseerd op gedocumenteerde processen en risicoanalyses.
  • De volledige toepassing van de CRA volgt in december 2027, maar compliance vraagt tijdige voorbereiding.

Introductie: Europa trekt een duidelijke lijn

Europa streeft naar een veilige digitale toekomst. Dat doet ze op allerlei manieren. Een van de concrete stappen in die richting is het veiliger maken van digitale producten.

Met de Cyber Resilience Act (CRA) legt de Europese Unie een duidelijke ondergrens vast voor cybersecurity in producten met digitale elementen. Waar NIS2 zich richt op het beveiligen van organisaties, richt de CRA zich op iets anders: de producten zelf.

Tot voor kort konden producenten vaak zeggen: “Hier is ons product. De klant moet het veilig gebruiken.” De verantwoordelijkheid lag grotendeels bij de gebruiker zelf. Deze CRA draait dat principe om: Wie een product met digitale elementen op de Europese markt brengt, moet voortaan kunnen aantonen dat het product veilig ontworpen, gebouwd én onderhouden wordt.

De CRA is dus meer dan een nieuwe regel. Ze maakt van cybersecurity een standaardonderdeel van digitale producten. Wat betekent dat concreet voor producenten en leveranciers? Dat ontdek je in deze blog.

Wat is de Cyber Resilience Act (CRA)?

De Cyber Resilience Act (CRA) is een Europese wet die minimumvereisten vastlegt voor de cybersecurity van producten met digitale elementen.

Kort gezegd: de CRA bepaalt welk beveiligingsniveau een digitaal product moet halen vóór het op de Europese markt mag worden gebracht.

Waar NIS2 organisaties verplicht om hun systemen en processen beter te beveiligen, richt de CRA zich op het product zelf. Het doel is om ervoor te zorgen dat digitale producten van bij de start veilig worden ontworpen en gebouwd, en dat ze ook veilig blijven nadat ze verkocht zijn.

Deze wet wil vooral één fundamenteel probleem aanpakken: te vaak werden producten op de markt gebracht zonder voldoende aandacht voor cybersecurity. Updates zijn beperkt, kwetsbaarheden worden laattijdig opgevolgd en de verantwoordelijkheid werd doorgeschoven naar de klant.

Met de CRA trekt Europa een duidelijke lijn. Wie een product met digitale elementen verkoopt in de EU, moet:

  • Security integreren in het ontwerp en de ontwikkeling
  • Kwetsbaarheden actief opvolgen
  • Security-updates voorzien (gedurende de voorziene levensduur van het product)
  • Kunnen aantonen dat dit alles structureel gebeurt

Het gaat dus niet om een eenmalige technische controle of een typische ‘check-in-the-box’ oefening. Het gaat om een blijvende verantwoordelijkheid over de volledige levenscyclus van het product.

Op wie is de CRA van toepassing?

De Cyber Resilience Act is niet sectorgebonden. Het gaat dus niet enkel over kritieke infrastructuur, zorginstellingen of financiële spelers zoals bij NIS2.

De CRA is van toepassing op iedereen die een product met digitale elementen op de Europese markt brengt.

Onder een product wordt begrepen: “Een software- of hardwareproduct en de bijbehorende oplossingen voor gegevensverwerking op afstand” Het kan dus gaan over standalone software (zoals applicaties of programmas), hardware met embedded software (zoals internet of things devices), standalone hardware (zoals integrated circuits of moederborden) of een combinatie van deze opties.

Producten kunnen op de Europese markt gebracht worden door:

  • De producent
  • De fabrikant
  • De importeur
  • Of elke welke partij die het product als eerste in de EU aanbiedt (ook van buiten de EU)

In de praktijk gaat het meestal om de producent. Maar ook importeurs dragen verantwoordelijkheid. Breng je een product op de Europese markt, dan moet je kunnen aantonen dat het voldoet aan de CRA-vereisten.

Geldt dit ook voor kmo’s?

Ja. De grootte van je organisatie speelt geen rol. Breng je een digitaal product op de markt, dan val je onder de CRA. Ook kleine en middelgrote ondernemingen moeten voldoen aan de basisvereisten.

Europa erkent wel dat dit voor kmo’s een grotere uitdaging kan vormen. Daarom worden er ondersteuningsmaatregelen voorzien, onder meer via initiatieven zoals de Secure4SME cascade funding call. Binnen deze oproep kunnen Europese kmo’s financiële steun aanvragen om hun cybersecurity te versterken en zich voor te bereiden op de CRA.

Wil je hier dieper op ingaan?

Cingulum kan organisaties begeleiden bij het in kaart brengen van hun huidige maturiteit, het uitwerken van een CRA-roadmap en het implementeren van de nodige technische en governanceprocessen. We ondersteunen niet alleen bij de inhoudelijke voorbereiding op de CRA, maar helpen ook inschatten hoe initiatieven zoals Secure4SME strategisch kunnen worden ingezet.

Wil je weten waar jouw organisatie vandaag staat en of je in aanmerking komt voor ondersteuning? Dan bekijken we dit graag samen in een verkennend gesprek.

Contacteer ons
Meer over CRA

Is elk digitaal product gelijk behandeld?

Nee. De CRA hanteert een risico-gebaseerde aanpak. Hoe groter de impact van je product op de veiligheid van gebruikers of andere systemen, hoe strenger de vereisten kunnen zijn.

Een product dat een kritieke functie vervult, zoals een besturingssysteem of een slim voertuigcomponent, zal zwaarder beoordeeld worden dan een minder impactvol product. Maar de basis blijft dezelfde: wie een product met digitale elementen verkoopt in de EU, moet aantonen dat het veilig is ontworpen en dat het veilig blijft gedurende de levensduur.

Wat verandert er concreet? Twee grote verplichtingen

De Cyber Resilience Act brengt heel wat nieuwe en bekende terminologie met zich mee. Maar in de praktijk komt het neer op twee grote verplichtingen. De wet onderscheidt twee fases in de levenscyclus van een product: de bouwfase en de supportfase. Met andere woorden: je moet een product veilig bouwen én veilig houden.

1. De bouwfase: producten veilig bouwen

De eerste grote verandering zit in de ontwikkelingsfase. Security mag geen extra laag zijn die je achteraf toevoegt, maar moet ingebouwd zitten in het ontwerp en de ontwikkeling van het product zelf.

De CRA spreekt vaak over secure-by-design. Dat klinkt abstract, maar het principe is eenvoudig: vanaf het eerste ontwerp moet nagedacht worden over hoe het product misbruikt kan worden en hoe je dat voorkomt. Hetzelfde principe kennen we uit de GDPR, waar gesproken wordt over Data Protection by Design.

Dat kan gaan over zaken zoals authenticatie van de gebruiker bij eerste installatie, het vermijden van standaardinstellingen die misbruikt kunnen worden, of het afschermen van gevoelige interne interfaces, maar daar blijft het niet bij. De exacte maatregelen hangen af van het type product en het risico dat ermee gepaard gaat.

Wat wél vaststaat, is dat producenten moeten kunnen aantonen dat ze:

  • de risico’s in kaart hebben gebracht,
  • bewuste beveiligingskeuzes hebben gemaakt in ingebouwd,
  • en die keuzes ook hebben gedocumenteerd.

Het gaat dus minder om een vaste technische checklist en meer om een gestructureerde manier van werken. Security wordt een vast onderdeel van de development lifecycle.

2. De supportfase: Producten veilig houden

De tweede grote verandering speelt zich af ná de verkoop.

Vroeger stopte de verantwoordelijkheid van veel producenten grotendeels op het moment dat het product werd geleverd. Updates waren beperkt in tijd, kwetsbaarheden werden reactief opgevolgd en de verdere beveiliging lag vaak bij de klant.

De CRA verandert dat fundamenteel. Producenten moeten kwetsbaarheden actief blijven monitoren, opvolgen en waar nodig oplossen. Dat betekent dat je niet alleen een veilig product moet bouwen, maar ook moet voorzien in een mechanisme om security-updates uit te rollen. Die updates moeten beschikbaar blijven gedurende de voorziene levensduur van het product.

Met andere woorden: cybersecurity wordt een blijvende verplichting.

Daarnaast introduceert de CRA ook meldverplichtingen. Vanaf september 2026 moeten actief uitgebuite kwetsbaarheden en ernstige incidenten met impact op de veiligheid van het product gemeld worden aan de bevoegde autoriteiten. Dat vraagt niet alleen technische capaciteit, maar ook duidelijke interne processen.

En dat is een uitdaging. Veel organisaties onderschatten hoeveel structurele opvolging dit vraagt. Het gaat om:

  • duidelijke verantwoordelijkheden binnen het bedrijf,
  • processen voor vulnerability management,
  • documentatie en bewijslast,
  • en een langetermijnvisie op productondersteuning.

Het veilig houden van een product is geen eenmalige actie. Het is een operationele keuze die jaren kan doorlopen.

Hoe begin je als bedrijf aan CRA?

Voor veel organisaties voelt de CRA groot en technisch aan. De reflex is dan vaak om meteen naar oplossingen te zoeken in extra tools of extra controles. Maar de eerste vraag die je jezelf moet stellen is eenvoudiger: waar sta je vandaag? Heb je al processen rond secure development?
Worden kwetsbaarheden systematisch opgevolgd? Is er een duidelijke updateprocedure?
Worden risicoanalyses uitgevoerd en gedocumenteerd?

Een goede start bestaat meestal uit drie stappen:

1. Inzicht creëren

Breng in kaart welke processen al bestaan en waar de grootste lacunes zitten. Dit geeft een realistisch beeld van je huidige maturiteit.

2.Prioriteiten bepalen

Niet alles moet tegelijk. De CRA werkt risico-gebaseerd. Focus eerst op wat de grootste impact heeft op de veiligheid van je product.

3. Structureel verankeren

Security moet geïntegreerd worden in je development- en supportprocessen. Dat betekent duidelijke verantwoordelijkheden, documentatie en opvolging.

Belangrijk hierbij is het embedden van deze werking in heel je organisatie. Dit is geen project met een einddatum, maar eerder een aangepaste manier van werken. De bedrijven die dit strategisch aanpakken, gebruiken de CRA niet alleen om compliant te zijn met de wetgeving, maar ook om hun productkwaliteit te verhogen en het vertrouwen bij de klant een boost te geven.

Hoe toon je aan dat je compliant bent?

Compliant zijn is één ding. Het kunnen aantonen is iets anders.

De CRA verwacht niet alleen dat je beveiligingsmaatregelen neemt, maar ook dat je kan bewijzen dat je ze hebt genomen. Dat betekent: documentatie, onderbouwing en transparantie.

Een centrale rol hierin is weggelegd voor de CE-markering. Net zoals bij andere Europese productwetgevingen zal de CE-markering aangeven dat je product voldoet aan de geldende eisen, waaronder de vereisten uit de CRA. Maar die markering is geen formaliteit. Ze moet gebaseerd zijn op een onderbouwde conformiteitsbeoordeling.

Concreet betekent dit dat je onder andere moet kunnen aantonen:

  • Welke risicoanalyse werd uitgevoerd
  • Welke beveiligingsmaatregelen werden genomen
  • Hoe kwetsbaarheden worden opgevolgd
  • Hoe updates worden uitgerold
  • Welke interne processen hiervoor bestaan

De CRA vereist bovendien dat bepaalde informatie publiek beschikbaar (bvb. In de technische documentatie en gebruikersinformatie) wordt gemaakt, zoals relevante risico’s en beveiligingsaspecten van het product. Transparantie wordt dus een onderdeel van compliance.

VLAIO Cybersecurity

Haalbare cybersecuritytrajecten voor kmo's?

Dat kunnen wij bieden! 

Als partner en dienstverlener van VLAIO Cybersecurity verbetertrajecten, kunnen we tot 50% subsidie bieden aan kmo’s, maatwerkbedrijven of bedrijven die onder NIS2 vallen en nog heel wat werk aan de winkel hebben.

Benieuwd? Ontdek ons aanbod!

Meer informatie

Deadlines en compliance

De Cyber Resilience Act treedt niet van de ene dag op de andere volledig in werking. Er zijn duidelijke overgangsperiodes voorzien. Maar dat betekent niet dat bedrijven kunnen wachten tot het laatste moment.

Een eerste belangrijke datum is 11 september 2026. Vanaf dan gelden de meldverplichtingen volledig. Dat betekent dat actief uitgebuite kwetsbaarheden en ernstige incidenten met impact op de veiligheid van producten met digitale elementen gemeld moeten worden aan de bevoegde autoriteiten.

De volledige toepassing van de CRA volgt later, op 11 december 2027. Vanaf dat moment moeten producten die op de Europese markt worden gebracht volledig voldoen aan de vastgelegde beveiligingsvereisten.

Wie wacht tot 2026 of 2027 om te starten, zal merken dat het geen snelle aanpassing is, maar een fundamentele verandering in manier van werken.

CRA is geen administratieve last, maar een productkeuze

De Cyber Resilience Act verandert fundamenteel hoe digitale producten ontwikkeld en onderhouden worden. Ze is technischer dan NIS2 en raakt rechtstreeks aan development, productmanagement en support. Daarnaast vraagt de CRA duidelijke processen, documentatie en blijvende opvolging. Maar tegelijk biedt ze ook kansen.

Bedrijven die vandaag investeren in secure-by-design en gestructureerd vulnerability management, bouwen niet alleen aan compliance. Ze bouwen aan robuustere producten, meer vertrouwen bij klanten en een sterkere marktpositie. Wie cybersecurity ziet als een vast onderdeel van productkwaliteit, zal niet alleen compliant zijn, maar ook toekomstbestendig.

Subscribe op onze nieuwsbrief

Ontvang updates rond onze blogs, events en meer.

Cingulum doet er alles aan om je privacy te beschermen en te respecteren. Je kunt je op elk moment afmelden voor onze mailings. Voor meer informatie over hoe wij jouw gegevens verwerken, lees ons privacybeleid.

More To Explore

Maak kennis met ons.

Plan een vrijblijvend kennismakingsgesprek in met een van onze experts. Samen zoeken we naar de beste securityoplossing voor jouw organisatie.

Contacteer ons
Consultants working together
Contact