Verordening Cyberweerbaarheid

De Verordening Cyberweerbaarheid, officieel de Cyber Resilience Act (CRA), is een Europese verordening die cybersecurityeisen stelt aan alle producten met digitale elementen die op de EU-markt worden aangeboden. Dit omvat zowel hardware als software, van slimme thermostaten en routers tot besturingssystemen en mobiele apps. De verordening is eind 2024 in werking getreden en wordt gefaseerd van kracht, met volledige toepassing vanaf 11 december 2027. De CRA is daarmee een van de meest ingrijpende Europese regelgevingen op het gebied van productcybersecurity en raakt de gehele digitale toeleveringsketen.

Het doel van de CRA is om het security-by-design-principe wettelijk te verankeren. Fabrikanten en ontwikkelaars moeten cybersecurity al in de ontwerpfase meenemen, in plaats van achteraf beveiligingsupdates uit te brengen. De Rijksinspectie Digitale Infrastructuur (RDI) wordt in Nederland de toezichthouder op de naleving van deze verordening. De RDI krijgt daarmee een aanzienlijk uitgebreider mandaat voor markttoezicht op digitale producten dan voorheen het geval was.

Voor wie geldt de Verordening Cyberweerbaarheid?

De CRA geldt voor alle fabrikanten, importeurs en distributeurs van producten met digitale elementen die op de Europese markt worden geplaatst. Dit is een breed toepassingsgebied dat verder reikt dan alleen IoT-apparaten. Elke organisatie die hardware of software ontwikkelt, importeert of distribueert binnen de EU valt onder de verordening. Dit geldt ook voor niet-Europese fabrikanten die hun producten op de Europese markt aanbieden, wat de mondiale impact van de CRA onderstreept.

De verordening maakt onderscheid tussen standaardproducten en kritieke producten. Kritieke producten, zoals firewalls, VPN-software, besturingssystemen en industriële besturingssystemen, moeten voldoen aan strengere conformiteitsbeoordelingen door aangemelde instanties (notified bodies). Standaardproducten mogen via zelfbeoordeling aantonen dat ze aan de eisen voldoen. De conformiteitsbeoordeling voor kritieke producten is daarmee aanzienlijk zwaarder en kostbaarder, vergelijkbaar met de certificeringseisen die gelden voor medische hulpmiddelen onder de MDR-verordening. Fabrikanten van kritieke producten moeten daarom vroegtijdig contact leggen met aangemelde instanties om vertragingen in het certificeringsproces te voorkomen.

Open-source software die niet commercieel wordt aangeboden, valt in principe buiten de scope. Maar zodra open-source componenten onderdeel worden van een commercieel product, gelden de CRA-vereisten voor de fabrikant van dat product. Dit heeft grote impact op de softwaresupply chain en verplicht fabrikanten om zicht te hebben op de beveiligingsstatus van alle componenten die ze gebruiken. Fabrikanten moeten kunnen aantonen dat ze hun softwareafhankelijkheden actief monitoren op bekende kwetsbaarheden en tijdig updates doorvoeren wanneer er beveiligingsproblemen in componenten worden ontdekt.

Wat zijn de vereisten van de CRA?

De CRA stelt eisen aan drie pijlers: het product zelf, de processen van de fabrikant en de transparantie naar gebruikers. Op productniveau moeten producten worden ontworpen en geproduceerd volgens het security-by-design-principe. Dit betekent dat standaard veilige configuraties worden meegeleverd, dat bekende kwetsbaarheden voor lancering worden opgelost en dat producten bescherming bieden tegen ongeautoriseerde toegang. Producten moeten bovendien zo zijn ontworpen dat de vertrouwelijkheid en integriteit van opgeslagen en verzonden data gewaarborgd zijn.

Op procesniveau moeten fabrikanten een gecoordineerd vulnerability disclosure-beleid hebben. Ze zijn verplicht om beveiligingsupdates te leveren gedurende de verwachte levensduur van het product, met een minimum van vijf jaar. Daarnaast moeten fabrikanten een Software Bill of Materials (SBOM) bijhouden, zodat de componenten van een product traceerbaar zijn. De SBOM moet in een machineleesbaar formaat worden opgesteld, zoals SPDX of CycloneDX, zodat kwetsbaarheden in componenten automatisch kunnen worden gedetecteerd en gekoppeld aan getroffen producten. Dit vereist dat fabrikanten hun softwareontwikkelproces inrichten met geautomatiseerde dependency tracking en vulnerability scanning.

Vanaf 11 september 2026 geldt een meldplicht: fabrikanten moeten actief misbruikte kwetsbaarheden en ernstige incidenten binnen 24 uur melden bij het CSIRT van hun lidstaat. In Nederland is dat het NCSC. Deze meldplicht geldt dus al ruim voor de volledige toepassing van de verordening in december 2027. De Uitvoeringswet Verordening cyberweerbaarheid regelt de nationale implementatie in Nederland.

Wat gebeurt er bij niet-naleving?

De CRA voorziet in substantiële sancties bij niet-naleving. Boetes kunnen oplopen tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet van de fabrikant, afhankelijk van welk bedrag hoger is. Dit is vergelijkbaar met het boeteregime van de AVG en onderstreept het belang dat de EU hecht aan productcybersecurity. Voor kleinere fabrikanten en startups kunnen deze boetes existentieel zijn, wat het belang van tijdige compliance-voorbereiding verder benadrukt.

Naast boetes kunnen markttoezichthouders producten van de markt laten halen die niet aan de vereisten voldoen. Dit betekent een verkoopverbod binnen de gehele EU, wat voor fabrikanten een veel grotere financiële impact kan hebben dan de boete zelf. Importeurs en distributeurs zijn medeverantwoordelijk: zij mogen alleen producten verhandelen die aan de CRA-vereisten voldoen. Deze gedeelde verantwoordelijkheid betekent dat importeurs en distributeurs verificatieprocedures moeten inrichten om te controleren of de producten die zij op de markt brengen daadwerkelijk aan de CRA-eisen voldoen.

De gefaseerde inwerkingtreding geeft organisaties tijd om zich voor te bereiden. De meldplicht voor kwetsbaarheden geldt vanaf september 2026, en de volledige productvereisten vanaf december 2027. Organisaties die nu starten met de voorbereiding, hebben voldoende tijd om hun ontwikkelprocessen, patch management en documentatie op orde te brengen. Het is raadzaam om een gap-analyse uit te voeren om vast te stellen welke aanpassingen nodig zijn en hier een realistisch implementatietraject voor in te plannen.

Veelgestelde vragen over de Verordening Cyberweerbaarheid

Wat is het verschil tussen de CRA en NIS2?

De CRA richt zich op de cybersecurity van producten met digitale elementen (hardware en software). NIS2 richt zich op de cybersecurity van organisaties in essentiële en belangrijke sectoren. De CRA reguleert wat er op de markt komt, NIS2 reguleert hoe organisaties hun eigen beveiliging inrichten.

Wanneer moet ik voldoen aan de CRA?

De meldplicht voor actief misbruikte kwetsbaarheden geldt vanaf 11 september 2026. Alle productvereisten gelden vanaf 11 december 2027. Begin nu met de voorbereiding, met name met het inrichten van vulnerability management en het opstellen van een SBOM voor je producten.

Geldt de CRA ook voor software?

Ja. De CRA geldt voor alle producten met digitale elementen, inclusief standalone software. Dit omvat besturingssystemen, browsers, apps en enterprise software. Alleen niet-commerciële open-source software en bepaalde reeds gereguleerde producten (medische apparatuur, luchtvaart) zijn uitgezonderd.

Wat is een SBOM en waarom vereist de CRA dit?

Een Software Bill of Materials (SBOM) is een gestructureerd overzicht van alle softwarecomponenten in een product. De CRA vereist dit zodat kwetsbaarheden in componenten snel herleidbaar zijn tot de producten die ze bevatten. Dit maakt effectief patch management mogelijk en vergroot de transparantie over de beveiligingsstatus van softwareproducten in de gehele keten.

Hoe verhoudt de CRA zich tot CE-markering?

Producten die aan de CRA-vereisten voldoen, krijgen een CE-markering voor cybersecurity. Dit werkt vergelijkbaar met bestaande CE-markering voor productveiligheid. Zonder CE-markering mag een product niet op de EU-markt worden geplaatst.

Bereid je voor op de CRA-vereisten. Vergelijk Governance Risk Compliance specialisten op IBgidsNL.