De Cyber Resilience Act (CRA) is een nieuwe Europese verordening die de beveiliging van software en hardwareproducten wil verbeteren.
Het doel is om kwetsbaarheden in digitale producten al tijdens de ontwikkelfase aan te pakken — in plaats van pas na een cyberincident.

De CRA is in 2024 officieel aangenomen door het Europees Parlement en de Raad van de EU.
Naar verwachting wordt de wet volledig van kracht in 2026, na een overgangsperiode van twee jaar.
Voor softwareleveranciers, ontwikkelaars en distributeurs is dit een ingrijpende verandering:
zij moeten kunnen aantonen dat hun producten ‘secure by design’ zijn.

In dit artikel legt Process 2 IT uit wat de Cyber Resilience Act inhoudt, welke verplichtingen gaan gelden en hoe organisaties zich kunnen voorbereiden.
Daarnaast bespreken we hoe deze wet zich verhoudt tot andere Europese regelgeving zoals de RED en de NIS2-richtlijn.

Achtergrond van de Cyber Resilience Act

De CRA komt voort uit de groeiende bezorgdheid binnen de EU over onveilige software en hardware.
Veel producten bevatten kwetsbaarheden die misbruikt kunnen worden door cybercriminelen — van consumentenelektronica tot bedrijfssoftware.
In 2022 bleek uit onderzoek van ENISA dat meer dan 50% van alle gemelde incidenten voortkwamen uit onveilige softwarecomponenten.

Met de Cyber Resilience Act wil de Europese Commissie een einde maken aan die “veiligheid achteraf”-mentaliteit.
Software en hardware moeten voortaan vanaf het ontwerpstadium veilig zijn ingericht, getest en gedocumenteerd.

Wat wil de CRA bereiken?

De CRA heeft vier hoofddoelen:

• Verhogen van het veiligheidsniveau van alle digitale producten op de Europese markt.
• Verduidelijken van verantwoordelijkheden binnen de keten van ontwikkeling, distributie en onderhoud.
• Creëren van een uniform kader voor cybersecurity binnen de EU.
• Beschermen van consumenten en bedrijven tegen onveilige software en apparaten.

De CRA sluit aan bij andere Europese initiatieven zoals de NIS2, de RED en de Data Act. Samen vormen zij een integraal juridisch raamwerk voor digitale veiligheid in Europa.

Op wie is de CRA van toepassing?

De verordening geldt voor alle fabrikanten, importeurs, distributeurs en softwareleveranciers die digitale producten of software leveren binnen de Europese Economische Ruimte (EER).

Onder ‘digitale producten’ verstaat de EU:
“elk software- of hardwareproduct dat direct of indirect met een netwerk of ander apparaat communiceert.”

• Besturingssystemen en firmware
• Bedrijfssoftware (zoals ERP of CRM)
• Cloudapplicaties en SaaS-oplossingen
• IoT-apparaten en bijbehorende software
• Beveiligings- en beheertools

Alleen opensourceprojecten zonder commerciële exploitatie worden grotendeels uitgezonderd.

De belangrijkste verplichtingen voor leveranciers

De CRA introduceert een aantal duidelijke verplichtingen voor producenten en softwareleveranciers:

• Security by design: beveiliging moet onderdeel zijn van het ontwikkelproces.
• Vulnerability management: leveranciers moeten actief kwetsbaarheden opsporen en verhelpen.
• Incidentmelding: ernstige beveiligingslekken moeten binnen 24 uur worden gemeld bij ENISA of nationale autoriteiten.
• Documentatieplicht: technische en beveiligingsdocumentatie moet beschikbaar zijn voor toezichthouders.
• Onderhoud en updates: leveranciers zijn verplicht om beveiligingsupdates te blijven leveren zolang een product op de markt is.

Producten worden bovendien ingedeeld in twee risicocategorieën:

• Klasse I: standaardsoftware en niet-kritieke digitale producten.
• Klasse II: kritieke producten met een verhoogd beveiligingsrisico, zoals netwerkapparatuur, beveiligingssoftware en besturingssystemen.

Klasse II-producten moeten worden beoordeeld door een onafhankelijke instantie voordat ze op de markt gebracht mogen worden.

Wat betekent dit voor mkb-bedrijven?

Hoewel de wet primair gericht is op fabrikanten en ontwikkelaars, raakt de CRA indirect ook mkb-organisaties.
Bedrijven die software inkopen, gebruiken of distribueren, krijgen te maken met strengere eisen rond documentatie en onderhoud.

• Leveranciers moeten kunnen aantonen dat hun producten voldoen aan de CRA.
• IT-beheerders moeten bijhouden welke softwareversies in gebruik zijn.
• Inkoopteams moeten producten beoordelen op conformiteit en certificering.
• Securityteams moeten incidenten volgens de nieuwe meldingsprocedures rapporteren.

Voor mkb’ers die zelf software ontwikkelen of aanpassen, betekent dit: een professioneel beveiligingsbeleid wordt verplicht.

Veelgestelde vragen over de CRA

Wat is het verschil tussen de Cyber Resilience Act en de NIS2?

De NIS2 richt zich op organisaties en hun beveiligingsverplichtingen binnen sectoren.
De Cyber Resilience Act richt zich op producten: software en hardware die veilig moeten worden ontworpen.
Beide wetten vullen elkaar aan.

Wanneer wordt de CRA van kracht?

De CRA wordt naar verwachting volledig van kracht in 2026, met een overgangsperiode van twee jaar vanaf publicatie in het Publicatieblad van de EU.

Welke producten vallen onder de CRA?

Alle digitale producten met softwarecomponenten, van apps tot IoT-apparaten.
Ook bedrijven die firmware of embedded systemen leveren, vallen onder de verordening.

Wat gebeurt er bij niet-naleving?

Bij ernstige overtredingen kunnen boetes worden opgelegd tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet.
Daarnaast kunnen producten uit de handel worden genomen of van de markt worden geweerd.

Hoe kun je je nu al voorbereiden?

Bedrijven hoeven niet te wachten tot 2026 om actie te ondernemen.
Veel van de vereiste maatregelen zijn ook nu al goede praktijken binnen veilig softwarebeheer.

• Documenteer het volledige ontwikkelproces, inclusief beveiligingstests.
• Voer regelmatige kwetsbaarhedenscans uit op applicaties.
• Beperk toegang tot ontwikkelomgevingen via MFA en rolgebaseerde rechten.
• Gebruik veilige bibliotheken en open source-componenten.
• Implementeer een patch- en updatebeleid voor alle softwareproducten.

De rol van Process 2 IT

Process 2 IT ondersteunt softwareleveranciers en mkb-organisaties bij het versterken van hun beveiligingsstructuur.
Wij helpen met:

• Risicoanalyses van softwareomgevingen en leveranciersketens.
• Implementatie van veilig ontwikkelbeleid (secure development lifecycle).
• Technisch beheer van updates, monitoring en compliance via Intune en endpointmanagement.
• Advies over documentatie en auditvoorbereiding volgens de CRA.

Daarmee helpen we organisaties om te voldoen aan toekomstige wetgeving zonder hun ontwikkelproces te vertragen.

Samenvatting en vervolgstappen

De Cyber Resilience Act verandert de manier waarop Europa naar softwareveiligheid kijkt.
Veiligheid wordt niet langer een optie, maar een wettelijke verplichting.

• De CRA geldt voor alle digitale producten en software binnen de EU.
• Leveranciers moeten aantonen dat hun producten veilig zijn ontworpen en onderhouden.
• Mkb-bedrijven krijgen te maken met strengere eisen rond inkoop, beheer en updates.
• De invoering wordt verwacht in 2026 — nu voorbereiden voorkomt hoge kosten later.

Wil je weten hoe jouw organisatie zich kan voorbereiden op de CRA?
Neem contact op met Process 2 IT voor een vrijblijvend adviesgesprek.