De Cyber Resilience Act begrijpen

De Cyber Resilience Act (Verordening (EU) 2024/2847) is een horizontale EU-verordening die verplichte cyberbeveiligingsvereisten introduceert voor producten met digitale elementen (PDE) die op de EU-markt worden aangeboden. Ze trad in werking op 11 december 2024.

De CRA is van toepassing gedurende de gehele productlevenscyclus, van ontwerp en ontwikkeling tot het einde van de ondersteuning. Ze stelt essentiële beveiligingsvereisten (bijlage I), documentatieverplichtingen, een regime voor kwetsbaarheidsmelding en conformiteitsbeoordelingsprocedures vast. Het doel is te waarborgen dat hardware- en softwareproducten veilig zijn door ontwerp en gedurende hun ondersteunde levensduur veilig blijven.

De CRA is van toepassing op elke marktdeelnemer die:

• Vervaardigt: producten met digitale elementen vervaardigt en op de EU-markt aanbiedt — inclusief hardware met ingebouwde software en zelfstandige softwareproducten
• Invoert: producten van niet-EU-fabrikanten invoert en onder eigen naam of handelsmerk op de EU-markt aanbiedt
• Distribueert: producten op de EU-markt distribueert zonder ze te wijzigen
• Open-sourcebeheerders die systematisch gratis/open-sourcesoftware voor commercieel gebruik aanbieden

Niet-EU-fabrikanten die producten in de EU verkopen, vallen volledig onder het toepassingsgebied. Zij moeten een in de EU gevestigde gemachtigde vertegenwoordiger aanstellen (artikel 17).

Een product met digitale elementen (PDE) is elk software- of hardwareproduct en zijn oplossing voor de verwerking van gegevens op afstand, dat een directe of indirecte gegevensverbinding met een apparaat of netwerk heeft. Deze bewust brede definitie omvat:

• Consumentenapparatuur voor het internet der dingen (smart home, wearables, routers)
• Industriële hardware met netwerkconnectiviteit
• Zelfstandige softwaretoepassingen (desktop, mobiel, server)
• Besturingssystemen en hypervisors
• Softwarecomponenten en bibliotheken die op de markt worden gebracht
• Cloudverbonden apparaten waarbij de fabrikant de backend beheert

Bepaalde sectoren zijn gedeeltelijk of volledig uitgesloten, waaronder medische hulpmiddelen onder MDR/IVDR, motorvoertuigen onder de typegoedkeuringsverordening, de burgerluchtvaart en marine-uitrusting.

Niet alle producten met digitale elementen worden gelijk behandeld. De CRA verdeelt producten die in het toepassingsgebied vallen in vier klassen op basis van hun cybersecurityrisicoprofiel, zoals uiteengezet in Bijlage III en IV:

• Standaard — alle producten in het toepassingsgebied die niet zijn opgenomen in Bijlage III of IV. De grote meerderheid van de producten met digitale elementen valt hieronder.
• Belangrijk — Klasse I (Bijlage III, Klasse I) — producten die een significant cybersecurityrisico vormen, zoals software voor identiteitsbeheer, browsers, wachtwoordmanagers en besturingssystemen voor algemeen gebruik.
• Belangrijk — Klasse II (Bijlage III, Klasse II) — producten met een hoger risico, waaronder hypervisors, TPM's, software voor industriële automatisering en smart meter-gateways.
• Kritiek (Bijlage IV) — de producten met het hoogste risico, waaronder hardware security modules (HSM's), smartcards en hardwareapparaten met beveiligingsdozen.

De classificatie bepaalt welke conformiteitsbeoordelingsroute een fabrikant moet volgen voordat hij het CE-merk aanbrengt:

Klasse	Zelfbeoordeling (Module A)	Aangemelde instantie (Module B+C / H)
Standaard	Altijd beschikbaar	Optioneel
Belangrijk — Klasse I	Als geharmoniseerde normen worden toegepast	Verplicht zonder geharmoniseerde normen
Belangrijk — Klasse II	Niet beschikbaar	Verplicht
Kritiek	Niet beschikbaar	Verplicht (of EU-cybersecuritycertificering)

→ Gebruik de productclassificatietool om uw klasse en conformiteitsbeoordelingsroute te vinden

De CRA stelt op grond van Artikel 64 een gelaagd systeem van administratieve boetes in. Markttoezichtautoriteiten in elke EU-lidstaat kunnen deze boetes opleggen aan fabrikanten, importeurs, distributeurs en open-source softwarebeheerders.

Niveau 1 — tot € 15 000 000 of 2,5 % van de wereldwijde jaarlijkse omzet (het hoogste bedrag geldt):

Niet-naleving van de essentiële cybersecurityvereisten in Bijlage I, of overtredingen met betrekking tot CE-markering, conformiteitsbeoordeling, technische documentatie of de verplichting tot een gemachtigde vertegenwoordiger (Artikelen 13, 16, 19–22, 24).

Niveau 2 — tot € 10 000 000 of 2 % van de wereldwijde jaarlijkse omzet (het hoogste bedrag geldt):

Overtredingen van de meldingsverplichtingen voor kwetsbaarheden en beveiligingsincidenten op grond van Artikel 14, het verzuim conformiteitsbeoordelingsinstanties te melden, of het weigeren samen te werken met markttoezichtautoriteiten (Artikelen 15, 17, 18, 23).

Niveau 3 — tot € 5 000 000 of 1 % van de wereldwijde jaarlijkse omzet (het hoogste bedrag geldt):

Het verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties of markttoezichtautoriteiten.

Voor grote organisaties met een aanzienlijke wereldwijde omzet zal het omzetgebaseerde plafond doorgaans het vaste maximum overschrijden. Lidstaten kunnen ook aanvullende sancties opleggen op grond van nationaal recht. De deadline van Artikel 14 op 11 september 2026 is het eerste moment waarop boetes van niveau 2 uitvoerbaar worden.