Alle verplichtingen onder Verordening (EU) 2024/2847 — herleidbaar tot het artikel, met uitleg in eenvoudige taal.
Producten met digitale elementen mogen alleen op de EU-markt worden aangeboden als zij voldoen aan de essentiële cyberbeveiligingseisen uit Deel I van Bijlage I, mits zij correct worden geïnstalleerd, onderhouden en voor het beoogde doel worden gebruikt en eventueel vereiste beveiligingsupdates zijn geïnstalleerd.
Producten met digitale elementen mogen alleen op de EU-markt worden aangeboden als de door de fabrikant ingestelde processen voldoen aan de essentiële cyberbeveiligingseisen uit Deel II van Bijlage I, betreffende de identificatie, het beheer en de bekendmaking van kwetsbaarheden gedurende de gehele ondersteuningsperiode.
Producten waarvan de kernfunctionaliteit valt onder een categorie van Bijlage III zijn «belangrijke producten met digitale elementen» en moeten een strengere conformiteitsbeoordelingsprocedure doorlopen. Klasse I-producten mogen module A-zelfbeoordeling alleen gebruiken als geharmoniseerde normen of gemeenschappelijke specificaties volledig worden toegepast; anders is een aangemelde instantie vereist. Klasse II vereist altijd een aangemelde instantie.
Producten waarvan de kernfunctionaliteit valt onder Bijlage IV (hardwareapparaten met beveiligingsboxen, gateways voor slimme meters en smartcards/beveiligde elementen) zijn «kritieke producten met digitale elementen». Zodra de Commissie de relevante gedelegeerde handeling heeft aangenomen, moeten zij een Europees cyberbeveiligingscertificaat op betrouwbaarheidsniveau «substantieel» of hoger verkrijgen. Tot die tijd is een conformiteitsbeoordeling volgens module B+C of H vereist.
Fabrikanten moeten producten met digitale elementen zodanig ontwerpen, ontwikkelen en produceren dat zij een passend niveau van cyberbeveiliging bieden op basis van de risico's. Beveiliging moet gedurende de gehele levenscyclus van het product worden gewaarborgd — van ontwerp tot buitengebruikstelling.
Alvorens een product met digitale elementen op de markt te brengen, moeten fabrikanten een beoordeling uitvoeren van de cyberbeveiligingsrisico's die verbonden zijn aan het product. De risicobeoordeling moet het ontwerp, de ontwikkeling en de productie van het product informeren, en moet als onderdeel van het technische dossier worden gedocumenteerd.
Fabrikanten moeten technische documentatie opstellen die alle informatie bevat die nodig is om aan te tonen dat het product voldoet aan de essentiële vereisten van de CRA. De documentatie moet up-to-date worden gehouden en tien jaar worden bewaard vanaf het op de markt brengen (of de verwachte levensduur van het product, als die langer is).
Fabrikanten moeten conformiteit aantonen via de procedure die passend is voor hun productklasse. Standaardproducten mogen zichzelf certificeren (Module A). Belangrijke klasse I-producten mogen zichzelf certificeren als geharmoniseerde normen worden toegepast; anders moet een aangemelde instantie worden betrokken. Voor Belangrijke klasse II- en Kritieke producten is altijd een aangemelde instantie vereist.
Wanneer een softwarecomponent die in een product met digitale elementen is opgenomen niet door de fabrikant is ontwikkeld, moet de fabrikant gepaste zorgvuldigheid betrachten om ervoor te zorgen dat de component de beveiliging van het product niet in gevaar brengt. Als onderdeel van de technische documentatie moet een software bill of materials (SBOM) worden opgesteld en bijgehouden.
Bij het op de markt brengen van een product met digitale elementen moeten fabrikanten ervoor zorgen dat het product geen bekende uitbuitbare kwetsbaarheden bevat. Deze verplichting geldt op het moment van distributie en voor elke daaropvolgende update die wordt uitgebracht.
Fabrikanten moeten een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (CVD) instellen en dit openbaar toegankelijk maken. Het beleid moet een contactpunt bevatten voor het melden van kwetsbaarheden en beschrijven hoe de fabrikant met meldingen omgaat, inclusief bevestigingstermijnen en het proces voor gecoördineerde openbaarmaking met onderzoekers.
Fabrikanten moeten de ondersteuningsperiode voor hun product declareren en deze informatie vóór aankoop beschikbaar stellen aan gebruikers. De ondersteuningsperiode moet ten minste vijf jaar bedragen, tenzij de verwachte gebruiksperiode van het product korter is. De einddatum van de ondersteuningsperiode moet vermeld staan in de productdocumentatie en op het verkooppunt.
Fabrikanten moeten gedurende ten minste vijf jaar (of de verwachte gebruiksperiode als die korter is) kosteloos beveiligingsupdates leveren. Updates moeten tijdig, afzonderlijk van functionaliteitsupdates worden geleverd, en de einddatum van de ondersteuningsperiode moet worden bekendgemaakt.
Fabrikanten moeten beschikken over processen om kwetsbaarheden in hun producten gedurende de gehele ondersteuningsperiode te identificeren, analyseren en aan te pakken. Bijlage I Deel II specificeert gedetailleerde vereisten, waaronder CVE-toewijzing, CVSS-scoring, gecoördineerde openbaarmaking en tijdige verhelping.
Fabrikanten moeten een EU-conformiteitsverklaring opstellen in overeenstemming met Artikel 28 en Bijlage V, waarin wordt verklaard dat het product voldoet aan alle toepasselijke CRA-vereisten. De EU-conformiteitsverklaring moet actueel worden gehouden en beschikbaar worden gesteld aan markttoezichtautoriteiten en, waar van toepassing, aan gebruikers.
Fabrikanten moeten de CE-markering op hun producten aanbrengen vóór het op de EU-markt brengen, als bewijs dat het product voldoet aan alle toepasselijke CRA-vereisten. De CE-markering moet zichtbaar, leesbaar en onuitwisbaar zijn, en mag niet worden aangebracht voordat de EU-conformiteitsverklaring is opgesteld.
Fabrikanten moeten ervoor zorgen dat elk product met digitale elementen een type, partijnummer, serienummer of ander element draagt waarmee het kan worden geïdentificeerd. Voor uitsluitend softwareproducten dient het versienummer dit doel.
Fabrikanten moeten hun naam, geregistreerde handelsnaam of handelsmerk en postadres op het product of de verpakking vermelden. Waar beschikbaar moet ook een elektronisch contactadres (website of e-mail) worden vermeld. Dit stelt markttoezichtautoriteiten, importeurs, distributeurs en gebruikers in staat contact op te nemen met de fabrikant.
Fabrikanten moeten het product vergezellen van de informatie en instructies zoals vermeld in Bijlage II, in een taal die gebruikers gemakkelijk begrijpen. Dit omvat de productidentiteit, beveiligingsmogelijkheden, contactadres voor het melden van kwetsbaarheden, de einddatum van de ondersteuningsperiode en richtlijnen voor veilig gebruik.
Wanneer een fabrikant reden heeft om aan te nemen dat een op de markt gebracht product niet voldoet aan de CRA-vereisten, moet hij onmiddellijk corrigerende maatregelen nemen — inclusief terugtrekking of terugroeping indien nodig. Fabrikanten moeten ook samenwerken met markttoezichtautoriteiten en alle gevraagde informatie en documentatie verstrekken.
Fabrikanten moeten elke actief uitgebuite kwetsbaarheid in hun product via het enkelvoudige meldingsplatform melden aan ENISA binnen 24 uur (vroegtijdige waarschuwing) en 72 uur (melding). Een eindrapport is verschuldigd binnen 14 dagen. Deze verplichting is van toepassing vanaf 11 september 2026.
Binnen 72 uur na het kennisnemen van een actief uitgebuite kwetsbaarheid in een product moeten fabrikanten een gedetailleerde kwetsbaarheidsmelding indienen bij ENISA via het enkelvoudige meldingsplatform. Dit volgt op de vroegtijdige waarschuwing van 24 uur (OBL-ART14-01) en moet technische details bevatten over de kwetsbaarheid en het getroffen product.
Binnen 14 dagen na het kennisnemen van een actief uitgebuite kwetsbaarheid moeten fabrikanten een eindrapport indienen bij ENISA met een volledige beschrijving van de kwetsbaarheid, de genomen corrigerende maatregelen en of de kwetsbaarheid openbaar is gemaakt of een CVE is toegewezen.
Wanneer een kwetsbaarheid actief wordt uitgebuit, moeten fabrikanten getroffen gebruikers onverwijld informeren. De melding moet voldoende informatie bevatten voor gebruikers om beschermende maatregelen te nemen, inclusief mitigerende maatregelen die beschikbaar zijn voordat een patch wordt uitgebracht.
Een fabrikant kan via een schriftelijk mandaat een gemachtigde vertegenwoordiger (AR) aanwijzen. Het mandaat moet de AR in staat stellen ten minste drie wettelijke minimumtaken uit te voeren: het beschikbaar houden van de EU-conformiteitsverklaring en technische documentatie voor minimaal 10 jaar; het verstrekken van conformiteitsinformatie op verzoek; en het samenwerken aan corrigerende maatregelen. Kernverplichtingen inzake ontwerp en productie kunnen niet worden gedelegeerd.
Alvorens een product met digitale elementen op de EU-markt te brengen, moeten importeurs verifiëren dat de fabrikant de juiste conformiteitsbeoordeling heeft uitgevoerd, technische documentatie heeft opgesteld, de CE-markering heeft aangebracht en de EU-conformiteitsverklaring of prestatieverklaring beschikbaar heeft gesteld.
Wanneer een importeur van mening is of redenen heeft om aan te nemen dat een product met digitale elementen niet voldoet aan de essentiële cyberbeveiligingsvereisten, mag de importeur het product niet op de markt brengen totdat de conformiteit is bereikt.
Importeurs moeten hun naam, geregistreerde handelsnaam of handelsmerk, postadres en waar beschikbaar hun website of e-mailadres vermelden op het product zelf, op de verpakking of in een bij het product gevoegd document.
Zolang een product met digitale elementen onder de verantwoordelijkheid van de importeur valt, moet de importeur ervoor zorgen dat de opslag- en transport- omstandigheden de conformiteit met de essentiële cyberbeveiligingsvereisten niet in gevaar brengen.
Als een importeur ontdekt dat een product dat hij op de markt heeft gebracht niet conform is, moet hij onmiddellijk corrigerende maatregelen nemen — inclusief terugtrekking of terugroeping indien nodig. Wanneer het product een significant cyberbeveiligingsrisico vormt, moet de importeur onmiddellijk de relevante nationale bevoegde autoriteit informeren.
Importeurs moeten een kopie van de EU-conformiteitsverklaring of prestatie- verklaring gedurende 10 jaar bewaren nadat het product op de markt is gebracht, en ervoor zorgen dat technische documentatie op verzoek aan markttoezicht- autoriteiten ter beschikking kan worden gesteld.
Op een gemotiveerd verzoek van een bevoegde autoriteit moeten importeurs alle informatie en documentatie — in papieren of elektronische vorm — verstrekken die nodig is om de conformiteit van een product met digitale elementen aan te tonen. Zij moeten ook samenwerken bij eventuele vereiste corrigerende maatregelen.
Bij het beschikbaar stellen van een product met digitale elementen op de markt moeten distributeurs met gepaste zorgvuldigheid handelen en verifiëren dat het product de CE-markering draagt, vergezeld gaat van de vereiste documentatie en informatie, en dat de fabrikant en importeur (indien van toepassing) hebben voldaan aan hun labelings- en identificatieverplichtingen.
Wanneer een distributeur van mening is of redenen heeft om aan te nemen dat een product niet voldoet aan de essentiële vereisten van de CRA, mag de distributeur het product niet beschikbaar stellen op de markt totdat de conformiteit is bereikt, en moet de fabrikant en, indien van toepassing, de markttoezichtautoriteit worden geïnformeerd.
Distributeurs moeten ervoor zorgen dat, zolang een product met digitale elementen onder hun verantwoordelijkheid valt, de opslag- en transport- omstandigheden de conformiteit met de essentiële cyberbeveiligingsvereisten niet in gevaar brengen.
Als een distributeur ontdekt dat een product dat hij beschikbaar heeft gesteld op de markt niet conform is, moet hij onmiddellijk corrigerende maatregelen nemen, inclusief terugtrekking of terugroeping indien nodig. Wanneer het product een significant cyberbeveiligingsrisico vormt, moet de distributeur onmiddellijk de relevante nationale markttoezichtautoriteit informeren.
Op een gemotiveerd verzoek van een bevoegde autoriteit moeten distributeurs alle informatie en documentatie verstrekken die nodig is om de conformiteit van een product aan te tonen, en samenwerken bij eventuele corrigerende maatregelen die door die autoriteit worden vereist.
Een importeur of distributeur wordt beschouwd als fabrikant — en is daarmee volledig onderworpen aan de artikelen 13 en 14 — als hij een product met digitale elementen onder zijn eigen naam of handelsmerk op de markt brengt, of als hij een substantiële wijziging aanbrengt in een reeds op de markt gebracht product.
Elke natuurlijke of rechtspersoon — anders dan de oorspronkelijke fabrikant, importeur of distributeur — die een substantiële wijziging aanbrengt in een product en het op de markt aanbiedt, wordt beschouwd als fabrikant. Die persoon is vervolgens onderworpen aan de artikelen 13 en 14, ofwel voor het getroffen deel van het product, ofwel voor het gehele product als de wijziging de cyberveiligheid van het gehele product beïnvloedt.
Alle marktdeelnemers moeten op verzoek van markttoezichtautoriteiten in staat zijn (a) elke marktdeelnemer te identificeren die hen een product heeft geleverd en (b) elke marktdeelnemer aan wie zij een product hebben geleverd. Gegevens moeten 10 jaar worden bewaard vanaf elke transactie.
Beheerders van open-sourcesoftware moeten een cyberbeveiligingsbeleid opstellen en documenteren dat de ontwikkeling van een veilig product bevordert en een effectieve afhandeling van kwetsbaarheden in de open-sourcesoftware-componenten die zij ondersteunen mogelijk maakt.
Beheerders van open-sourcesoftware moeten de relevante CSIRT (computer security incident response team) die als coördinator is aangewezen onverwijld informeren over elke actief uitgebuite kwetsbaarheid in hun open-sourcesoftware-componenten, alsook over elk ernstig incident dat de beveiliging van die componenten treft.
Beheerders van open-sourcesoftware moeten op verzoek samenwerken met markttoezichtautoriteiten en alle informatie verstrekken die nodig is voor de uitvoering van hun regelgevingstaken.
Op verzoek van markttoezichtautoriteiten moeten beheerders van open-source- software technische documentatie opstellen en actueel houden voor de open- sourcesoftware-componenten die zij beheren, voldoende om beoordeling van cyberbeveiligingsnaleving mogelijk te maken.
Fabrikanten moeten een EU-conformiteitsverklaring (EU-DoC) opstellen die de modelstructuur van Bijlage V volgt en alle gespecificeerde elementen bevat. De EU-DoC verklaart dat het product voldoet aan de toepasselijke essentiële cyberbeveiligingseisen. Een vereenvoudigde versie (Bijlage VI) mag bij het product worden gevoegd op voorwaarde dat de volledige DoC online toegankelijk is. De DoC moet worden bijgewerkt wanneer relevante wijzigingen optreden.
Fabrikanten moeten technische documentatie opstellen voordat een product op de markt wordt gebracht en deze continu bijwerken (ten minste tijdens de ondersteuningsperiode). De documentatie moet alle in Bijlage VII genoemde elementen bevatten en aantonen hoe het product en de fabrieksprocessen voldoen aan de essentiële cyberbeveiligingseisen van Bijlage I. Ze moet ten minste 10 jaar beschikbaar zijn voor markttoezichtautoriteiten.
Fabrikanten moeten een conformiteitsbeoordeling uitvoeren voordat het product op de markt wordt gebracht, waaruit blijkt dat het product en de processen voldoen aan Bijlage I. De vereiste procedure hangt af van de productclassificatie: module A voor standaardproducten, derdepartijbeoordeling voor bepaalde belangrijke producten, en verplichte aangemelde instantie voor klasse II en kritieke producten.
