Art. 3(13)Een fabrikant is elke natuurlijke of rechtspersoon die producten met digitale elementen ontwikkelt of vervaardigt, of laat ontwerpen of vervaardigen, en deze onder zijn eigen naam of handelsmerk op de markt brengt.
11 december 2024 — CRA treedt in werking
De verordening is juridisch van kracht. Producten die vanaf deze datum op de markt worden gebracht, moeten voldoen aan de CRA zodra de toepassingsdata zijn bereikt.
11 september 2026 — Meldingsverplichtingen voor kwetsbaarheden zijn van toepassing
Het melden van kwetsbaarheden en incidenten aan ENISA op grond van art. 14 wordt verplicht. Dit is de eerste harde deadline. Fabrikanten moeten hun meldingsprocessen vóór deze datum op orde hebben.
11 juni 2027 — Kennisgeving conformiteitsbeoordelingsinstanties
Lidstaten moeten conformiteitsbeoordelingsinstanties bij de Commissie aanmelden.
11 december 2027 — Volledige verordening is van toepassing
Alle CRA-vereisten zijn van toepassing op alle betrokken producten. Er mogen geen nieuwe niet-conforme producten op de EU-markt worden gebracht.
Fabrikanten moeten producten met digitale elementen zodanig ontwerpen, ontwikkelen en produceren dat zij een passend niveau van cyberbeveiliging bieden op basis van de risico's. Beveiliging moet gedurende de gehele levenscyclus van het product worden gewaarborgd — van ontwerp tot buitengebruikstelling.
Alvorens een product met digitale elementen op de markt te brengen, moeten fabrikanten een beoordeling uitvoeren van de cyberbeveiligingsrisico's die verbonden zijn aan het product. De risicobeoordeling moet het ontwerp, de ontwikkeling en de productie van het product informeren, en moet als onderdeel van het technische dossier worden gedocumenteerd.
Fabrikanten moeten technische documentatie opstellen die alle informatie bevat die nodig is om aan te tonen dat het product voldoet aan de essentiële vereisten van de CRA. De documentatie moet up-to-date worden gehouden en tien jaar worden bewaard vanaf het op de markt brengen (of de verwachte levensduur van het product, als die langer is).
Fabrikanten moeten conformiteit aantonen via de procedure die passend is voor hun productklasse. Standaardproducten mogen zichzelf certificeren (Module A). Belangrijke klasse I-producten mogen zichzelf certificeren als geharmoniseerde normen worden toegepast; anders moet een aangemelde instantie worden betrokken. Voor Belangrijke klasse II- en Kritieke producten is altijd een aangemelde instantie vereist.
Wanneer een softwarecomponent die in een product met digitale elementen is opgenomen niet door de fabrikant is ontwikkeld, moet de fabrikant gepaste zorgvuldigheid betrachten om ervoor te zorgen dat de component de beveiliging van het product niet in gevaar brengt. Als onderdeel van de technische documentatie moet een software bill of materials (SBOM) worden opgesteld en bijgehouden.
Bij het op de markt brengen van een product met digitale elementen moeten fabrikanten ervoor zorgen dat het product geen bekende uitbuitbare kwetsbaarheden bevat. Deze verplichting geldt op het moment van distributie en voor elke daaropvolgende update die wordt uitgebracht.
Fabrikanten moeten een beleid voor gecoördineerde openbaarmaking van kwetsbaarheden (CVD) instellen en dit openbaar toegankelijk maken. Het beleid moet een contactpunt bevatten voor het melden van kwetsbaarheden en beschrijven hoe de fabrikant met meldingen omgaat, inclusief bevestigingstermijnen en het proces voor gecoördineerde openbaarmaking met onderzoekers.
Fabrikanten moeten de ondersteuningsperiode voor hun product declareren en deze informatie vóór aankoop beschikbaar stellen aan gebruikers. De ondersteuningsperiode moet ten minste vijf jaar bedragen, tenzij de verwachte gebruiksperiode van het product korter is. De einddatum van de ondersteuningsperiode moet vermeld staan in de productdocumentatie en op het verkooppunt.
Fabrikanten moeten gedurende ten minste vijf jaar (of de verwachte gebruiksperiode als die korter is) kosteloos beveiligingsupdates leveren. Updates moeten tijdig, afzonderlijk van functionaliteitsupdates worden geleverd, en de einddatum van de ondersteuningsperiode moet worden bekendgemaakt.
Fabrikanten moeten beschikken over processen om kwetsbaarheden in hun producten gedurende de gehele ondersteuningsperiode te identificeren, analyseren en aan te pakken. Bijlage I Deel II specificeert gedetailleerde vereisten, waaronder CVE-toewijzing, CVSS-scoring, gecoördineerde openbaarmaking en tijdige verhelping.
Fabrikanten moeten een EU-conformiteitsverklaring opstellen in overeenstemming met Artikel 28 en Bijlage V, waarin wordt verklaard dat het product voldoet aan alle toepasselijke CRA-vereisten. De EU-conformiteitsverklaring moet actueel worden gehouden en beschikbaar worden gesteld aan markttoezichtautoriteiten en, waar van toepassing, aan gebruikers.
Fabrikanten moeten de CE-markering op hun producten aanbrengen vóór het op de EU-markt brengen, als bewijs dat het product voldoet aan alle toepasselijke CRA-vereisten. De CE-markering moet zichtbaar, leesbaar en onuitwisbaar zijn, en mag niet worden aangebracht voordat de EU-conformiteitsverklaring is opgesteld.
Fabrikanten moeten ervoor zorgen dat elk product met digitale elementen een type, partijnummer, serienummer of ander element draagt waarmee het kan worden geïdentificeerd. Voor uitsluitend softwareproducten dient het versienummer dit doel.
Fabrikanten moeten hun naam, geregistreerde handelsnaam of handelsmerk en postadres op het product of de verpakking vermelden. Waar beschikbaar moet ook een elektronisch contactadres (website of e-mail) worden vermeld. Dit stelt markttoezichtautoriteiten, importeurs, distributeurs en gebruikers in staat contact op te nemen met de fabrikant.
Fabrikanten moeten het product vergezellen van de informatie en instructies zoals vermeld in Bijlage II, in een taal die gebruikers gemakkelijk begrijpen. Dit omvat de productidentiteit, beveiligingsmogelijkheden, contactadres voor het melden van kwetsbaarheden, de einddatum van de ondersteuningsperiode en richtlijnen voor veilig gebruik.
Wanneer een fabrikant reden heeft om aan te nemen dat een op de markt gebracht product niet voldoet aan de CRA-vereisten, moet hij onmiddellijk corrigerende maatregelen nemen — inclusief terugtrekking of terugroeping indien nodig. Fabrikanten moeten ook samenwerken met markttoezichtautoriteiten en alle gevraagde informatie en documentatie verstrekken.
Fabrikanten moeten elke actief uitgebuite kwetsbaarheid in hun product via het enkelvoudige meldingsplatform melden aan ENISA binnen 24 uur (vroegtijdige waarschuwing) en 72 uur (melding). Een eindrapport is verschuldigd binnen 14 dagen. Deze verplichting is van toepassing vanaf 11 september 2026.
Binnen 72 uur na het kennisnemen van een actief uitgebuite kwetsbaarheid in een product moeten fabrikanten een gedetailleerde kwetsbaarheidsmelding indienen bij ENISA via het enkelvoudige meldingsplatform. Dit volgt op de vroegtijdige waarschuwing van 24 uur (OBL-ART14-01) en moet technische details bevatten over de kwetsbaarheid en het getroffen product.
Binnen 14 dagen na het kennisnemen van een actief uitgebuite kwetsbaarheid moeten fabrikanten een eindrapport indienen bij ENISA met een volledige beschrijving van de kwetsbaarheid, de genomen corrigerende maatregelen en of de kwetsbaarheid openbaar is gemaakt of een CVE is toegewezen.
Wanneer een kwetsbaarheid actief wordt uitgebuit, moeten fabrikanten getroffen gebruikers onverwijld informeren. De melding moet voldoende informatie bevatten voor gebruikers om beschermende maatregelen te nemen, inclusief mitigerende maatregelen die beschikbaar zijn voordat een patch wordt uitgebracht.
Een fabrikant kan via een schriftelijk mandaat een gemachtigde vertegenwoordiger (AR) aanwijzen. Het mandaat moet de AR in staat stellen ten minste drie wettelijke minimumtaken uit te voeren: het beschikbaar houden van de EU-conformiteitsverklaring en technische documentatie voor minimaal 10 jaar; het verstrekken van conformiteitsinformatie op verzoek; en het samenwerken aan corrigerende maatregelen. Kernverplichtingen inzake ontwerp en productie kunnen niet worden gedelegeerd.
Elke natuurlijke of rechtspersoon — anders dan de oorspronkelijke fabrikant, importeur of distributeur — die een substantiële wijziging aanbrengt in een product en het op de markt aanbiedt, wordt beschouwd als fabrikant. Die persoon is vervolgens onderworpen aan de artikelen 13 en 14, ofwel voor het getroffen deel van het product, ofwel voor het gehele product als de wijziging de cyberveiligheid van het gehele product beïnvloedt.
Alle marktdeelnemers moeten op verzoek van markttoezichtautoriteiten in staat zijn (a) elke marktdeelnemer te identificeren die hen een product heeft geleverd en (b) elke marktdeelnemer aan wie zij een product hebben geleverd. Gegevens moeten 10 jaar worden bewaard vanaf elke transactie.
Fabrikanten moeten een EU-conformiteitsverklaring (EU-DoC) opstellen die de modelstructuur van Bijlage V volgt en alle gespecificeerde elementen bevat. De EU-DoC verklaart dat het product voldoet aan de toepasselijke essentiële cyberbeveiligingseisen. Een vereenvoudigde versie (Bijlage VI) mag bij het product worden gevoegd op voorwaarde dat de volledige DoC online toegankelijk is. De DoC moet worden bijgewerkt wanneer relevante wijzigingen optreden.
Fabrikanten moeten technische documentatie opstellen voordat een product op de markt wordt gebracht en deze continu bijwerken (ten minste tijdens de ondersteuningsperiode). De documentatie moet alle in Bijlage VII genoemde elementen bevatten en aantonen hoe het product en de fabrieksprocessen voldoen aan de essentiële cyberbeveiligingseisen van Bijlage I. Ze moet ten minste 10 jaar beschikbaar zijn voor markttoezichtautoriteiten.
Fabrikanten moeten een conformiteitsbeoordeling uitvoeren voordat het product op de markt wordt gebracht, waaruit blijkt dat het product en de processen voldoen aan Bijlage I. De vereiste procedure hangt af van de productclassificatie: module A voor standaardproducten, derdepartijbeoordeling voor bepaalde belangrijke producten, en verplichte aangemelde instantie voor klasse II en kritieke producten.
Producten met digitale elementen mogen alleen op de EU-markt worden aangeboden als zij voldoen aan de essentiële cyberbeveiligingseisen uit Deel I van Bijlage I, mits zij correct worden geïnstalleerd, onderhouden en voor het beoogde doel worden gebruikt en eventueel vereiste beveiligingsupdates zijn geïnstalleerd.
Producten met digitale elementen mogen alleen op de EU-markt worden aangeboden als de door de fabrikant ingestelde processen voldoen aan de essentiële cyberbeveiligingseisen uit Deel II van Bijlage I, betreffende de identificatie, het beheer en de bekendmaking van kwetsbaarheden gedurende de gehele ondersteuningsperiode.
Producten waarvan de kernfunctionaliteit valt onder een categorie van Bijlage III zijn «belangrijke producten met digitale elementen» en moeten een strengere conformiteitsbeoordelingsprocedure doorlopen. Klasse I-producten mogen module A-zelfbeoordeling alleen gebruiken als geharmoniseerde normen of gemeenschappelijke specificaties volledig worden toegepast; anders is een aangemelde instantie vereist. Klasse II vereist altijd een aangemelde instantie.
Producten waarvan de kernfunctionaliteit valt onder Bijlage IV (hardwareapparaten met beveiligingsboxen, gateways voor slimme meters en smartcards/beveiligde elementen) zijn «kritieke producten met digitale elementen». Zodra de Commissie de relevante gedelegeerde handeling heeft aangenomen, moeten zij een Europees cyberbeveiligingscertificaat op betrouwbaarheidsniveau «substantieel» of hoger verkrijgen. Tot die tijd is een conformiteitsbeoordeling volgens module B+C of H vereist.
Verken de volledige verplichtingenbibliotheek, begrijp uw rol of bekijk de tijdlijn.