{{ getMenuName(animateLayers) }}

Inhoud

  • Sarphatistraat 7
    1017 WS Amsterdam
    logo-gemeente-amsterdam (1)
  • Aert van Nesstraat 45
    3012 CA Rotterdam
    Group 47
  • Kastanjelaan 400
    5616 LZ Eindhoven
    eindhoven_pms485_liggend_bb (1)
  • Lange Lozanastraat 142 B2
    2018 Antwerpen

EU Digital Decade: Cyber Resilience Act

mei 2026

De Cyber Resilience Act (CRA) heeft als doel de beveiliging van digitale producten in de Europese Unie te verbeteren.

Sparren over CRA wetgeving en de te ondernemen stappen voor uw organisatie?
Vraag een vrijblijvend gesprek aan

 

Cyber Resilience Act

Cyberaanvallen komen steeds vaker voor en kunnen grote schade veroorzaken. Hoewel de meeste inhoudelijke verplichtingen van de CRA pas per 11 december 2027 van toepassing worden, geldt er vanaf 11 september 2026 al een meldplicht voor ernstige incidenten.

Voor welke producten geldt de CRA?

De CRA stelt beveiligingseisen vast voor producten met digitale elementen die op de Europese markt worden aangeboden. Dat omvat zowel fysieke producten (hardware) als software, inclusief de afzonderlijke onderdelen daarvan. Doel is ervoor te zorgen dat deze producten gedurende hun gehele levenscyclus veilig zijn en blijven.

Wat zijn de belangrijkste verplichtingen?

De verplichtingen richten zich tot verschillende typen organisaties en bedrijven. De kern van de CRA ligt bij fabrikanten van digitale producten. Zij worden verplicht om cyberbeveiligingseisen te integreren in het ontwerp, de ontwikkeling en de productie van hun producten (“security by design”). De fabrikant moet:

  • een risicoanalyse uitvoeren
  • technische documentatie opstellen;
  • ervoor zorgen dat kwetsbaarheden worden verholpen voordat een product op de markt komt

Voor aanbieders van softwarediensten geldt dat de CRA eist dat de producten standaard zo min mogelijk persoonsgegevens verwerken. De CRA vereist ook dat de fabrikant gedurende de verwachte levensduur van het product (met een minimum van vijf jaar) beveiligingsupdates levert.

Welke beoordelingsprocedures gelden onder de CRA?

De CRA hanteert een risico-gebaseerde classificatie. Sommige producten kunnen door middel van een “self-assessment” worden getoetst aan de eisen van de CRA; voor producten die als belangrijk of kritiek worden aangemerkt (zoals firewalls) gelden strengere beoordelingsprocedures, waaronder mogelijk toetsing door een onafhankelijke instantie.

CE-markering, handhaving en sancties

Producten die aan de eisen van de CRA voldoen, moeten worden voorzien van een CE-markering. Nationale autoriteiten worden belast met het handhaven van de CRA en kunnen producten die niet aan de eisen voldoen van de markt laten halen. Overtreding van

essentiële cyberbeveiligingseisen kunnen leiden tot boetes van maximaal 15 miljoen euro of 2,5% van de wereldwijde jaaromzet.

Conclusie

De CRA maakt cyberveiligheid een verplicht onderdeel van het ontwerp, de productie en het beheer van digitale producten. Voor fabrikanten, importeurs en distributeurs betekent dit dat zij tijdig moeten zorgen voor veilige producten, beveiligingsupdates, CE-markering, documentatie en meldprocessen. Bedrijven doen er goed aan om nu al te beoordelen welke verplichtingen op hun producten van toepassing zijn.

Heeft u vragen over de CRA?

Heeft u vragen over de impact van de CRA op uw organisatie? Het team van Halsten denkt graag met u mee. Neem gerust contact op met een van onze collega’s:

legal counsel privacyrecht, o.a. DORA - Allard Koers
Allard Koers
allard.koers@halsten.nl

Legal counsel privacyrecht bij Halsten - Céline Teeuwen
Céline Teeuwen
celine.teeuwen@halsten.nl

Legal counsel privacyrecht bij Halsten - Linde Lotte van de Ven
Linde Lotte van de Ven
lindelotte.vandeven@halsten.nl


Andrea Cuijpers
andrea.cuijpers@halsten.nl

Andere artikelen

halsten divider copy 6
Alle Kennis en events artikelen
halsten divider copy 6
Contact