CRA gepubliceerd: cybersecurity vereisten voor alle hard- en software

De langverwachte Cyber Resilience Act (CRA) is vandaag officieel gepubliceerd in het Publicatieblad van de Europese Unie. Hiermee wordt deze echt wet en gaan de invoeringstermijnen lopen. Het markeert de start van een nieuwe fase in Europese cybersecurity-regelgeving die grote impact zal hebben op de Nederlandse digitale sector.

Belangrijkste data voor uw bedrijf:

• 11 september 2026: Meldplicht voor security-incidenten bij digitale producten gaat in
• 11 december 2027: Volledige wetgeving wordt van kracht

Wat betekent dit voor uw organisatie? Alle hardware en software die u op de markt brengt moet straks voldoen aan Europese cybersecurity-eisen en voorzien zijn van een CE-markering. Dit geldt voor nieuwe producten én substantiële updates van bestaande producten. Enkele kernpunten:

• Verplichte security-by-design ontwikkeling en secure-by-default configuratie
• Gratis security updates tijdens de volledige ondersteuningsperiode, met een standaard van 5 jaar
• Actief vulnerability management en incident response
• Verplichte documentatie van security-maatregelen

Specifiek voor MKB

De wetgever heeft rekening gehouden met kleinere bedrijven. Er komen vereenvoudigde procedures voor micro- en kleine ondernemingen. De exacte uitwerking hiervan gaan we scherp volgen.

Voorbereiden op implementatie

Hoewel de volledige inwerkingtreding nog drie jaar duurt, adviseren wij onze leden om tijdig te starten met de voorbereiding. De implementatie van security-by-design principes en het opzetten van vulnerability management kunnen substantiële aanpassingen vergen in ontwikkel- en bedrijfsprocessen.

NLdigital onderzoekt hoe we onze leden kunnen ondersteunen bij de implementatie van de CRA. Een uitgebreide toelichting op de wetgeving vindt u in ons kennisbankartikel over de CRA.

Jelmer Schreuder

Public policy manager

Neem contact op met
Jelmer Schreuder

Het laatste nieuws

NLdigital waarschuwt voor juridische gebreken in onverwacht toegevoegd artikel Cyberbeveiligingsbesluit

1 september 2025

NLdigital waarschuwt voor juridische tekortkomingen in een onverwacht toegevoegd artikel aan het Cyberbeveiligingsbesluit, dat ministers vergaande bevoegdheden geeft zonder voorafgaande consultatie of wettelijke basis. De organisatie roept op tot het schrappen of herzien van het artikel en biedt een alternatief gebaseerd op het Duitse NIS2-model.

Cybersecurity

Marcel Timmer van Red Hat over het lidmaatschap bij NLdigital

31 juli 2025

Red Hat ziet in NLdigital een essentieel netwerk om samen te werken aan digitale soevereiniteit, cybersecurity en keuzevrijheid in IT. Het lidmaatschap biedt waarde door kennisdeling, beleidsbeïnvloeding en een sterk ecosysteem van partners binnen de Nederlandse digitale sector.

Cybersecurity

Iquality over NLdigital: Een partner die juridische zekerheid en vooruitblik biedt

28 juli 2025

"Voor een organisatie als de onze, zonder juristen in huis, is het ontzettend waardevol om een partner te hebben die...

Cybersecurity

NLdigital lanceert ambitieus verkiezingsmanifest: “Nederland digitaal vooruit” 

21 juli 2025

NLdigital, de branchevereniging van 600 digitale bedrijven in Nederland, presenteert vandaag haar verkiezingsmanifest "Nederland digitaal vooruit - Een agenda voor de verkiezingen van 2025". Met een dringende oproep tot actie schetst de organisatie hoe Nederland door massale digitalisering de grootste economische uitdaging uit haar geschiedenis kan overwinnen. 

Cybersecurity

Een diep geloof in het talent van mensen:  zij-instroompact voor ICT-potentieel

15 juli 2025

NLdigital zet in dit artikel de digitale prioriteiten van het Deense voorzitterschap uiteen en deelt in een volgend artikel onze analyse. 

Cybersecurity