CRA gepubliceerd: cybersecurity vereisten voor alle hard- en software

De langverwachte Cyber Resilience Act (CRA) is vandaag officieel gepubliceerd in het Publicatieblad van de Europese Unie. Hiermee wordt deze echt wet en gaan de invoeringstermijnen lopen. Het markeert de start van een nieuwe fase in Europese cybersecurity-regelgeving die grote impact zal hebben op de Nederlandse digitale sector.

Belangrijkste data voor uw bedrijf:

• 11 september 2026: Meldplicht voor security-incidenten bij digitale producten gaat in
• 11 december 2027: Volledige wetgeving wordt van kracht

Wat betekent dit voor uw organisatie? Alle hardware en software die u op de markt brengt moet straks voldoen aan Europese cybersecurity-eisen en voorzien zijn van een CE-markering. Dit geldt voor nieuwe producten én substantiële updates van bestaande producten. Enkele kernpunten:

• Verplichte security-by-design ontwikkeling en secure-by-default configuratie
• Gratis security updates tijdens de volledige ondersteuningsperiode, met een standaard van 5 jaar
• Actief vulnerability management en incident response
• Verplichte documentatie van security-maatregelen

Specifiek voor MKB

De wetgever heeft rekening gehouden met kleinere bedrijven. Er komen vereenvoudigde procedures voor micro- en kleine ondernemingen. De exacte uitwerking hiervan gaan we scherp volgen.

Voorbereiden op implementatie

Hoewel de volledige inwerkingtreding nog drie jaar duurt, adviseren wij onze leden om tijdig te starten met de voorbereiding. De implementatie van security-by-design principes en het opzetten van vulnerability management kunnen substantiële aanpassingen vergen in ontwikkel- en bedrijfsprocessen.

NLdigital onderzoekt hoe we onze leden kunnen ondersteunen bij de implementatie van de CRA. Een uitgebreide toelichting op de wetgeving vindt u in ons kennisbankartikel over de CRA.

Jelmer Schreuder

Public policy manager

Neem contact op met
Jelmer Schreuder

Het laatste nieuws

Cyberbeveiligingswet: steun voor de wet, zorgen over de uitvoering

10 maart 2026

Op 23 maart vergadert de Tweede Kamer in een wetgevingsoverleg over de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn. NLdigital heeft haar inbreng aangeboden aan de Tweede Kamer. Onze boodschap is tweeledig: steun voor de wet, zorgen over de uitvoering.

Cybersecurity

Actualisatie ARBIT 2022, NLdigital om inbreng gevraagd 

3 maart 2026

De rijksoverheid is gestart met de actualisatie van de Algemene Rijksinkoopvoorwaarden bij IT‑overeenkomsten (ARBIT) 2022. NLdigital is gevraagd om aan te geven waar...

Cybersecurity

NLdigital lanceert stappenplan voor Cyberbeveiligingswet (NIS2)

24 februari 2026

NIS2 en de Cyberbeveiligingswet uitgelegd: voor wie geldt de wet, wat zijn de verplichtingen en hoe bereid je je voor? Bekijk het stappenplan van NLdigital.

Cybersecurity

Gat tussen IT-markt en instroom onderwijs wordt steeds groter, zorgen bij innovatieve bedrijven 

11 februari 2026

De digitale sector maakt zich grote zorgen om het steeds groter wordend gat tussen de IT-arbeidsmarkt en het aantal instromende studenten bij universiteiten...

Cybersecurity

Digitale sector reageert positief op aandacht digitalisering en innovatie in Coalitieakkoord

4 februari 2026

NLdigital, de branchevereniging van de digitale sector, is blij met de aandacht die digitalisering krijgt in het regeerakkoord. De coalitie...

Cybersecurity