CRA-meldplicht: wat moet je weten vóór 11 september 2026?
De Cyber Resilience Act (CRA) treedt pas volledig in werking op 11 december 2027, maar één onderdeel gaat al eerder gelden: de meldplicht voor actief geëxploiteerde kwetsbaarheden en ernstige incidenten. Vanaf 11 september 2026 zijn fabrikanten van producten met digitale elementen verplicht om dit soort bevindingen te melden bij de bevoegde autoriteiten.
Dit artikel richt zich uitsluitend op die meldplicht. Voor de bredere werking van de CRA verwijzen we naar ons hoofdartikel over de CRA.
Producten met digitale elementen
De CRA is van toepassing op ‘producten met digitale elementen’: alle hardware en software die verbinding kan maken met een ander product of netwerk. Dit omvat een breed scala aan producten: van bedrijfssoftware en mobiele apps tot IoT-apparaten en netwerkapparatuur. Let op: er geldt een uitzondering voor SaaS.
Op wie is de meldplicht van toepassing?
De meldplicht geldt primair voor fabrikanten van producten met digitale elementen — dus voor organisaties die software of hardware ontwikkelen en op de Europese markt brengen. De wet maakt geen uitzondering op basis van organisatieomvang of het feit dat software- of hardware-ontwikkeling een nevenactiviteit is: als je een product met digitale elementen op de EU-markt brengt onder je eigen naam of merk, ben je fabrikant in de zin van de CRA.
Importeurs en distributeurs hebben in beginsel geen directe meldplicht, maar worden onder de CRA als fabrikant beschouwd — en krijgen daarmee dezelfde verplichtingen — zodra zij een product onder hun eigen naam of merk op de markt brengen, of een substantiële wijziging aan een product doorvoeren. Een importeur die producten van een niet-EU-fabrikant ongewijzigd onder de originele merknaam doorverkoopt, is geen fabrikant; zodra hij dat product onder eigen label aanbiedt, wél.
De meldplicht geldt ook voor bestaande producten
De meldplicht geldt voor alle producten die op 11 september 2026 beschikbaar zijn op de EU-markt, ook producten die al jaren geleden zijn uitgebracht. Dit betekent dat je al vóór september 2026 processen moet hebben ingericht voor je volledige productportfolio, niet alleen voor nieuwe releases.
Wat moet er gemeld worden?
Er zijn twee afzonderlijke triggers voor de meldplicht. Het onderscheid tussen beide is belangrijk, omdat ze ieder een eigen definitie en tijdlijn kennen.
Actief geëxploiteerde kwetsbaarheden
Een actief geëxploiteerde kwetsbaarheid is een kwetsbaarheid waarvan er betrouwbaar bewijs bestaat dat een kwaadwillende partij deze heeft misbruikt in een systeem, zonder toestemming van de eigenaar van dat systeem. Dit geldt voor gepatchte en niet-gepatchte kwetsbaarheden.
Het gaat uitdrukkelijk niet om elke gevonden kwetsbaarheid of elke CVE. Kwetsbaarheden die ontdekt worden via intern onderzoek of responsible disclosure, maar die nog niet aantoonbaar zijn misbruikt, vallen buiten deze meldplicht. Dit is een belangrijke begrenzing: fabrikanten hoeven niet elke potentiële zwakheid te melden, alleen bevindingen waarbij misbruik vaststaat.
Ernstige incidenten
Een ernstig incident is een incident dat de beveiliging van het product zelf raakt. Concreet gaat het om situaties waarbij het incident:
- de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies negatief beïnvloedt of kan beïnvloeden.
- leidt of kan leiden tot de introductie of uitvoering van kwaadaardige code in het product of in de netwerk- en informatiesystemen van een gebruiker — wat in de praktijk neerkomt op scenario’s als remote code execution (RCE) of supply chain-compromittering.
N.b. in de Gids Cyber Resilience Act van het Ministerie van EZK staat op pagina 10-11 ook omschreven welke informatie in een melding opgenomen moet worden.
Hoe en waar melden?
Je moet een melding maken via een reporting platform dat werkt via nationale ingangspunten. Waar je moet melden is afhankelijk van het land waarin je hoofdvestiging staat. Indien deze in Nederland staat meld je via het ingangspunt van het NCSC (Nationaal Cyber Security Centrum), dat als aangewezen CSIRT fungeert. Eén melding volstaat: het NCSC en ENISA ontvangen de melding gelijktijdig, en het NCSC zorgt vervolgens voor verdere verspreiding naar de relevante CSIRTs in andere EU-lidstaten waar jouw product beschikbaar is.
Naast de melding bij de autoriteiten ben je ook verplicht om gebruikers van het product zonder onnodige vertraging te informeren over de kwetsbaarheid of het incident, en waar relevant over de maatregelen die zij zelf kunnen nemen.
Relatie met andere meldplichten
Een CRA-melding vervangt niet andere meldverplichtingen. Als een kwetsbaarheid of incident ook persoonsgegevens betreft, gelden daarnaast de GDPR-meldverplichtingen. Als je organisatie ook onder de Cyberbeveiligingswet (NIS2-implementatie) valt, kunnen bovendien de meldverplichtingen uit die wet van toepassing zijn. In de praktijk kan dit betekenen dat je voor één incident meerdere meldingen moet doen bij verschillende autoriteiten. Zorg dat je processen hierop zijn afgestemd.
De meldtijdlijn
De CRA hanteert een getrapt systeem van meldingen met strikte deadlines. Alle termijnen lopen vanaf het moment dat je op de hoogte raakt van de kwetsbaarheid of het incident.
| Stap | Termijn | Inhoud |
| Early warning | Binnen 24 uur | Signalering van de kwetsbaarheid of het incident; indicatie in welke lidstaten het product beschikbaar is |
| Volledige melding | Binnen 72 uur | Algemene informatie over het product, de aard van de kwetsbaarheid of het incident, genomen en aanbevolen mitigerende maatregelen |
| Eindrapport (kwetsbaarheid) | Uiterlijk 14 dagen na beschikbaarheid van een patch of mitigerende maatregel | Volledige beschrijving inclusief ernst, eventuele informatie over de aanvaller en details over de beschikbaar gestelde fix |
| Eindrapport (incident) | Binnen 1 maand na de 72-uurs-melding | Volledige beschrijving van het incident en de genomen maatregelen |
Het NCSC kan tussentijds om aanvullende statusupdates vragen. Bereid je voor op actieve communicatie gedurende het hele proces, niet alleen op de formele meldmomenten.
Ons advies
In de praktijk is het onmogelijk om aan bovenstaande verplichtingen te voldoen zonder enige voorbereiding. Wij adviseren fabrikanten om vóór september 2026 het volgende te regelen:
Weet wat er in je producten zit
Je kunt een kwetsbaarheid niet herkennen of beoordelen als je niet weet welke componenten je product bevat. Een Software Bill of Materials (SBOM) — een gestructureerd overzicht van alle softwarecomponenten en afhankelijkheden — is hiervoor een effectief hulpmiddel. Een SBOM wordt per december 2027 indirect vereist vanuit de bredere CRA-verplichtingen; eerder beginnen geeft je ook nu al voordeel bij het inrichten van je meldproces.
Stel interne criteria vast
Definieer op basis van de wettelijke definities wanneer iets bij jullie kwalificeert als ‘actief geëxploiteerd’ of ‘ernstig incident’. Gebruik hiervoor ook externe bronnen zoals de ENISA European Vulnerability Database (EUVD) en de CISA Known Exploited Vulnerabilities (KEV) catalogus als referentie om te beoordelen of een kwetsbaarheid al actief wordt misbruikt. Zorg dat dit niet alleen in juridische termen is beschreven, maar ook vertaald naar herkenbare situaties voor je ontwikkel- en securityteams.
Richt een intern escalatiepad in
Wie signaleert een mogelijk meldplichtige situatie? Wie neemt de beslissing om te melden? Wie is verantwoordelijk voor het indienen? Met een 24-uurs deadline is er geen ruimte voor onduidelijkheid over verantwoordelijkheden.
Bereid je meldtemplates voor
Maak van tevoren sjablonen voor de early warning, de volledige melding en het eindrapport. Test deze via de ENISA SRP-testomgeving zodra die beschikbaar is.
Stem af met je supply chain
Als kwetsbaarheden in componenten van derden het triggermoment kunnen zijn, heb je hun informatie nodig om tijdig te kunnen melden. Maak hierover afspraken met leveranciers.
Voorkom dubbel werk bij samenlopende meldplichten
Als je ook onder NIS2/Cbw of de GDPR valt, zorg dan dat je meldprocessen op elkaar zijn afgestemd. Eén incident kan meerdere parallelle meldtrajecten activeren.
Voor wie?
Uitzonderingen en bijzonderheden
Micro- en kleine ondernemingen
Micro- en kleine ondernemingen zijn vrijgesteld van de boete bij het niet halen van de 24-uurs early warning termijn. De meldplicht zelf geldt wel onverkort — ook voor kleine fabrikanten. Dit geeft iets meer ruimte om de eerste stap in de meldtijdlijn te missen zonder directe financiële gevolgen, maar ontslaat je niet van de verplichting om te melden.
Open source software stewards
Organisaties die op structurele en duurzame basis open source software onderhouden voor commercieel gebruik — zogenoemde open source software stewards — vallen onder een lichtere variant van de meldplicht. Zij moeten actief geëxploiteerde kwetsbaarheden melden voor zover zij betrokken zijn bij de ontwikkeling van de betreffende producten, en ernstige incidenten voor zover deze de netwerk- en informatiesystemen van het project raken. Open source stewards worden niet beboet bij overtredingen van de CRA.
Vertraging van verspreiding door het NCSC
Standaard deelt het NCSC jouw melding direct door naar de relevante CSIRTs in andere EU-lidstaten. Er bestaat een gedelegeerde handeling die regelt wanneer het NCSC die verspreiding mag uitstellen — bijvoorbeeld als de melding zo gedetailleerd is dat deze als exploittechniek gebruikt zou kunnen worden. Als fabrikant kun je in je melding aangeven hoe gevoelig je de informatie acht; het NCSC weegt dit mee.
Het laatste nieuws
Europa: geen kopieertaks op Spotify-downloads
Tweede Kamer neemt Cyberbeveiligingswet aan met belangrijke verbeteringen
Nieuw whitepaper om Cybersecurity in de bestuurderskamer te krijgen
Kamer komt met verbeteringen voor Cyberbeveiligingswet, stemmingen komende 2 weken
