Geldt de Cyber Resilience Act voor Nederlandse bedrijven?

Ja. Verordening (EU) 2024/2847 geldt voor alle fabrikanten, importeurs en distributeurs van producten met digitale elementen die op de EU-markt worden gebracht. Nederlandse bedrijven zijn direct van toepassing. Volledige toepassing vanaf 11 december 2027, meldplicht voor kwetsbaarheden vanaf 11 september 2026.

Wat zijn de CRA-verplichtingen voor de toeleveringsketen?

De CRA stelt verplichtingen voor fabrikanten, importeurs en distributeurs. Fabrikanten dragen de zwaarste verplichtingen: cybersecurityrisicoanalyse, veilig ontwerp, kwetsbaarheidsbeheer, SBOM en CE-markering. Importeurs moeten controleren of producten CRA-conform zijn voordat ze op de EU-markt worden gebracht. Distributeurs mogen geen niet-conforme producten op de markt brengen.

Verordening (EU) 2024/2847 NCSC • RDI • Digital Trust Center

Cyber Resilience Act
voor Nederlandse bedrijven

Q: Wat is de rol van het NCSC bij de CRA?

Het Nationaal Cyber Security Centrum (NCSC) is de nationale CSIRT-coordinator voor Nederland onder de CRA. Vanaf 11 september 2026 melden fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten via het digitale meldloket mijn.NCSC.nl. De RDI (Rijksinspectie Digitale Infrastructuur) is de markttoezichthouder voor de CRA in Nederland.

Verordening (EU) 2024/2847 verplicht fabrikanten, importeurs en distributeurs van producten met digitale elementen op de EU-markt tot aantoonbare cyberbeveiliging. Nederlandse bedrijven zijn direct van toepassing.

CRA-compliance automatiseren →

Nederlandse autoriteiten voor de CRA

Drie overheidsinstanties spelen een centrale rol bij de uitvoering van de CRA in Nederland.

🚨

NCSC — meldloket

Het Nationaal Cyber Security Centrum is de nationale CSIRT-coordinator. Vanaf 11 september 2026 melden fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten via mijn.NCSC.nl.

📊

RDI — markttoezicht

De Rijksinspectie Digitale Infrastructuur (RDI) is de markttoezichthouder voor de CRA in Nederland. De RDI controleert of producten aan de essentiële cybersecurityeisen voldoen.

🛠

Digital Trust Center

Het Digital Trust Center (Min. van EZ) biedt praktische CRA-gidsen en zelfbeoordelingstools voor het MKB. De CRA Gids v2.0 (september 2025) is beschikbaar via digitaltrustcenter.nl.

Bronnen: NCSC.nl — CRA; RDI.nl — CRA; digitaltrustcenter.nl

CRA-verplichtingen in de toeleveringsketen

De CRA legt verplichtingen op aan alle marktdeelnemers in de keten — niet alleen aan fabrikanten. Bron: Verordening (EU) 2024/2847, Artikelen 13–26.

Fabrikant

Zwaarste verplichtingen

Cybersecurityrisicoanalyse, veilig-by-design ontwerp, kwetsbaarheidsbeheer, SBOM, CE-markering, EU-conformiteitsverklaring, technische documentatie (Bijlage VII), 10 jaar bewaarplicht.

Importeur

Verificatieplicht

Controleren of het product CRA-conform is voordat het op de EU-markt wordt gebracht. Importeurs zijn aansprakelijk als zij niet-conforme producten in omloop brengen.

Distributeur

Zorgplicht

Mag geen producten op de markt brengen waarvan bekend is dat ze niet voldoen aan de CRA. Moet medewerking verlenen bij incidenten en terugroepacties.

Bron: Verordening (EU) 2024/2847, Artikelen 13–26 — EUR-Lex

Belangrijke data voor Nederlandse bedrijven

Officiële tijdlijn op basis van Verordening (EU) 2024/2847, Artikelen 71–72.

10 december 2024

CRA in werking getreden Afgerond

Verordening (EU) 2024/2847 is in werking getreden. Nederlandse bedrijven moeten beginnen met de voorbereiding op naleving.

21 december 2025

Productclassificatie verduidelijkt Afgerond

Uitvoeringsverordening (EU) 2025/2392 in werking: technische beschrijvingen voor Belangrijke (klasse I en II) en Kritieke productcategorieën vastgesteld.

11 juni 2026

Conformiteitsbeoordelingsinstanties 24 dagen

Lidstaten melden conformiteitsbeoordelingsinstanties (notified bodies) bij de Europese Commissie. Hoofdstuk IV van de verordening is van toepassing.

11 september 2026

Meldplicht kwetsbaarheden van start 116 dagen

Artikel 14 is van toepassing. Fabrikanten melden actief misbruikte kwetsbaarheden en ernstige incidenten via mijn.NCSC.nl. Termijnen: 24 uur vroege melding, 72 uur vervolgmelding, 14 dagen eindverslag.

11 december 2027

Volledige toepassing CRA 573 dagen

Alle eisen van toepassing: essentiële cybersecurityvereisten (Bijlage I), CE-markering, EU-conformiteitsverklaring, technische documentatie (Bijlage VII). Boetes tot €15.000.000 of 2,5% van de wereldwijde jaaromzet (Artikel 64).

Veelgestelde vragen

Antwoorden gebaseerd op de officiële tekst van Verordening (EU) 2024/2847 en informatie van NCSC, RDI en Digital Trust Center.

Geldt de CRA ook voor software-only producten?

Ja. De CRA geldt voor alle producten met digitale elementen, inclusief standalone software die op de EU-markt wordt gebracht als onderdeel van een commerciële activiteit. Apps, firmware en software componenten die afzonderlijk op de markt worden gebracht vallen in scope. Oplossingen voor gegevensverwerking op afstand (remote data processing) vallen alleen onder de CRA als ze noodzakelijk zijn voor het functioneren van het digitale product.

Bron: Verordening (EU) 2024/2847, Artikel 2 — EUR-Lex

Hoe meld ik een kwetsbaarheid via het NCSC?

Vanaf 11 september 2026 melden fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten via het digitale meldloket mijn.NCSC.nl. De melding verloopt via het ENISA Single Reporting Platform (SRP), dat de informatie automatisch doorstuurt naar het NCSC als nationale CSIRT-coordinator. Termijnen: vroege melding binnen 24 uur, vervolgmelding binnen 72 uur, eindverslag binnen 14 dagen na beschikbaarheid van een patch.

Bron: NCSC.nl — Cyber Resilience Act; Verordening (EU) 2024/2847, Artikel 14

Wat is een SBOM en is het verplicht?

Een Software Bill of Materials (SBOM) is een gestructureerde lijst van alle softwarecomponenten in een product, inclusief versies en bekende kwetsbaarheden. Bijlage I Deel II van Verordening (EU) 2024/2847 verplicht fabrikanten om een SBOM op te stellen en bij te houden als onderdeel van het kwetsbaarheidsbeheerproces. De SBOM hoeft niet actief gepubliceerd te worden, maar moet beschikbaar zijn voor markttoezichthouders.

Bron: Verordening (EU) 2024/2847, Bijlage I Deel II — EUR-Lex

Wat zijn de boetes bij niet-naleving van de CRA?

Artikel 64 van Verordening (EU) 2024/2847 stelt maximumboetes vast: niet-naleving van essentiële cybersecurityvereisten tot €15.000.000 of 2,5% van de wereldwijde jaaromzet (het hoogste bedrag geldt); andere overtredingen tot €10.000.000 of 2% van de jaaromzet; onjuiste informatie aan autoriteiten tot €5.000.000 of 1% van de jaaromzet. Micro-ondernemingen en kleine bedrijven zijn vrijgesteld van boetes voor het niet halen van de 24-uursdeadline voor kwetsbaarheidsmeldingen.

Bron: Verordening (EU) 2024/2847, Artikel 64 — EUR-Lex

Automatiseer uw CRA-compliance

CRA Ready is het B2B SaaS-platform voor Europese fabrikanten. Technische documentatie, CE-markering, kwetsbaarheidsbeheer en SBOM — alles op één platform.

Platform openen →

Juridische disclaimer: Deze pagina is een informatiebron. Alle inhoud met betrekking tot de CRA verwijst naar de officiële tekst van Verordening (EU) 2024/2847 gepubliceerd in het EU Publicatieblad (EUR-Lex). Informatie over Nederlandse autoriteiten is afkomstig van ncsc.nl, rdi.nl en digitaltrustcenter.nl. Deze pagina vormt geen juridisch advies.