Security — Diepgang

Onze Voorbereiding op de
Cyber Resilience Act (CRA)

De CRA stelt nieuwe eisen aan de cybersecurity van onze digitale producten. Ik leid de transitie om compliance te verweven in onze volledige productlevenscyclus, van ontwerp tot support.

Compliance als Kwaliteitskeurmerk

Voor onze organisatie is de CRA meer dan een wettelijke verplichting; het is een kans om onze toewijding aan veilige producten te bewijzen. We integreren security-eisen direct in onze ontwikkelprocessen.

Focus op de keten

We maken beveiliging een integraal onderdeel van onze sprint-doelen, niet een add-on achteraf.

Radicale Transparantie

We bereiden ons voor op het leveren van volledige transparantie over de veiligheid en ondersteuning van onze producten.

Groei in gerapporteerde kwetsbaarheden (CVE's) per jaar.

De Risicogebaseerde Categorieën

De intensiteit van de conformiteitsbeoordeling hangt af van de risicoklasse. Klik op een categorie voor de specifieke route naar CE-markering.

📦

Regulier (Default)

Klik voor details

🛡️

Belangrijk Klasse I

Klik voor details

🚧

Belangrijk Klasse II

Klik voor details

Kritiek

Klik voor details

🚫

Uitgezonderd

Klik voor details

Incidentrapportage: De Onverbiddelijke Klok

Vanaf september 2026 gelden er strikte deadlines voor het melden van actief uitgebuite kwetsbaarheden en ernstige incidenten via het Single Reporting Platform (SRP).

Binnen 24 uur

Vroege Waarschuwing

Eerste melding van het incident; focus op detectie en of het een kwaadwillige actie betreft.

Binnen 72 uur

Volledige Notificatie

Gedetailleerde informatie over de aard, initiële impactanalyse en mogelijke verspreiding.

14 dagen na patch

Eindrapport (Kwetsbaarheid)

Gedetailleerde beschrijving van de oplossing en de wijze waarop de kwetsbaarheid is weggenomen.

Binnen 1 maand

Eindrapport (Incident)

Analyse van de bronoorzaak, de ernst van de schade en genomen mitigatiemaatregelen.

Software Bill of Materials (SBOM)

De nieuwe norm voor transparantie. De CRA dwingt fabrikanten tot een actieve vorm van supply chain management door het verplicht stellen van een machinaal leesbare SBOM (bijv. CycloneDX of SPDX).

Vereiste Velden

  • Component-identificatie
  • Versie-informatie
  • Traceerbaarheid van oorsprong
  • Dependency mapping
  • Cryptografische hashes

Operationele Waarde

Snelle lokalisatie van kwetsbare modules bij nieuwe CVE-meldingen en inzicht in transitieve risico's.

📄

Transparantie in de Keten

Strategische Aanbevelingen voor Transitie

Een gestructureerd programma voor compliance opzetten.

1

Stap 1: Inventarisatie en Classificatie

Beoordeel elk product op basis van connectiviteit en kernfuncties. Bepaal of samenwerking met een notified body noodzakelijk is.

2

Stap 2: Implementatie van Security SDLC

"Shift left" in het ontwikkelingsproces. Automatiseer threat modeling, kwetsbaarheidsscans en SBOM-generatie in de build-pijplijn.

3

Stap 3: Governance voor Kwetsbaarheidsrapportage

Definieer duidelijke triggers for "ernstige incidenten" en richt communicatielijnen in voor de 24-uurs deadline via het SRP.

4

Stap 4: Herziening van Toeleverancierscontracten

Pas inkoopvoorwaarden aan: eis dat componenten CRA-conform zijn en vraag garanties voor beveiligingsupdates.

Financiële Risico's & Boetes

Essentiële eisen (Annex I)€15M of 2.5% omzet
Overige verplichtingen€10M of 2% omzet
Misleidende informatie€5M of 1% omzet

Het Tijdspad van Compliance

De volledige toepasbaarheid is eind 2027, maar kritieke rapportage-eisen starten al in 2026.

10 Dec 2024

Inwerkingtreding CRA

Start van de 36-maanden durende transitieperiode.

11 Jun 2026

Toezicht Notified Bodies

Regels voor aanmelding en toezicht op instanties actief.

11 Sep 2026

Start Meldplicht

Actief uitgebuite kwetsbaarheden en ernstige incidenten melden.

11 Dec 2027

Volledige Toepasbaarheid

Alle producten moeten voldoen aan de eisen, inclusief CE-markering.