Strategie

Van slimme lamp tot kassasysteem: straks valt alles onder de CRA

De CRA verplicht producenten, importeurs en distributeurs om security structureel te regelen — niet als bijzaak, maar als onderdeel van het product

#strategie

In mijn reeks blogjes over wetten op het gebied van cyber security heb ik het al gehad over de telecommunicatiewet, de AVG, de DORA en de NIS2/CyberBeveiligingsWet. Vandaag voeg ik daar de Cyber Resillience Act (CRA) aan toe. Hoewel nu nog niet actief, is dit iets wat straks voor veel ondernemers ineens héél concreet wordt. Die wet is namelijk geschreven omdat software en ‘dingen-met-software’ (van slimme lamp tot kassasysteem) steeds vaker een zwakke plek zijn in een organisatie of bij mensen thuis. Eén lek, en je hele bedrijfsproces schokt, stokt of staat stil. De CRA is de Europese poging om dat structureel op te lossen.

**Waarom de CRA?**Heel plat: te veel producten komen op de markt met ‘veiligheid komt later wel’. Later kwam niet altijd. En zeker met goedkope producten uit China. Resultaat: kwetsbaarheden, datalekken en dure incidenten. De CRA draait dat om en zegt: veiligheid hoort vanaf dag één in het ontwerp, én gedurende de hele levensduur van het product te worden bijgehouden.

Wat regelt de CRA:

  • Security by design & by default: producten met digitale onderdelen (hardware én software) moeten vanaf de tekentafel veilig zijn ingesteld. Dus geen standaard ‘admin/admin’ gebruikersnamen en wachtwoorden en goede beveiliging zoals standaard een firewall op je router.
  • Beheer van kwetsbaarheden over de levensduur: fabrikanten moeten het makkelijk maken om gevonden kwetsbaarheden te kunnen melden, ze vervolgens beoordelen en updates uitbrengen. Niet één keer, maar zolang het product ondersteund wordt. Hoe lang is dat dan? Dat hangt af van je product maar de einddatum van updates moet bij aankoop duidelijk vermeld zijn. Ook belangrijk: updates zijn in principe GRATIS voor consumenten. Voor business-to-business kun je het anders regelen (via onderhoudscontracten bijvoorbeeld).
  • Transparantie & documentatie: technische documentatie, duidelijke gebruikersinstructies wat betreft de beveiliging van je product (wat doe je bij een incident bijvoorbeeld? hoe kun je updaten?) en een fatsoenlijk handleiding dat niet stiekem alleen marketing is.
  • Conformiteit & CE: “producten met digitale elementen” vallen onder EU-regels met conformiteitsbeoordelingen. Je mag dus niet meer het ‘CE’ merk op je product plakken als je niet aan de CRA voldoet. De meeste organisaties mogen die ‘conformiteitsbeoordeling’ zelf beoordelen en vastleggen. Voor kritischer categorieën van producten gelden zwaardere eisen voordat er een CE-markering op mag.
  • Rollen en verantwoordelijkheden: niet alleen de fabrikant, maar óók importeurs en distributeurs krijgen plichten. Lever jij door? Dan krijg je ook verantwoordelijkheden mee.
  • Handhaving & boetes: niet-naleving kan geld kosten. En nee, dit is geen ‘richtsnoer waar niemand op let’. Dit gaat echt deel uitmaken van je compliance-werk.

**Wanneer ongeveer?**De CRA is aangenomen en gaat gefaseerd gelden. Vanaf 11 september 2026 ben je verplicht om zeer ernstige kwetsbaarheden te melden. Vanaf 11 december 2027 mag je geen producten meer op de Europese markt brengen die aan de CRA voldoen. Producten die al op de markt zijn moeten vanaf dat moment ook aan de CRA voldoen.

Hoe komt een MKB’er hiermee in aanraking? Drie veelvoorkomende routes

  • Dan ben je (hoogstwaarschijnlijk) fabrikant in de zin van de wet. Je moet risico’s aan de bron adresseren: risico beheersing (al is het maar licht), updateproces op orde, kwetsbaarheden kunnen ontvangen (responsible disclosure), en documentatie klaar hebben.
  • Voorbeeld: maak jij een software-applicatie voor planningsafdelingen? Dan moet je updatebeleid, logging en incidentcommunicatie volwassen zijn. “We patchen als iemand klaagt” is geen beleid.
  • Jij moet checken of wat je doorzet conform is. Papieren niet op orde? Dan is “ik verkoop het alleen maar” geen excuus meer.
  • Voorbeeld: je verkoopt IoT-sensoren met een eigen stickertje. Dan moet jij zeker weten dat firmware-updates bestaan, dat de leverancier kwetsbaarheden verwerkt, en dat de CE-claim hout snijdt.
  • Ook dan heb je er mee te maken, zij het indirect. Je inkoop en leveranciersbeheer moeten vragen gaan stellen: krijgt dit product updates, hoe lang, en hoe snel bij kritieke issues? Dat is niet verplicht vanuit de CRA, maar die andere wet die ik de vorige keer behandelde verplicht je te kijken naar de veiligheid van je leveranciers en hun producten. Zo grijpen deze twee wetten in elkaar.
  • Voorbeeld: je slimme kassa en betaalpinautomaat. Als de fabrikant zijn producten niet veilig produceert en dat kan aantonen, heb je straks:1. een product dat lek is en je beveiligingsrisico’s oplevert.2. Mogelijk consequenties heeft als je slachtoffer wordt door dat beveiligingslek. Je had tenslotte de verplichting om je leveranciers goed te beoordelen. En als je ISO 27001 of NEN 7510-ambities hebt, wordt dit extra relevant.

Praktisch plan voor producerende MKB’ers

  1. Maak een kort lijstje “digitale producten” die jij maakt, doorverkoopt of die bedrijfskritisch zijn (kassa, webshopsoftware, wifi-routers, camera’s, productie-PLC’s, apps).
  2. Zet er drie kolommen naast: “Wie is de fabrikant?”, “Hoe regelen ze updates/kwetsbaarheden?”, “Documentatie/CE op orde?”. Alles wat je niet weet ga je navragen en leg je vast**.**
  3. **Regel in dat problemen met je product gemeld kunnen worden **(responsible disclosure): een simpel beleid op je website en een procesje om het af te handelen. Wie leest de meldingen, hoe reageren we en hoe snel, en hoe documenteren we?
  4. Plan updates: niet ‘ad hoc’, maar ritme. Bijvoorbeeld maandelijks klein, kwartaal groot. Leg vast wie beslist bij spoedpatches en wanneer iets een spoedpatch is.
  5. Contracten en inkoop aanpassen: zet security-lifecycle, update-termijnen en reactie op kritieke kwetsbaarheden in je afspraken met je leveranciers. Geen toezegging, geen deal.
  6. Bewaar bewijs: e-mails, verklaringen van leveranciers, conformiteitsinfo. Dat is je airbag als er vragen komen.

Nog een laatste concreet voorbeeldStel: je verkoopt slimme thermostaten door aan zakelijke klanten. De fabrikant zegt dat ie “aandacht heeft voor beveiliging”. Klinkt vaag, is ook vaag. Onder de CRA wil je:

  • weten hoe lang ze security-updates leveren,
  • hoe snel ze reageren op kritieke lekken,
  • of er een disclosure-proces is,
  • en of de documentatie compleet is (voor jouw CE- en doorverkoopverantwoordelijkheid).

Zo niet? Zoek dan een leverancier die het wel geregeld heeft. Begin daarom nu al vragen te stellen aan je leveranciers. Soms moet je slapende honden juist wel wakker maken om er straks zelf profijt van te hebben.

Tot slotNee, de CRA is geen papieren tijger die alleen voor “de groten” geldt. Het is juist bedoeld om de basis op orde te krijgen, ook voor de mkb’ers die bouwen, doorverkopen of simpelweg afhankelijk zijn van digitale spullen. De truc is niet om alles morgen perfect te hebben, maar om nu slim te beginnen: inzicht, afspraken, update-ritme, en bewijs. Dan is 2027 vooral een vinkje, geen verrassing.

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen