De Cyber Resilience Act, onder controle.
Brengt u een product met digitale elementen op de EU-markt, dan geldt de CRA voor u. Reglyze beoordeelt uw conformiteit in klare taal en genereert uw technische documentatie (Bijlage VII) en uw EU-conformiteitsverklaring — de meeste producten beoordelen zichzelf onder module A.
Zie het in actie — van product tot ondertekende verklaring
Een rondleiding van twee minuten: baken een product af, doorloop de zelfbeoordeling in klare taal en genereer de technische documentatie (Bijlage VII) en de EU-conformiteitsverklaring.
Van « geldt dit voor mij? » tot een ondertekende verklaring
1 · Scope & classificatie
Vier vragen vertellen u of de CRA van toepassing is, in welke klasse (Bijlage III/IV) u valt en welk conformiteitstraject u volgt. Gratis, zonder account.
2 · Zelfbeoordeling
Beantwoord ~20 eenvoudige vragen over uw product. De assistent stelt per essentiële eis (Bijlage I) een maturiteit van 0–3 voor, gebaseerd op IEC 62443.
3 · Genereer het dossier
Technische documentatie (Bijlage VII) en uw EU-conformiteitsverklaring — samengesteld uit uw antwoorden, SBOM-bewust, in uw taal.
Wat u krijgt
- Technische documentatie (Bijlage VII)
- EU-conformiteitsverklaring (pas beschikbaar zodra aan elke eis is voldaan)
- Verschillenrapport (Bijlage I) met de openstaande punten om weg te werken
- SBOM-import (CycloneDX / SPDX) opgenomen in het technische dossier
Basis: IEC 62443-4-1 (veilige ontwikkeling) en 62443-4-2 (componenteisen). De CRA-tekst is openbaar EU-recht; de verwijzingen naar IEC 62443 worden geparafraseerd, nooit letterlijk overgenomen.
Cyber Resilience Act — veelgestelde vragen
Is de Europese Cyber Resilience Act (CRA) van toepassing op mijn product?
De CRA geldt voor elk product met digitale elementen — hardware met software of firmware, en zelfstandige software — dat op de EU-markt wordt aangeboden. Brengt u een verbonden toestel, een IoT-product of installeerbare software op de Europese markt, dan valt u onder het toepassingsgebied. De gratis scopecheck van Reglyze bevestigt dit in vier vragen.
Wanneer treedt de Cyber Resilience Act in werking?
Twee data zijn van belang: de meldingsplichten voor kwetsbaarheden en incidenten gelden vanaf 11 sept. 2026, en volledige conformiteit, met inbegrip van de CE-markering, is vereist vanaf 11 dec. 2027. De CRA is Verordening (EU) 2024/2847.
Wat is de zelfbeoordeling volgens module A onder de CRA?
Module A is de conformiteitsroute waarbij de fabrikant zijn product zelf toetst aan de essentiële eisen en zelf zijn EU-conformiteitsverklaring opstelt, zonder tussenkomst van een aangemelde instantie. Ongeveer 90% van de producten — de categorie « standaard » — komt in aanmerking voor module A.
Heb ik een aangemelde instantie nodig voor de CRA?
Enkel voor « belangrijke » producten van klasse II en « kritieke » producten (CRA Bijlage III klasse II en Bijlage IV). Standaardproducten en de meeste « belangrijke » producten van klasse I kunnen zichzelf certificeren volgens module A, in het bijzonder wanneer geharmoniseerde normen worden toegepast.
Wat is de technische documentatie van Bijlage VII?
Bijlage VII somt de technische documentatie op die een fabrikant moet samenstellen en ter beschikking moet houden van de markttoezichtautoriteiten: productbeschrijving, risicobeoordeling, bewijs van conformiteit met de essentiële eisen en de softwarestuklijst (SBOM). Reglyze stelt deze samen op basis van uw zelfbeoordeling.
Wat is een EU-conformiteitsverklaring onder de CRA?
Het is de ondertekende verklaring waarin staat dat uw product voldoet aan de essentiële cyberbeveiligingseisen van de CRA. Ze is verplicht vóór de CE-markering en het in de handel brengen van het product. Reglyze stelt ze op zodra elke essentiële eis vervuld is.
Welke producten zijn « belangrijk » of « kritiek » onder de CRA?
CRA Bijlage III somt de « belangrijke » producten op (klasse I en II), zoals wachtwoordbeheerders, VPN's, firewalls en besturingssystemen; Bijlage IV somt de « kritieke » producten op, zoals gateways voor slimme meters en beveiligingscomponenten. Alles wat niet vermeld staat, is « standaard » en wordt zelf gecertificeerd volgens module A.
Wat zijn de sancties bij niet-naleving van de CRA?
Inbreuken op de essentiële cyberbeveiligingseisen en de kernverplichtingen van de fabrikant kunnen worden beboet tot €15 miljoen of 2,5% van de totale wereldwijde jaaromzet, waarbij het hoogste bedrag geldt, naast mogelijke bevelen tot terugtrekking uit de handel. Lagere drempels gelden voor andere inbreuken.
Hoe verschilt de CRA van NIS2?
NIS2 regelt de cyberbeveiliging van organisaties (essentiële en belangrijke entiteiten); de CRA regelt de cyberbeveiliging van producten met digitale elementen die op de EU-markt worden gebracht. Een fabrikant kan aan beide onderworpen zijn — NIS2 voor de manier waarop hij werkt, de CRA voor wat hij op de markt brengt.
Dekt de CRA software en opensource?
Ja. Zelfstandige software is een product met digitale elementen. Opensourcesoftware die in het kader van een commerciële activiteit wordt geleverd, valt onder het toepassingsgebied, met lichtere verplichtingen voor opensourcebeheerders zonder winstoogmerk. Een zelfstandige gehoste SaaS valt doorgaans buiten de CRA, tenzij het gaat om een oplossing voor gegevensverwerking op afstand die integraal deel uitmaakt van een product.