Onafhankelijke gids bij Verordening (EU) 2024/2847 · Status: van kracht
Deze pagina is een automatische (AI-)vertaling en is niet door een persoon gecontroleerd.
Richtsnoeren · Officiële bronnen

Richtsnoeren van de Europese Commissie over de CRA

Een overzicht in begrijpelijke taal van de richtsnoeren die de Europese Commissie heeft uitgebracht ter ondersteuning van de uitleg van Verordening (EU) 2024/2847; wat zij behandelen en waar zij de verplichtingen in de wettekst verduidelijken.

01Wat dit is

De verordening stelt de verplichtingen vast; richtsnoeren van de Commissie leggen uit hoe deze in de praktijk moeten worden toegepast. Richtsnoeren zijn niet bindend en wijzigen de wet niet, maar markttoezichtautoriteiten en aangemelde instanties hanteren deze voor een consistente uitlegging, zodat het de natuurlijke aanvulling vormt op de Art. 1 tekst.

Hoe deze te gebruiken

Lees de richtsnoeren naast het artikel dat zij uitleggen. Wanneer de richtsnoeren en uw eigen lezing van elkaar verschillen, is de bindende referentie altijd de tekst van de verordening en, uiteindelijk, de rechter.

02De FAQ van de Commissie

De Commissie houdt een document met veelgestelde vragen bij waarin de meest voorkomende interpretatievragen worden gebundeld: grensgevallen wat betreft het toepassingsgebied, de behandeling van reserveonderdelen en componenten, en hoe het tijdschema van toepassing is op producten die reeds op de markt zijn. Het werd voor het eerst gepubliceerd in december 2025 en is een “levend document” dat wordt bijgewerkt naarmate er nieuwe vragen ontstaan.

Officiële bron

Lees de FAQ van de Commissie over de uitvoering van de CRA: Uitvoering van de Cyber Resilience Act: veelgestelde vragen ↗

03Verduidelijkingen van het toepassingsgebied

Een groot deel van de richtsnoeren gaat over toepassingsgebied, het onderwerp waarover de meeste vragen worden gesteld. Het verduidelijkt wat als een “product met digitale elementen” telt, hoe gegevensverwerking op afstand wordt behandeld en waar de grens ligt met sectorspecifieke wetgeving. Art. 2

  • Gegevensverbinding; een directe of indirecte logische of fysieke verbinding volstaat om een product binnen het toepassingsgebied te brengen.
  • Uitgesloten sectoren; medische hulpmiddelen, motorvoertuigen en burgerluchtvaart blijven onder hun eigen kaders vallen.
  • SaaS; op zichzelf staande diensten vallen doorgaans buiten de CRA, maar verwerking die noodzakelijk is voor de werking van een product wordt als onderdeel van het product beschouwd. Art. 3

04Opensourcesoftware

De richtsnoeren lichten het op maat gesneden, lichtere regime voor opensource toe. Niet-commerciële opensourcesoftware die buiten een commerciële activiteit wordt ontwikkeld, valt grotendeels buiten het toepassingsgebied; “beheerders van opensourcesoftware” hebben een welomschreven, evenredige reeks verplichtingen.

Belangrijk onderscheid

De bepalende factor is commerciële activiteit. Een component die gratis wordt geleverd maar in het kader van een commerciële activiteit, kan toch binnen het toepassingsgebied vallen.

05Ondersteuningsperiode en updates

De richtsnoeren geven aan hoe u een verdedigbare ondersteuningsperiode: deze moet weergeven hoelang het product naar redelijke verwachting in gebruik zal zijn, en dient in de regel ten minste vijf jaar te bedragen, tenzij het verwachte gebruik korter is. Beveiligingsupdates moeten gratis zijn en los van functie-updates worden verstrekt. Art. 13

06Melding en ENISA

Melding verloopt via het centrale meldingsplatform dat ENISA opzet op grond van Art. 16. Zodra een fabrikant kennis krijgt van een actief misbruikte kwetsbaarheid of een ernstig incident dat de beveiliging van het product treft, stelt hij ENISA en het nationale CSIRT via dat platform in kennis volgens een termijn van 24 uur / 72 uur / 14 dagen. Richtsnoeren geven aan wat de vroegtijdige waarschuwing, de kennisgeving en het eindverslag elk moeten bevatten. Art. 14

Van toepassing vanaf 11 september 2026

De rapportageverplichtingen worden afdwingbaar op 11 september 2026, en het centrale meldingsplatform van ENISA moet tegen die datum operationeel zijn.

07Geharmoniseerde normen

De essentiële eisen in Bijlage I zijn uitgedrukt in termen van resultaten. Geharmoniseerde normen geven, zodra zij in het Publicatieblad zijn vermeld, een vermoeden van conformiteit voor producten die ze volgen.

Het normalisatieverzoek van de Commissie M/606 werd in 2025 aanvaard door CEN, CENELEC en ETSI en omvat ongeveer 41 normen: grofweg 15 horizontale (productonafhankelijke) en de rest verticale (productspecifieke). De twee centrale horizontale normen, over veilige ontwikkeling en over kwetsbaarhedenbehandeling, worden verwacht tegen 30 augustus 2026; de verticale normen tegen 30 oktober 2026; en de overige horizontale normen tegen 30 oktober 2027, ongeveer een jaar vóór de volledige toepassing.

Waarom het van belang is

Zolang er geen normen zijn vermeld, moet de conformiteit rechtstreeks worden aangetoond aan de hand van de eisen van bijlage I. Zodra een relevante norm is vermeld, is het volgen daarvan de eenvoudigste weg naar een vermoeden van conformiteit.