Onafhankelijke gids bij Verordening (EU) 2024/2847 · Status: van kracht
Deze pagina is een automatische (AI-)vertaling en is niet door een persoon gecontroleerd.
Weg naar naleving · Richtsnoeren

CRA-gids voor softwareontwikkelaars

Hoe de Cyber Resilience Act van toepassing is op softwareproducten; van veilige ontwikkeling tot kwetsbaarhedenbehandeling, SBOM's en de CE-markering.

Van toepassing op
Software met digitale elementen
Conformiteit
Normen of derde partij
Ondersteuningsperiode
Bepaald, ≥ verwacht gebruik

Compliancestappen

1

Bevestig het toepassingsgebied en de klasse

Art. 2 · 6

De meeste software die met een gegevensverbinding op de EU-markt wordt gebracht, valt binnen het toepassingsgebied, en veel ontwikkelaarstools vallen in de categorie 'belangrijk' van bijlage III.

  • Voer de CRA Fast Check uit om het toepassingsgebied te bevestigen
  • Stel vast of uw product een standaardproduct, een belangrijk product of een kritiek product is
  • Leg de onderbouwing vast in uw documentatie
Hulpmiddel voor deze stap
2

Bouw beveiliging in vanaf het ontwerp

Annex I · I

Ontwerp en ontwikkel het product zo dat het gedurende de hele levenscyclus aan de essentiële beveiligingseigenschappen voldoet.

  • Lever het product met een standaard beveiligde configuratie
  • Pas authenticatie en toegangscontroles toe
  • Bescherm gegevens met versleuteling tijdens verzending en in rust
  • Beperk het aanvalsoppervlak en de blootgestelde interfaces
Veelvoorkomende valkuil

Het ingeschakeld laten van debug-interfaces, standaardinloggegevens of uitvoerige foutuitvoer in productiebuilds.

Hulpmiddel voor deze stap
3

Richt kwetsbaarhedenbehandeling in

Annex I · II

Voer een gedocumenteerd proces uit om kwetsbaarheden gedurende de ondersteuningsperiode op te sporen, te verhelpen en bekend te maken.

  • Publiceer een gecoördineerd beleid voor de openbaarmaking van kwetsbaarheden
  • Voorzie in een contactpunt voor het melden van problemen
  • Verhelp kwetsbaarheden zonder onnodige vertraging
  • Verholpen kwetsbaarheden openbaar maken zodra een update beschikbaar is
4

Onderhoud een softwarestuklijst (SBOM)

Bijlage I · II(1)

Houd een actuele softwarestuklijst (SBOM) bij die ten minste de afhankelijkheden op het hoogste niveau van uw product omvat.

  • Genereer een SBOM in een machineleesbaar formaat
  • Houd componenten en hun bekende kwetsbaarheden bij
  • Werk deze bij elke release bij
Hulpmiddel voor deze stap
5

Lever gratis, tijdige beveiligingsupdates

Annex I · I(2)

Verstrek beveiligingsupdates gescheiden van functie-updates, gratis, gedurende de verklaarde ondersteuningsperiode.

  • De ondersteuningsperiode bepalen en publiceren
  • Beveiligingsupdates snel leveren
  • Patches via een beveiligd mechanisme distribueren
6

Stel de technische documentatie samen

Bijlage VII

Stel de documentatie samen die de conformiteit aantoont en houd deze beschikbaar voor het markttoezicht.

  • Productbeschrijving en beoogd gebruik
  • Cyberbeveiligingsrisicobeoordeling
  • Registers van toegepaste normen
7

Beoordeel de conformiteit en breng de CE-markering aan

Art. 32 · 36

Doorloop de conformiteitsbeoordelingsroute voor uw klasse en stel de EU-conformiteitsverklaring op.

  • Zelfbeoordeling (standaard) of inschakeling van een aangemelde instantie (belangrijk/kritiek)
  • Stel de EU-conformiteitsverklaring op en onderteken deze
  • Breng de CE-markering aan
Hulpmiddel voor deze stap
8

Voldoe aan de meldingsverplichtingen en onderhoud het product

Art. 13(8) · 14

Vanaf september 2026 dient u actief misbruikte kwetsbaarheden en ernstige incidenten te melden en het product gedurende de gehele ondersteuningsperiode te blijven onderhouden.

  • Dien binnen 24 uur een vroegtijdige waarschuwing in bij ENISA en het CSIRT
  • Volg op met een kennisgeving en een eindverslag
  • Informeer waar passend de getroffen gebruikers
Uw doorlopende verplichting

De ondersteuningsperiode moet ten minste vijf jaar bedragen (of de verwachte levensduur van het product, indien die langer is), gerekend vanaf het moment dat het in de EU in de handel wordt gebracht. Gedurende deze periode moet u kwetsbaarheden behandelen en gratis beveiligingsupdates leveren; elke update moet vervolgens 10 jaar beschikbaar blijven, en het technisch dossier en de EU-conformiteitsverklaring moeten 10 jaar worden bewaard.

Gratis tools voor deze rol

Elke onderstaande tool is gratis te gebruiken en opent hier in een zijpaneel, zodat u uw plek niet kwijtraakt.

GratisCRA-snelcontrole

Bevestig of de verordening van toepassing is en wat uw waarschijnlijke klasse is.

Hier openen →GratisNalevingsmatrix

Breng elke verplichting uit bijlage I en VII in kaart en volg deze op tot afronding.

Hier openen →GratisKostencalculator

Schat de eenmalige en jaarlijkse kosten van naleving in.

Hier openen →GratisVulnerability Analyzer

Vergelijk uw SBOM met de NVD en EUVD, en houd End-of-Life-componenten in de gaten.

Hier openen →GratisDoC-generator

Genereer een EU-conformiteitsverklaring (bijlage V) voor uw product.

Hier openen →GratisClassificatiezoeker

Bepaal nauwkeurig of uw product standaard, belangrijk of kritiek is, op naam.

Hier openen →GratisPlanner voor de ondersteuningsperiode

Stel uw minimale ondersteuningsperiode in en markeer componenten die te vroeg hun End-of-Life bereiken.

Hier openen →
Meer richtsnoeren

Andere handleidingen voor belanghebbenden

M

Fabrikanten

De verplichtingen die de Cyber Resilience Act oplegt aan producenten van producten met digitale elementen; van risicobeoordeling tot CE-markering en verplichtingen na het in de handel brengen.

Lees deze gids →
I

Importeurs en distributeurs

Wat marktdeelnemers moeten controleren voordat; en nadat; zij een product met digitale elementen op de EU-markt aanbieden.

Lees deze gids →
CE

Hoe een CE-markering te verkrijgen

De stappen om de conformiteit te verklaren en de CE-markering aan te brengen voor een product met digitale elementen.

Lees de gids →