CRA: wat eis je bij aanschaf van IoT-/connected hardware?
Vastgesteld 2026-06-16 · ≈ 2 min lezen · 
redactie Dirk Baaijen
Eis CE-markering, een doorlopen conformiteitsbeoordeling, secure-by-default configuratie en beveiligingsupdates gedurende de ondersteuningsperiode. Leg dit en de meldplicht contractueel vast vóór de volledige toepassing op 11 december 2027.
Kort antwoord: Eis bij aanschaf van IoT- en connected hardware dat het product voldoet aan de Cyber Resilience Act: CE-markering, een doorlopen conformiteitsbeoordeling, een secure-by-default configuratie en beveiligingsupdates gedurende de ondersteuningsperiode. Leg deze eisen en de meldplicht bij incidenten contractueel vast.
De Cyber Resilience Act (Verordening (EU) 2024/2847) is op 12 november 2024 in werking getreden en stelt cyberbeveiligingseisen aan producten met digitale elementen die in de EU op de markt worden aangeboden. IoT- en connected hardware — sensoren, gateways, slimme apparatuur, trackers en telematica — vallen daaronder. De verplichtingen liggen primair bij fabrikanten, importeurs en distributeurs. Als afnemer kunt u die naleving niet overnemen, maar u kunt er bij inkoop wél bewijs van eisen en uzelf zo afdekken.
Wat u concreet moet eisen
Vraag bij elke aanschaf om bewijs van CE-markering en een uitgevoerde conformiteitsbeoordeling. Eis een secure-by-default configuratie, zodat het apparaat veilig is ingesteld bij levering. Bedwing dat de leverancier gedurende de vastgestelde ondersteuningsperiode beveiligingsupdates uitbrengt en kwetsbaarheden tijdig verhelpt. Vraag om de bijbehorende technische documentatie en gebruikersinformatie. Waar van toepassing levert dit ook inzicht in de softwarecomponenten van het product.
Wat u contractueel vastlegt
Neem de CRA-eisen op in uw inkoopvoorwaarden, bestelbonnen en verlengingen. Leg vast wie verantwoordelijk is voor updates, voor welke periode, en hoe kwetsbaarheden worden gemeld. De CRA introduceert vanaf 11 september 2026 een meldplicht voor actief misbruikte kwetsbaarheden en ernstige incidenten, te melden aan ENISA en het betrokken CSIRT. Spreek af dat uw leverancier u onverwijld informeert wanneer zo'n melding uw apparatuur raakt.
Tijdlijn en aanpak
De verplichtingen treden gefaseerd in werking: aanmelding van conformiteitsbeoordelingsinstanties vanaf 11 juni 2026, de meldplicht vanaf 11 september 2026 en de volledige toepassing vanaf 11 december 2027. Vanaf dat moment moet nieuwe hardware aan de CRA voldoen. Inventariseer nu welke connected producten u inkoopt en bij wie, en zorg dat uw contracten ruim vóór 2027 op orde zijn.
Lees ook: Transport & Logistiek. Doe de scan.
Bronnen
- https://eur-lex.europa.eu/eli/reg/2024/2847/oj
Verordening (EU) 2024/2847 (Cyber Resilience Act); in werking 12 november 2024, volledige toepassing 11 december 2027. - https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
Europese Commissie, beleidspagina Cyber Resilience Act.
Lees ook
Cyber Resilience Act: wat moet ik van mijn leveranciers eisen?
Eis van leveranciers van trackers, telematica en IoT bewijs van CE-markering, conformiteitsbeoordeling, secure-by-default en updategaranties. Leg meldplicht en aansprakelijkheid contractueel vast vóór de volledige toepassing op 11 december 2027.
Cyber Resilience Act: welke deadline geldt wanneer?
De CRA (Verordening (EU) 2024/2847) trad op 12 november 2024 in werking. Belangrijkste data: aanmelding conformiteitsinstanties 11 juni 2026, meldplicht 11 september 2026, volledige toepassing 11 december 2027.
Valt mijn telematica-hardware onder de Cyber Resilience Act?
Ja. Telematica, trackers en IoT-apparatuur zijn producten met digitale elementen en vallen onder de Cyber Resilience Act (Verordening (EU) 2024/2847). Volledige toepassing geldt vanaf 11 december 2027.