Cyber Resilience Act: wat moet ik van mijn leveranciers eisen?
Vastgesteld 2026-06-14 · ≈ 1 min lezen · 
redactie Dirk Baaijen
Eis van leveranciers van trackers, telematica en IoT bewijs van CE-markering, conformiteitsbeoordeling, secure-by-default en updategaranties. Leg meldplicht en aansprakelijkheid contractueel vast vóór de volledige toepassing op 11 december 2027.
Download de regime-cheatsheet (PDF) ↓
Kort antwoord: Eis dat leveranciers van producten met digitale elementen (trackers, telematica, IoT) voldoen aan de Cyber Resilience Act: CE-markering, een doorlopen conformiteitsbeoordeling, secure-by-default configuratie en updategaranties. Leg dit contractueel vast.
De Cyber Resilience Act (Verordening (EU) 2024/2847) is op 12 november 2024 in werking getreden en stelt beveiligingseisen aan producten met digitale elementen. Voor transport- en logistiekbedrijven gaat het om de hardware en software die u inkoopt: trackers, boordcomputers, telematica-units en andere IoT-apparatuur. De verplichtingen liggen bij fabrikanten, importeurs en distributeurs, maar als afnemer draagt u het risico als u niet-conforme producten in uw keten gebruikt.
Wat u contractueel moet vastleggen
Vraag bij elke inkoop van connected apparatuur om bewijs van CE-markering en een uitgevoerde conformiteitsbeoordeling. Eis een secure-by-default configuratie: het product moet veilig zijn ingesteld zonder dat u handmatig hoeft bij te sturen. Leg vast dat de leverancier gedurende de levensduur beveiligingsupdates levert en kwetsbaarheden tijdig verhelpt. Vraag om technische documentatie en, waar van toepassing, een overzicht van softwarecomponenten.
Meldplicht en deadlines
Leveranciers krijgen vanaf 11 september 2026 een meldplicht voor actief misbruikte kwetsbaarheden en ernstige incidenten, te melden bij ENISA en het CSIRT. Spreek met uw leveranciers af dat zij u onverwijld informeren wanneer een gemeld incident uw apparatuur raakt. De aanmelding van conformiteitsinstanties loopt vanaf 11 juni 2026; de verordening is volledig van toepassing vanaf 11 december 2027.
Praktische aanpak
Inventariseer welke connected producten u gebruikt en wie de leverancier is. Neem CRA-eisen op in inkoopvoorwaarden en verlengingen. Begin nu, zodat uw contracten ruim vóór de volledige toepassing in 2027 op orde zijn.
Lees het hoofddossier: Cyber Resilience Act en connected producten. Of doe de Transport & Logistiek-scan.
Bronnen
- https://eur-lex.europa.eu/eli/reg/2024/2847/oj
Verordening (EU) 2024/2847 (Cyber Resilience Act); volledige toepassing 11 december 2027.
Lees ook
Valt mijn telematica-hardware onder de Cyber Resilience Act?
Ja. Telematica, trackers en IoT-apparatuur zijn producten met digitale elementen en vallen onder de Cyber Resilience Act (Verordening (EU) 2024/2847). Volledige toepassing geldt vanaf 11 december 2027.
Cyber Resilience Act: welke deadline geldt wanneer?
De CRA (Verordening (EU) 2024/2847) trad op 12 november 2024 in werking. Belangrijkste data: aanmelding conformiteitsinstanties 11 juni 2026, meldplicht 11 september 2026, volledige toepassing 11 december 2027.
Cyber Resilience Act: beveiligingseisen voor connected producten
De Cyber Resilience Act (Verordening (EU) 2024/2847) stelt EU-brede beveiligingseisen aan producten met digitale elementen — van telematica tot IoT-sensoren. Volledige toepassing op 11 december 2027, meldplichten al vanaf september 2026. Wat dat betekent voor transport en logistiek.