Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

Cyber Resilience Act: beveiligingseisen voor connected producten

Vastgesteld 2026-06-14 · ≈ 1 min lezen · Dirk Baaijen

De Cyber Resilience Act (Verordening (EU) 2024/2847) stelt EU-brede beveiligingseisen aan producten met digitale elementen — van telematica tot IoT-sensoren. Volledige toepassing op 11 december 2027, meldplichten al vanaf september 2026. Wat dat betekent voor transport en logistiek.

Waar NIS2 de cyberbeveiliging van je organisatie regelt, regelt de Cyber Resilience Act (Verordening (EU) 2024/2847) de beveiliging van de producten zelf. Voor transport en logistiek is dat geen abstractie: telematica, boordcomputers, trackers, sensoren en connected voertuigcomponenten zijn allemaal "producten met digitale elementen".

Wat de CRA verplicht

De verordening legt horizontale, EU-brede cybersecurity-eisen op aan het ontwerp, de ontwikkeling en het in de handel brengen van producten met digitale elementen. De plichten liggen bij fabrikanten, importeurs en distributeurs: veilige standaardinstellingen, kwetsbaarhedenbeheer, beveiligingsupdates gedurende de levensduur, technische documentatie, conformiteitsbeoordeling en CE-markering.

Het tijdpad

De verordening is op 12 november 2024 in werking getreden en kent een gefaseerde toepassing:

  • 11 juni 2026 — regels over de aanmelding van conformiteitsbeoordelings-

instanties.

  • 11 september 2026 — meldplicht: fabrikanten moeten actief misbruikte

kwetsbaarheden en ernstige incidenten melden aan ENISA en het nationale CSIRT.

  • 11 december 2027 — volledige toepassing: alle essentiële eisen,

conformiteitsbeoordeling, CE-markering en documentatie.

Samenhang met NIS2 en de Data Act

Drie regimes raken hetzelfde "connected" speelveld, maar vanuit een andere hoek: CRA = de beveiliging van het product, NIS2 = de beveiliging van de organisatie die het inzet, Data Act = wie toegang krijgt tot de data die het product genereert. Wie connected hardware koopt of doorverkoopt, krijgt met de CRA te maken — al is het maar via leveranciersborging.

Wat het voor jou betekent

  • Koop je connected producten in? Vraag leveranciers naar CRA-conformiteit

(CE, updates, kwetsbaarhedenbeheer) — straks een inkoopvoorwaarde.

  • Breng je zelf connected producten op de markt (ook onder eigen naam)?

Dan word je fabrikant in de zin van de CRA, met de volle plichtenset.

Wil je weten welke EU-regimes naast de CRA jouw organisatie raken — de Data Act, eFTI, EMSWe, de AI Act, NIS2 — en waar je readiness zit? Doe de Transport & Logistiek-scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/2847/oj
    Verordening (EU) 2024/2847 (Cyber Resilience Act): beveiligingseisen voor producten met digitale elementen; volledige toepassing 11 december 2027.
  2. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
    Europese Commissie — Cyber Resilience Act: reikwijdte, verplichtingen en gefaseerde inwerkingtreding.

Deel op LinkedIn

Lees ook

U

Cyber Resilience Act: wat moet ik van mijn leveranciers eisen?

Eis van leveranciers van trackers, telematica en IoT bewijs van CE-markering, conformiteitsbeoordeling, secure-by-default en updategaranties. Leg meldplicht en aansprakelijkheid contractueel vast vóór de volledige toepassing op 11 december 2027.

U

Cyber Resilience Act: welke deadline geldt wanneer?

De CRA (Verordening (EU) 2024/2847) trad op 12 november 2024 in werking. Belangrijkste data: aanmelding conformiteitsinstanties 11 juni 2026, meldplicht 11 september 2026, volledige toepassing 11 december 2027.

U

Valt mijn telematica-hardware onder de Cyber Resilience Act?

Ja. Telematica, trackers en IoT-apparatuur zijn producten met digitale elementen en vallen onder de Cyber Resilience Act (Verordening (EU) 2024/2847). Volledige toepassing geldt vanaf 11 december 2027.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

Maandelijkse Transport & Logistiek-signalering

Eén keer per maand: de EU-ontwikkelingen die transport en logistiek raken, kort geduid — met bron. Geen spam, uitschrijven kan altijd.

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.