Strategic Resilience

Bereid je product voor op de Cyber Resilience Act.

Secure-by-design beoordeling, SBOM-advies en implementatieroadmap voor fabrikanten en software-aanbieders op de EU-markt. Deadline 2027.

Neem contact op 24/7 Incident Hotline

Wat is een CRA Readiness Assessment?

Een CRA Readiness Assessment beoordeelt of je product en ontwikkelproces voldoen aan de vereisten van de EU Cyber Resilience Act. Je ontvangt een productclassificatie, gap-analyse op secure-by-design vereisten, SBOM-advies en een implementatieroadmap. De CRA-deadline is 2027; begin tijdig om product- en proceswijzigingen door te voeren.

Over deze dienst

De CRA stelt beveiligingseisen aan producten met digitale elementen

Als je hardware of software produceert of verkoopt in de EU, moet je product secure-by-design zijn en gedurende de levenscyclus worden onderhouden met security updates. De Cyber Resilience Act raakt het volledige spectrum: van product security requirements en vulnerability management tot documentatie en CE-markering.

Het team combineert security-expertise met kennis van productontwikkeling om een praktische beoordeling te leveren. Het assessment brengt in kaart waar je staat en wat je nog moet doen om compliant te zijn voor de overgangsdeadline in 2027.

De CRA classificeert producten in drie categorieën met oplopende eisen: default, important en critical. Je productclassificatie bepaalt welke conformity assessment procedure je moet doorlopen. Het assessment begint met die classificatie.

Het Probleem

Wat fabrikanten en software-aanbieders onderschatten

De CRA vraagt meer dan een technische check. Het vereist een fundamentele aanpassing van hoe je producten ontwerpt, test, documenteert en onderhoudt.

  • Je weet niet in welke CRA-categorie je product valt en welke conformity assessment procedure daarvoor vereist is.
  • Vulnerability handling en disclosure processen ontbreken of voldoen niet aan de CRA-vereisten voor meldingstermijnen en updates.
  • Je hebt geen SBOM en weet niet wat de CRA precies eist op het gebied van documentatie en lifecycle management voor je product.
Scope

Wat het assessment omvat

  • Product security requirements beoordeling
  • Secure-by-design en secure-by-default analyse
  • Vulnerability handling en disclosure processen
  • Software Bill of Materials (SBOM) advies
  • Security updates en lifecycle management
  • Documentatie en CE-markering vereisten
  • Conformity assessment procedure bepaling
Onze Aanpak

Hoe DEFION een CRA assessment uitvoert

01

Productclassificatie

Bepalen van de CRA-categorie: default, important of critical. De categorie bepaalt de conformity assessment procedure.

02

Security requirements beoordeling

Review van het product tegen de CRA essential requirements voor secure-by-design en secure-by-default.

03

Procesreview

Beoordeling van het ontwikkelproces, vulnerability management, update-mechanismen en disclosure procedures.

04

SBOM-analyse

Inventarisatie van software-componenten en advies over het opzetten en onderhouden van een SBOM conform CRA-vereisten.

05

Gap-analyse

Identificatie van ontbrekende maatregelen per CRA-vereiste met risicoclassificatie per bevinding.

06

Implementatieroadmap

Concreet actieplan met prioritering naar compliance voor de CRA-deadline in 2027.

Wat Je Ontvangt

Deliverables

  • CRA productclassificatie en toepasselijkheidsbeoordeling
  • Gap-analyse rapport per CRA-vereiste
  • SBOM-advies en opzetplan
  • Vulnerability handling procesadvies
  • Implementatieroadmap naar compliance
  • Management samenvatting
Voor Wie

Geschikt voor

  • Hardware- en softwarefabrikanten die producten verkopen in de EU
  • IoT-producenten met verbonden apparaten voor consumenten of bedrijven
  • SaaS-bedrijven met producten die digitale elementen bevatten
  • Importeurs en distributeurs van digitale producten op de EU-markt
  • Organisaties die hun productontwikkelproces willen toetsen aan CRA-vereisten
Veelgestelde Vragen

FAQ

Wanneer treedt de CRA in werking?
De CRA is aangenomen en fabrikanten krijgen een overgangsperiode tot 2027 om te voldoen aan de meeste eisen. Begin nu om voldoende tijd te hebben voor product- en procesaanpassingen die secure-by-design vereisen.
Geldt de CRA ook voor software?
Ja. Zowel hardware als software met digitale elementen vallen onder de CRA. Open source software met een commercieel karakter kan ook in scope zijn. SaaS-producten met digitale elementen die aan EU-gebruikers worden geleverd vallen eveneens onder de CRA.
Wat is een SBOM en waarom is het verplicht?
Een Software Bill of Materials is een gestructureerde lijst van alle software-componenten in je product. De CRA vereist dat fabrikanten een SBOM bijhouden voor vulnerability tracking en transparantie naar klanten en toezichthouders.
Hoe verhoudt de CRA zich tot NIS2?
NIS2 richt zich op organisaties en hun interne beveiliging. De CRA richt zich op producten die aan de markt worden gebracht. Als je een product maakt en ook onder NIS2 valt, moet je aan beide voldoen. De CRA heeft haar eigen vereisten voor vulnerability disclosure en lifecycle management.
Wat zijn de sancties bij non-compliance?
Boetes tot 15 miljoen euro of 2,5% van de mondiale jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast kan het product van de EU-markt worden gehaald. Tijdige voorbereiding voorkomt deze risico's.
ISO 27001 Readiness Assessment

Meer informatie →
Security Compliance Services

Meer informatie →
Cyber Security Assessment

Meer informatie →

Klaar om je product
CRA-proof te maken?

Vertel ons wat je produceert. Wij bepalen samen de juiste scope en starten direct.

Neem contact op 24/7 Incident Hotline