1. FME
  2. Kennis & Advies
  3. Digitalisering
  4. Cybersecurity
Cybersecurity

Cyber Resilience Act

Nieuw Artikel
Laatst gewijzigd 28 januari 2026
Digitalisering
Cybersecurity

Digitale kwetsbaarheden in producten leiden niet alleen tot veiligheidsrisico’s, maar raken direct aan productaansprakelijkheid, markttoegang en het vertrouwen van klanten. Met de Cyber Resilience Act (CRA) maakt de Europese Unie cybersecurity een vast onderdeel van productwetgeving. Voor de Nederlandse maakindustrie betekent dit dat cybersecurity niet langer een IT-onderwerp is, maar een integraal onderdeel van productontwikkeling, compliance en lifecycle-management. De gevolgen strekken zich uit over de hele keten: van productontwerp en leveranciersmanagement tot meldplichten en toezicht. Hoewel de volledige toepassing pas in 2027 start, is 2026 hét jaar waarin bedrijven zich concreet moeten voorbereiden.

Update Cyber Resilience Act

De Europese Commissie heeft de afgelopen tijd belangrijke stappen gezet in de verdere uitwerking en implementatie van de Cyber Resilience Act. Voor Nederlandse maakbedrijven betekent dit meer duidelijkheid over wat er wanneer van hen wordt verwacht maar ook dat de voorbereidingen nu echt concreet kunnen worden. In dit artikel zetten we de laatste ontwikkelingen op een rij en wijzen we je op relevante nieuwe documentatie en een aankomend webinar van het ministerie van Economische zaken en de Rijksinspectie Digitale Infrastructuur (RDI).

Webinar Cyber Resilience Act

Om bedrijven verder te ondersteunen organiseren het ministerie van Economische Zaken en de RDI op donderdag 19 februari van 13:00 tot 15:00 uur een gezamenlijk webinar over de naleving van de CRA.

In dit webinar wordt ingegaan op:

  • de stand van zaken van de CRA-implementatie;
  • de recent verschenen richtsnoeren van de Europese Commissie;
  • de rol van toezicht en handhaving in Nederland;
  • ruimte voor vragen en aandachtspunten uit de praktijk.

Heb je nu al vragen of onderwerpen die je graag terugziet? Dan kun je deze alvast delen via teamcra@minezk.nl. Je kunt je aanmelden voor deelname via het inschrijfformulier. Deelnemers krijgen op korte termijn een Teamslink toegestuurd.

Nieuwe implementatiepagina Europese Commissie

De Europese Commissie heeft een nieuwe centrale pagina gelanceerd over de CRA. Deze website bundelt alle actuele informatie over de toepassing van de verordening, waaronder:

  • het tijdpad richting volledige toepassing in december 2027;
  • informatie over conformiteitsbeoordeling en CE-markering;
  • de meldplicht en het Single Reporting Platform;
  • updates over standaardisatie en verdere guidance.

De website wordt up to date gehouden en wordt de komende periode verder aangevuld.

Nieuwe FAQ en technische documentatie beschikbaar

De Europese Commissie heeft technische documentatie en richtsnoeren gepubliceerd die ingaan op veelgestelde vragen uit de praktijk.  Deze documenten geven nadere uitleg over onder meer:

  • de scope, bijvoorbeeld wanneer een product als ‘product met digitale elementen’ wordt aangemerkt;
  • de interplay met andere wetgeving, zoals de Machinery Regulation, General Product Safety Regulation, RED, European Health Data Space Regulation, GDPR en de Data Act.
  • de afbakening van belangrijke en kritieke producten;
  • (rapportage) verplichtingen voor producenten;
  • conformiteitsbeoordelingen, technische documentatie en CE-markeringen;
  • transitieperiode.

Deze FAQ en technische beschrijvingen zijn relevant voor bedrijven die nu bezig zijn met scopebepaling, productclassificatie en het inrichten van hun compliance-aanpak. FME volgt deze guidance nauwgezet en gebruikt deze ook in gesprekken met de Europese Commissie en nationale toezichthouders. Heb je hier opmerkingen over, neem dan contact met ons op zodat we de opmerkingen mee kunnen nemen in de overleggen met de Europese Commissie en de Nederlandse overheid. Meer informatie over de CRA kun je ook lezen in de Gids Cyber Resilience Act van het ministerie van Economische Zaken.

Tijdpad: wat moet wanneer?

De grote lijnen blijven ongewijzigd, maar het is belangrijk om de belangrijkste momenten scherp te hebben:

  • 11 september 2026: start van de meldplicht voor ernstige incidenten en actief geëxploiteerde kwetsbaarheden.
  • 11 december 2027: volledige toepassing van alle verplichtingen uit de CRA voor producten die op de markt worden gebracht.

Dit betekent dat bedrijven in 2026 al stappen moeten zetten op het gebied van risicoanalyse, productontwikkeling, vulnerability handling en documentatie.

Rol FME

FME blijft zich inzetten om de belangen van de technologische industrie te behartigen bij zowel de Europese Commissie als nationale overheden. We volgen de uitwerking van de CRA op de voet, brengen praktijkervaringen van onze leden in en blijven je informeren over relevante ontwikkelingen, guidance en ondersteuningsmogelijkheden.

Heb je vragen over wat de CRA betekent voor jouw organisatie, of wil je input meegeven voor onze inzet richting Brussel of Den Haag? Neem dan gerust contact met ons op.

Marlou Snelders

Meer weten? Neem contact op

Belangenbehartiger Digitalisering, Cybersecurity & Artificial Intelligence

Marlou Snelders

Meer over Cybersecurity

Sluiten