What is the Cyber Resilience Act (CRA)?

The Cyber Resilience Act (Regulation 2024/2847) is the EU's regulation establishing cybersecurity requirements for products with digital elements. It covers hardware and software products placed on the EU market and requires manufacturers, importers, and distributors to ensure products are secure by design throughout their lifecycle.

When does the CRA apply?

The CRA entered into force on December 10, 2024. Reporting obligations for actively exploited vulnerabilities apply from September 11, 2026. The main obligations for manufacturers, importers, and distributors apply from December 11, 2027.

Who is affected by the CRA?

The CRA applies to manufacturers, importers, and distributors of products with digital elements placed on the EU market. This includes IoT devices, software applications, operating systems, network equipment, smart home devices, industrial control systems, firmware, and SaaS components. Open-source software stewards also have specific obligations.

How is the CRA different from NIS2?

NIS2 focuses on the cybersecurity of organisations (essential and important entities in 18 sectors), while the CRA focuses on the cybersecurity of products with digital elements. NIS2 requires organisations to implement security measures; the CRA requires product manufacturers to build security into their products. Both regulations complement each other as part of the EU's cybersecurity framework.

How does SiteGuardian help with CRA compliance?

SiteGuardian continuously monitors security properties required by the CRA: HTTPS/TLS enforcement, deprecated protocol detection, weak cipher identification, certificate expiry monitoring, security.txt (RFC 9116) for vulnerability disclosure, encryption in transit, and security header validation. It maps findings directly to CRA articles and Annex I requirements.

EU-verordening 2024/2847

Cyber Resilience Act.
Is uw product er klaar voor?

De CRA vereist dat alle producten met digitale elementen op de EU-markt aan cyberbeveiligingsvereisten voldoen — of boetes tot €15 miljoen riskeren. De klok tikt.

---

Dagen

Uren

Minuten

Seconden

tot 11 december 2027

Meldingsverplichtingen gelden vanaf 11 september 2026

Scan nu uw product Compliance-abonnementen bekijken

Is de CRA op u van toepassing?

De CRA is van toepassing op fabrikanten, importeurs en distributeurs van producten met digitale elementen die op de EU-markt worden aangeboden. Als uw product software bevat of verbinding maakt met een netwerk, valt het waarschijnlijk onder de regeling.

IoT-apparaten

Standaard / Kritiek

Softwareproducten

Standaard / Kritiek

Netwerkapparatuur

Kritisch

Smart Home

Standaard / Kritiek

Industriële besturingssystemen

Kritisch

Mobiele apps

Standard

Clouddiensten

Standaard / Kritiek

Open source

Met verplichtingen

De kosten van non-compliance

Essentiële vereisten

€15M

of 2,5% van de wereldwijde jaaromzet

afhankelijk van welk bedrag hoger is

Overige verplichtingen

€10M

of 2% van de wereldwijde jaaromzet

afhankelijk van welk bedrag hoger is

Misleidende informatie

€5M

of 1% van de wereldwijde jaaromzet

afhankelijk van welk bedrag hoger is

Niet-conforme producten kunnen door markttoezichtautoriteiten van de EU-markt worden gehaald.

Wat de CRA vereist — en wat SiteGuardian monitort

De CRA definieert essentiële cyberbeveiligingsvereisten voor producten met digitale elementen. SiteGuardian monitort continu de technische vereisten.

Art. 6 / Annex I

Standaard beveiligd

Überwacht

SiteGuardian bewaakt HTTPS-handhaving, HSTS-headers, beveiligde cookie-vlaggen en detecteert standaardreferenties of onveilige configuraties die aan het netwerk zijn blootgesteld. Producten moeten worden geleverd met veilige standaardinstellingen.

Art. 10(1)

Geen bekende kwetsbaarheden

Überwacht

SiteGuardian valideert TLS-versies, detecteert verouderde protocollen (SSLv3, TLS 1.0/1.1), identificeert zwakke ciphersuites en markeert bekende beveiligingsmisconfiguraties. Producten moeten zonder bekende exploiteerbare kwetsbaarheden worden geleverd.

Art. 10(6)

Beveiligingsupdates

Überwacht

SiteGuardian bewaakt SSL-certificaatvervaldatums, volgt wijzigingen in de beveiligingspostuur in de tijd en waarschuwt bij configuratieregressies. Fabrikanten moeten tijdige beveiligingsupdates leveren gedurende de productondersteuningsperiode.

Art. 10(9)

Software Bill of Materials (SBOM)

Fabrikanten moeten componenten in hun producten identificeren en documenteren, inclusief een Software Bill of Materials. Dit is een organisatorische maatregel die intern gereedschap en processen vereist.

Art. 10(10)

Gecoördineerde kwetsbaarheidsmeldingen

Überwacht

SiteGuardian detecteert security.txt-bestanden (RFC 9116), verifieert de beschikbaarheid van het beleid voor kwetsbaarheidsmeldingen en controleert op correcte contactinformatie. Fabrikanten moeten een gecoördineerd beleid voor kwetsbaarheidsmeldingen opstellen.

Art. 11

Meldingsverplichtingen

Überwacht

Vanaf september 2026 moeten fabrikanten actief uitgebuite kwetsbaarheden binnen 24 uur bij ENISA melden. SiteGuardian biedt incidentdetectie, -classificatie en volgt meldingstermijnen voor regelgevingscompliance.

Art. 13

Conformiteitsbeoordeling

Producten moeten een conformiteitsbeoordeling ondergaan voordat ze op de EU-markt worden gebracht. Standaardcategorieproducten mogen zelfbeoordeling uitvoeren; kritieke producten vereisen audits door derden. Dit is een organisatorische maatregel.

Annex I.2

Beveiligingseigenschappen

Überwacht

SiteGuardian verifieert versleuteling in transit (TLS 1.2+), valideert toegangscontrolemechanismen, controleert gegevensintegriteit via beveiligde headerconfiguraties en monitort op ongeautoriseerde gegevensblootstelling. Producten moeten vertrouwelijkheid, integriteit en beschikbaarheid beschermen.

Begin vandaag met voorbereiden

Scan de webinterface van uw product om te zien waar u staat. SiteGuardian koppelt elke bevinding aan CRA-artikelen — zodat u precies weet wat u moet oplossen.

Gratis beveiligingsscan Compliance-abonnementen bekijken

Voor altijd gratis voor 1 monitor. Geen creditcard vereist.

Veelgestelde vragen

Wat is de Cyber Resilience Act (CRA)?

De CRA (Verordening 2024/2847) is de EU-verordening die horizontale cyberbeveiligingsvereisten vaststelt voor producten met digitale elementen. De verordening geldt voor zowel hardware- als softwareproducten op de EU-markt en vereist dat fabrikanten producten gedurende hun hele levenscyclus secure by design maken.

Wanneer is de CRA van toepassing?

De CRA is op 10 december 2024 in werking getreden. Meldingsverplichtingen voor actief uitgebuite kwetsbaarheden en ernstige incidenten gelden vanaf 11 september 2026. De belangrijkste verplichtingen voor fabrikanten, importeurs en distributeurs — waaronder conformiteitsbeoordeling en CE-markering — gelden vanaf 11 december 2027.

Wie wordt geraakt door de CRA?

De CRA is van toepassing op fabrikanten, importeurs en distributeurs van producten met digitale elementen op de EU-markt. Dit omvat IoT-apparaten, softwareapplicaties, besturingssystemen, netwerkapparatuur, smart home-apparaten, industriële besturingssystemen, mobiele apps en cloudservicecomponenten. Open-source-softwarebeheerders hebben specifieke maar lichtere verplichtingen.

Hoe verschilt de CRA van NIS2?

NIS2 richt zich op de cyberbeveiliging van organisaties — essentiële en belangrijke entiteiten in 18 sectoren moeten beveiligingsmaatregelen implementeren. De CRA richt zich op de cyberbeveiliging van producten — fabrikanten moeten beveiliging inbouwen in hun producten voordat ze op de EU-markt worden gebracht. Beide verordeningen zijn complementair: NIS2 beveiligt de gebruikers, de CRA beveiligt de producten die zij gebruiken.

Hoe helpt SiteGuardian bij CRA-compliance?

SiteGuardian monitort continu de technische beveiligingseigenschappen die de CRA vereist: HTTPS/TLS-handhaving, detectie van verouderde protocollen, identificatie van zwakke ciphers, bewaking van certificaatvervaldatums, security.txt voor kwetsbaarheidsmeldingen, versleuteling in transit en validatie van beveiligingsheaders. Alle bevindingen worden gekoppeld aan CRA-artikelen en Annex I-vereisten, waardoor u een duidelijk compliance-overzicht krijgt.

Cyber Resilience Act. Is uw product er klaar voor?

Is de CRA op u van toepassing?

De kosten van non-compliance

Wat de CRA vereist — en wat SiteGuardian monitort

Standaard beveiligd

Geen bekende kwetsbaarheden

Beveiligingsupdates

Software Bill of Materials (SBOM)

Gecoördineerde kwetsbaarheidsmeldingen

Meldingsverplichtingen

Conformiteitsbeoordeling

Beveiligingseigenschappen

Begin vandaag met voorbereiden

Veelgestelde vragen

Weet u het zeker?

Cyber Resilience Act.
Is uw product er klaar voor?