Decennialang draaide de software-industrie om twee dingen: snelheid en het opleveren van steeds nieuwe functionaliteit. Systemen werden op de markt gebracht als 'Minimum Viable Product' (MVP), inclusief bugs en kwetsbaarheden. De risico's? Die stonden in de End User License Agreement (EULA) afgedekt als het probleem van de gebruiker. Met de Cyber Resilience Act trekt de Europese Unie deze markt definitief gelijk met de markt voor fysieke producten.
Het Einde van de EULA (De PLD)
De Product Liability Directive (PLD) bestaat al sinds 1985, maar gold nooit duidelijk voor software. Daar maakt de vernieuwde PLD een einde aan: software is nu wettelijk een product. En de bewijslast wordt verlicht voor het slachtoffer — bij technisch complexe of onvoldoende gedocumenteerde producten wordt een gebrek al snel vermoed, waarna het aan ú is om het tegendeel te bewijzen.
Zo grijpen beide wetten in elkaar: de CRA bepaalt wat 'veilig genoeg' is. Voldoet u daar niet aan, dan geldt uw product al snel als gebrekkig onder de PLD (civiele schadeclaims) én riskeert u onder de CRA forse boetes en een direct verkoopverbod voor de hele EU.
Geldt de CRA voor u?
Bijna elk product met digitale elementen dat op de Europese markt komt valt onder de CRA — van mobiele apps en desktopsoftware tot slimme apparaten. Pure SaaS-diensten en sectoren met eigen wetgeving (zoals medische hulpmiddelen) vallen erbuiten. Ongeveer 90% van alle software belandt in de standaardcategorie en mag zélf toetsen (self-assessment); kritieke producten en beveiligingssoftware hebben een externe audit nodig.
Weet u of u in scope valt?
Bepaal uw risicoklasse met de beslisboom, of test direct uw compliance-gereedheid met de gratis Quickscan.
De 5 Fundamentele Pijlers van de CRA
Op papier klinkt de Cyber Resilience Act abstract, maar in de praktijk is hij glashelder. Alle eisen komen samen in Annex I van de wet en laten zich samenvatten in vijf pijlers. Samen bepalen ze hoe u software ontwerpt, documenteert, uitlevert en jarenlang onderhoudt — van het eerste ontwerp tot de formele CE-markering. Loop ze hieronder één voor één door:
Security-by-Design
Veiligheid is geen configuratie meer achteraf. De software moet aantoonbaar safe zijn ontworpen (bijv. d.m.v. Threat Modeling) en veilig worden afgeleverd (Secure-by-Default).
Transparantie (De SBOM)
De fabrikant moet exact in kaart brengen uit welke (open-source) bouwstenen de applicatie bestaat. Bij elke release komt een machinaal leesbare ingrediëntenlijst mee.
Lees meer over de SBOMDe 24-uurs Meldplicht
Wordt een lek actief misbruikt in uw product? Dan heeft u de plicht om ENISA (de EU autoriteit) hierbinnen strikt 24 uur over te informeren met een "Early Warning".
De Jarenlange Patch-plicht
De fabrikant is verplicht de software veilig te houden zolang de verwachte levensduur duurt (met een richtlijn van minimaal 5 jaar). U levert deze updates kosteloos.
Bewijslast & CE-Markering
Voordat een product de markt op mag, levert u het technische bewijsdossier (Docs-as-Code) af en tekent u de EU Declaration of Conformity. Afhankelijk van de risicoklasse (bijv. kritieke producten) moet dit dossier eerst door een externe auditor (Notified Body) worden goedgekeurd voordat het CE-label mag worden gevoerd.
De tijdlijn naar compliance
Wachten is geen optie. Het automatiseren van een veilige CI/CD-pijplijn en het opbouwen van een sluitend technisch dossier kost gemiddeld 12 tot 18 maanden. Reken terug vanaf de eerste deadline en het wordt duidelijk: 2026 is geen toekomstmuziek, maar de planning van vandaag.
11 September 2026: De Meldplicht
Wettelijke deadlineVanaf deze datum bent u verplicht om actief misbruikte kwetsbaarheden (zero-days) binnen 24 uur te rapporteren aan ENISA.
11 December 2027: De CE-Markering
Volledige wetgevingDe dag waarop uw softwareproducten officieel een CE-label moeten dragen voordat ze de Europese markt op mogen.
Van de wet naar uw situatie
U kent nu de eisen. Test in twee minuten hoe ver uw organisatie is met de gratis Quickscan, of bouw het stap voor stap op in de 4-weekse Survival Challenge.