What is the EU Cyber Resilience Act?

The CRA is an EU regulation establishing mandatory cybersecurity requirements for products with digital elements sold in the European Union. It covers hardware and software, requiring secure-by-design development, vulnerability handling, and ongoing security updates throughout the product lifecycle.

When does the CRA take effect?

The CRA entered into force in December 2024. Vulnerability reporting obligations begin in September 2026, and all requirements start in December 2027.

Is SaaS covered by the CRA?

Pure SaaS is generally outside the CRA's direct scope, but software components and remote data-processing solutions intended to support a product with digital elements are covered. The line is nuanced and depends on whether the software is integral to the product's function.

What SBOM format does the CRA require?

The CRA requires SBOMs in a commonly used machine-readable format. CycloneDX and SPDX are the two industry-standard formats that meet this requirement and are supported by Interlynk out of the box.

Is open-source software exempt from the CRA?

Non-commercial open-source software is exempt. However, open-source components integrated into commercial products are not — manufacturers remain responsible for the security of all components they ship, including open-source dependencies.

What are the penalties for CRA non-compliance?

Penalties can reach up to €15 million or 2.5% of global annual turnover, whichever is higher, for the most serious violations. Lesser breaches carry lower but still substantial fines.

How does the CRA differ from NIS2?

NIS2 targets operators of essential and important services, focusing on organizational cybersecurity. The CRA targets products themselves, regulating manufacturers of hardware and software placed on the EU market.

Do US companies need to comply with the CRA?

Yes. Any company — regardless of headquarters location — that places products with digital elements on the EU market must comply with the CRA. Non-EU manufacturers typically appoint an EU-based authorized representative.

Nieuw: lynkctl — SBOM-generator voor embedded C/C++

⚡ EU Cyber Resilience Act

Voldoe met vertrouwen aan de EU Cyber Resilience Act

De deadline voor kwetsbaarheidsmelding van september 2026 is over 99 dagen. Interlynk automatiseert de SBOM-, kwetsbaarheidsbeheer- en documentatievereisten die u nodig hebt.

Gratis CRA-SBOM-snelcheck

VOLGENDE CRA-DEADLINE

Verplichte kwetsbaarheidsmelding

Begint op 11 september 2026

000DAYS

00HOURS

00MINUTES

tot de meldplicht binnen 24 uur van kracht wordt

VOLGENDE CRA-DEADLINE

Verplichte kwetsbaarheidsmelding

Begint op 11 september 2026

000DAYS

00HOURS

00MINUTES

tot de meldplicht binnen 24 uur van kracht wordt

VOLGENDE CRA-DEADLINE

Verplichte kwetsbaarheidsmelding

Begint op 11 september 2026

000DAYS

00HOURS

00MINUTES

tot de meldplicht binnen 24 uur van kracht wordt

Wat is de Cyber Resilience Act?

De EU Cyber Resilience Act (CRA) is de eerste horizontale EU-verordening die verplichte cybersecurityvereisten oplegt aan hardware- en softwareproducten met digitale elementen. Ze schrijft secure-by-design-principes, het afhandelen van kwetsbaarheden en transparantie gedurende de levenscyclus voor, voor elk product dat op de EU-markt wordt verkocht — ongeacht waar de fabrikant gevestigd is.

€ 15 mln

Maximale boetes bij niet-naleving

24 uur

Termijn voor kwetsbaarheidsmelding

10 jaar

Bewaarplicht SBOM

90%

Producten die in aanmerking komen voor zelfbeoordeling

CRA-nalevingstijdlijn

Voor wie geldt de CRA?

Fabrikanten

Iedereen die producten met digitale elementen ontwikkelt, vervaardigt of laat ontwerpen en ontwikkelen onder zijn eigen naam of merk.

Importeurs

In de EU gevestigde entiteiten die een product met digitale elementen op de EU-markt brengen dat de naam van een fabrikant uit een derde land draagt.

Distributeurs

Elke partij in de toeleveringsketen — anders dan de fabrikant of importeur — die een product met digitale elementen op de EU-markt aanbiedt.

Let op: een importeur of distributeur wordt zelf een fabrikant zodra hij een product onder zijn eigen naam in de handel brengt of het ingrijpend wijzigt.

Let op: een importeur of distributeur wordt zelf een fabrikant zodra hij een product onder zijn eigen naam in de handel brengt of het ingrijpend wijzigt.

Productclassificatie onder de CRA

Standaard (~90%)

Slimme speakers, harde schijven, fotobewerkingssoftware

Belangrijk – klasse I

Wachtwoordmanagers, antivirus, VPN's, netwerkinterfaces

Belangrijk – klasse II

Firewalls, IDS/IPS, hypervisors, container runtimes

Kritiek

Hardwarebeveiligingsmodules (HSM's), slimme-metergateways, smartcards

SBOM-vereisten onder de CRA

De Cyber Resilience Act verplicht uitgebreide documentatie in de vorm van een Software Bill of Materials. Dit zijn de belangrijkste vereisten waaraan u moet voldoen:

☑️ Machineleesbaar SBOM-formaat (CycloneDX of SPDX)
☑️ Alle afhankelijkheden op het hoogste niveau opnemen
☑️ Correcte versienummers voor alle componenten
☑️ Unieke identifiers voor elk component
☑️ Bewaarplicht van 10 jaar voor de documentatie
☑️ Regelmatige updates wanneer componenten wijzigen
☑️ Veilige mechanismen om te delen met geautoriseerde partijen

☑️ Machineleesbaar SBOM-formaat (CycloneDX of SPDX)
☑️ Alle afhankelijkheden op het hoogste niveau opnemen
☑️ Correcte versienummers voor alle componenten
☑️ Unieke identifiers voor elk component
☑️ Bewaarplicht van 10 jaar voor de documentatie
☑️ Regelmatige updates wanneer componenten wijzigen
☑️ Veilige mechanismen om te delen met geautoriseerde partijen

☑️ Machineleesbaar SBOM-formaat (CycloneDX of SPDX)
☑️ Alle afhankelijkheden op het hoogste niveau opnemen
☑️ Correcte versienummers voor alle componenten
☑️ Unieke identifiers voor elk component
☑️ Bewaarplicht van 10 jaar voor de documentatie
☑️ Regelmatige updates wanneer componenten wijzigen
☑️ Veilige mechanismen om te delen met geautoriseerde partijen

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:...",
  "version": 1,
  "metadata": {
    "timestamp": "2026-01-15T10:00:00Z",
    "tools": [{
      "vendor": "Interlynk",
      "name": "SBOM Generator"
    }]
  },
  "components": [
    {
      "type": "library",
      "name": "example-lib",
      "version": "2.1.0",
      "purl": "pkg:npm/example-lib@2.1.0"
    }
  ]
}

Meldtermijnen

De CRA introduceert strikte termijnen voor het melden van actief misbruikte kwetsbaarheden en ernstige incidenten aan ENISA en uw CSIRT.

24 uur

Vroegtijdige waarschuwing

72 uur

Volledige kwetsbaarheidsmelding

14 dagen

Eindrapport na correctie

1 maand

Melding van ernstig incident

Meldingen moeten worden ingediend via het centrale meldingsplatform van de CRA (Single Reporting Platform), beheerd door ENISA, met gelijktijdige kennisgeving aan uw nationale CSIRT.

Hoe Interlynk Helpt

Wij koppelen elke CRA-vereiste aan een concrete platformcapaciteit — zodat u naleving kunt aantonen, niet alleen claimen.

CRA Requirement

Interlynk Capability

SBOM aanmaken en onderhouden

Geautomatiseerd SBOM-beheer

Kwetsbaarheden identificeren

Continue kwetsbaarheidsmonitoring

Kwetsbaarheden identificeren

Open source-beheer

Beheer van beveiligingsupdates

Leveranciersmonitoring

Technische documentatie

SBOM-export in CycloneDX / SPDX

Bewaarplicht van 10 jaar

SBOM-levenscyclusbeheer

CRA Requirement

Interlynk Capability

SBOM aanmaken en onderhouden

Geautomatiseerd SBOM-beheer

Kwetsbaarheden identificeren

Continue kwetsbaarheidsmonitoring

Kwetsbaarheden identificeren

Open source-beheer

Beheer van beveiligingsupdates

Leveranciersmonitoring

Technische documentatie

SBOM-export in CycloneDX / SPDX

Bewaarplicht van 10 jaar

SBOM-levenscyclusbeheer

Veelgestelde vragen

Meer vragen? Neem nu contact met ons op.

De CRA is een EU-verordening die verplichte cybersecurityvereisten vastlegt voor producten met digitale elementen die in de Europese Unie worden verkocht. Ze geldt voor hardware en software en vereist secure-by-design-ontwikkeling, het afhandelen van kwetsbaarheden en doorlopende beveiligingsupdates gedurende de hele levenscyclus van het product.

De CRA is in december 2024 in werking getreden. De meldplicht voor kwetsbaarheden gaat in september 2026 in, en alle vereisten zijn volledig van toepassing vanaf december 2027.

Pure SaaS valt doorgaans buiten de directe reikwijdte van de CRA, maar softwarecomponenten en oplossingen voor gegevensverwerking op afstand die bedoeld zijn om een product met digitale elementen te ondersteunen, vallen er wél onder. De grens is genuanceerd en hangt af van de vraag of de software integraal onderdeel is van de functie van het product.

De CRA vereist SBOM's in een gangbaar, machineleesbaar formaat. CycloneDX en SPDX zijn de twee industriestandaarden die aan die vereiste voldoen en die Interlynk standaard ondersteunt.

Niet-commerciële opensourcesoftware is uitgezonderd. Opensourcecomponenten die in commerciële producten zijn geïntegreerd echter niet — fabrikanten blijven verantwoordelijk voor de beveiliging van alle componenten die zij uitleveren, inclusief opensource-afhankelijkheden.

De boetes kunnen oplopen tot € 15 miljoen of 2,5% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is, voor de ernstigste overtredingen. Lichtere overtredingen kennen lagere, maar nog steeds aanzienlijke boetes.

NIS2 richt zich op aanbieders van essentiële en belangrijke diensten en focust op organisatorische cybersecurity. De CRA richt zich op de producten zelf en reguleert fabrikanten van hardware en software die op de EU-markt worden gebracht.

Ja. Elk bedrijf — ongeacht waar het hoofdkantoor staat — dat producten met digitale elementen op de EU-markt brengt, moet aan de CRA voldoen. Fabrikanten buiten de EU stellen doorgaans een in de EU gevestigde gemachtigde aan.

Vertrouwd door beveiligings- en complianceteams bij meer dan 100 gereguleerde bedrijven

Start uw weg naar CRA-naleving

Sluit u aan bij 100+ organisaties die Interlynk al gebruiken om SBOM-beheer te automatiseren en aan de EU-regelgeving te voldoen.

Nieuw: lynkctl — SBOM-generator voor embedded C/C++

⚡ EU Cyber Resilience Act

Voldoe met vertrouwen aan de EU Cyber Resilience Act

Verplichte kwetsbaarheidsmelding

Verplichte kwetsbaarheidsmelding

Verplichte kwetsbaarheidsmelding

Wat is de Cyber Resilience Act?

€ 15 mln

Maximale boetes bij niet-naleving

Maximale boetes bij niet-naleving

24 uur

Termijn voor kwetsbaarheidsmelding

Termijn voor kwetsbaarheidsmelding

10 jaar

90%

Producten die in aanmerking komen voor zelfbeoordeling

Producten die in aanmerking komen voor zelfbeoordeling

CRA-nalevingstijdlijn

Voor wie geldt de CRA?

Fabrikanten

Iedereen die producten met digitale elementen ontwikkelt, vervaardigt of laat ontwerpen en ontwikkelen onder zijn eigen naam of merk.

Importeurs

In de EU gevestigde entiteiten die een product met digitale elementen op de EU-markt brengen dat de naam van een fabrikant uit een derde land draagt.

Distributeurs

Elke partij in de toeleveringsketen — anders dan de fabrikant of importeur — die een product met digitale elementen op de EU-markt aanbiedt.

Productclassificatie onder de CRA

Standaard (~90%)

Slimme speakers, harde schijven, fotobewerkingssoftware

Slimme speakers, harde schijven, fotobewerkingssoftware

Belangrijk – klasse I

Wachtwoordmanagers, antivirus, VPN's, netwerkinterfaces

Wachtwoordmanagers, antivirus, VPN's, netwerkinterfaces

Belangrijk – klasse II

Firewalls, IDS/IPS, hypervisors, container runtimes

Firewalls, IDS/IPS, hypervisors, container runtimes

Kritiek

Hardwarebeveiligingsmodules (HSM's), slimme-metergateways, smartcards

Hardwarebeveiligingsmodules (HSM's), slimme-metergateways, smartcards

SBOM-vereisten onder de CRA

De Cyber Resilience Act verplicht uitgebreide documentatie in de vorm van een Software Bill of Materials. Dit zijn de belangrijkste vereisten waaraan u moet voldoen:

☑️ Machineleesbaar SBOM-formaat (CycloneDX of SPDX)

☑️ Alle afhankelijkheden op het hoogste niveau opnemen

☑️ Correcte versienummers voor alle componenten

☑️ Unieke identifiers voor elk component

☑️ Bewaarplicht van 10 jaar voor de documentatie

☑️ Regelmatige updates wanneer componenten wijzigen

☑️ Veilige mechanismen om te delen met geautoriseerde partijen

☑️ Machineleesbaar SBOM-formaat (CycloneDX of SPDX)

☑️ Alle afhankelijkheden op het hoogste niveau opnemen

☑️ Correcte versienummers voor alle componenten

☑️ Unieke identifiers voor elk component

☑️ Bewaarplicht van 10 jaar voor de documentatie

☑️ Regelmatige updates wanneer componenten wijzigen

☑️ Veilige mechanismen om te delen met geautoriseerde partijen

☑️ Machineleesbaar SBOM-formaat (CycloneDX of SPDX)

☑️ Alle afhankelijkheden op het hoogste niveau opnemen

☑️ Correcte versienummers voor alle componenten

☑️ Unieke identifiers voor elk component

☑️ Bewaarplicht van 10 jaar voor de documentatie

☑️ Regelmatige updates wanneer componenten wijzigen

☑️ Veilige mechanismen om te delen met geautoriseerde partijen

Meldtermijnen

De CRA introduceert strikte termijnen voor het melden van actief misbruikte kwetsbaarheden en ernstige incidenten aan ENISA en uw CSIRT.

24 uur

Vroegtijdige waarschuwing

72 uur

Volledige kwetsbaarheidsmelding

14 dagen

Eindrapport na correctie

1 maand

Melding van ernstig incident

Hoe Interlynk Helpt

Wij koppelen elke CRA-vereiste aan een concrete platformcapaciteit — zodat u naleving kunt aantonen, niet alleen claimen.

Veelgestelde vragen

Meer vragen? Neem nu contact met ons op.

Start uw weg naar CRA-naleving

Start uw weg naar CRA-naleving

Oplossingen

SBOM-automatisering

Open source-beheer