Mei 2026. De EU Cyber Resilience Act (CRA) verschuift de discussie van security als belofte in RFP’s naar aantoonbare producteisen. Nederlandse inkopers, SaaS-leveranciers en system integrators merken dat in aanbestedingen en due diligence.
Voor wie is CRA relevant?
- Fabrikanten van connecteerbare producten (inclusief embedded software).
- Leveranciers die updates, patches en vulnerability disclosure moeten organiseren.
- Afnemers die moeten uitleggen welke producten in scope zijn en hoe updates worden uitgerold.
Wat vragen grote klanten nu?
SBOM’s, patchbeleid, vulnerability handling, support-einde-data en bewijs van security-by-design in het ontwikkelproces. Dat overlapt met leveranciersbeheer ISO 27001 — maar CRA is productgericht, niet alleen organisatiecertificaat.
Praktisch: drie acties
- Inventariseer connecteerbare producten in uw dienstverlening.
- Koppel contracten aan concrete patch-SLA’s en meldplicht bij ernstige kwetsbaarheden.
- Documenteer afwijkingen — auditors en opdrachtgevers accepteren geen onbekend.
Vergelijk aanpakken: ISO, NIS2 en tooling — met heldere criteria.
CRA versterkt in 2026 de verwachting dat patchcycli en kwetsbaarheidsprocessen traceerbaar zijn in uw change- en releaseproces. Koppel SBOM-updates aan uw risicoregister en leg vast welke productversies in productie draaien bij kritieke klanten. Dat helpt bij zowel CRA-conformiteit als ISO 27001 leveranciersreviews.
Inkopers vragen steeds vaker om concrete patch-SLA’s: maximaal dagen tot fix voor kritieke CVE’s, communicatie naar afnemers en exit bij end-of-support. Zet die eisen in contracttemplates en monitor naleving via tickets en management review — niet alleen via jaarlijkse vragenlijsten.
Voor afnemers: maak een productregister met connecteerbare componenten, eigenaar, patchstatus en laatste security review. Koppel het aan uw ISMS-scope zodat auditors zien dat productbeveiliging onderdeel is van risicobeheer, niet een los IT-project.
Productsecurity in inkoop en development
CRA raakt zowel fabrikanten als afnemers van connecteerbare producten. Inkoop moet weten welke firmware, IoT-componenten of embedded software in geleverde diensten zit — niet alleen welke SaaS-u licentie heeft.
Development teams krijgen steeds vaker SBOM- en patch-eisen in RFP’s. Leg vulnerability disclosure en update-kanalen vast in releaseprocessen, niet alleen in marketing security pages.
Voor afnemers: eis patch-SLA’s en end-of-support-data in contracten en monitor naleving via tickets. Jaarlijkse vragenlijsten zonder opvolging overtuigen CRA-bewuste klanten niet.
Koppel productregister aan risicoanalyse: welke connecteerbare componenten hebben hoogste impact bij compromise? Dat helpt prioriteren zonder elk product hetzelfde te behandelen.
Communiceer patch- en support-einde-data proactief naar afnemers — stilte tot een CVE explodeert erodeert vertrouwen sneller dan een gemiste SLA. Koppel CRA-verwachtingen aan uw bestaande vulnerability management proces.
Productregister en ketencommunicatie
CRA vraagt om zicht op connecteerbare producten over de hele levenscyclus — van ontwerp tot end-of-support. Houd een productregister bij met versie, patchstatus, bekende kwetsbaarheden en communicatie naar afnemers. Dat register voedt zowel CRA-conformiteit als ISO 27001 leveranciers- en changeprocessen.
Communiceer proactief wanneer support eindigt of wanneer een kritieke patch beschikbaar is. Stilte tot een CVE explodeert erodeert vertrouwen sneller dan een gemiste SLA. Koppel meldingen aan uw vulnerability management workflow en log wie welke klant wanneer informeerde.
Bij due diligence vragen inkopers steeds vaker om SBOM en patchhistorie van de laatste twaalf maanden. Bereid een export-template voor zodat sales en security niet ad hoc PDF’s bouwen.
Vervolgstappen in uw ISMS
Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.
Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.
Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.
Wat doet u deze week?
Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.
Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.
