Mei 2026. De EU Cyber Resilience Act (CRA) verschuift de discussie van “security als belofte in RFP’s” naar aantoonbare producteisen. Nederlandse inkopers, SaaS-leveranciers en system integrators merken dat in aanbestedingen en due diligence.
Voor wie is CRA relevant?
- Fabrikanten van connecteerbare producten (inclusief embedded software).
- Leveranciers die updates, patches en vulnerability disclosure moeten organiseren.
- Afnemers die moeten kunnen uitleggen welke producten in scope zijn en hoe updates worden uitgerold.
Wat vragen grote klanten nu?
SBOM’s, patchbeleid, vulnerability handling, support-einde-data en bewijs dat security-by-design in het ontwikkelproces zit. Dat overlapt met leveranciersbeheer ISO 27001 — maar CRA is productgericht, niet alleen organisatiecertificaat.
Praktisch: drie acties
- Inventariseer connecteerbare producten in uw dienstverlening.
- Koppel contracten aan concrete patch-SLA’s en meldplicht bij ernstige kwetsbaarheden.
- Documenteer afwijkingen — auditors en opdrachtgevers accepteren geen “onbekend”.
Vergelijk aanpakken: ISO, NIS2 en tooling — zonder vendor-bashing, wel met heldere criteria.