Wat er echt verandert op 11 september 2026

De EU Cyber Resilience Act stelt een harde meldplicht in die ingaat op 11 september 2026. Zodra een fabrikant met een redelijke mate van zekerheid weet dat een kwetsbaarheid in een van zijn producten actief wordt misbruikt, of dat een ernstig incident de veiligheid van dat product heeft geraakt, gaat de klok lopen. Een vroege waarschuwing moet binnen 24 uur het EU-agentschap voor cyberbeveiliging ENISA en het relevante nationale CSIRT bereiken, gerouteerd via een enkel meldplatform dat beide tegelijk op de hoogte stelt.

De waarschuwing binnen 24 uur is niet het einde. Een uitgebreidere melding is verschuldigd binnen 72 uur, en een eindrapport binnen 14 dagen zodra een corrigerende of mitigerende maatregel beschikbaar is. De aanleiding is geen volledig forensisch bewijs. Een lopend onderzoek stopt de klok niet, dus de praktische vraag voor een eigenaar is eenvoudig: kan uw team het signaal opvangen, beslissen dat het kwalificeert en indienen binnen een werkdag?

Waarom dit ook producten raakt die u al verkocht

Het punt dat veel ondernemers verrast, is de reikwijdte. De verplichting beperkt zich niet tot producten die na de deadline zijn gelanceerd. Zolang een product met digitale elementen op of na 11 september 2026 op de EU-markt blijft, vallen de kwetsbaarheden en ernstige incidenten ervan onder de meldplicht, inclusief oudere eenheden en oudere productlijnen die nog worden verkocht. Een verbonden sensor, een machinebesturing of een softwarecomponent die jaren geleden is uitgeleverd, kan u in een melding van 24 uur betrekken.

Hier ligt de blootstelling voor een typische mkb-fabrikant. De engineering is lang geleden afgetekend, het product is volwassen en niemand is eigenaar van een meldscript van 24 uur ervoor. De huidige richtsnoeren van de Commissie uit maart 2026 zijn de meest gezaghebbende lezing die beschikbaar is, maar ze zijn nog in concept en niet formeel aangenomen, dus sommige details kunnen verschuiven. De kernplanning en de reikwijdte tot bestaande producten zijn al duidelijk genoeg om op te anticiperen.

Wat een eigenaar nu verstandig kan nagaan

Begin met een eerlijke inventarisatie van wat u daadwerkelijk verkoopt dat digitale elementen heeft, inclusief ingebedde software en verbonden functies in oudere productlijnen. Vraag u vervolgens af wie binnen het bedrijf als eerste zou horen dat een van die producten wordt misbruikt, en hoe dat een beslisser bereikt die een melding kan autoriseren. Als het eerlijke antwoord is dat het bericht een weekend lang in een inbox zou blijven staan, dan hebt u de kloof gevonden. Een benoemde eigenaar, een vastgelegd pad en een geoefende drill van 24 uur zijn hier belangrijker dan een dik beleidsdocument.

Niets hiervan is juridisch advies, en de definitieve vorm van de richtsnoeren staat nog niet vast. Maar de richting is bepaald en de deadline is nabij. Het nu behandelen van de meldplicht als een vraag van operationele gereedheid, in plaats van later als een compliancememo, is wat de bedrijven die kalm melden onderscheidt van de bedrijven die in paniek raken. Het werk is grotendeels proces en eigenaarschap, geen nieuwe technologie.