Cybersecurity

Uw hardware is nu gereguleerde software

De EU Cyber Resilience Act maakt van elk verbonden product een gereguleerd item, met een meldingstermijn van 24 uur vanaf 2026 en boetes tot 2,5 procent van de omzet.

Door Leon Soliman · 2026-06-28 · 3 min leestijd

Belangrijkste punten

De Cyber Resilience Act behandelt elk product met digitale elementen als een gereguleerd item, dus een fabrikant van een verbonden machine of apparaat is volgens EU-recht nu een softwareleverancier.
Vanaf 11 september 2026 start een actief misbruikte kwetsbaarheid een vaste klok: een vroege waarschuwing binnen 24 uur, een vollediger rapport binnen 72 uur en een eindrapport binnen 14 dagen.
Vanaf 11 december 2027 hebben producten een CE-markering nodig die gedekt wordt door security by design en updates gedurende de ondersteuningsperiode, met boetes tot 15 miljoen euro of 2,5 procent van de wereldwijde omzet.
De plicht eindigt niet bij de verkoop, maar loopt door gedurende de ondersteunde levensduur van elk exemplaar, en bindt ook fabrikanten buiten de EU die op de Europese markt verkopen.

Het woord fabrikant betekent nu u

De EU Cyber Resilience Act trad in december 2024 in werking, en de definitie van een fabrikant is ruimer dan de meeste besturen aannemen. Hij omvat elk product met digitale elementen dat op de Europese markt wordt gebracht: een verbonden machine, een industriele besturing, een medisch hulpmiddel, een consumentengadget of een stuk op zichzelf staande software. Als uw product met een netwerk communiceert, valt het binnen de reikwijdte, en dat geldt ook voor de importeurs en distributeurs die het op de markt brengen.

Voor een family office of een Mittelstand-eigenaar is het ongemakkelijke deel de herclassificatie. Een bedrijf dat al drie generaties lang precisiemachines bouwt en zichzelf nooit een softwarebedrijf heeft genoemd, is in de ogen van het EU-recht nu een gereguleerde softwareleverancier. De regel reikt ook verder dan de Unie. Een fabrikant waar ook ter wereld gevestigd die op de Europese markt verkoopt, draagt dezelfde plichten als een fabrikant gevestigd in Frankfurt.

Een klok van 24 uur die u niet beheerst

De eerste harde deadline is dichtbij. Vanaf 11 september 2026 start een actief misbruikte kwetsbaarheid of een ernstig beveiligingsincident een vaste meldingscascade via een enkel Europees platform. Een vroege waarschuwing is verschuldigd binnen 24 uur, een vollediger melding binnen 72 uur en een eindrapport binnen 14 dagen na het uitbrengen van een oplossing of tijdelijke maatregel. De klok wacht niet op uw juridische toetsing of uw communicatieplan.

Die timing is de operationele schok. Het venster van 24 uur opent tijdens het ergste moment van een incident, wanneer de informatie onvolledig is en de neiging bestaat om niets te zeggen totdat de feiten duidelijk zijn. De Act neemt die optie weg. Een organisatie die een fout niet binnen een dag kan detecteren, beoordelen en melden, mist de deadline, niet omdat het haar aan goede wil ontbreekt, maar omdat ze nooit de machinerie heeft gebouwd om zo snel te bewegen.

CE-markering, en een boete op maat van uw omzet

De bredere verplichtingen volgen op 11 december 2027. Vanaf die datum heeft een product met digitale elementen een CE-markering nodig die certificeert dat het is gebouwd met security by design, wordt geleverd zonder bekende exploiteerbare defecten en gedurende een vastgestelde ondersteuningsperiode beveiligingsupdates ontvangt. Naleving is geen eenmalige test voor de lancering, het is een plicht die loopt gedurende de ondersteunde levensduur van elk exemplaar dat u hebt verkocht.

De handhaving heeft gewicht. Nationale markttoezichtautoriteiten houden toezicht op de regels, en Duitsland heeft al een eerste ontwerp van de wet uitgebracht om zijn bevoegde autoriteit aan te wijzen. Boetes voor het niet voldoen aan de kernvereisten lopen op tot 15 miljoen euro of 2,5 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Voor een winstgevende middelgrote fabrikant is het omzetcijfer datgene wat de aandacht in de zaal zou moeten scherpstellen.

Lees hierna: Is uw cyberverdediging klaar voor aanvallen op machinesnelheid? · Uw versleuteling verloopt ooit

Veelgestelde vragen

Geldt de Cyber Resilience Act voor ons als wij alleen fysieke machines maken?

Ja, als die machines verbinding maken met een netwerk of software draaien. De Act omvat producten met digitale elementen, niet alleen pure software, dus een verbonden machine, besturing of apparaat plaatst de fabrikant ervan volledig binnen de reikwijdte, inclusief de plicht om kwetsbaarheden af te handelen en incidenten te melden.

Wij zijn gevestigd buiten de EU. Zijn wij er nog steeds aan gebonden?

Ja. De verplichtingen volgen de markt, niet het hoofdkantoor. Elke fabrikant die een product met digitale elementen op de Europese markt brengt, draagt dezelfde plichten als een in de EU gevestigde fabrikant, en uw EU-importeur of distributeur kan verantwoordelijk worden gehouden waar u dat niet bent.

De Cyber Resilience Act vraagt niet of u zichzelf als een softwarebedrijf beschouwt. Hij beslist dat voor u op het moment dat uw product verbinding maakt met een netwerk. De echte vraag is of u elk verbonden product dat u verkoopt kunt benoemen, kunt aantonen hoe het beveiligd is, en een live exploit binnen een dag kunt melden, of dat u het antwoord pas tijdens het incident zelf zult leren.

Cyber Resilience Act Product Security CE Marking EU Regulation Mittelstand

Meer uit het Servola Journal

Cybersecurity

Is uw cyberverdediging klaar voor aanvallen op machinesnelheid?

2026-06-23 · 2 min leestijd

Lees het artikel →

Information Security

Uw versleuteling verloopt ooit

2026-06-26 · 2 min leestijd

Lees het artikel →

AI Security

Uw AI-agents zijn talrijker dan uw personeel

2026-06-26 · 2 min leestijd

Lees het artikel →

Servola

Servola helpt eigenaren en Mittelstand-fabrikanten in kaart te brengen welke van hun producten onder de Cyber Resilience Act vallen en de kwetsbaarheidsafhandeling en melding op te bouwen die zij voor de deadline van 2026 nodig zullen hebben.

Vraag een vertrouwelijk gesprek aan Over Servola →

Servola is technologisch advies voor een klein aantal families en family offices. Wanneer een beslissing niet kan worden gedelegeerd, zitten wij aan uw kant van de tafel.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle artikelen