← Terug naar blog

Nog 7 maanden tot de CRA — Weet je waar je CVE's zijn?

· Verimu
CRA-complianceCyber Resilience ActCVE-monitoringSBOMEU-regelgeving

11 september 2026 is niet de datum waarop de EU Cyber Resilience Act volledig van kracht wordt. Dat is 11 december 2027. Maar 11 september 2026 is wanneer de meldplicht voor kwetsbaarheden van de CRA juridisch bindend wordt — en die deadline is nu nog ongeveer zeven maanden weg.

Vanaf die datum moet elke fabrikant van producten met digitale elementen die in de EU worden verkocht, actief misbruikte kwetsbaarheden binnen 24 uur na ontdekking melden bij ENISA. Een volledige melding volgt binnen 72 uur. Een eindrapport is verschuldigd binnen 14 dagen nadat een corrigerende maatregel beschikbaar is.

Dit geldt voor producten die al op de markt zijn. Het geldt voor software die je in 2020 hebt uitgebracht. Het geldt ongeacht of je al begonnen bent met je CRA-compliancetraject.

De verborgen afhankelijkheid die de meeste teams missen

De meeste organisaties plannen rond de volledige compliancedatum van 11 december 2027. Dan worden de SBOM-vereisten, conformiteitsbeoordelingen en CE-markeringsverplichtingen van kracht. De gedachte is dus: we hebben tijd.

Maar hier zit het probleem. Om een actief misbruikte kwetsbaarheid binnen 24 uur te melden, moet je weten:

  1. Welke softwarecomponenten in je product zitten
  2. Welke van die componenten getroffen worden door een bepaald CVE
  3. Of dat CVE actief wordt misbruikt

Niets hiervan kun je doen zonder een SBOM en een kwetsbaarheidsmonitoringproces. In de praktijk is SBOM-gereedheid een vereiste voor september 2026, ook al worden SBOM's formeel pas vanaf december 2027 verplicht.

Zoals het beveiligingsteam van Keysight schreef: "Je kunt niet melden wat je niet weet."

Hoe de meldingstermijn eruitziet

Wanneer een fabrikant kennis krijgt van een actief misbruikte kwetsbaarheid in zijn product, vereist de CRA:

Termijn Vereiste
24 uur Vroege waarschuwing aan CSIRT via het Gemeenschappelijk Meldplatform van ENISA
72 uur Volledige melding inclusief ernstbeoordeling en getroffen producten
14 dagen Eindrapport zodra een corrigerende of verzachtende maatregel beschikbaar is

Het Gemeenschappelijk Meldplatform van ENISA is operationeel tegen september 2026. Zodra het actief is, is er geen overgangsperiode.

De boeteberekening

Niet-naleving van de CRA kan resulteren in boetes tot €15 miljoen of 2,5% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Ter context: een middelgroot Europees softwarebedrijf met €100 miljoen jaaromzet riskeert een boete van €2,5 miljoen — voor één enkele gemiste melding.

Zelfs voor bedrijven ver onder die omzetdrempel kan de reputatieschade van een gemiste CRA-melding erger zijn dan de boete zelf.

Het huidige landschap: wat er beschikbaar is

Als je tooling begint te evalueren, is de markt grofweg als volgt verdeeld:

Enterprise SCA-platformen — tools zoals Snyk, Sonatype en FOSSA bieden software composition analysis met SBOM-generatie als functie. Deze platformen zijn krachtig en volwassen, maar zijn ontworpen voor Amerikaanse beveiligingsteams en kosten vaak €2.000–5.000+/maand. CRA-specifieke workflows (24u→72u→14d melding, EUVD-integratie, ENISA-rapportage) zijn doorgaans niet ingebouwd.

SBOM-levenscyclusbeheerders — tools zoals Cybeats SBOM Studio en sbomify richten zich op SBOM-beheer, archivering en delen. Ze zijn sterk aan de documentatiekant, maar kunnen aparte tooling vereisen voor kwetsbaarheidsdetectie en alerting.

Open-source generators — Syft, cdxgen en npm-sbom kunnen SBOM's genereren in CI/CD-pipelines. Ze zijn gratis en flexibel, maar je moet zelf de CVE-monitoring-, alerting- en rapportageworkflow bouwen.

CRA-gerichte platformen — een nieuwere categorie tools die specifiek zijn gebouwd rond CRA-termijnen en -vereisten. ScanDog en Verimu vallen in deze categorie: specifiek ontworpen voor Europese compliance, met SBOM-generatie, kwetsbaarheidsmonitoring en regelgevingsrapportage als kernfuncties in plaats van add-ons.

De vraag is niet of je een tool nodig hebt. Het is welke afwegingen je bereid bent te maken: bouwen vs. kopen, kosten vs. dekking, CRA-native vs. achteraf aangepast.

Wat "CRA-gereed" echt betekent tegen september

Tegen 11 september 2026 zou je minimaal het volgende moeten hebben:

  1. Een compleet SBOM voor elk product op de markt — inclusief alle directe en transitieve afhankelijkheden, in CycloneDX- of SPDX-formaat
  2. Geautomatiseerde kwetsbaarheidsmonitoring — die je SBOM's kruist met NVD, EUVD en bij voorkeur CISA KEV voor signalen van actief misbruikte kwetsbaarheden
  3. Een alertingworkflow — die de juiste mensen binnen uren informeert, niet dagen
  4. Een meldingsproces — afgestemd op de 24u/72u/14d-tijdlijn van de CRA, met sjablonen klaar voor het Gemeenschappelijk Meldplatform van ENISA
  5. Documentatie — die aantoont dat dit proces bestaat, is getest en operationeel was vóór de deadline

Als een van deze ontbreekt, ben je kwetsbaar.

Hoe Verimu past

Verimu is specifiek gebouwd voor dit probleem. We zijn een team van medische technologie- en industriële software-ingenieurs die zelf de CRA-complianceplanning hebben doorlopen en beseften dat de toolingkloof enorm was — vooral voor kleine en middelgrote Europese softwareteams die geen budget van €50.000/jaar voor beveiligingstools hebben.

Dit is wat Verimu vandaag doet:

  • SBOM-generatie — CycloneDX 1.7, NTIA-compliant, automatisch gegenereerd bij elke commit via GitHub App
  • CVE-monitoring — kruisverwijzing met NVD, EUVD en CISA KEV
  • Realtime alerts — e-mailnotificaties naar je team wanneer een kwetsbaarheid je afhankelijkheden treft
  • CRA-rapportagesjablonen — afgestemd op de 24u/72u/14d-meldingstijdlijn
  • In de EU gehoste infrastructuur — je data blijft in Europa

Vanaf €49/maand — niet duizenden.

We beginnen met GitHub en npm/Node.js, met ondersteuning voor C#, Java, Go en Rust op de roadmap.

Als je wilt zien hoe een compliant SBOM eruitziet voordat je je vastlegt, kun je er nu een genereren in je browser — geen registratie nodig.

Zeven maanden is minder tijd dan het lijkt. Vooral wanneer de eerste maand naar evaluatie gaat, de tweede naar inkoop, de derde naar integratie, en je minstens een kwartaal marge wilt vóór de deadline.

Start gratis → of boek een demo om te zien hoe Verimu je CRA-gereed kan maken vóór september.