CRA Lead Implementer

Over deze opleiding

De Cyber Resilience Act (CRA) is geen ontwerptekst meer: de verordening is sinds 10 december 2024 van kracht en de deadlines tikken. Vanaf 11 september 2026 moeten fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten melden volgens een strikt regime van 24 uur, 72 uur en 14 dagen tot één maand. Vanaf 11 december 2027 geldt: geen CRA-conformiteit, geen CE-markering, geen toegang tot de EU-markt. De boetes lopen op tot €15 miljoen of 2,5% van de wereldwijde jaaromzet, en in België houden het Centrum voor Cybersecurity België (CCB) en de FOD Economie toezicht — autoriteiten met een track record van actieve handhaving. De geharmoniseerde normen die naleving zouden vereenvoudigen, landen bovendien grotendeels pas eind 2027, nadat het werk al moet zijn gebeurd. Wie de CRA vandaag kan interpreteren en toepassen, beschikt dus over schaarse en waardevolle expertise.

Deze tweedaagse opleiding maakt van CRA-paniek een uitvoerbaar programma. Je hebt de samenvattingen gelezen en de gratis webinars gevolgd, maar je kunt de drie vragen die er echt toe doen nog niet met zekerheid beantwoorden: zijn we in scope, in welke klasse vallen onze producten, en wat moet wanneer klaar zijn? Wat je nodig hebt, is geen extra uitleg van de wet, maar het implementatieprogramma zelf: een verdedigbare scope- en classificatiebeslissing, de vertaling van de essentiële eisen van bijlage I naar concrete maatregelen (veilig ontwerp, veilige updates, een softwarestuklijst of SBOM), een werkend proces voor kwetsbaarhedenbeheer en melding, de juiste route voor conformiteitsbeoordeling en de volledige documentatie tot en met de EU-conformiteitsverklaring.

De CRA oogt complex, maar is uitlegbaar — en dat is precies wat deze twee dagen doen. De opleiding wordt gegeven door een cyberjurist en een product-securityexpert samen, brengt bewust leidinggevende, technische en juridische profielen rond de tafel, en wordt afgesloten met een examen dat recht geeft op het certificaat “CRA Lead Implementer”. Of je nu binnen je eigen organisatie het CRA-traject moet trekken, of als consultant of advocaat klanten begeleidt: je vertrekt met een onderbouwd en verdedigbaar stappenplan.

Belangrijke deadlines

Vanaf 11 september 2026 gelden de meldingsverplichtingen. Vanaf 11 december 2027 is CRA-conformiteit een voorwaarde voor CE-markering en toegang tot de EU-markt.

Waarom deze opleiding volgen

• Je bent binnen je organisatie — officieel of in de praktijk — aangeduid als eigenaar van het CRA-traject en je wilt verdedigbare beslissingen kunnen nemen over scope, je rol (fabrikant, importeur, distributeur of quasi-fabrikant) en productclassificatie.
• Je wilt de essentiële eisen van bijlage I (veilige standaardinstellingen, veilige updatemechanismen, ondersteuningsperiode, SBOM, een beleid voor het melden van kwetsbaarheden) vertalen naar een geprioriteerde en haalbare to-dolijst voor engineering en governance — zonder te wachten op geharmoniseerde normen die pas eind 2027 landen.
• Je wilt een CRA-traject leiden vanuit een gecombineerd juridisch-technisch perspectief: als jurist wil je een technische maatregel zoals een SBOM of een proces voor kwetsbaarhedenbeheer kunnen beoordelen; als engineer wil je begrippen als “op de markt aanbieden” en “substantiële wijziging” correct hanteren tegenover juristen, keuringsinstanties en toezichthouders.
• Je wilt de communicatiekloof tussen juridische, technische en businessprofielen overbruggen met een gedeelde werktaal: engineering wil concrete vereisten en geen “juridische poëzie”, en het management wil een budgetcijfer en een verdedigbare roadmap.
• Je wilt CRA-naleving verankeren in je bestaande productontwikkelings- en governanceprocessen, met een technisch dossier, EU-conformiteitsverklaring en gebruikersinformatie die een inspectie van het CCB of de FOD Economie — of een klacht van een concurrent — doorstaan.
• Je wilt vóór 11 september 2026 klaar zijn voor de meldplicht: een proces om actief misbruikte kwetsbaarheden en ernstige incidenten in te schatten, en een draaiboek voor de melding binnen 24 uur en 72 uur via het centrale meldplatform.
• Je krijgt van je B2B-klanten nu al CRA-vragenlijsten die je vandaag niet kunt beantwoorden, en je wilt van cybersecurity een verkoopargument maken in plaats van een kostenpost.
• Je wilt begrijpen hoe de CRA samenhangt met NIS2, de GDPR, de AI Act en de RED Delegated Act, zodat één programma al je verplichtingen dekt — inclusief de controle op leveranciers, opensourcecomponenten en afnemers.
• Je bent consultant of advocaat en je wilt — met een certificaat op basis van een examen en een herbruikbare aanpak — een CRA-dienstenlijn uitbouwen nu de adviesmarkt zich vormt, klanten al naar hun scope vragen en aanbestedingen om aantoonbare CRA-competentie beginnen te vragen.

Doelgroep

Deze opleiding richt zich op twee profielen. Enerzijds de interne implementator: de persoon binnen een fabrikant, importeur of distributeur van producten met digitale elementen die — officieel of in de praktijk — de opdracht kreeg om de CRA-implementatie te trekken. Dat zijn onder meer CISO’s en informatiebeveiligingsverantwoordelijken, product-securityleads en -engineers, compliance officers en regulatory affairs managers, juridisch adviseurs en functionarissen voor gegevensbescherming (DPO’s), kwaliteits- en CE-markeringsverantwoordelijken, en (technische) productmanagers.

Anderzijds de externe adviseur: cybersecurity- en GRC-consultants, IP/IT-advocaten, privacy-adviseurs die vanuit de GDPR en NIS2 doorgroeien naar productregelgeving, CE-markeringsbureaus en freelance security consultants die hun klanten met autoriteit willen begeleiden bij CRA-readiness.

De opleiding brengt deze leidinggevende, technische en juridische profielen bewust samen, omdat CRA-implementatie precies op de naden tussen die disciplines vastloopt. Bedrijven worden dan ook aangemoedigd om een juridisch-technisch duo in te schrijven, dat terugkeert met een gedeelde werktaal.

Leerdoelen

Didactische aanpak

• Expert-docenten: de training wordt gegeven door twee vooraanstaande experts: een jurist met diepgaande kennis van de CRA en een practitioner met uitgebreide ervaring in het implementeren van cybersecuritymaatregelen. Deze samenwerking zorgt ervoor dat deelnemers zowel een gedetailleerd juridisch inzicht als praktische vaardigheden verwerven die ze meteen in hun organisatie kunnen toepassen.
• Interactieve sessies: de dynamische wisselwerking tussen de jurist en de practitioner creëert een leeromgeving waarin juridische vragen en praktische uitdagingen naadloos op elkaar aansluiten — een juridische vraag krijgt live een technisch antwoord en omgekeerd. De groep wordt beperkt tot maximaal 20 deelnemers, met ruimte voor persoonlijke interactie en maatwerk.
• Praktijkgericht: alle theoretische concepten worden ondersteund door interactieve oefeningen op echte producten en een uitgewerkte praktijkcase als rode draad, van scopebeslissing tot EU-conformiteitsverklaring. Deelnemers worden aangemoedigd hun eigen productlijst mee te brengen: die classificeren ze al op dag één.
• Uitgebreid studiemateriaal: elke deelnemer ontvangt vooraf verplichte voorbereidingsstof met een korte instaptoets, zodat de twee opleidingsdagen maximaal renderen. Daarnaast krijgt elke deelnemer een gedrukte syllabus en toegang tot digitale leermaterialen, waaronder juridische documentatie, praktische gidsen, sjablonen en tools.

Eindproduct

Deelnemers aan deze tweedaagse opleiding leggen een meerkeuze-examen af waarmee de tijdens de opleiding verworven kennis wordt getoetst. Wie slaagt, kan het certificaat “CRA Lead Implementer” downloaden: een kennisgarantie, geen aanwezigheidsattest.

Het certificaat bevestigt dat de deelnemer op het ogenblik van slagen voldoet aan de leerdoelstellingen, en is daardoor ook bruikbaar in offertes, bio’s en aanbestedingen. Het geeft bovendien toegang tot de jaarlijkse update-sessies waarmee de kennis — en de waarde van het certificaat — actueel blijft.

Het gaat onder meer om actualiseringen naar aanleiding van uitvoeringsverordeningen en gedelegeerde handelingen, de aanname en wijziging van geharmoniseerde normen in het kader van de CRA, en toekomstige ontwikkelingen in rechtspraak en administratieve beslissingen.

Hoe jezelf voorbereiden

Voor deze opleiding is geen voorkennis vereist. De training bouwt de juridische en technische concepten stap voor stap op vanuit een gedeeld vertrekpunt, net om een gemengd publiek van leidinggevende, technische en juridische profielen samen te brengen. Om het meeste uit de opleiding te halen, is het wel sterk aangeraden om vooraf een aantal documenten en concepten door te nemen.

In de eerste plaats is het nuttig de tekst van de Cyber Resilience Act zelf te raadplegen (Verordening (EU) 2024/2847). Je hoeft de verordening niet integraal te kennen, maar een doorname van de overwegingen en van enkele kernbepalingen geeft een goede basis: het toepassingsgebied (art. 2), de definities (art. 3), de essentiële cyberbeveiligingseisen (bijlage I), de verplichtingen van fabrikanten (art. 13) en de classificatie van producten met digitale elementen (bijlage III en IV).

Daarnaast is het zinvol om de FAQ die de Europese Commissie publiceert door te nemen. Die bron vertaalt de verordening naar toegankelijkere taal en signaleert de punten die in de praktijk de meeste vragen oproepen.

Voor wie zich verder wil verdiepen, is een basisbegrip van het Europese productrecht en de werking van CE-markering en conformiteitsbeoordeling (het New Legislative Framework) een meerwaarde. In dat kader is het sterk aangeraden om alvast te kijken naar de Blue Guide on the implementation of the product rules 2022.

De lesgevers

Maxim Baele
Maxim Baele is een gedreven cybersecurityleider met tien jaar ervaring in product security. Vanuit zijn achtergrond in Linux-systeemengineering en automatisering ondersteunt hij organisaties bij het vertalen van beveiligingsstandaarden naar praktische beleidslijnen en concrete vereisten, in uiteenlopende omgevingen — van kleine embedded systemen tot cloud-native gedistribueerde platformen. Zijn werk legt de nadruk op het bouwen van producten die veilig zijn vanaf het ontwerp, en op het integreren van beveiliging in alle lagen van de ontwikkel- en operationele processen binnen een organisatie. Hij volgt de CRA al enkele jaren van dichtbij en helpt dagelijks organisaties zich klaar te maken voor CRA-naleving. Naast zijn werk als product-securityconsultant bij Toreon is hij actief binnen OWASP, als chapter leader van OWASP België, board member van OWASP EU en core team member van het OWASP SAMM-project.

Pedro Demolder
Pedro Demolder is advocaat IP/IT en gegevensbescherming bij Timelex in Brussel, waar hij cliënten adviseert over de juridische, technische, operationele en organisatorische aspecten van informatiebeveiliging en daarover ook opleidingen verzorgt. Pedro heeft een bijzondere expertise opgebouwd rond de Europese cyberbeveiligingsregelgeving. Hij begeleidt organisaties bij de vertaling van die regelgeving naar hun dagelijkse werking: van de classificatie van producten met digitale elementen en de conformiteitsbeoordeling, tot het inrichten van procedures voor kwetsbaarhedenbeheer en rapportering. Hij neemt deel aan projecten gefinancierd door de Europese Commissie en de Nationale Coördinatiecentra en doceert als gastprofessor in het Cybersecurity-programma van de Brussels School of Competition, waar hij onder meer lesgeeft over de juridische aspecten van cybersecurity en AI.