De Cyber Resilience Act (CRA) geldt voor iedereen die een product met digitale elementen (PDEs) op de Europese markt brengt - en dat zijn niet enkel de usual suspects. De Cyber Resilience Act klinkt als grote-bedrijven-wetgeving, maar de verplichtingen gelden even goed voor een KMO die een slim apparaat, een softwarepakket of een IoT-toepassing op de Europese markt brengt.

Juist voor kleine en middelgrote bedrijven is de impact het grootst: zij krijgen dezelfde wettelijke verplichtingen als multinationals, maar zonder de bijbehorende juridische en compliance-afdeling. Wie niet tijdig aan de slag gaat, riskeert zijn producten niet meer op de Europese markt te kunnen brengen na de inwerkingtreding.

Dit seminar geeft u in één namiddag de concrete handvaten om te begrijpen wat de CRA van uw bedrijf vraagt, waar de prioriteiten liggen, en hoe u daar - ook als KMO - pragmatisch mee aan de slag kunt.

Dit seminar is er specifiek voor:

• Hardware- & IoT-fabrikanten: Bedrijven die verbonden apparaten, machines of embedded systemen ontwerpen en verkopen, van slimme sensoren tot industriële controllers.
• Softwarebedrijven: Bedrijven die softwareproducten leveren die data verwerken of verbinding maken met apparaten. SaaS is veelal uitgesloten, maar embedded software niet.
• Operationele technologie & maakindustrie: Bedrijven met productieomgevingen, SCADA-systemen of industriële netwerken. De CRA raakt ook de OT-wereld dieper dan velen beseffen.
• Importeurs & resellers: Wie producten met digitale componenten importeert of doorverkoopt op de Europese markt, kan onder de CRA zelf als producent worden beschouwd.
• CEO's, CTO's & productmanagers: Leidinggevenden die nu de juiste strategische keuzes moeten maken over productontwikkeling, compliance-budget en risicobeheer.
• Ontwikkelaars & security engineers: De mensen die het concreet moeten uitvoeren. Zij hebben nood aan praktische kaders zoals OWASP SAMM om CRA-eisen om te zetten in werkbare processen.

Waarom nu?

De CRA is van kracht sinds december 2024. De meeste verplichtingen worden van toepassing in op 11 december 2027, maar de weg ernaartoe is lang. Op 11 september 2026 treedt Artikel 14 met de rapportageverplichtingen van fabrikanten in werking. Dit is direct relevant voor kmo's: zij moeten dan al actief kwetsbaarheden en incidenten melden aan de bevoegde autoriteiten.

Bedrijven die nu beginnen met een sterk fundament, vermijden kostbare inhaaloperaties straks. Dit seminar geeft je juridische helderheid, OT-praktijkervaring en een concreet ontwikkelmethode - allemaal op één namiddag.

Volledig Programma:

13:30 Welkom & Scene-Setting

Sprekers en deelnemers stellen zich kort voor en we maken de verwachtingen helder. Welke vragen heb je over CRA? Wat wil je meenemen naar huis? Wat gaan we niet bespreken? En: staat jouw bedrijf al op de CRA-radar of niet?

13:45 De CRA ontrafeld: wat staat er nu echt in de wet, en wat betekent dat voor jou? (Wout Platteau, Timelex)

De Cyber Resilience Act legt cybersecurity verplichtingen op voor producten, maar voor de meeste KMO's blijft de tekst abstract en zwaar verteerbaar. Wout Platteau, een advocaat gespecialiseerd in technologierecht bij Timelex, vertaalt de wet naar de realiteit van kleine en middelgrote bedrijven:

• Welke producten vallen er exact onder?
• Wat zijn de verplichtingen voor fabrikanten?
• Wat zijn de risico's van niet-naleving?
• En waar liggen de grijze zones die je nu al moet kennen?

14:30 CRA op de werkvloer: lessen uit de OT-praktijk (Wout De Ceuninck, Spinae)

Operationele technologie en de CRA zijn een complexe combinatie. Wout De Ceuninck werkt als OT Security Consultant bij Spinae en heeft dagelijks te maken met de uitdagingen die de wet stelt aan bedrijven met industriële netwerken, productiesystemen en embedded hardware.

Hij deelt zijn praktijkervaringen: wat loopt mis, waar beginnen bedrijven, en hoe zorg je dat security geen papieren oefening blijft maar iets wat écht werkt in de fabriek of het veld?

15:15 Koffie/Thee Pauze + Networking

15:30 Van theorie naar code: OWASP SAMM als kompas voor CRA-compliance (Maxim Baele, Toreon)

Hoe vertaal je de CRA-eisen naar concrete praktijken in je software- en productontwikkeling? Maxim Baele, een gepassioneerd cybersecurity advocate met een focus op product security, laat zien hoe OWASP SAMM (Software Assurance Maturity Model) hierbij het verschil maakt.

SAMM biedt een meetbaar raamwerk om je volwassenheidsniveau in te schatten en stap voor stap te verbeteren, perfect afgestemd op wat de CRA van jou verwacht als ontwikkelaar of producent.

16:15 4de Spreker & onderwerp volgt

De vierde sessie van de namiddag wordt binnenkort aangekondigd. Hou deze pagina in de gaten voor updates.

17:00 Afsluiting, netwerkreceptie & napraten

Afsluiting van het officiële programma met ruimte om verder te praten met de sprekers, vragen te stellen die je niet tijdens de sessies wou of kon stellen, en te connecteren met andere deelnemers die voor dezelfde uitdagingen staan.