Terwijl de Cloud and AI Development Act de krantenkoppen haalde, tikt er een tweede Europese klok — en die staat al op scherp. Vanaf 11 september 2026 gelden de meldplichten uit Artikel 14 van de Cyber Resilience Act (CRA). Anders dan CADA, dat nog een voorstel is, is de CRA reeds aangenomen recht. Deze deadline is hard.
Wat de meldplicht inhoudt
Zodra een organisatie kennisneemt van een actief misbruikte kwetsbaarheid of een ernstig beveiligingsincident, geldt een getrapte termijn: een vroegtijdige waarschuwing binnen 24 uur, een volledige melding binnen 72 uur, en een eindrapport binnen 14 dagen nadat een corrigerende maatregel beschikbaar is. De meldingen lopen via het Single Reporting Platform dat door het EU-agentschap voor cyberbeveiliging (ENISA) wordt beheerd.
Samen met NIS2: een 24-uurs mandaat
De CRA staat niet op zichzelf. Voor essentiële en belangrijke entiteiten — zorg, energie, overheid, kritieke infrastructuur — geldt onder NIS2 al een vroegtijdige-waarschuwingsplicht binnen 24 uur. Samen vormen ze wat in de praktijk een 24-uurs cyber-mandaat heet: gereguleerde organisaties moeten op zeer korte termijn weten wát ze draaien, welke componenten misbruikbaar zijn, en dat melden.
Je kunt alleen melden wat je kunt zien
De kern van de uitdaging is zichtbaarheid. De meeste organisaties kennen hun softwarelijst, maar niet de afhankelijkheden die diep in die software begraven liggen — de kwetsbare bibliotheek binnenin een applicatie, het type Log4Shell dat standaard inventarisaties missen. Zonder een actuele Software Bill of Materials (SBOM) en zicht op welke kwetsbaarheden daadwerkelijk worden misbruikt, is een melding binnen 24 uur eerder een hoop dan een proces.
“Soevereiniteit gaat niet alleen over wáár je data staat, maar ook over of je je keten kunt verantwoorden — aantoonbaar, en op tijd.”
De soevereine invalshoek
Voor Sovereign AI-Grid sluit dit naadloos aan op het bredere verhaal: Europese, onafhankelijke en aantoonbaar beheersbare infrastructuur. Waar CADA de compute-kant van soevereiniteit van een meetlat voorziet, geeft de CRA de cyber-kant een harde, getoetste deadline. Voor gereguleerde sectoren is dat geen "nice to have", maar de toegangsdrempel — en het werk begint nu, niet in september.
De CRA is vastgelegd in Verordening (EU) 2024/2847; de meldplichten gelden voor producten met digitale elementen die op de Europese markt beschikbaar zijn. De volledige tekst en de uitleg staan op Shaping Europe's digital future.
Compliance-by-design voor gereguleerde sectoren
Bekijk hoe Sovereign AI-Grid de zorg en andere kritieke sectoren helpt soevereiniteit én aantoonbaarheid te combineren.
Oplossingen voor zorg & welzijn →