AI Act · CRA · DORA - Compliance as Code

Drie EU-verordeningen. Tientallen artikelen. Bewijs dat u ze naleeft.

AI Act-assessments per artikel, realtime DORA-incidentdetectie, geautomatiseerde CRA-kwetsbaarheidsrapportage en documentatie van naleving — aangedreven door een compliance-engine die EU-regelgeving als code uitvoert.

Automate. Verify. Certify.

Vraag een Demo

3 Verordeningen. Eén platform.

Voor juristen, Enterprise AI & overheden.

AI Act

Pro-level detectie van Shadow AI en geautomatiseerde transparantie-rapportages. De Guardian identificeert ongeautoriseerde modellen en mapt gebruik direct aan Artikel 52-eisen.

Voor hardware-fabrikanten.

CRA

State-of-the-art binaire analyse voor hardware-fabrikanten. Genereert automatisch de Software Bill of Materials (SBOM) en het Technical Compliance File (TCF) vereist voor EU-markttoegang (Annex I).

Voor financiële instellingen & kritieke infrastructuur.

DORA

Continue monitoring van de supply chain integriteit. De Sentinel transformeert hoe organisaties proactief reageren op kwetsbaarheden en voldoen aan de dwingende meldingsplicht.

Deadline: 11 december 2027 · Reg. 2024/1624

Cyber Resilience Act

Hoeveel CVE's zitten er in uw Yocto-build?

De CRA eist een volledige Software Bill of Materials (SBOM) en een Technical Compliance File (TCF) voor elk product met digitale elementen op de EU-markt. Niet als papieren oefening — als juridisch afdwingbaar technisch dossier.

Binaire SBOM-scan.: LEONA analyseert uw gecompileerde firmware — niet alleen de manifest-bestanden. Elke dependency, elk kernel-flag, elke open-source component wordt geïdentificeerd en aan Annex I gemapt.
TCF automatisch gegenereerd.: Het Technical Compliance File — inclusief kwetsbaarheidsrapportage, exploitabilityanalyse en verplichte disclosure-procedures — wordt automatisch aangemaakt. Klaar voor notified body.
Continue CVE-monitoring.: Na release blijft LEONA de CVE-databases afzoeken voor uw productversies. Bij een kritieke kwetsbaarheid wordt automatisch een meldingsdossier aangemaakt conform Artikel 14 CRA.

Sanctie bij non-conformiteit · Art. 64 CRA

Tot €15.000.000 of 2,5% van de wereldwijde jaaromzet — plus verplicht markttoegangsverbod voor het product in de EU.

CRA Snapshot starten Lees de CRA-checklist

CRA Scan resultaat Firmware v3.2.1 · 847 binaries geanalyseerd

openssl 1.1.1t

3 CVE's Annex I §1(b)

curl 7.88.0

1 CVE Annex I §1(c)

busybox 1.36.1

Conform Annex I §2

linux-kernel 6.1.55

Review Art. 13 §3

TCF gegenereerd

leona_cra_tcf_v3.2.1.pdf · 47 pagina's · Klaar voor notified body

LEONA · Advocatenlane Dossier: Kantoor De Wulf — AI Act Scan

OVB-richtlijn 20 jan 2025 · Art. 26 AI Act

U bent deployer. U draagt persoonlijke verantwoordelijkheid voor de AI-output in uw dossiers.

AI-tools gedetecteerd in uw kantoor

Casetext Cocounsel Niet gedeclareerd

ChatGPT via kantoor-API Geen Art. 13-info

Kleos AI (dossierbeheer) Review vereist

Rechtbank.be zoekfunctie Minimaal risico ✓

Verplichte acties vóór 2 aug 2026

Art. 26(6): Cliënten informeren over AI-gebruik

Art. 26(5): Human oversight procedure documenteren

OVB: Basiskennis AI aantoonbaar maken

Bewijspakket gegenereerd

leona_aiact_kantoor_dossier.pdf · Art. 26-verklaring · OVB-conform · PDF export

Deadline: 2 augustus 2026 · Reg. 2024/1689 + OVB-richtlijn jan 2025

EU AI Act · Advocatenkantoren

U gebruikt Claude, Copilot of ChatGPT. U bent al deployer.

Elk AI-systeem dat u inzet in uw praktijk — contractanalyse, juridisch onderzoek, dossiersamenvatting — maakt u tot deployer onder Art. 26 AI Act. Dat betekent: persoonlijke verantwoordelijkheid voor de output, informatieplicht tegenover uw cliënten, en een aantoonbaar human oversight-beleid. De OVB verwacht van u dat u dit al weet.

Shadow AI scan van uw kantoor.: LEONA detecteert welke AI-tools uw medewerkers gebruiken — ook de niet-goedgekeurde. Elke niet-gedeclareerde tool is een Art. 26-overtreding. U krijgt een overzicht per tool met risicocategorie, informatieplicht en vereiste actie.
Art. 26-verklaring per cliëntdossier.: LEONA genereert voor elk dossier een gedagtekende Art. 26(6)-verklaring: welke AI-systemen zijn gebruikt, met welk doel, welke human oversight is toegepast, en hoe de output is geverifieerd. Exporteerbaar als PDF en voegbaar bij uw dossier.
OVB-conform bewijspakket.: De OVB-richtlijnen van januari 2025 vereisen dat u aantoonbaar verantwoordelijk blijft voor AI-output. LEONA levert het bewijs: basiskennis-verificatie, oversight-logboek en cliëntinformatie — per kantoor, per advocaat, per dossier.

Persoonlijke aansprakelijkheid · Art. 99 AI Act + OVB-tuchtrecht

Als deployer riskeren advocatenkantoren tot 3% jaaromzet. Boven op de AI Act-sanctie kan de OVB optreden wegens schending van de zorgplicht. Beide tegelijk zijn mogelijk.

Vraag een demo OVB-richtlijnen bekijken

Van kracht: 17 januari 2025 (nu afdwingbaar) · Reg. 2022/2554

DORA

U levert software aan een bank. U bent al in scope.

DORA is van kracht sinds 17 januari 2025. Als u ICT-diensten levert aan een financiële entiteit — ook als subcontractor — vallen u en uw klant onder de meldingsplicht, de contractuele vereisten en de toezichtregimes van Art. 28–44. Niet over twee jaar. Nu.

ICT-incidentdetectie en -melding (Art. 19).: DORA vereist melding van ernstige ICT-incidenten binnen 4 uur na eerste detectie. LEONA monitort continu uw systemen en prepareert het meldingsdossier automatisch — inclusief impactclassificatie conform ITS van DORA.
Derde-partij risicobeheer (Art. 28).: LEONA inventariseert automatisch alle ICT-leveranciers in uw keten, classificeert ze als kritiek of niet-kritiek, en genereert de contractuele clausulelijst die financiële entiteiten verplicht moeten opnemen conform Bijlage II.
TLPT-voorbereiding (Art. 26).: Threat-Led Penetration Testing is verplicht voor kritieke ICT-providers. LEONA levert het technische dossier dat toezichthouders (ECB, NBB) vereisen vóór een TLPT-procedure — inclusief scoping, threat intelligence en controlefuncties.

Sanctie bij overtredingen · Art. 50 DORA

Bevoegde autoriteiten kunnen boetes opleggen van 1% van de gemiddelde dagelijkse wereldwijde omzet per dag overtreding, voor maximaal 6 maanden. Kritieke ICT-aanbieders vallen onder direct ECB-toezicht.

DORA Scope-check starten DORA vereisten bekijken

DORA Incidentdetectie Live — 13 apr 2025 · 09:47 CET

⚠ Ernstig ICT-incident 09:47:03

API-gateway niet bereikbaar — 3 financiële klanten geraakt

Meldingsdeadline: 13:47 CET (4u-venster)

Automatisch meldingsdossier

Incidentclassificatie (ITS Art. 4)

Impactanalyse — 3 financiële entiteiten

Root cause — in onderzoek

Herstelmaatregel — wacht op ops-team

Klaar voor NCA-melding

dora_incident_20250413_0947.xml · XBRL-formaat · ECB Direct Upload

Veelgestelde vragen

Complexe wetgeving, heldere antwoorden. De 20 meest gestelde vragen door CTO's en compliance-teams.

: U heeft gelijk dat het certificaat op zichzelf geen wettelijke erkenning heeft. Wat het certificaat wél doet: het bundelt hash-geverifieerd, tijdgestempeld bewijs per artikel in één document. Toezichthouders vragen geen certificaat — ze vragen bewijs van naleving. Leona genereert dat bewijs. Het certificaat is de verpakking. Het bewijs is het product.

Eerlijk: Leona vervangt geen notified body voor Class I en Class II producten onder de CRA of Annex VII-conformiteitsbeoordeling onder de AI Act. Daarvoor blijft u een aangemelde instantie nodig.
: Een SBOM-tool genereert een bestandslijst. CRA Art. 14 vereist dat u bij een actief misbruikte kwetsbaarheid binnen 24 uur uw CSIRT informeert — niet dat u een bestand heeft. Leona koppelt uw SBOM aan de CVE-database, detecteert wanneer een component actief wordt misbruikt, start de meldingstimer en bewaakt de drie wettelijke deadlines (24u, 72u, 14 dagen). Uw huidige tool stopt bij de SBOM. De CRA begint daar pas.
: De OVB-richtlijnen van 20 januari 2025 vereisen dat u als advocaat basiskennis heeft van AI-systemen die u inzet of waarover u adviseert, en dat u persoonlijk verantwoordelijk blijft voor alle output. Ze vereisen niet dat u een specifiek platform gebruikt. Leona helpt u voldoen aan die verantwoordelijkheid door geverifieerd, artikel-gekoppeld bewijs te genereren per cliëntdossier.

Eerlijk: Leona is niet officieel erkend door de OVB en stelt zich ook niet voor als erkende juridische dienstverlener.
: Elke controle in Leona is direct herleidbaar tot een specifiek artikel of annex in de officiële verordeningstekst. De policy-bestanden zijn open en leesbaar — u ziet precies welke vereiste wordt getest, op basis van welk artikel, en wat als bewijs wordt verzameld. Er is geen black box. U kunt elke controle valideren tegen de EUR-Lex-tekst.
: Leona werkt met versiebeheerde policy-packs per verordening. Wanneer gedelegeerde verordeningen, RTS-en of ITS-en worden gepubliceerd — zoals de DORA RTS over incidentclassificatie of de CRA delegated act over CSIRT-notificatie — worden de betrokken controles bijgewerkt. U ontvangt een notificatie en ziet welke controles zijn gewijzigd en waarom.

Eerlijk: er zit altijd een implementatietijd tussen publicatie van nieuwe technische standaarden en de update in Leona. Voor kritieke wijzigingen communiceren we de verwachte doorlooptijd proactief.
: Leona integreert via een CLI-tool en webhook. Zolang uw build een SBOM kan exporteren in SPDX of CycloneDX formaat — wat de CRA Annex I vereist — kan Leona ermee werken. De integratie is pipeline-agnostisch: GitHub Actions, GitLab CI, Jenkins, Bitbucket Pipelines. Geen Yocto vereist.
: Nee. Voor hoog-risico AI-systemen die onder Annex VII vallen is een conformiteitsbeoordeling door een aangemelde instantie wettelijk verplicht — dat kan Leona niet vervangen. Wat Leona wél doet: alle documentatie, bewijzen en controles voorbereiden zodat die beoordeling sneller en goedkoper verloopt. Denk aan de Art. 16 QMS-documentatie, Art. 13 technische documentatie en Art. 72 monitoringplan — allemaal gegenereerd en verifieerbaar voordat de notified body begint.
: Leona begint met een scope-assessment: gerichte vragen die bepalen of uw product of cliënt in scope valt. Voor de CRA: heeft het product een directe of indirecte netwerkverbinding? Voor de AI Act: valt het systeem onder Annex III? Voor DORA: levert u ICT-diensten aan een financiële entiteit zoals gedefinieerd in Art. 2 DORA? Op basis van de antwoorden genereert Leona een gemotiveerde scope-bepaling die u kunt documenteren en voorleggen.
: De CRA maakt geen uitzondering voor kleine bedrijven — elk product met een netwerkverbinding dat op de EU-markt wordt gebracht valt in scope, ongeacht de grootte van de fabrikant. Kleine ondernemingen hebben zelfs meer baat bij automatisering: ze hebben geen compliance-afdeling die handmatig SBOM's bijhoudt en CVE's monitort. Leona doet dat automatisch voor €1.800 per jaar — minder dan één dag externe consultant.
: Elk stuk bewijs in Leona is hash-geverifieerd en tijdgestempeld — u kunt aantonen dat het bewijs op een specifiek moment bestond en niet achteraf is aangemaakt of gewijzigd. Alle bronnen zijn herleidbaar tot echte systeemdata, niet tot handmatige invoer.

Eerlijk: geen enkel platform kan garanderen dat een rechter of toezichthouder het bewijs voldoende acht. Leona maakt uw bewijs zo sterk mogelijk, maar vervangt geen juridische beoordeling.
: Leona verwerkt metadata van uw SBOM — componentnamen, versies, CVE-referenties — niet uw broncode. Alle data wordt opgeslagen binnen uw tenant met strikte isolatie. De CRA stelt in Recital 37 dat fabrikanten niet verplicht zijn hun SBOM openbaar te maken — Leona publiceert uw SBOM nooit zonder uw expliciete toestemming.
: Het is te laat om te zeggen dat u er nog niet mee begonnen bent — maar niet te laat om te beginnen. Toezichthouders kijken bij hun eerste inspecties primair naar of u een kader heeft en of u aantoonbaar bezig bent. Leona helpt u in dagen een Art. 5 ICT-risicobeheerkader en een Art. 28 ICT-derdenaanbiederregister opzetten. Elke dag zonder documentatie is een extra risico als een incident plaatsvindt.
: Open-source componenten die u integreert in een commercieel product vallen volledig onder uw verantwoordelijkheid als fabrikant. Art. 13(5) verplicht u due diligence uit te voeren op alle geïntegreerde componenten, inclusief open-source. "We haalden het van GitHub" is geen verweer. Leona identificeert alle open-source componenten in uw SBOM en koppelt ze aan bekende CVE's.
: Art. 6(4) van de AI Act verplicht aanbieders die menen dat hun systeem niet hoog-risico is, dit te documenteren vóór het op de markt brengen. Leona genereert die gedocumenteerde motivering — inclusief de redenering per criterium uit Annex III. Als een toezichthouder de classificatie betwist, heeft u een traceerbare, tijdgestempelde motivering beschikbaar. Dat is fundamenteel anders dan geen documentatie hebben.
: Voor een standaard CI/CD-integratie met SBOM-export: minder dan één werkdag. U voegt de Leona CLI-stap toe aan uw pipeline, configureert uw framework in het policy-bestand, en de eerste compliance-run draait automatisch bij de volgende build. Het eerste certificaat is beschikbaar zodra alle controles slagen.

Eerlijk: complexere setups met meerdere productlijnen of custom bouwsystemen kunnen langer duren. We begeleiden u daarin.
: Elk cliëntdossier is een afzonderlijke, geïsoleerde tenant in Leona. Data van cliënt A is nooit zichtbaar voor cliënt B. Dit is relevant voor uw beroepsgeheim als advocaat: Leona is ontworpen met strikte datascheiding per dossier.
: Leona is een compliance-tool, geen verzekeringsproduct. Een geslaagde controle betekent dat het getest bewijs op dat moment voldeed aan de gecodeerde vereiste.

Eerlijk: geen enkel platform kan een boete uitsluiten. Wat Leona doet: uw verdedigingspositie zo sterk mogelijk maken met aantoonbaar, tijdgestempeld, artikel-gekoppeld bewijs.
: ISO 27001 is een vrijwillige standaard. DORA is een bindende EU-verordening met directe werking. ISO 27001 dekt geen Art. 28 ICT-derdenaanbiederregister met verplichte Art. 30-contractuele elementen, geen Art. 17 incidentclassificatie volgens de DORA-criteria, en geen rapportage aan de specifieke bevoegde autoriteit. Er is overlap in risicobeheer, maar DORA voegt specifieke wettelijke verplichtingen toe die ISO 27001 niet dekt.
: De advocatenlane van Leona is volledig browsergebaseerd — geen CLI, geen pipeline, geen code. U maakt een cliëntdossier aan, beantwoordt een reeks juridische vragen over het AI-systeem of product van uw cliënt, en Leona genereert het bewijspakket. Het juridisch bewijspakket — met Art. 6-motivering, Art. 26-verificatie en Art. 28-register — is exporteerbaar als PDF en direct bruikbaar in uw advies.
: Elk framework is een losse module — u betaalt alleen voor wat op u van toepassing is. Een Linux embedded fabrikant koopt CRA. Als zijn product ook AI bevat, voegt hij de AI Act-module toe. Een advocatenkantoor koopt de AI Act-module en voegt DORA toe voor fintech cliënten. Combinatiekorting: twee frameworks €3.000/jaar, alle drie €3.600/jaar. U schakelt bij — geen retroactieve instapkosten.