Op 10 december 2024 is de Cyber Resilience Act (CRA) officieel van kracht geworden. Deze Europese wet introduceert strengere regels voor fabrikanten, importeurs en distributeurs van hardware en software die vanaf 11 december 2027 in de EU worden verkocht. De CRA stelt dat digitale producten moeten voldoen aan essentiële veiligheidseisen en dat fabrikanten verantwoordelijk zijn voor het aanbieden van veiligheidsupdates gedurende de gebruiksduur van hun producten. Dit biedt consumenten en bedrijven meer zekerheid over de digitale veiligheid van hun aankopen.
Cyber Resilience Act
De CRA legt verplichtingen op aan zowel producten als aan de processen rondom ontwerp, productie en onderhoud. Fabrikanten moeten een risicoanalyse uitvoeren om kwetsbaarheden en risico’s te identificeren en aan te pakken. Dit vormt de basis voor een veilig ontwerp. Daarnaast zijn fabrikanten vanaf september 2026 verplicht om ernstige incidenten of kwetsbaarheden te melden bij een nationale instantie, zoals het NCSC in Nederland, en gebruikers hierover te informeren.
Fabrikanten moeten ook systemen implementeren om snel op kwetsbaarheden te kunnen reageren, bijvoorbeeld met beveiligingsupdates. Deze eisen gelden minimaal vijf jaar of de volledige gebruiksduur van het product.
Belangrijke tijdslijn
Hoewel de CRA nu van kracht is, krijgen bedrijven tijd om te voldoen aan de eisen. Belangrijke mijlpalen zijn:
Augustus 2025: Apparaten met draadloze connectiviteit, zoals laptops en slimme deurbellen, moeten voldoen aan cybersecurityeisen onder de Radio Equipment Directive (RED).
September 2026: Introductie van een meldplicht voor ernstige kwetsbaarheden.
December 2027: Volledige naleving van de CRA, inclusief eisen voor stand-alone software.
Advies
Bedrijven kunnen alvast de essentiële vereisten van de CRA raadplegen. Afnemers kunnen letten op CE-markeringen, die vanaf augustus 2025 ook cybersecurity garanderen. Tot december 2027 blijft het verstandig om aanvullende afspraken te maken met softwareleveranciers. Voor meer informatie of om mee te denken over standaardisatie, kun je contact opnemen met het Digital Trust Center.