Vanaf vandaag, 10 december 2024 is de Cyber Resilience Act (CRA) officieel in werking getreden. Deze wet is gericht op fabrikanten, distributeurs en importeurs van hardware en software die vanaf 11 december 2027 in de EU op de markt worden gebracht. De CRA verplicht hen om digitale producten aan essentiële veiligheidseisen te laten voldoen. Ook moeten ze veiligheidsupdates aanbieden zodat producten veilig blijven. Zo kunnen consumenten én bedrijven erop rekenen dat producten die ze in de EU hebben gekocht digitaal veilig zijn.
Wat is de Cyber Resilience Act en welke eisen worden er gesteld?
De belangrijkste eisen uit de CRA worden gesteld aan de producten die op de markt worden gebracht. Maar er worden ook eisen gesteld aan de processen die fabrikanten ingericht hebben om hun producten te ontwikkelen, ontwerpen, fabriceren en te onderhouden.
Om veiligheidsproblemen te voorkomen, moet de fabrikant van een product vaststellen met welke functionaliteit en bedoelde werking het product ontwikkeld wordt. De fabrikant voert een risicoanalyse uit, die de basis moet vormen voor het veilig ontwerpen van het product. Het is van belang dat hierbij alle kwetsbaarheden en reële risico’s worden weggenomen. Bij serieuze incidenten of actief uitgebuite kwetsbaarheden wordt de fabrikant vanaf 11 september 2026 verplicht om melding te maken bij de nationale CSIRT (in Nederland het NCSC) en de getroffen gebruikers te informeren en adviseren. Ook vereist de wet dat de fabrikant een proces inricht om te reageren op kwetsbaarheden en om deze direct te kunnen adresseren, bijvoorbeeld door een beveiligingsupdate te verstrekken. Deze verplichtingen gelden voor de gehele verwachte gebruiksduur van het product, maar minimaal voor een periode van vijf jaar.
Lees op de website van RDI welke soorten producten aan de CRA moeten voldoen.
Wat is de tijdslijn van de Cyber Resilience Act?
De voorbereidingen op de CRA waren al in volle gang en met de inwerkingtreding zijn nu de officiële richtlijnen en tijdschema's vastgesteld. Europese lidstaten kunnen nu toezichthouders aanstellen, en de Europese Commissie zal beginnen met het formuleren van implementatiewetgeving en het laten opstellen van noodzakelijke standaarden en eisen.
Hoewel de CRA vandaag van start gaat, betekent dit dus niet dat fabrikanten onmiddellijk aan alle eisen moeten voldoen. In september 2026 zal een belangrijke mijlpaal bereikt worden met de introductie van een meldplicht, gevolgd door volledige naleving van de CRA in december 2027.
- 10 december 2024: De Cyber Resilience Act treedt in werking. Bij de voorbereiding worden onder andere de geharmoniseerde standaarden ontwikkeld.
- 11 september 2026: De meldplicht voor actief misbruikte kwetsbaarheden en incidenten gaat in.
- 11 december 2027: Alle eisen gaan in en alle producten met digitale elementen moeten voldoen aan de CRA.
Voor draadloos verbonden apparatuur (zoals laptops, slimme deurbellen, etc.) geldt overigens al vanaf augustus 2025 dat deze aan cybersecurityeisen moeten voldoen op grond van de Radio Equipment Directive.
Wat kan je al doen?
De verplichtingen van de CRA richten zich op de fabrikanten, importeurs en distributeurs van digitale producten. Zij kunnen kennis nemen van de essentiële vereisten waar hun product aan moet voldoen na 2027 (bijlage 1 van de CRA).
Afnemers kunnen al letten op de CE-markering: vanaf augustus 2025 betekent de CE-markering dat het product niet alleen aan de fysieke veiligheidseisen van de EU voldoet maar ook aan de cybersecurityeisen in de RED. Vanaf december 2027 worden deze eisen verder uitgebreid naar de omvangrijkere eisen uit de CRA, die ook voor 'stand alone' software gaan gelden.
Totdat de producten met digitale elementen moeten voldoen aan de CRA, kunnen gebruikers en afnemers van software alvast nagaan welke essentiële eisen er in de CRA staan. Maak hierover tot december 2027 nog zélf contractuele afspraken met de softwareleverancier of fabrikant, tot de producten met digitale elementen moeten voldoen aan de CRA.
Wil je meedenken over de standaardisatie voor de CRA? Neem contact op met het Digital Trust Center.