Vanaf vandaag, 10 december 2024 is de Cyber Resilience Act (CRA) officieel in werking getreden. Deze wet is gericht op fabrikanten, distributeurs en importeurs van hardware en software die vanaf 11 december 2027 in de EU op de markt worden gebracht.

 

Doel van de CRA is om ervoor te zorgen dat digitale producten en diensten die op de EU-markt worden gebracht, voldoen aan minimale cybersecurity-eisen gedurende hun hele levenscyclus.

De CRA verplicht hen om digitale producten aan essentiële veiligheidseisen te laten voldoen. Ook moeten ze veiligheidsupdates aanbieden zodat producten veilig blijven. Zo kunnen consumenten en bedrijven erop rekenen dat producten die ze in de EU hebben gekocht digitaal veilig zijn.

De CRA stelt eisen aan de producten die aanbieders op de markt brengen, maar ook aan de processen die fabrikanten ingericht hebben om hun producten te ontwikkelen, ontwerpen, fabriceren en te onderhouden. Zo moet de leverancier onder meer risicoanalyses uitvoeren die de basis vormen voor een veilig ontwerp. Bij serieuze incidenten of actief uitgebuite kwetsbaarheden wordt de leverancier per 11 september 2026 verplicht om melding te maken bij de nationale CSIRT (in Nederland het Nationaal Cyber Security Centrum, NCSC) en de getroffen gebruikers te informeren en adviseren.

Met de inwerkingtreding van de CRA zijn nu tevens de officiële richtlijnen en tijdschema’s vastgesteld. De CRA is per 10 december ingegaan, maar fabrikanten hoeven niet onmiddellijk aan alle eisen moeten voldoen. In september 2026 zal een belangrijke mijlpaal bereikt worden met de introductie van een meldplicht, gevolgd door volledige naleving van de CRA in december 2027. (Digital Trust Center)

Technologie