Vanaf 10 december 2024 is de Cyber Resilience Act, CRA, officieel in werking getreden. Deze wet is gericht op fabrikanten, distributeurs en importeurs van hardware en software die vanaf 11 december 2027 in de EU op de markt worden gebracht. De CRA verplicht hen om digitale producten aan essentiele veiligheidseisen te laten voldoen. Ook moeten ze veiligheidsupdates aanbieden zodat producten veilig blijven. Zo kunnen consumenten en bedrijven erop rekenen dat producten die ze in de EU hebben gekocht digitaal veilig zijn.

Wat is de Cyber Resilience Act en welke eisen worden er gesteld?

De belangrijkste eisen uit de CRA worden gesteld aan de producten die op de markt worden gebracht. Maar er worden ook eisen gesteld aan de processen die fabrikanten ingericht hebben om hun producten te ontwikkelen, ontwerpen, fabriceren en te onderhouden.

Om veiligheidsproblemen te voorkomen, moet de fabrikant van een product vaststellen met welke functionaliteit en bedoelde werking het product ontwikkeld wordt. De fabrikant voert een risicoanalyse uit, die de basis moet vormen voor het veilig ontwerpen van het product. Het is van belang dat hierbij alle kwetsbaarheden en reele risico s worden weggenomen. Bij serieuze incidenten of actief uitgebuite kwetsbaarheden wordt de fabrikant vanaf 11 september 2026 verplicht om melding te maken bij de nationale CSIRT, in Nederland het NCSC, en de getroffen gebruikers te informeren en adviseren. Ook vereist de wet dat de fabrikant een proces inricht om te reageren op kwetsbaarheden en om deze direct te kunnen adresseren, bijvoorbeeld door een beveiligingsupdate te verstrekken. Deze verplichtingen gelden voor de gehele verwachte gebruiksduur van het product, maar minimaal voor een periode van vijf jaar.

Lees op de website van RDI welke soorten producten aan de CRA moeten voldoen.

Deze versturen we 3-4x per jaar.