Europese Commissie publiceert Cyber Resilience Act (CRA)

De Europese Commissie heeft woensdag de Cyber Resilience Act (verordening 2024/2847) gepubliceerd, die op 11 december 2024 in werking treedt. Deze wet gaat ervoor zorgen dat we nog beter toezicht kunnen houden op digitale producten (*). 

De CRA stelt namelijk wettelijke eisen aan producten met digitale elementen en de fabrikanten daarvan, om zo de veiligheid te waarborgen. Het gaat hierbij niet alleen om fysieke, digitale apparaten, maar ook om software en apps. Fabrikanten moeten hun producten op een veilige manier ontwerpen en bouwen. En zij moeten gedurende de economische levensduur de producten ondersteunen met veiligheidsupdates en kwetsbaarheidsmanagementsystemen. Daarnaast verplicht de CRA de fabrikanten en ook nationale cybersecurity coördinatoren zoals het NCSC, om actief te informeren bij incidenten of uitbuitbare kwetsbaarheden. De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen.

• De eerste 18 maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden.
• Op 11 september 2026 gaat de meldplicht voor actief misbruikte kwetsbaarheden en incidenten in.
• De streefdatum voor de beschikbaarheid van standaarden en notified bodies is 11 december 2026, zodat producten alvast op conformiteit beoordeeld kunnen worden
• Op 11 december 2027 gaan alle eisen in en moeten de producten, de software en de apps voldoen aan de CRA.

(bron: RDI)

(*) Scope: "By laying down cybersecurity requirements for placing on the market products with digital elements, it is intended that the cybersecurity of those products for consumers and businesses alike be enhanced" - M.a.w. de CRA geldt dus ook voor zakelijke producten.