Sinds dinsdag is de Cyber Resilience Act (CRA) officieel in werking getreden. Deze wet is gericht op fabrikanten, distributeurs en importeurs van hardware en software die vanaf 11 december 2027 in de EU op de markt worden gebracht. De CRA verplicht hen om digitale producten aan essentiële veiligheidseisen te laten voldoen. Ook moeten ze veiligheidsupdates aanbieden zodat producten veilig blijven.
De belangrijkste eisen uit de CRA worden gesteld aan de producten die op de markt worden gebracht. Maar er worden ook eisen gesteld aan de processen die fabrikanten ingericht hebben om hun producten te ontwikkelen, ontwerpen, fabriceren en te onderhouden.
Om veiligheidsproblemen te voorkomen, moet de fabrikant van een product vaststellen met welke functionaliteit en bedoelde werking het product ontwikkeld wordt. De fabrikant voert een risicoanalyse uit, die de basis moet vormen voor het veilig ontwerpen van het product. Het is van belang dat hierbij alle kwetsbaarheden en reële risico’s worden weggenomen.
Bij serieuze incidenten of actief uitgebuite kwetsbaarheden wordt de fabrikant vanaf 11 september 2026 verplicht om melding te maken bij de nationale CSIRT (in Nederland het NCSC) en de getroffen gebruikers te informeren en adviseren. Ook vereist de wet dat de fabrikant een proces inricht om te reageren op kwetsbaarheden en om deze direct te kunnen adresseren, bijvoorbeeld door een beveiligingsupdate te verstrekken. Deze verplichtingen gelden voor de gehele verwachte gebruiksduur van het product, maar minimaal voor een periode van vijf jaar.
De voorbereidingen op de CRA waren al in volle gang en met de inwerkingtreding zijn nu de officiële richtlijnen en tijdschema’s vastgesteld. Europese lidstaten kunnen nu toezichthouders aanstellen, en de Europese Commissie zal beginnen met het formuleren van implementatiewetgeving en het laten opstellen van noodzakelijke standaarden en eisen.
Hoewel de CRA vandaag van start gaat, betekent dit dus niet dat fabrikanten onmiddellijk aan alle eisen moeten voldoen. In september 2026 zal een belangrijke mijlpaal bereikt worden met de introductie van een meldplicht, gevolgd door volledige naleving van de CRA in december 2027.
Voor draadloos verbonden apparatuur (zoals laptops, slimme deurbellen, etc.) geldt overigens al vanaf augustus 2025 dat deze aan cybersecurityeisen moeten voldoen op grond van de Radio Equipment Directive.
Afnemers kunnen al letten op de CE-markering: vanaf augustus 2025 betekent de CE-markering dat het product niet alleen aan de fysieke veiligheidseisen van de EU voldoet maar ook aan de veiligheidseisen.
emerce
11-12-2024 06:15