In de steeds digitale wordende wereld neemt het belang van Cyber Security dagelijks toe. Om hierop in te spelen, heeft de Europese Commissie de Cyber Resilience Act (CRA) voorgesteld. Deze wetgeving is bedoeld om de beveiliging van digitale producten en diensten in de Europese Unie (EU) te versterken. Digitale hardware- en softwareproducten vormen één van de belangrijkste wegen voor succesvolle cyberaanvallen. In een verbonden omgeving kan een cyberbeveiligingsincident in één product grote gevolgen hebben voor een hele organisatie of zelfs een hele toeleveringsketen. In dit blog bespreken we wat de Cyber Resilience Act inhoudt, wie ermee te maken krijgt, welke eisen worden gesteld, de impact voor organisaties en wanneer deze wet in werking treedt.
De Cyber Resilience Act (CRA) is een wettelijk kader gericht op het verbeteren van de digitale veiligheid van producten en diensten die verbonden zijn met het internet. Denk hierbij aan allerlei soorten hardware en software, zoals smartphones, slimme apparaten, routers, printers, camera’s en applicaties. Het doel? Het algemene niveau van Cyber Security van digitale producten en diensten in de EU verhogen. De CRA moet bijdragen aan het tegengaan van de snelgroeiende dreiging van cyberaanvallen en het vertrouwen van consumenten in digitale technologieën vergroten. De wet moet voorkomen dat onveilige producten of producten met beveiligingsupdates op de Europese markt komen.
De CRA is van toepassing op de fabrikanten, importeurs en distributeurs van producten op de Europese markt die in verbinding staan met andere apparaten of een netwerk (digitale producten). Dit geldt zowel voor software, hardware als componenten, die direct of indirect op een apparaat of netwerk zijn aangesloten. Met uitzondering van specifieke uitsluitingen, zoals niet-commerciële opensourcesoftware of diensten die reeds onder de bestaande regels vallen (bijvoorbeeld medische hulpmiddelen, luchtvaart en auto’s).
Ook als jouw organisatie zelf geen producten produceert, maar bijvoorbeeld software integreert of distributeur is van digitale producten, ben je verplicht om te voldoen aan de eisen van de CRA. Bovendien geldt de wet voor alle bedrijven die actief zijn op de Europese markt, ongeacht of ze binnen of buiten de EU gevestigd zijn.
De CRA stelt eisen aan de digitale producten voordat deze op markt gebracht worden. Daarbij worden de meeste eisen gesteld aan de fabrikanten. Zij moeten aan diverse cyberbeveiligingseisen voldoen, zoals:
Importeurs moeten er onder andere op toezien dat fabrikanten hun verplichtingen zijn nagekomen, bijvoorbeeld dat zij de conformiteitsbeoordeling correct hebben uitgevoerd en de EU-conformiteitsverklaring is opgesteld. Een conformiteitsbeoordeling is een proces waarin de fabrikant aantoont dat een product voldoet aan de gestelde veiligheidseisen in de CRA. Na afronding van deze conformiteitsbeoordeling moet de fabrikant een EU-conformiteitsverklaring opstellen. Dit is een document waarin de fabrikant verklaart dat het product voldoet aan de relevante wetgeving, waaronder de eisen van de Cyber Resilience Act.
Distributeurs zijn verplicht ervoor te zorgen dat het product is voorzien van de juiste CE-markering. Deze marketing geeft aan dat het product voldoet aan de wettelijke veiligheids- en gezondheidsvereisten van de EU. Voor de CRA betekent dit dat de fabrikant en distributeur hebben aangetoond dat het product veilig is vanuit een cyberbeveiligingsperspectief. Ook controleren de distributeurs of de fabrikant aan bepaalde verplichtingen heeft voldaan, zoals het product voorzien van identificatie-elementen die het product traceerbaar maken. Daarnaast moet het product voorzien zijn van duidelijke gebruiks- en veiligheidsinstructies.
De Cyber Resilience Act zal aanzienlijke impact hebben op een groot aantal bedrijven, vooral binnen de technologie- en IT-sector. Hier zijn enkele belangrijke aandachtspunten:
De Europese Commissie heeft de CRA in september 2022 voorgesteld. Op 12 maart 2024 heeft het Europees Parlement gestemd. Naar verwachting gaat de CRA nu de laatste wetgevende fase in. Het wetsvoorstel moet formeel worden aangenomen door de Raad. Inwerkingtreding gebeurt 20 dagen na publicatie in het publicatieblad van de EU. Vervolgens hebben fabrikanten, importeurs en distributeurs 36 maanden de tijd om aan de wetgeving te voldoen. Naar verwachting moet vanaf 2027 worden voldaan aan de uitgebreide eisen uit de CRA.
De Cyber Resilience Act (CRA) is belangrijke wetgeving die de Cyber Security van digitale producten op de Europese markt aanzienlijk zal verbeteren. Het stelt strengere eisen aan fabrikanten, importeurs en distributeurs en dwingt organisaties om beveiliging vanaf het ontwerp tot en met het einde van de levensduur van een product centraal te stellen. Hoewel de naleving van deze wet bedrijven voor uitdagingen stelt, biedt het ook kansen om vertrouwen en veiligheid te versterken. Voor organisaties is het cruciaal om zich tijdig voor te bereiden en hun processen aan te passen om te voldoen aan de eisen van de Cyber Resilience Act.
Heeft jouw organisatie hulp nodig bij het voldoen aan de Cyber Resilience Act? Onze ervaren Information- en Cyber Security Consultants staan voor je klaar. Neem vrijblijvend contact op voor de mogelijkheden.
Reduce Risk, Create Value!