Dit moet u weten over de nieuwe Cyber Resilience Act

De nieuwe regelgeving, die op 10 december 2024 in werking is getreden, moet de veiligheid van digitale producten waarborgen en verbeteren.

We hebben in ons dagelijks leven allemaal volop te maken met digitale toepassingen. De meesten van ons worden wakker door de wekker op onze telefoon en eenmaal op werk aangekomen, of dat nu buiten of achter een bureau is, maken we wederom gebruik van allerlei verschillende apparaten. Maar hoe veilig zijn al deze apparaten die met het internet verbonden zijn nu eigenlijk? 

Als we deze vraag aan de Europese Commissie zouden stellen, dan zouden ze waarschijnlijk zeggen dat veel digitale producten absoluut niet veilig genoeg zijn. En dat is dan ook precies de reden dat de Cyber Resilience Act (CRA) sinds vorige week in het leven is geroepen. 

Wat houdt het precies in?

De bedenkers van deze nieuwe wetgeving maken zich zorgen. Zorgen om ons, om precies te zijn. Zij zijn namelijk van mening dat we niet doorhebben welke veiligheidsrisico’s onze digitale apparaten met zich meebrengen. 

Het doel van de Cyber Resilience Act is dan ook om ons te beschermen. Het zal er namelijk voor gaan zorgen dat er beter toezicht komt op producten met een digitaal component. Daarnaast zullen de fabrikanten van deze producten zich nog beter moeten gaan verantwoorden. 

Dit is wat u concreet moet weten over de nieuwe wetgeving

•  Cybersecurity. De CRA zal fabrikanten gaan aanspreken op gebreken in de cyberveiligheid van hun producten. Vanaf heden zullen ontwikkelaars hun producten en software vaker moeten updaten, zodat ze de digitale veiligheid van hun gebruikers zo veel mogelijk blijven waarborgen. 
• Ondersteuning. De CRA stelt dat kopers van deze producten en software vaak niet goed kunnen vaststellen hoe veilig ze daadwerkelijk zijn. De nieuwe vereisten waaraan fabrikanten gehouden zullen worden, zullen ervoor zorgen dat kopers eenvoudiger kunnen inzien welke software- en hardwareproducten voorzien zijn van de juiste cybersecurity-maatregelen. 
• Inzicht in het proces. Fabrikanten moeten duidelijk laten zien welke stappen zij hebben gezet om aan de cybersecurity-vereisten te kunnen voldoen. Dit geldt overigens voor alle fasen van het product: van de planning en het ontwerp, tot aan de ontwikkeling en het onderhoud. Ze moeten zich dus gedurende de gehele levenscyclus van het product kunnen verantwoorden. 
• Transparantie. Tot slot zal de CRA fabrikanten gaan verplichten om de juiste instanties te informeren bij incidenten of kwetsbaarheden in hun producten. Deze transparantie zal ervoor moeten zorgen dat deze zo snel mogelijk weer kunnen worden verholpen. 

Over welke producten gaat het precies?

De nieuwe wetgeving zal toegepast gaan worden op alle producten die direct of indirect zijn verbonden met een ander apparaat, of een netwerk. Niet ieder product zal hier overigens onder vallen; apparatuur in de zorg moet al sinds langere tijd aan strenge regelgeving voldoen. Ontwikkelaars van deze soft- en hardware hoeven zich hier dus niet voor te verantwoorden. Daarnaast zal open-source software ook niet aan de nieuwe regelgeving hoeven voldoen. 

Een duidelijke standaard

Wanneer de producten aantoonbaar aan de nieuwe regels voldoen, worden ze voorzien van een keurmerk. Kopers kunnen hierdoor zien dat ze voldaan hebben aan de reglementen van de CRA. 

Met het in leven roepen van de Cyber Resilience Act hoopt men een eerlijkere toekomst tegemoet te gaan. Fabrikanten worden verantwoordelijk gehouden voor het waarborgen van de digitale veiligheid van hun producten, zodat kopers met een gerust hart gebruik kunnen maken van hun hard- en software. 

De agenda

Hoewel de regelgeving dit jaar al in is gegaan, hoeven fabrikanten en ontwikkelaars ‘pas’ vanaf 11 december 2027 aan alle eisen te voldoen. Vanzelfsprekend krijgt men namelijk de tijd om zich voor te bereiden, 18 maanden om precies te zijn. In deze tijd zal men werken aan de ontwikkeling van bepaalde standaarden, zodat iedereen precies weet waaraan ze zich moeten houden. Men hoopt dat deze in december 2026 concreet op papier kunnen staan.

Tot slot zijn fabrikanten met ingang van september 2026 wel al verplicht om de eerder genoemde incidenten en kwetsbaarheden te melden. 

Bronnen

European Commission: ‘Cyber Resilience Act’ - 10 december 2024

RDI: ‘Europese Commissie publiceert Cyber Resilience Act (CRA) voor veilige digitale producten’ - 20 november 2024