Europese Commissie publiceert Cyber Resilience Act (CRA) voor veilige digitale producten

Vandaag heeft de Europese Commissie de Cyber Resilience Act (verordening 2024/2847)  gepubliceerd, die op 11 december 2024 in werking treedt. Deze wet gaat ervoor zorgen dat we nog beter toezicht kunnen houden op digitale producten. De CRA stelt namelijk wettelijke eisen aan producten met digitale elementen en de fabrikanten daarvan, om zo de veiligheid te waarborgen.

Het gaat hierbij niet alleen om fysieke, digitale apparaten, maar ook om software en apps. Fabrikanten moeten hun producten op een veilige manier ontwerpen en bouwen. En zij moeten gedurende de economische levensduur de producten ondersteunen met veiligheidsupdates en kwetsbaarheidsmanagementsystemen. Daarnaast verplicht de CRA de fabrikanten en ook nationale cybersecurity coördinatoren zoals het NCSC, om actief te informeren bij incidenten of uitbuitbare kwetsbaarheden. 

De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen.  

  • De eerste 18 maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden.
  • Op 11 september 2026 gaat de meldplicht voor actief misbruikte kwetsbaarheden en incidenten in. 
  • De streefdatum voor de beschikbaarheid van standaarden en notified bodies is 11 december 2026, zodat producten alvast op conformiteit beoordeeld kunnen worden 
  • Op 11 december 2027 gaan alle eisen in en moeten de producten, de software en de apps voldoen aan de CRA 

Bekijk meer informatie over de Cyber Resilience Act.

11 december 2024: CRA treedt in werking, 11 september 2026: meldplicht actief misbruikte kwetsbaarheden, 11 december 2027: producten met digitale elementen moeten voldoen aan de CRA.
Beeld: ©RDI