01Wat de CRA is
De Cyber Resilience Act is de eerste EU-brede wet die verplichte cyberbeveiligingseisen vaststelt voor producten met digitale elementen; hardware en software; gedurende hun volledige levenscyclus. De verordening verschuift de verantwoordelijkheid voor beveiliging naar de organisaties die deze producten in de handel brengen, in plaats van deze bij de gebruikers te laten. Art. 1
In de praktijk mag een product alleen op de EU-markt worden aangeboden als het voldoet aan de essentiële cyberbeveiligingseisen van bijlage I en de fabrikant de daaraan verbonden verplichtingen heeft vervuld. Naleving wordt aangegeven door de CE-markering.
Als uw product digitale elementen bevat en op de EU-markt komt, moet het worden ontworpen, gebouwd en onderhouden volgens een vastgestelde cyberbeveiligingsnorm, en moet u dit kunnen aantonen.
02Op wie het van toepassing is
De verordening heeft betrekking op producten met digitale elementen waarvan het beoogde of redelijkerwijs te voorziene gebruik een directe of indirecte gegevensverbinding omvat. De verplichtingen zijn verdeeld over de toeleveringsketen: Art. 13–28
- Fabrikanten; dragen de primaire verplichtingen: ontwerp, documentatie, conformiteitsbeoordeling en kwetsbaarhedenbehandeling.
- Importeurs; mogen alleen conforme producten in de handel brengen en moeten verifiëren dat aan de verplichtingen van de fabrikant is voldaan.
- Distributeurs; moeten met de nodige zorgvuldigheid handelen en controleren of de CE-markering en documentatie aanwezig zijn.
Producten die reeds onder sectorspecifieke regelgeving vallen; zoals medische hulpmiddelen, motorvoertuigen en de burgerluchtvaart; zijn uitgesloten, evenals niet-commerciële opensourcecomponenten.
03Productklassen
De vereiste conformiteitsroute hangt af van hoe kritiek het product is. De meeste producten voeren een zelfbeoordeling uit; categorieën met een hoger risico die in de bijlagen zijn opgesomd, krijgen met striktere procedures te maken. Art. 6–7 · Annex III–IV
| Klasse | Voorbeelden | Conformiteitsroute |
|---|---|---|
| Standaard | Het merendeel van de producten met digitale elementen | Zelfbeoordeling |
| Belangrijk; I | Wachtwoordmanagers, netwerkbeheer, VPN's | Normen of derde partij |
| Belangrijk; II | Besturingssystemen, firewalls, microprocessoren | Beoordeling door een derde partij |
| Kritiek | Slimme meters, smartcards, beveiligingselementen | Verplichte certificering |
04Belangrijkste verplichtingen
De essentiële eisen in bijlage I vallen in twee groepen uiteen; eigenschappen die het product moet hebben, en processen die de fabrikant moet uitvoeren. Bijlage I
- Beveiliging door ontwerp en door standaardinstellingen; geleverd met een veilige configuratie en een geminimaliseerd aanvalsoppervlak.
- Geen bekende misbruikbare kwetsbaarheden; geleverd zonder bekende misbruikbare gebreken.
- Kwetsbaarhedenbehandeling; een proces om problemen te identificeren, te documenteren, te verhelpen en openbaar te maken.
- Beveiligingsupdates; gratis, tijdige updates gedurende de vastgestelde ondersteuningsperiode.
- Softwarestuklijst (SBOM); houden een SBOM bij die de onderdelen van het product omvat.
- Melding; melden actief misbruikte kwetsbaarheden en ernstige incidenten aan ENISA en het relevante CSIRT, met een vroegtijdige waarschuwing binnen 24 uur.
05Tijdlijn en sancties
De verordening is al in werking; de verplichtingen ervan worden in de daaropvolgende jaren gefaseerd ingevoerd. Art. 71
- okt. 2024Aangenomen en in wetgeving omgezet.
- dec. 2024In werking getreden.
- sep. 2026Meldingsverplichtingen zijn van toepassing (21 maanden na inwerkingtreding).
- dec. 2027Volledige toepassing; de meeste bepalingen zijn van toepassing (36 maanden).
Niet-naleving van de essentiële eisen kan leiden tot boetes tot € 15 miljoen of 2,5 % van de totale wereldwijde jaaromzet, naargelang welk bedrag het hoogst is.
06Wat u vervolgens moet doen
Begin met te bevestigen of de verordening van toepassing is op uw product en volg vervolgens de richtsnoeren die voor uw rol zijn geschreven.