De Cyber Resilience Act (CRA) is vorige week officieel aangenomen door de Raad van de Europese Unie. De CRA zal in Nederland de "Verordening cyberweerbaarheid" gaan heten en wordt ergens in de komende weken officieel gepubliceerd in de EU Official Journal. Vervolgens start 20 dagen na publicatie de gefaseerde inwerkingtredingstermijn:
Met de officiële aanname van de CRA is ook de definitieve tekst in de Nederlandse vertaling online gezet:
"Cyberbeveiliging is een van de belangrijkste uitdagingen voor de Unie. Verbonden apparaten zullen de komende jaren exponentieel toenemen in aantal en verscheidenheid. Cyberaanvallen zijn een zaak van algemeen belang, omdat zij niet alleen een kritieke impact hebben op de economie van de Unie, maar ook op de democratie en de veiligheid en gezondheid van de consument. De aanpak van de Unie op het gebied van cyberbeveiliging moet derhalve worden versterkt, de cyberweerbaarheid worden aangepakt op Unieniveau en de werking van de interne markt worden verbeterd door een uniform rechtskader vast te stellen voor essentiële cyberbeveiligingsvereisten om producten met digitale elementen in de Unie in de handel te brengen.
Deze verordening is erop gericht de randvoorwaarden te scheppen voor de ontwikkeling van veilige producten met digitale elementen door ervoor te zorgen dat hardware- en softwareproducten met minder kwetsbaarheden in de handel worden gebracht en dat fabrikanten de veiligheid gedurende de hele levenscyclus van een product serieus nemen. Zij is er ook op gericht de voorwaarden te scheppen die gebruikers in staat stellen rekening te houden met cyberbeveiliging bij het selecteren en gebruiken van producten met digitale elementen, bijvoorbeeld door de transparantie te verbeteren met betrekking tot de ondersteuningsperiode van producten met digitale elementen die op de markt worden aangeboden.
Met de verschillende handelingen en initiatieven die tot dusver op Unie- en nationaal niveau zijn genomen, worden de vastgestelde problemen en risico’s op het gebied van cyberbeveiliging slechts gedeeltelijk aangepakt, wat leidt tot het ontstaan van een lappendeken van wetgeving binnen de interne markt, waardoor de rechtsonzekerheid voor zowel fabrikanten als gebruikers van die producten toeneemt en bedrijven en organisaties onnodig worden belast om aan een groot aantal vereisten en verplichtingen voor soortgelijke producten te voldoen. De cyberbeveiliging van die producten heeft een sterke grensoverschrijdende dimensie, aangezien producten met digitale elementen die in één lidstaat of derde land worden vervaardigd, vaak door organisaties en consumenten op de gehele interne markt worden gebruikt. Dat maakt het noodzakelijk om het veld op het niveau van de Unie te reguleren, teneinde te zorgen voor een geharmoniseerd regelgevingskader en rechtszekerheid voor gebruikers, organisaties en bedrijven, met inbegrip van kleine, middelgrote en micro-ondernemingen. Het regelgevingslandschap van de Unie moet worden geharmoniseerd door horizontale cyberbeveiligingsvereisten in te voeren voor producten met digitale elementen."
Lees hier de gehele definitieve tekst van de CRA in de Nederlandse vertaling.