De Cyber Resilience Act (CRA) officieel in werking getreden

Vanaf dinsdag 10 december 2024 is de Cyber Resilience Act (CRA) officieel in werking getreden. Deze wet is gericht op fabrikanten, distributeurs en importeurs van hardware en software die vanaf 11 december 2027 in de EU op de markt worden gebracht. De CRA verplicht hen om digitale producten aan essentiële veiligheidseisen te laten voldoen. Ook moeten ze veiligheidsupdates aanbieden zodat producten veilig blijven. Zo kunnen consumenten én bedrijven erop rekenen dat producten die ze in de EU hebben gekocht digitaal veilig zijn.

Wat is de Cyber Resilience Act en welke eisen worden er gesteld?

De belangrijkste eisen uit de CRA worden gesteld aan de producten die op de markt worden gebracht. Maar er worden ook eisen gesteld aan de processen die fabrikanten ingericht hebben om hun producten te ontwikkelen, ontwerpen, fabriceren en te onderhouden. Lees op de website van RDI welke soorten producten aan de CRA moeten voldoen.

Wat is de tijdslijn van de Cyber Resilience Act?

Hoewel de CRA sinds 10 december 2024 is ingegaan, betekent dit niet dat fabrikanten onmiddellijk aan alle eisen moeten voldoen. De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen. De eerste maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden. 

• Op 11 september 2026 gaat de meldplicht voor actief misbruikte kwetsbaarheden en incidenten in.
• 11 december 2026 is de streefdatum voor de beschikbaarheid van standaarden en notified bodies, zodat producten alvast op conformiteit beoordeeld kunnen worden.
• Op 11 december 2027 gaan alle eisen in en moeten de producten, de software en de apps voldoen aan de CRA.

Wat kan je al doen?

De verplichtingen van de CRA richten zich op de fabrikanten, importeurs en distributeurs van digitale producten. Zij kunnen in bijlage 1 van de CRA kennis nemen van de essentiële vereisten waar hun product aan moet voldoen na 2027.

Afnemers kunnen al letten op de CE-markering: vanaf augustus 2025 betekent de CE-markering dat het product niet alleen aan de fysieke veiligheidseisen van de EU voldoet maar ook aan de cybersecurityeisen in de RED. Vanaf december 2027 worden deze eisen verder uitgebreid naar de omvangrijkere eisen uit de CRA, die ook voor 'stand alone' software gaan gelden.

Totdat de producten met digitale elementen moeten voldoen aan de CRA, kunnen gebruikers en afnemers van software alvast nagaan welke essentiële eisen er in de CRA staan. Maak hierover tot december 2027 nog zélf contractuele afspraken met de softwareleverancier of fabrikant, tot de producten met digitale elementen moeten voldoen aan de CRA.

De CRA is hier te vinden op de website van de Europese Unie. Meer weten over de CRA? Bekijk dan de website van de RDI.