Internetconsultatie van de uitvoeringswet Cyber Resilience Act gestart

De internetconsultatie van de uitvoeringswet Cyber Resilience Act (CRA) is gestart. Tot en met 6 april 2025 kan worden gereageerd op het conceptwetsvoorstel en de bijbehorende toelichting. Vanuit Cyberveilig Nederland zullen we, met input van de werkgroep Public Affairs, reageren op de consultatie.

Vanaf dinsdag 10 december 2024 is de CRA officieel in werking getreden. Deze wet is gericht op fabrikanten, distributeurs en importeurs van hardware en software die vanaf 11 december 2027 in de EU op de markt worden gebracht. De CRA verplicht hen om digitale producten aan essentiële veiligheidseisen te laten voldoen. Ook moeten ze veiligheidsupdates aanbieden zodat producten veilig blijven. Zo kunnen consumenten én bedrijven erop rekenen dat producten die ze in de EU hebben gekocht digitaal veilig zijn.

Wat is de tijdslijn van de Cyber Resilience Act?

Hoewel de CRA sinds 10 december 2024 is ingegaan, betekent dit niet dat fabrikanten onmiddellijk aan alle eisen moeten voldoen. De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen. De eerste maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden.

  • Op 11 september 2026 gaat de meldplicht voor actief misbruikte kwetsbaarheden en incidenten in.
  • 11 december 2026 is de streefdatum voor de beschikbaarheid van standaarden en notified bodies, zodat producten alvast op conformiteit beoordeeld kunnen worden.
  • Op 11 december 2027 gaan alle eisen in en moeten de producten, de software en de apps voldoen aan de CRA.
Internetconsultatie van de uitvoeringswet Cyber Resilience Act gestart