De Cyber Resilience Act versterkt de cyberbeveiligingsnormen van producten die een digitale component bevatten en verplicht fabrikanten en retailers om cyberbeveiliging gedurende de hele levenscyclus van hun producten te garanderen. Van babymonitors tot smartwatches, producten en software met een digitale component zijn alomtegenwoordig in ons dagelijks leven. Minder duidelijk voor veel gebruikers is het beveiligingsrisico dat dergelijke producten en software kunnen vormen.
De Cyber Resilience Act (CRA) is bedoeld om consumenten en bedrijven die software of hardwareproducten met een digitale component kopen, te beschermen. De CRA pakt het ontoereikende niveau van cyberbeveiliging in veel producten en het gebrek aan tijdige beveiligingsupdates voor producten en software aan. Het pakt ook de uitdagingen aan waarmee consumenten en bedrijven momenteel worden geconfronteerd wanneer ze proberen te bepalen welke producten cyberveilig zijn en bij het veilig instellen ervan. De nieuwe vereisten zullen het eenvoudiger maken om rekening te houden met cyberbeveiliging bij het selecteren en gebruiken van producten die digitale elementen bevatten. Het wordt eenvoudiger om hardware- en softwareproducten met de juiste cyberbeveiligingskenmerken te identificeren.
De CRA introduceert verplichte cyberbeveiligingseisen voor fabrikanten en detailhandelaren, die de planning, het ontwerp, de ontwikkeling en het onderhoud van dergelijke producten regelen. Aan deze verplichtingen moet in elke fase van de waardeketen worden voldaan. De wet verplicht fabrikanten ook om zorg te dragen tijdens de levenscyclus van hun producten. Sommige kritieke producten die van bijzonder belang zijn voor cyberbeveiliging zullen ook een beoordeling van een derde partij door een geautoriseerde instantie moeten ondergaan voordat ze op de EU-markt worden verkocht.
De verordening is van toepassing op alle producten die direct of indirect verbonden zijn met een ander apparaat of netwerk, met uitzondering van bepaalde uitzonderingen, zoals bepaalde open source software of dienstverlenende producten die al onder bestaande regels vallen, zoals medische apparatuur, luchtvaart en auto's. Producten zullen de CE-markering dragen om aan te geven dat ze voldoen aan de vereisten van de Ratingbureauverordening. De nieuwe regels zorgen voor een herschikking van de verantwoordelijkheid naar fabrikanten, die ervoor moeten zorgen dat hun producten met digitale elementen voldoen aan de cyberbeveiligingsnormen voor de EU-markt. Hierdoor kunnen kopers beter geïnformeerde beslissingen nemen en vertrouwen op de cyberveiligheid van producten met een CE-markering.
De Cyber Resilience Act is op 10 december 2024 in werking getreden. De belangrijkste verplichtingen die door de CRA worden geïntroduceerd, zijn van toepassing vanaf 11 december 2027.
Daarnaast wordt de Cyber Resilience Act Expert Group (CRA Expert Group) opgericht. De deskundigengroep zal de Commissie bijstaan en adviseren over kwesties die relevant zijn voor de uitvoering van de Cyber Resilience Act (CRA).
De CRA bouwt voort op de EU-strategie voor cyberbeveiliging 2020 en de EU-strategie voor de veiligheidsunie. Het is een aanvulling op andere wetgeving op dit gebied, met name de NIS2-richtlijn.
