Slimme beveiligingscamera's, wasmachines, smart watches en speelgoed: we maken er allemaal graag gebruik van. Tegelijkertijd maken deze slimme apparaten ons kwetsbaar voor cyberdreigingen. Europa heeft daarom een wet aangenomen die bepaalt dat digitale producten veilig moeten zijn, voordat ze in de handel worden gebracht. De verordening treedt binnenkort in werking en wordt over 3 jaar in zijn geheel van toepassing in heel Europa. Wat betekent deze wetgeving voor u?
Wat houdt de Cyber Resilience Act in?
De Cyber Resilience Act (CRA) - ook wel bekend als de verordening cyberweerbaarheid - heeft tot doel consumenten en bedrijven te beschermen, die producten of software met een digitale component kopen of gebruiken.
De wet zorgt ervoor dat ontoereikende beveiligingskenmerken tot het verleden behoren, dankzij de introductie van verplichte cyberbeveiligingsvereisten voor fabrikanten en detailhandelaren van dergelijke producten. Daarnaast moet er meer transparantie komen over de beveiliging en mogelijke veiligheidsrisico’s van deze producten.
Belangrijk om te weten!
Producten met digitale elementen moeten in de gehele toeleverings¬keten en gedurende hun hele levenscyclus worden beschermd tegen cyberdreigingen.
Voor welke producten geldt de Cyber Resilience Act?
De verordening zal van toepassing zijn op alle producten die direct of indirect met een ander apparaat of netwerk zijn verbonden. Denk aan:
hardware producten met geconnecteerde functies, zoals speelgoed, smartphones, smartwatches, laptops en slimme meters.
software die niet ingebouwd is in een product en zelfstandig wordt verkocht, zoals mobiele apps en online games.
Alle fabrikanten die producten op de EU-markt brengen, moeten aan deze regels voldoen. Ook als ze zelf niet in Europa gevestigd zijn.
Zijn er ook uitzonderingen?
Zeker. Digitale producten die niet aan de regels uit de verordening hoeven te voldoen, zijn onder meer niet-commerciële open source software en diensten die al onder de bestaande regels vallen. Denk daarbij bijvoorbeeld aan medische apparatuur en digitale producten gebruikt binnen de luchtvaart en autobranche.
Regels voor fabrikanten, importeurs en distributeurs
De meeste verplichtingen uit de CRA gelden voor fabrikanten, omdat zij de verantwoordelijkheid dragen voor de productie van een veilig product.
Voor importeurs geldt echter ook dat ze in moeten staan voor de veiligheid van het product. Van hen wordt verwacht dat ze actief controleren of producten aan de CRA voldoen.
Let op!
Als de importeur het product onder zijn eigen merk op de markt brengt, wordt hij beschouwd als fabrikant met alle regels die daarop van toepassing zijn.
Van een distributeur wordt gevraagd om passende zorgvuldigheid toe te passen. Zo moet de distributeur controleren of er een CE-markering op het product aanwezig is.
Goed om te weten: voor micro-ondernemingen en kleine en middelgrote ondernemingen zijn er steunmaatregelen opgenomen in de CRA, inclusief maatregelen om de financiële lasten voor deze ondernemingen te verlichten.
Deze verplichtingen brengt de Cyber Resilience Act mee
De verordening verplicht fabrikanten om ervoor te zorgen dat:
er rekening wordt gehouden met cybersecurity bij de planning, ontwerp-, ontwikkelings-, productie-, leverings- en onderhoudsfase van een product;
alle cybersecurity risico’s worden gedocumenteerd;
er melding wordt gemaakt bij het centraal meldingsplatform dat wordt opgericht door ENISA (European Union Agency for Cybersecurity) van elke actief uitgebuite kwetsbaarheid in het product met digitale elementen waarvan hij kennis krijgt;
gebruikers actief geïnformeerd worden over kwetsbaarheiden en beveiligingsincidenten;
voor de verwachte levensduur van het product of voor een periode van vijf jaar (wat korter is) kwetsbaarheden effectief worden aangepakt;
er duidelijke en begrijpelijke instructies meegeleverd worden voor het gebruik van producten met digitale elementen;
er beveiligingsupdates beschikbaar gesteld worden voor een periode van tenminste vijf jaar.
CE-markering verplicht
De Cyber Resilience Act verplicht dat producten met digitale elementen worden voorzien van de CE-markering, om aan te geven dat ze voldoen aan de verordening. Met de CE-marketing tonen fabrikanten aan dat ze voldoen aan strenge eisen op het gebied van veiligheid, gezondheid en milieubescherming.
Op producten met digitale elementen moet de CE-markering zichtbaar, leesbaar en onuitwisbaar worden aangebracht om aan te geven dat zij in overeenstemming zijn met deze verordening.
Maakt een fabrikant gebruik van bij derden ingekochte componenten voor een digitaal product?
Dan moet gecontroleerd worden of de fabrikant van het component heeft aangetoond dat deze de verordening naleeft.
Hoe?
Onder meer door:
te controleren of de component voorzien is van de CE-markering;
na te gaan of een component regelmatig beveiligingsupdates ontvangt (check bijvoorbeeld de geschiedenis van de beveiligingsupdates); en
te verifiëren of een component vrij is van kwetsbaarheden.
Cyber Resilience Act in de praktijk: van zelfbeoordeling tot verplichte certificering
De Cyber Resilience Act maakt onderscheid tussen vier verschillende soorten producten.
Verreweg de meeste producten met digitale elementen valt onder de categorie reguliere producten. Het gaat dan om minder impactvolle producten, zoals mobiele apps, hard drives, games, slimme speakers etc. Deze zullen door middel van een zelfbeoordeling van de fabrikant worden gecontroleerd op de eisen die de Cyber Resilience Act stelt.
De rest van de producten vallen in de andere 3 categorieën.
Belangrijke producten klasse 1, zoals software en hardware voor identiteitsbeheersystemen, netwerkbeheersystemen en besturingssystemen. Zelfbeoordeling van deze producten is een optie, maar mag alleen op basis van geharmoniseerde Europese normen. Als deze er niet zijn, dan moet er gebruik worden gemaakt van een notified body. Dit is een organisatie die door een EU-land is aangewezen om de conformiteit van bepaalde producten te beoordelen voordat ze op de markt worden gebracht.
Belangrijke producten klasse 2, zoals hypervisors, firewalls, inbraakdetectiesystemen en inbraakpreventiesystemen. Deze producten moeten verplicht gebruikmaken van een notified body.
Kritieke producten, waaronder smartcards en hardware apparaten met beveiligingskastje. Deze apparaten moeten verplicht gecertificeerd worden volgens een geschikt CSA-certificatieschema. Is deze niet beschikbaar? Dan moet gebruik worden gemaakt van een notified body.
Boetes & planning Cyber Resilience Act
De CRA kent ook een streng boetebeleid. Zo kunnen er boetes worden opgelegd tot 2,5 procent van de wereldwijde omzet voor bedrijven die niet voldoen aan de regelgeving.
De Cyber Resilience Act is op 20 november 2024 is in het EU-Publicatieblad gepubliceerd. De verordening treedt 20 dagen na deze publicatie in werking en wordt 36 maanden na inwerkingtreding van toepassing. Sommige bepalingen gaan echter al eerder in. Zo gaat op 11 september 2026 de meldplicht voor actief misbruikte kwetsbaarheden en incidenten in.
Vanaf 11 december 2027 is de verordening in zijn geheel van toepassing.
De hele wetgeving lezen?
Dat kan op deze pagina.
Zeker weten dat u niks mist?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.