Cyber Resilience Act: versterk de cybersecurity van jouw digitale producten

De Europese Unie heeft een belangrijke stap gezet om de digitale wereld veiliger te maken. Met de Cyber Resilience Act (CRA) worden vanaf december 2027 nieuwe cybersecurity-eisen verplicht voor alle digitale producten op de Europese markt. De CRA is op 20 november 2024 officieel gepubliceerd. Vanaf 11 september 2026 gaan de verplichtingen voor meldingen van beveiligingsincidenten in en op 11 december 2027 geldt de volledige inwerkingtreding van de wetgeving.

Wat houdt de Cyber Resilience Act in?

De CRA verplicht dat alle "producten met digitale elementen" voldoen aan specifieke cybersecurity-standaarden. Dit omvat zowel nieuwe producten als significante updates van bestaande producten. De CRA is van toepassing op alle producten met digitale elementen, zowel gratis als commercieel, die:

• Verbonden zijn met het internet (IoT-apparaten).
• Soft- en hardware bevatten die kunnen worden uitgebracht, onderhouden of geüpdatet.

Voor deze apparaten introduceert de wet een reeks technische en organisatorische verplichtingen voor fabrikanten, importeurs en distributeurs:

Security by Design & Secure by Default

• Producten moeten vanaf het ontwerpproces beveiliging ingebouwd hebben.
• Standaardinstellingen moeten veilige configuraties bieden.

Security Updates

• Gratis beveiligingsupdates zijn verplicht voor minimaal 5 jaar na het op de markt brengen van het product of voor de levensduur van het product.

Actief Vulnerability Management

• Fabrikanten moeten kwetsbaarheden in hun producten actief monitoren en oplossen.

Incidentrapportage

• Fabrikanten zijn verplicht om ernstige beveiligingsincidenten binnen 24 uur te melden aan de Europese autoriteiten.

Documentatie

• Gedetailleerde technische documentatie moet worden opgesteld en beschikbaar zijn voor toezichthouders.

Conformiteitsbeoordeling

• Fabrikanten moeten aantonen dat hun producten voldoen aan de eisen door middel van zelfevaluaties of externe certificering, afhankelijk van het risico.

Deze verplichtingen en verantwoordelijkheden zijn verdeeld onder de verschillende marktdeelnemers:

• Fabrikanten: Primair verantwoordelijk voor het ontwerp, de beveiliging en de compliance van producten.
• Importeurs en Distributeurs: Moeten controleren of producten voldoen aan de CRA, voordat deze worden verkocht in de EU.
• Gebruikers: Worden aangespoord om beveiligingsupdates uit te voeren en kwetsbaarheden te melden.

Voor micro- en kleine ondernemingen komen er vereenvoudigde procedures, maar ook zij moeten voldoen aan de kernprincipes van de wet.

Thuiswinkel.org juicht ontwikkeling toe

Thuiswinkel.org is blij dat Europa aan de weg werkt om fabrikanten ertoe te zetten cyberveilige producten op de markt te brengen. Niet alleen zorgt dit voor een betere digitale bescherming van de consument, maar het zal er ook voor zorgen dat producten goed en langer mee gaan. Voor de verkopers van deze producten is het van belang dat je medewerkers traint over de nieuwe eisen en processen en goed samenwerkt met je fabrikanten.

Wanneer de wet wordt omgezet naar Nederlandse wetgeving zal er meer bekend worden over de invulling van de wet. Vragen over garantietermijnen en aansprakelijkheid zullen dan beantwoord worden. Wij houden je hier uiteraard van op de hoogte.