Wat is de CRA?
De Cyber Resilience Act (ook wel de 'CRA' genoemd) is een nieuwe verordening (Verordening (EU) 2024/2847) vanuit de Europese Unie die sinds 10 december 2024 officieel in werking is getreden en rechtstreekse werking heeft. De CRA heeft als doel de cyberbeveiliging van producten met digitale elementen te verbeteren nu de hoeveelheid maar ook de afhankelijkheid van deze producten steeds meer toeneemt. Producten met digitale elementen zijn softwareproducten, hardwareproducten of software- of hardwarecomponenten die binnen de Europese Unie in de handel worden gebracht. Het gaat om producten waarvan het beoogde gebruik een verbinding met een apparaat of netwerk omvat (artikel van de CRA noemen waar dit staat). Voorbeelden van producten zijn netwerkapparaten, besturingssystemen, robotstofzuigers of slimme meters. Het is belangrijk op te merken dat de CRA alleen geldt voor producten met digitale elementen en niet voor diensten, zoals software die als onderdeel van een dienst wordt geleverd (SaaS).
De CRA bevat verplichtingen voor fabrikanten, distributeurs en importeurs van producten met digitale elementen. Indien u als zodanig kwalificeert moet u ervoor zorgen dat u vanaf 11 december 2027 aan de CRA voldoet. Dit betekent dat u mogelijk comformiteitsbeoordelingen dient uit te voeren, een meldingsplicht heeft, verplicht veiligheidsupdates dient aan te bieden en/of moet controleren of de door u geïmporteerde producten voldoen aan de CRA-regelgeving. De CRA vormt een aanvulling op bestaande wetgeving zoals de AVG, NIS2-richtlijn en de Verordening Digitale Operationele Weerbaarheid (DORA), en sluit aan bij de bredere EU-strategie voor digitale veiligheid en regelgeving.
Doelstelling van de CRA
De CRA heeft vier belangrijke doelstellingen, namelijk:
- Verhogen van de cyberbeveiliging van producten met digitale elementen: door deze verordening wordt de cyberbeveiliging van producten met digitale elementen al verhoogd vanaf de ontwerp- en ontwikkelingsfase.
- Harmonisatie van regelgeving: dit houdt in het gelijktrekken van de regels binnen de Europese Unie zodat fabrikanten en softwareontwikkelaars zich gemakkelijker aan de wet kunnen houden.
- Meer transparantie over beveiligingsrisico’s voor consumenten en bedrijven.
- Bevorderen van veilig gebruik van producten met digitale elementen.
De CRA zorgt ervoor dat 'security by design' standaard wordt. Dit betekent dat beveiliging al vanaf de ontwerpfase in producten moet worden ingebouwd. Daarnaast verplicht de CRA fabrikanten om ervoor te zorgen dat hun producten niet alleen veilig zijn op het moment van verkoop, maar óók gedurende de periode waarin de gebruiker het product gebruikt.
Welke rollen kent de CRA?
De CRA richt zich op verschillende marktdeelnemers in de productieketen van producten met digitale elementen:
- Fabrikanten: dit zijn natuurlijke of rechtspersonen die producten met digitale elementen ontwerpen, ontwikkelen, produceren of dit laten doen. Zij brengen deze producten onder hun eigen naam of merk op de markt of dit nu tegen betaling, via een verdienmodel of gratis gebeurt. De producten dienen in de handel te worden gebracht, dat betekent dat zij het product voor het eerst in de Unie op de markt moet aanbieden. Als een fabrikant een vertegenwoordiger heeft gemachtigd, dan dient deze persoon te worden gezien als een fabrikant en aldus te voldoen aan dezelfde regelgeving. Deze term wordt gedefinieerd in artikel 3 onder 13 uit de CRA-Verordening.
- Importeurs: dit zijn natuurlijke of rechtspersonen die binnen de Europese Unie gevestigd zijn en een product met digitale elementen in de handel brengen, die de naam of het merk van een buiten de Unie gevestigd natuurlijke of rechtspersoon draagt. Deze term wordt gedefinieerd in artikel 3 onder 16 uit de CRA-Verordening.
- Distributeurs: dit zijn natuurlijke of rechtspersoon die deel uitmaken van de toeleveringsketen, maar die niet de fabrikant of importeur zijn. Zij bieden een product met digitale elementen aan op de markt binnen de Europese Unie, zonder daarbij veranderingen aan het product zelf aan te brengen. Deze term wordt gedefinieerd in artikel 3 onder 17 uit de CRA-Verordening.
Wat houden de verantwoordelijkheden onder de CRA per marktdeelnemer in?
Fabrikanten hebben onder de CRA de meeste verantwoordelijkheden ten opzichte van de andere marktdeelnemers. Alle verplichtingen zijn gericht op het verbeteren van de digitale veiligheid binnen de Europese Unie. Zo moeten fabrikanten hun producten vanaf het ontwerp voorzien van passende cyberbeveiligingsmaatregelen. Dit gebeurt allereerst op basis van een risicoanalyse, waarmee alle kwetsbaarheden en reële dreigingen (zoveel mogelijk) worden weggenomen voordat het product op de markt komt. Verder dient de fabrikant, voordat een product verkocht mag worden, via een conformiteitsbeoordeling aan te tonen dat het voldoet aan de CRA-eisen. Voor standaardproducten kan de fabrikant dit zelf doen, maar voor belangrijke of kritieke producten is een externe beoordeling vereist. In Nederland houdt de Rijksinspectie Digitale Infrastructuur (RDI) toezicht op dit proces. Na goedkeuring is de fabrikant ook gehouden om het product te voorzien van de juiste CE-markering.
Tevens blijven fabrikanten verantwoordelijk voor het opsporen en verhelpen van kwetsbaarheden. Deze kwetsbaarheden dienen verholpen te worden door beveiligingsupdates die door fabrikanten worden gefaciliteerd gedurende de verwachte levensduur van het product, waarbij de ondersteuningsperiode niet korter mag zijn dan vijf jaar, tenzij de verwachte levensduur van het product korter is. Verder dienen fabrikanten producten te leveren met veilige standaardinstellingen, waarbij gebruikers onder andere eenvoudig gegevens kunnen verwijderen of overdragen en zijn fabrikanten verplicht om duidelijke informatie te geven over beveiligingsrisico’s en gebruiksadviezen. Tenslotte moeten fabrikanten vanaf 2026 actief uitgebuite kwetsbaarheden en ernstige beveiligingsincidenten melden aan de coördinator van het nationale Computer Security Incident Response Team (CSIRT) en aan ENISA, het Europees Agentschap voor netwerk- en informatiebeveiliging. Ook moeten zij getroffen gebruikers informeren en adviseren bij dergelijke incidenten (artikel 14 CRA).
Als een importeur een product onder zijn eigen merk op de markt brengt, wordt hij onder de CRA beschouwd als fabrikant en dient hij te voldoen aan bovenstaande fabrikantsverplichtingen. Importeurs mogen alleen producten op de markt brengen die voldoen aan de CRA-eisen en voorzien zijn van een CE-markering. Daarbij moeten zij nagaan of de fabrikant een comformiteitsbeoordeling heeft (laten) uitvoeren. Bij ontdekte cyberbeveiligingsproblemen moeten importeurs de fabrikant en, indien nodig, toezichthouders informeren over eventuele cyberbeveiligingsproblemen.
Distributeurs spelen ook een belangrijke rol in het waarborgen van de veiligheid van producten met digitale elementen op de Europese markt. Zo moeten ze allereerst controleren of producten de CE-markering hebben en dienen ze in zekere mate te controleren of de producten voldoen aan de CRA-eisen. Als er twijfel bestaat over de naleving van de regelgeving, mogen ze het product niet op de markt brengen. Ontdekken distributeurs zwakke plekken in producten, dan informeren ze de fabrikant en, indien nodig, de autoriteiten hierover.
Wat betekenen de cyberbeveiligingseisen voor uw onderneming en hoe bereidt u zich voor?
Bedrijven die producten met digitale elementen fabriceren, importeren of distribueren, moeten zich voorbereiden op de cyberbeveiligingseisen van de CRA. Dit betekent dat ze technische documentatie moeten opstellen, risicoanalyses moeten (laten) uitvoeren en beveiligingsupdates moeten implementeren, wat extra kosten met zich meebrengt. Ook hebben fabrikanten een belangrijke meldplicht, wat vraagt om alertheid en duidelijke interne procedures. Niet-naleving van de CRA kan leiden tot hoge boetes van marktoezichtautoriteiten.
Voor mkb-bedrijven en startups kunnen deze eisen extra uitdagend zijn, omdat de CRA geen onderscheid maakt tussen sectoren of omvang van ondernemingen.
Ter voorbereiding
Om uw onderneming voor te bereiden op de CRA is het essentieel om enkele stappen te nemen. Allereest is het van groot belang om te bepalen welke producten dan wel componenten binnen uw bedrijf onder de CRA vallen en of uw product valt onder een normaal, belangrijk of kritiek product. Verder is het noodzakelijk dat u als fabrikant de CE-markering gaat voorbereiden, deze is immers per eind 2027 verplicht op producten met digitale elementen. Mogelijk moeten contracten (bijv. met leveranciers) worden aangepast zodat deze in lijn zijn met de CRA.
Tijdlijn van de CRA
De CRA is al in werking getreden, fabrikanten dienen echter per 11 september 2026 te voldoen aan de meldplicht voor actief uitgebuite kwetsbaarheden en ernstige beveiligingsincidenten. Verder dienen uw producten met digitale elementen op 11 december 2027 aan alle CRA-eisen te voldoen. Hoewel het misschien nog ver weg lijkt, zijn de verantwoordelijkheden, vooral voor fabrikanten, uitgebreid en zullen ze voor de nodige uitdagingen zorgen. De tijd vanaf nu tot eind 2027 dient te worden gebruikt door bedrijven om hun producten en processen aan te passen aan de nieuwe eisen.
Het wijzigen van een product is immers niet van de ene op de andere dag gebeurd. Door nu actie te ondernemen, voorkomt uw onderneming risico’s en bent u klaar voor de toekomst van cyberveiligheid in de EU.
