Op 10 oktober 2024 heeft de Raad van de Europese Unie goedkeuring gegeven aan de Cyber Resilience Act (CRA). Deze nieuwe wetgeving, gericht op fabrikanten, distributeurs en importeurs van hardware en software, moet ervoor zorgen dat digitale producten in Europa veiliger worden. Zowel tijdens de ontwikkeling als gedurende hun levenscyclus.
De nieuwe wet stelt bindende eisen aan de cyberveiligheid van digitale producten die in de EU worden verkocht, zoals software en IoT-apparaten. Dit zorgt ervoor dat consumenten en bedrijven veilig gebruik kunnen maken van digitale producten, denk aan webcams en smart-tv’s die deel uitmaken van het Internet of Things (IoT).
Belangrijkste punten CRA
Nederland heeft zich actief ingezet voor deze wet. En heeft zich vooral gericht op het vinden van een balans tussen de bescherming van de digitale veiligheid en de impact op innovatie. De belangrijkste punten uit de Cyber Resilience Act zijn:
- Verplichte cyberveiligheidseisen voor digitale producten, zoals software en IoT-apparaten, vanaf de ontwikkelingsfase;
- Verantwoordelijkheid voor fabrikanten, importeurs en distributeurs om ervoor te zorgen dat producten veilig zijn en blijven;
- Verplichte updates voor beveiliging en het melden van kwetsbaarheden;
- Boetes tot 2,5 procent van de wereldwijde omzet voor bedrijven die niet voldoen aan de regelgeving;
- Niet-commerciële opensourcesoftware is vrijgesteld aangezien deze software meestal wordt ontwikkeld zonder winstoogmerk.
De CRA treedt in 2025 in werking. De wet dwingt bedrijven om cybersecurity niet langer als bijzaak, maar als kernonderdeel van hun productontwikkeling te beschouwen. Er is een overgangsperiode van 24 maanden ingevoerd zodat producten en processen kunnen worden aangepast aan de nieuwe eisen.