Inleiding tot de Cyber Resilience Act: wat betekent het voor jouw bedrijf?

    - / 13 January 2025

    Een overzicht van de CRA en de implicaties voor bedrijven binnen de EU.

    De Europese Unie is de afgelopen jaren druk bezig geweest met het opstellen en implementeren van nieuwe regels voor de digitale wereld (en dit zal nog wel even voortduren). Na de alom bekende AVG, de AI-verordening en een aantal sectorspecifieke wetten is ditmaal de Cyber Resilience Act (CRA) aan de beurt. De EU heeft besloten ook de digitale weerbaarheid van digitale systemen te codificeren en hier concrete eisen voor fabrikanten en bedrijven aan te verbinden.

    Een product met digitale elementen

    De CRA richt zich op producten met digitale elementen, maar wat wordt daar in de praktijk mee bedoeld? Een product met digitale elementen is, in essentie, een softwareproduct of een product dat onderdeel uitmaakt van het Internet of Things. Daarnaast worden ook oplossingen voor gegevensverwerking op afstand meegerekend en zijn software- of hardwarecomponenten die afzonderlijk in de handel worden gebracht ook geclassificeerd als een product met digitale elementen.

    Met andere woorden: alle producten die iets te maken hebben met de digitale wereld vallen onder de CRA. Dit zijn de voor de hand liggende producten, zoals een softwarepakket, een laptop of een smartphone, maar ook minder opvallende producten zoals een slimme koelkast of een webcam.

    Belangrijkste verplichtingen

    Uit de CRA vloeien voor fabrikanten van producten met digitale elementen vier kernverplichtingen voort. Het niet naleven van deze verplichtingen kan leiden tot fikse sancties vanuit de Europese toezichthouder.

    • De CRA eist dat fabrikanten producten ontwerpen, ontwikkelen en produceren aan de hand van cyberbeveiligingsvereisten. Bijlage I van de CRA bevat een lijst van 13 punten waar in detail behandeld wordt op welke manier de producten moeten worden gefabriceerd. In een toekomstige blog worden deze vereisten verder toegelicht.
    • Naast het ontwerpen, ontwikkelen en produceren van veilige producten zijn fabrikanten ook verplicht om kwetsbaarheden vast te stellen, te documenteren en te verhelpen door middel van beveiligingsupdates. Dit betekent in de praktijk dat fabrikanten verantwoordelijk zijn voor de cyberveiligheid van hun producten gedurende de gehele levensspanne van het product. Zij moeten actief op zoek naar kwetsbaarheden in de eigen software en eventuele pijnpunten proactief aanpakken. De fabrikant is ook verplicht deze kwetsbaarheden te melden aan Enisa en de coördinator van het Computer Security Incident Response Team (CSIRT), waarover later meer.
    • Fabrikanten moeten verder informatie verstrekken over de beveiligingsrisico’s van hun producten en hoe consumenten deze risico’s kunnen beheren. Dit kan bijvoorbeeld gaan over het regelmatig doorvoeren van updates, niet verbinden met kwaadwillende netwerken of adviseren een regelmatige virusscan door te voeren.
    • Tot slot moeten fabrikanten ervoor zorgen dat hun producten altijd conformeren aan de algemeen geldende EU-normen voor producten voordat zij op de markt komen. Producten met digitale elementen moeten naast de nieuwe CRA-vereisten ook voldoen aan de andere geldende EU-wetgeving rondom producten.

    Impact op jouw bedrijf

    Als jouw bedrijf producten met digitale elementen produceert, kan de impact op jouw bedrijf aanzienlijk zijn. Het zou kunnen zijn dat jouw producten aangepast moeten worden om te voldoen aan de eisen van de CRA. De wet dwingt bedrijven om cybersecurity als kernonderdeel van de productontwikkeling te zien en niet langer als bijzaak te beschouwen.

    De CRA heeft ook een aparte classificering voor belangrijke producten met digitale elementen. Dit zijn producten die een essentiële functie vervullen voor de cyberbeveiliging van andere producten, netwerken of diensten, of producten met een aanzienlijk risico op nadelige effecten voor de gezondheid, beveiliging of veiligheid van gebruikers. Bijlage III van de CRA bevat een lijst met producten die onder deze classificering vallen. Daarnaast bevat de CRA ook een aparte bijlage voor kritieke producten met digitale elementen, zoals hardware met een beveiligingskastje, gateways voor slimme meters of smartcards met secure elements.

    De modules

    De CRA bevat een aantal modules waaraan een product onderworpen moet worden. Deze modules staan uitvoerig beschreven in Bijlage VIII. Voor normale producten moet voldaan worden aan een van de volgende vier modules: een procedure voor interne controle (module A), een procedure voor EU-typeonderzoek (module B) gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (module C), een conformiteitsbeoordeling op basis van volledige kwaliteitsborging (module H) of een cyberbeveiligingscertificeringsregeling. Er zijn dus een aantal mogelijkheden om een product te laten voldoen aan de CRA. De fabrikant moet aan kunnen tonen dat aan tenminste een van de hierboven genoemde modules is voldaan.

    Voldoet jouw product aan een van de beschrijvingen uit Klasse I van Bijlage III? Dan zijn het aantal modules die gevolgd kunnen worden beperkter. Alleen een procedure voor EU-typeonderzoek (module B) gevolgd door conformiteit met het EU-type op basis van interne productiecontrole (module C) of een conformiteitsbeoordeling op basis van volledige kwaliteitsborging (module H) is voldoende.

    Voldoet jouw product aan een van de beschrijvingen uit Klasse II van Bijlage III? Dan kan voldaan worden aan de bovengenoemde module B en C of module H, of kan een cyberbeveiligingscertificeringsregeling op het zekerheidsniveau ‘’substantieel’’ voldoende zijn.

    Voor kritieke producten is het noodzakelijk een cyberbeveiligingscertificeringsregeling te hebben, of te voldoen aan de modules waar Klasse II ook aan moet voldoen.

    Meldplicht

    De impact op korte termijn is relatief beperkt. De CRA is in oktober 2024 aangenomen en bevat een overgangsperiode van 2 jaar. Deze tijd dient te worden gebruikt door bedrijven om hun producten en processen aan te passen aan de nieuwe eisen. In de zomer van 2026 gaat de meldplicht uit de CRA in. Dit houdt in dat de fabrikant een melding moet doen aan Enisa, het Europees Agentschap voor netwerk- en informatiebeveiliging, en het CSIRT. In Nederland heeft het Ministerie van Economische Zaken en Klimaat het CSIRT voor digitale dienstverleners opgericht. Vanaf de zomer van 2026 is het dus de bedoeling dat kwetsbaarheden in producten met digitale elementen hier worden gemeld. Alle andere onderdelen van de CRA zullen pas in de herfst van 2027 ingaan.

    Voorlopig is de impact op jouw bedrijf dus relatief gering. Je kunt beginnen met het aanpassen van de productieprocessen naar de eisen van de CRA. In een volgend blog wordt er dieper ingegaan op de naleving van de CRA door een stapsgewijze handleiding. Houd onze blogs daarom goed in de gaten, zodat wij jou hierover op de hoogte kunnen houden.

    Wil je een sleutelrol spelen om jouw organisatie cyberweerbaarder te maken? Dan is onze opleiding tot Certified Cybersecurity Compliance Officer (CCCO®) iets voor jou.  Deze opleiding geeft jou begrip van wet-en regelgeving omtrent cybersecurity en informatiebeveiliging, inclusief de NIS2, AI Act, DORA, CRA, CER en ISO 27001. Je leert hoe deze regels zich tot elkaar verhouden en hoe je ze in de praktijk toe moet gaan passen. 

    Meer informatie CCCO opleiding
    Terug naar overzicht

    Friso Demeijer

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram