Cyber Resilience Act : eisen voor een veilige digitale markt!

De Cyber Resilience Act (Verordening cyberweerbaarheid), officieel de Verordening (EU) 2024/2847, introduceert voor het eerst een horizontaal kader voor cyberbeveiliging dat van toepassing is op alle producten met digitale componenten. De verordening legt fabrikanten en distributeurs strenge verplichtingen op en voorziet in een toezicht- en sanctieregeling.

De doelstellingen van de CRA

De ambitie van de CRA is dubbel :

• Het vertrouwen in digitale producten versterken die op de Europese markt worden gebracht, waarbij wordt vereist dat ze worden ontworpen, ontwikkeld en onderhouden met een passend niveau van cyberbeveiliging.
• Het verminderen van systeemrisico’s die verband houden met het misbruik van kwetsbaarheden, die ingrijpende economische, veiligheids- en maatschappelijke gevolgen kunnen hebben.

Het toepassingsgebied van de CRA

De CRA is van toepassing op een breed scala aan producten met digitale componenten:

• Materiaal (hardware) : slimme apparaten, routers, industriële apparatuur, ingebedde systemen, enz.
• Software : besturingssystemen, applicaties, in producten geïntegreerde softwarebibliotheken.

Uitgesloten zijn bepaalde producten die al onder specifieke sectorale regelgeving vallen (zoals bijvoorbeeld medische hulpmiddelen, de luchtvaart en de automobielsector), wanneer de cyberbeveiligingseisen daar gelijkwaardig zijn.

De verplichtingen gelden in de eerste plaats voor fabrikanten, maar ook voor importeurs en distributeurs die in de EU zijn gevestigd.

De vereisten van de CRA

De CRA is opgebouwd rond verschillende pijlers :

• Essentiële vereisten van cyberveiligheid : integratie van beveiliging vanaf het ontwerp („security by design“), verplichting tot het opsporen en verhelpen van kwetsbaarheden gedurende de gehele levenscyclus van het product, technische documentatie waaruit de conformiteit blijkt, enz.
• Verplichtingen inzake updates en ondersteuning: fabrikanten moeten gedurende een bepaalde periode (minimale ondersteuningsduur) follow-up bieden.
• Rapportageverplichtingen: vanaf 11 september 2026 moeten fabrikanten het volgende melden:
  • Elke actief misbruikte kwetsbaarheid die in een product wordt ontdekt.
  • Elk ernstig incident op het gebied van cyberbeveiliging dat gevolgen heeft voor een product.
    De melding moet binnen 24 uur worden gedaan (vroegtijdige waarschuwing), vervolgens binnen 72 uur worden aangevuld en worden gevolgd door een eindrapport. Ook de betrokken gebruikers moeten hiervan op de hoogte worden gesteld, evenals de bevoegde autoriteiten.
• Conformiteitsbeoordeling : bepaalde producten die als „kritiek“ worden beschouwd, zullen aan een verscherpte conformiteitsbeoordeling (door een derde partij) worden onderworpen.

De sancties

De sancties die zijn voorzien bij niet-nakoming van de CRA-verplichtingen kunnen oplopen tot 15 miljoen euro of 2,5 % van de wereldwijde omzet, waardoor dit voor bedrijven een bijzonder strenge regeling is. Deze verordening geldt niet op zichzelf: zij vormt een aanvulling op de NIS2 – richtlijn, die betrekking heeft op exploitanten van essentiële diensten, en die aansluit bij de DORA-verordening voor de financiële sector en bij de herziening van de richtlijn inzake productaansprakelijkheid.

Inwerkingtreding van de CRA

De Cyber Resilience Act is in werking getreden op 10 decembrer 2024 en zal geleidelijk in werking treden :

• 11 juni 2026 : toepassing van de bepalingen inzake conformiteitsbeoordelingsinstanties.
• 11 september 2026 : inwerkingtreding van de verplichtingen inzake de melding van kwetsbaarheden en incidenten.
• 11 december 2027 : algemene toepassing van de overige verplichtingen (veiligheid vanaf het ontwerp, conformiteit, documentatie, enz.).