Cyber Resilience Act (CRA)

Omdat de CRA een verordening is, hoeft deze niet vertaald te worden naar Nederlandse wetgeving, maar is deze direct van kracht. Om nationale bevoegdheden te regelen, zoals de toezichtstaak van de RDI, is de Uitvoeringswet verordening cyberweerbaarheid opgesteld. Vanaf 11 december 2027 moeten alle producten met digitale elementen als inherent veilig ontworpen en geproduceerd zijn (zogeheten security-by-design). Daarnaast geldt voor fabrikanten en andere partijen in de toeleveringsketen een zorgplicht. Zij moeten bijvoorbeeld ondersteuning en beveiligingsupdates aanbieden en hebben een meldplicht bij kwetsbaarheden en incidenten.

Welke producten moeten aan de CRA voldoen?

Alle producten met digitale elementen moeten vanaf 11 december 2027 voldoen aan de CRA. Dit zijn niet alleen fysieke producten zoals IoT-apparatuur, firewalls of netwerkapparatuur. Denk ook aan software zoals videogames, mobiele apps en besturingssystemen zoals Windows. Ook componenten zoals videokaarten en software libraries vallen onder de CRA.

Wie krijgen met de CRA te maken?

Alle fabrikanten, importeurs en distributeurs van producten met digitale elementen krijgen te maken met de CRA. Daarnaast kunnen fabrikanten een vertegenwoordiger machtigen.

• Fabrikanten van producten met digitale elementen: De meeste verplichtingen gelden voor fabrikanten.  Zij dragen integraal de verantwoordelijkheid voor een veilig product.
• Importeurs: Voor importeurs geldt dat ze in moeten staan voor de veiligheid van het product en actief moeten controleren of producten aan de CRA voldoen. Brengt een importeur het product onder zijn eigen merk op de markt? Dan wordt de importeur beschouwd als fabrikant en gelden alle plichten die ook op een fabrikant van toepassing zijn.   
• Gemachtigde vertegenwoordigers: Fabrikanten kunnen een vertegenwoordiger machtigen die namens hen wettelijke taken uitvoert.
• Distributeurs: Een distributeur daarentegen hoeft alleen passende zorgvuldigheid toe te passen. Dat betekent dat de distributeur moet controleren op de aanwezigheid van de CE-markering op het product. Twijfelt de distributeur of het product wel voldoet aan de wet? Dan brengt die het product niet op de markt.

Door fabrikanten, importeurs en distributeurs te wijzen op hun wettelijke verplichting om aan de CRA te voldoen, weten consumenten duidelijk waar zij op kunnen rekenen. Namelijk veiligere producten met een ondersteuningsperiode die redelijkerwijs te verwachten is.

Welke eisen stelt de CRA?

De belangrijkste eisen uit de CRA worden gesteld aan de producten die op de markt worden gebracht. Daarnaast stelt de CRA eisen aan de inrichting van processen van fabrikanten om hun producten te ontwikkelen, ontwerpen, fabriceren en te onderhouden.

Om veiligheidsproblemen te voorkomen, moet de fabrikant van een product vaststellen met welke functionaliteit en bedoelde werking het product ontwikkeld wordt. De fabrikant voert een risicoanalyse uit, die de basis moet vormen voor het veilig ontwerpen van het product. Het is van belang dat hierbij alle kwetsbaarheden en reële risico’s worden weggenomen. Bij serieuze incidenten of actief uitgebuite kwetsbaarheden wordt de fabrikant verplicht om melding te maken bij de nationale CSIRT en de getroffen gebruikers te informeren en adviseren. Vanaf 11 september 2026 zal dit in Nederland bij het digitale meldloket van het Nationaal Cyber Security Centrum zijn.

De wet eist ook dat de fabrikant een proces inricht om te reageren op kwetsbaarheden en hier direct naar te handelen. Bijvoorbeeld door na zo’n gesignaleerde kwetsbaarheid een beveiligingsupdate te verstrekken. Deze verplichtingen gelden voor de complete verwachte levensduur van het product, maar minimaal voor een periode van vijf jaar.

Wanneer voldoet een product aan de CRA?

De fabrikant is verplicht om te laten controleren of diens product voldoet aan de eisen van de CRA. Één van de eisen is bijvoorbeeld dat de fabrikant beveiligingsproblemen moet kunnen opsporen, melden, oplossen en hierover duidelijk moet communiceren. In veel gevallen mag de fabrikant zo’n conformiteitsbeoordeling zelf uitvoeren: een zogenaamde zelfbeoordeling. In andere gevallen moet dit door een externe partij gebeuren. De fabrikant is verantwoordelijk dat dit gebeurt en voert de CE-markering op het product, zodat deze als zodanig herkenbaar is.

De CRA maakt onderscheid tussen vier verschillende soorten producten, waarvoor de volgende beoordelingen gelden:

1. Reguliere producten, zoals mobiele apps, videogames en IoT-apparatuur. Voor deze producten mag de fabrikant een zelfbeoordeling uitvoeren.
2. Belangrijke producten type 1, zoals beveiligingssoftware of apparatuur, netwerkapparatuur en besturingssystemen. Zelfbeoordeling van deze producten mag alleen op basis van geharmoniseerde Europese normen. Zijn deze er niet? Dan is de fabrikant verplicht om gebruik te maken van een notified body.
3. Belangrijke producten type 2 zijn hypervisors, firewalls en intrusion detection & prevention systemen en manipulatiebestendige microprocessoren en -controllers. Fabrikanten van deze producten moeten de beoordeling laten uitvoeren door een notified body.
4. Kritieke producten zijn smartcards, hardware apparaten met beveiligingskastje en gateways voor slimme meters die bi-directioneel verbruik kunnen meten. Mogelijk kunnen fabrikanten deze producten in de toekomst certificeren via de Cyber Security Act (CSA). Zolang er nog geen geschikt CSA-certificeringsschema is, moeten fabrikanten gebruikmaken van een notified body.

Wat moet u doen?

De CRA stelt regels op voor fabrikanten. Ook importeurs en distributeurs moeten zich aan deze regels houden. Zij moeten ervoor zorgen dat producten met digitale onderdelen aan bepaalde eisen voldoen, en dat dit zo blijft. Daarnaast moeten ze met documenten en meldingen zichtbaar kunnen aantonen dat hun producten aan de eisen voldoen.  
In de 'Gids Cyber Resilience Act' leest u de belangrijkste informatie over deze regels.