Producten met digitale elementen
De CRA is van toepassing op fabrikanten, importeurs en distributeurs van producten met digitale elementen die verbonden kunnen worden. Hieronder vallen hardware- en softwareproducten die direct of indirect verbonden kunnen worden met andere apparaten of netwerken, via snoeren, USB-ingangen, draadloze verbindingen, API’s, andere software-interfaces, et cetera.
De CRA maakt geen onderscheid tussen hardware- en softwareproducten die een kritieke functie ondersteunen en producten die dat niet doen. Reden daarvoor is dat ook hardware en software die geen kritieke functies ondersteunen, door hackers kunnen worden misbruikt om toegang te kunnen krijgen tot een netwerk om van daaruit rechten te verhogen en andere (wel kritieke) systemen te benaderen. Alle producten met digitale elementen zullen feitelijk moeten worden ontworpen en ontwikkeld overeenkomstig de cyberbeveiligingsvereisten van de CRA: laptops, smartphone-apps, besturingssoftware in sluizen, slimme deurbellen, et cetera.
Uitgezonderde producten
Voor bepaalde categorieën producten met digitale elementen gelden reeds specifieke cyberbeveiligingsvereisten. Deze categorieën zijn om die reden uitgezonderd van het toepassingsbereik van de CRA. Dit geldt bijvoorbeeld voor medische software die al wordt gereguleerd op grond van de Medical Devices Regulation (MDR).
Ook voor cloudcomputingdiensten geldt een uitzondering. Middelgrote en grote leveranciers van clouddiensten vallen immers al onder het beveiligingsregime voor kritieke infrastructuurdiensten in NIS2. Hierbij past nog wel een kanttekening. Wanneer een losstaand product namelijk gebruikmaakt van rekenkracht op afstand voor diens functionaliteit, dan valt het product, incl. die rekenkracht op afstand, wel onder het toepassingsbereik van de CRA.
Ten slotte geldt een uitzondering voor producten met digitale elementen die niet worden geleverd in het kader van een handelsactiviteit. Hiermee wordt software die beschikbaar wordt gemaakt door overheidsinstanties of door non-profitorganisaties op basis van een open source licentie (grotendeels) buiten het toepassingsbereik van de CRA gehouden.
CE-markering
Fabrikanten van producten met digitale elementen moeten straks voldoen aan een aantal verplichtingen, waaronder:
- Het product moet voldoen aan essentiële cyberbeveiligingsvereisten;
- Het uitvoeren van een beoordeling van cyberrisico’s en deze opnemen in de technische documentatie van het product;
- Beschikken over procedures om kwetsbaarheden effectief aan te pakken gedurende de verwachte levensduur van het product (o.a. gratis security-patches en beleid voor coordinated vulnerability disclosure);
- Een conformiteitsbeoordeling (laten) uitvoeren;
- Producten voorzien van een CE-markering; en
- Uitgebuite kwetsbaarheden en incidenten melden aan het coördinerende CSIRT, ENISA en getroffen gebruikers.
Importeurs en distributeurs mogen een product met digitale elementen pas in de handel brengen als zij hebben vastgesteld dat de fabrikant aan de eisen heeft voldaan.
Toezicht en handhaving
Om de naleving en handhaving van de CRA te garanderen, zijn de EU-lidstaten verplicht een of meer bevoegde toezichthoudende autoriteiten aan te wijzen. In Nederland zal dit waarschijnlijk de Rijksinspectie Digitale Infrastructuur (RDI) zijn. Toezichthouders kunnen straks een administratieve geldboete opleggen tot ten hoogste EUR 15 miljoen of 2,5% van de totale wereldwijde jaaromzet als dat laatste bedrag hoger is.
Met ingang van 11 september 2027 moeten producten met digitale elementen voldoen aan de beveiligingsvereisten van de CRA. De meldplichten op grond van de CRA gaan al een jaar eerder in. Vanaf 11 september 2026 moeten actief uitgebuite kwetsbaarheden en beveiligingsincidenten worden gemeld.
Vragen?
Voor vragen over de Cyber Resilience Act neemt u contact op met Jeroen van Helden, Advocaat IT, Privacy & Cybersecurity.
Nieuwsbrief
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Klik dan hier om u in te schrijven voor de nieuwsbrief!