De Europese Unie heeft een belangrijke stap gezet in de versterking van digitale veiligheid met de goedkeuring van de Cyber Resilience Act begin deze maand. Deze nieuwe wetgeving vormt een mijlpaal in de Europese cybersecurity-regelgeving en introduceert een uitgebreid kader voor de beveiliging van digitale producten in de Europese markt.
De CRA richt zich specifiek op fabrikanten, distributeurs en importeurs van hardware en software, met als doel het waarborgen van de veiligheid van digitale producten gedurende hun volledige levenscyclus. De wet stelt bindende veiligheidseisen voor producten die in de EU worden verkocht, waaronder software en IoT-apparaten zoals webcams en smart-tv’s.
Voordelen voor de consument
De wet verplicht fabrikanten om cybersecurity te integreren vanaf de ontwerpfase van hun producten en legt de verantwoordelijkheid bij hen om de veiligheid van hun producten gedurende de gehele levensduur te waarborgen. In essentie betekent de CRA dat consumenten in Europa in de toekomst over het algemeen veiligere digitale producten kunnen verwachten. Of het nu gaat om smartphones, laptops, slimme apparaten voor in huis of andere verbonden apparaten, de CRA stelt hogere eisen aan de ingebouwde beveiliging van deze producten.
Concreet kun je denken aan:
- Meer aandacht voor beveiliging bij de ontwikkeling: fabrikanten zullen vanaf nu al in een vroeg stadium van de productontwikkeling rekening moeten houden met cybersecurity. Dit betekent dat producten beter bestand moeten zijn tegen cyberaanvallen.
- Verplichte beveiligingsupdates: als er een beveiligingslek in een product wordt ontdekt, zijn fabrikanten verplicht om hiervoor zo snel mogelijk een gratis update uit te brengen. Dit zorgt ervoor dat producten langer veilig blijven.
- Meer transparantie: consumenten krijgen meer informatie over de beveiligingsmaatregelen die in een product zijn geïntegreerd. Dit maakt het makkelijker om weloverwogen keuzes te maken bij de aanschaf van nieuwe apparaten.
Pas in 2027 effect?
De implementatie van de Cyber Resilience Act zal in 2025 van start gaan, waarbij bedrijven een overgangsperiode van 24 maanden krijgen om hun producten en processen aan te passen aan de nieuwe vereisten. Deze periode stelt organisaties in staat om cybersecurity volledig te integreren in hun productontwikkeling en bedrijfsvoering. Of in de periode van 2025 tot 2027 al wat te merken is van veranderingen in de productie van apparaten is natuurlijk de vraag.
Producenten moeten in 2027 kunnen aantonen dat hun producten voldoen aan de essentiële cyberveiligheidsvereisten voordat ze op de Europese markt worden gebracht. Dit omvat onder meer het uitvoeren van risicobeoordelingen en het implementeren van passende beveiligingsmaatregelen. Waarschijnlijk zal de CRA een aanzienlijke impact hebben op de wereldwijde technologie-industrie, aangezien veel bedrijven hun producten zullen moeten aanpassen om toegang te behouden tot de Europese markt.
De CRA werkt complementair aan andere EU-wetgeving op het gebied van digitale veiligheid, zoals de Algemene Verordening Gegevensbescherming (AVG) en de NIS2-richtlijn. Samen vormen deze wetten een juridisch kader dat de digitale weerbaarheid van de Europese Unie versterkt en consumenten beschermt.
Meer informatie over de CRA te vinden via https://www.digitaleoverheid.nl/nieuws/europese-raad-keurt-cyber-resilience-act-goed/
