Veilige digitale producten verplicht (CRA)

Wat verandert er?

De Cyber Resilience Act (CRA) moet de beveiliging van digitale producten en diensten verbeteren. De CRA heet ook wel de Verordening cyberweerbaarheid. Er gaan andere eisen gelden voor digitale producten, zoals apps, software en apparaten met internetverbinding. De belangrijkste veranderingen:

• Veiligere producten: Vanaf 2027 moeten alle digitale producten, zoals apps, videokaarten of slimme apparaten, veilig ontworpen en geproduceerd zijn. Dit heet security-by-design.
• Uw plichten als ondernemer: Maakt, importeert of verkoopt u digitale producten? Dan moet u zorgen voor beveiligingsupdates en problemen snel melden.
• CE-markering: Uw product krijgt een CE-markering om te laten zien dat het voldoet aan de wet. U beoordeelt vaak zelf of uw product veilig is, maar in sommige situaties moet een externe partij dit doen.
• Meldplicht bij problemen: Ontdekt u een beveiligingslek? Dan moet u dit melden aan de overheid en uw klanten informeren.

Voor wie?

• fabrikanten van digitale producten of software
• gemachtigde vertegenwoordigers die door fabrikanten zijn aangewezen om namens hen verplichtingen uit te voeren
• importeurs die producten in de EU op de markt brengen
• distributeurs die digitale producten verkopen
• softwareontwikkelaars van bijvoorbeeld apps, games of besturingssystemen
• ondernemers in de techsector, zoals makers van IoT-apparaten of netwerkapparatuur

Wat moet u doen?

Om aan de Cyber Resilience Act (CRA) te voldoen, moet u:

• een risicoanalyse maken om zwakke plekken in uw product te vinden
• uw product veilig ontwerpen en maken, zodat het geen beveiligingsrisico’s heeft
• beveiligingsupdates bieden voor minstens 5 jaar of de levensduur van uw product
• een proces opzetten om snel te reageren op beveiligingsproblemen
• een CE-markering aanbrengen als uw product voldoet aan de wet

Wanneer?

De belangrijkste verplichtingen uit de Cyber Resilience Act (CRA) gaan in op 11 december 2027.