Cyber Resilience Act in werking getreden

De CRA richt zich zowel op de producten als op de processen die fabrikanten gebruiken bij de ontwikkeling, het ontwerp, de productie en het onderhoud. Fabrikanten moeten vooraf vaststellen hoe hun product zal functioneren en een risicoanalyse uitvoeren. Deze analyse vormt de basis voor een veilig ontwerp dat kwetsbaarheden en risico’s wegneemt.

Incidenten en kwetsbaarheden melden

Vanaf 11 september 2026 zijn fabrikanten daarnaast verplicht om serieuze incidenten of kwetsbaarheden te melden bij de nationale CSIRT, wat in Nederland het Nationaal Cyber Security Centrum is (NCSC). Ook moeten zij getroffen gebruikers informeren en adviseren. Bovendien moeten fabrikanten een proces inrichten om snel op kwetsbaarheden te reageren, bijvoorbeeld door beveiligingsupdates te verstrekken. Deze verplichtingen gelden gedurende de verwachte levensduur van het product, maar in ieder geval minimaal vijf jaar.

Hoewel de wet nu van kracht is, hoeven fabrikanten nog niet direct aan alle eisen te voldoen. Vanaf september 2026 geldt de meldplicht voor kwetsbaarheden en incidenten, terwijl de volledige naleving van de wet vereist is vanaf december 2027. Daarnaast zijn producten zoals draadloos verbonden apparaten, waaronder laptops en slimme deurbellen, al vanaf augustus 2025 onderworpen aan cybersecurityeisen volgens de Radio Equipment Directive (RED).

Voorbereiden

In de aanloop naar december 2027 kunnen fabrikanten, distributeurs en importeurs zich voorbereiden door de vereisten van de CRA te bestuderen en hun producten en processen in lijn te brengen met de wet. Afnemers kunnen in de tussentijd letten op de CE-markering, die vanaf augustus 2025 aangeeft dat een product voldoet aan de cybersecurityeisen van de RED, en na 2027 ook aan de CRA. Daarnaast kunnen gebruikers en organisaties tot die tijd zelf contractuele afspraken maken met fabrikanten over de digitale veiligheid van producten.

Lees op de website van RDI welke soorten producten aan de CRA moeten voldoen