De verordening Cyberweerbaarheid of Cyber Resilience Act (CRA) is een aankomende EU-verordening die alle geconnecteerde producten cyberveiliger zal maken. Als de verordening in het najaar van 2024 formeel wordt aangenomen, zal deze naar verwachting een langdurige impact hebben op het cyberveiligheidslandschap in Europa, met voelbare positieve gevolgen voor onze samenleving en economie. Als nationale autoriteit voor cyberveiligheid is het CCB reeds begonnen met de nationale voorbereidingen om marktdeelnemers te ondersteunen bij de naleving van de nieuwe regels.

Maar wat houdt de CRA precies in? Welke producten vallen onder de nieuwe regels? Wat moeten fabrikanten precies doen? Wat zijn de gevolgen van de CRA voor consumenten? En, het allerbelangrijkste, wanneer treedt deze in werking?

Deze pagina geeft een eerste antwoord op deze vragen en zal de komende maanden worden bijgewerkt met meer gedetailleerde richtlijnen.

1. Omvang van de betrokken producten

De CRA is de eerste Europese verordening die minimale cyberbeveiligingseisen oplegt voor alle geconnecteerde producten die in de EU op de markt worden gebracht. Het doel: het zogenaamde "internet of things" (IoT) veiliger maken.

Producten die onder de CRA vallen variëren van goedkope consumentenproducten tot B2B-software en hoogwaardige complexe industriële systemen. Meer specifiek worden "producten met digitale elementen" gedefinieerd als producten die kunnen worden geconnecteerd op een apparaat of netwerk van een of andere soort en omvatten:

• hardware producten met geconnecteerde functies zoals bijvoorbeeld smartphones, laptops, thuiscamera's, smartwatches, geconnecteerde speelgoed maar ook modems, firewalls en slimme meters,
• software die niet in een product is ingebouwd en op zelfstandige basis wordt verkocht, bijvoorbeeld boekhoudsoftware, online games en mobiele apps.

Producten die NIET onder de CRA-vereisten vallen zijn onder andere niet-commerciële open source software, clouddiensten en software as a service (SaaS), de laatste twee zijn al gereguleerd onder de NIS2-richtlijn.

2. Belangrijkste verplichtingen voor fabrikanten

Alle fabrikanten die producten op de EU-markt brengen, moeten aan de CRA voldoen, zelfs als ze buiten de EU gevestigd zijn. De nieuwe vereisten omvatten drie hoofdtypen bepalingen:

• minimumvereisten, in lijn met de principes van "cybersecurity by design" en "cybersecurity by default", die van toepassing zijn op producten voordat ze op de markt worden gebracht (bv. ervoor zorgen dat gevoelige gegevens die in het product zijn opgeslagen, worden versleuteld, dat het aanvalsoppervlak zo beperkt mogelijk is enz. ...),
• verplichtingen gedurende de hele levenscyclus van het geconnecteerde product, met name wat betreft het beheer van kwetsbaarheden (bv. standaard automatische installatie van security updates, ...)
• regels voor markttoezicht en handhaving, met verschillende niveaus van conformiteitsbeoordelingen afhankelijk van het belang en de kriticiteit van het product, gaande van zelfbeoordeling door de fabrikant tot verplichte audits door derden of certificering.

3. Impact voor gebruikers

Vandaag vinden consumenten het vaak moeilijk om te weten of een geconnecteerde product voldoende veilig is, of dat het gemakkelijk gehackt kan worden door derden. Dankzij de CRA hebben consumenten de garantie dat de producten die ze in de EU kopen voldoen aan de minimumnormen en bijvoorbeeld geen bekende grote kwetsbaarheid of zwakke standaardinstellingen hebben.

De CRA stelt consumenten ook in staat beter geïnformeerde keuzes te maken door fabrikanten te verplichten transparant te zijn over de datum tot wanneer security updates voor het product zullen worden geleverd. Met andere woorden, gebruikers zullen producten niet alleen kunnen vergelijken op basis van hun prijs en functies, maar ook op basis van de duur van de ondersteuningsperiode - een belangrijke indicator om ervoor te zorgen dat producten tijdens hun verwachte levensduur op een veilige manier kunnen worden gebruikt.

4. Meer weten

De implementatie van de CRA zal plaatsvinden in verschillende fases van eind 2024 tot 2027. Lees voor meer informatie onze Vragen en antwoorden over de CRA.