Deze nieuwe EU-verordening over "horizontale cyberbeveiligingseisen voor producten met digitale elementen" richt zich op een belangrijke bron van kwetsbaarheden: het lage niveau van cyberbeveiliging van veel verbonden producten die op de Europese markt worden verkocht, van verbonden speelgoed tot slimme tv’s en van B2B-software tot complexe industriële systemen met connectiviteitsfuncties. Voor het eerst legt de CRA minimale cyberbeveiligingseisen op aan deze producten, zowel vóór als na hun introductie op de markt, en zorgt ervoor dat cyberbeveiligingskwetsbaarheden gedurende de hele levenscyclus van een product worden aangepakt.

Het oorspronkelijke voorstel voor deze verordening werd op 15 september 2022 door de Europese Commissie ingediend. In het kader van het EU-wetgevingsproces werd het vervolgens onderzocht door de Raad van de EU en het Europees Parlement. Beide instellingen bereikten op 30 november 2023 overeenstemming over een herziene tekst. Na enkele procedurele vertragingen in verband met de organisatie van de Europese verkiezingen van 9 juni 2024, werd de CRA pas op 20 november 2024 ondertekend en gepubliceerd in het Publicatieblad van de EU. De tekst treedt officieel in werking 20 dagen na publicatie, namelijk op 10 december 2024.

Tijdens het hele goedkeuringsproces speelde België een actieve rol in het bevorderen van een proportionele aanpak van de CRA-eisen. In lijn met de aanbevelingen van het CCB pleitten wij voor eenvoudige maatregelen die een echte impact hebben op het verminderen van kwetsbaarheden, zoals de invoering van een standaardinstelling waarbij beveiligingsupdates automatisch worden geïnstalleerd, of de verplichting voor fabrikanten om gebruikers te informeren over de duur van de ondersteuningsperiode voor hun verbonden producten (d.w.z. de datum tot wanneer zij zich ertoe verbinden beveiligingsupdates te leveren).

In de praktijk is een overgangsperiode voorzien om ervoor te zorgen dat economische actoren voldoende tijd hebben om zich aan te passen aan de nieuwe eisen:

• In de eerste fase, die 21 maanden vanaf vandaag ingaat, zullen fabrikanten van verbonden producten incidenten en kwetsbaarheden die de beveiliging van hun producten beïnvloeden, moeten melden aan de overheid. Dit zal meer transparantie creëren en zorgen voor een snelle ontwikkeling en implementatie van beveiligingsupdates om kwetsbaarheden te verhelpen.

• In een tweede fase, die over 3 jaar ingaat, zullen alle CRA-eisen van toepassing zijn, inclusief bepalingen over standaardbeveiliging, gebruikerstransparantie en markttoezicht. Tegen die tijd zullen verbonden producten een conformiteitsbeoordeling moeten ondergaan voordat ze in Europa mogen worden verkocht, ongeacht waar de fabrikant zich bevindt. Voor laagrisicoproducten is een vereenvoudigd nalevingsproces voorzien op basis van zelfverklaring, terwijl de belangrijkste en meest kritieke producten onderworpen zullen worden aan een gedetailleerde beoordeling door derde auditors (zogenaamde "conformiteitsbeoordelingsinstanties").

Voor meer gedetailleerde informatie over de nieuwe regels, zie onze CRA-pagina en de pagina met met antwoorden op veelgestelde vragen (FAQ) of raadpleeg de volledige tekst van de Verordening.