EP en EC zijn het eens over de Cyber Resilience Act (CRA)

Vrijdag hebben het Europees Parlement en de Europese Commissie een akkoord bereikt over de tekst van de Cyber Resilience Act (CRA). Met deze cyberweerbaarheidswet gaat iedere schakel in de keten van hardware en software te maken krijgen. Fabrikanten, importeurs, distributeurs, resellers voor B2B en B2C moeten de zaakjes binnen 36 of 21 maanden voor elkaar krijgen. De scope van deze Europese wet is “digitale producten” en dat kan gelezen worden als hardware en software. De veiligheid van die twee moet op een blijvend hoger niveau komen, om redenen die iedereen wel begrijpt.

36 maanden

In de eerste reacties op het besluit blijkt dat de echter experts (dus niet de aanbieders) teleurgesteld zijn in de termijn van 36 maanden. Dat is namelijk een oprekking van de 24 maanden die in het eerste voorstel stonden. De lobby van de aanbodzijde heeft er voor gezorgd dat het nog mogelijk is drie jaar goederen op de EU markt te brengen die onveilig zijn. Helemaal terecht is die kritiek niet, want er is ook een termijn van 21 maanden vastgelegd in de definitieve tekst. Dat is de periode die fabrikanten, importeurs en distributeurs hebben de processen in te richten op de verplichte meldplicht richting de toezichthouder voor incidenten en lekken.

Dropshippers

Die laatste zin lijkt weinig spannend. Een fabrikant kan in die periode een database voor het bijhouden van meldingen bouwen en zorgen dat er een automatische feed naar de toezichthouder komt. Als je echter goed kijkt naar de tekst zie je ook dat importeurs en distributeurs dit proces moeten inrichten. De kans dat een dropshipper snapt dat dit ook zijn business raakt kan wel eens erg klein zijn. Dat is geen toeval. Tijdens het proces dat voorafging aan het akkoord is ook in kaart gebracht wat de collateral damage van de CRA zou kunnen zijn en of dat erg is. Dropshippers en vormen van parallel import worden door de CRA geraakt. Schijnbaar is dat nadeel geringer dan de voordelen.

Software

Onder druk van de lobby van fabrikanten mogen besturingssystemen voor servers, desktops en mobiele apparaten, routers en chipkaartlezers in de toekomst alleen nog met een verklaring van de fabrikant op de markt verschijnen. Ook in dat opzicht zal de CRA zorgen voor collateral damage.