EP en EC zijn het eens over de Cyber Resilience Act (CRA)

Vrijdag hebben het Europees Parlement en de Europese Commissie een akkoord bereikt over de tekst van de Cyber Resilience Act (CRA). Met deze cyberweerbaarheidswet gaat iedere schakel in de keten van hardware en software te maken krijgen. Fabrikanten, importeurs, distributeurs, resellers voor B2B en B2C moeten de zaakjes binnen 36 of 21 maanden voor elkaar krijgen. Cyber_Resilience_EU 480270De scope van deze Europese wet is “digitale producten” en dat kan gelezen worden als hardware en software. De veiligheid van die twee moet op een blijvend hoger niveau komen, om redenen die iedereen wel begrijpt.

36 maanden

In de eerste reacties op het besluit blijkt dat de echter experts (dus niet de aanbieders) teleurgesteld zijn in de termijn van 36 maanden. Dat is namelijk een oprekking van de 24 maanden die in het eerste voorstel stonden. De lobby van de aanbodzijde heeft er voor gezorgd dat het nog mogelijk is drie jaar goederen op de EU markt te brengen die onveilig zijn. Helemaal terecht is die kritiek niet, want er is ook een termijn van 21 maanden vastgelegd in de definitieve tekst. Dat is de periode die fabrikanten, importeurs en distributeurs hebben de processen in te richten op de verplichte meldplicht richting de toezichthouder voor incidenten en lekken.

Dropshippers

Die laatste zin lijkt weinig spannend. Een fabrikant kan in die periode een database voor het bijhouden van meldingen bouwen en zorgen dat er een automatische feed naar de toezichthouder komt. Als je echter goed kijkt naar de tekst zie je ook dat importeurs en distributeurs dit proces moeten inrichten. De kans dat een dropshipper snapt dat dit ook zijn business raakt kan wel eens erg klein zijn. Dat is geen toeval. Tijdens het proces dat voorafging aan het akkoord is ook in kaart gebracht wat de collateral damage van de CRA zou kunnen zijn en of dat erg is. Dropshippers en vormen van parallel import worden door de CRA geraakt. Schijnbaar is dat nadeel geringer dan de voordelen.

Software

Onder druk van de lobby van fabrikanten mogen besturingssystemen voor servers, desktops en mobiele apparaten, routers en chipkaartlezers in de toekomst alleen nog met een verklaring van de fabrikant op de markt verschijnen. Ook in dat opzicht zal de CRA zorgen voor collateral damage.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein