De Cyber Resilience Act (CRA) is afgelopen vrijdag door de EU raad aangenomen. De verordening benoemt de cyberbeveiligingseisen voor producten met digitale elementen, om bepaalt dat producten, zoals thuiscamera’s, koelkasten, tv’s en speelgoed, veilig zijn voordat ze op de markt worden gebracht.
De nieuwe verordening is bedoeld om de hiaten op te vullen, de verbanden te verduidelijken en het bestaande wetgevingskader voor cyberbeveiliging coherenter te maken, zodat producten met digitale componenten, bijvoorbeeld “Internet of Things” (IoT)-producten, veilig worden gemaakt in de hele toeleveringsketen en gedurende hun hele levenscyclus.
Belangrijkste elementen van de nieuwe verordening
De nieuwe wet introduceert EU-brede cyberbeveiligingseisen voor het ontwerp, de ontwikkeling, de productie en het op de markt aanbieden van hardware- en softwareproducten, om overlappende eisen uit verschillende wetgevingen in EU-lidstaten te voorkomen. Software- en hardwareproducten worden bijvoorbeeld voorzien van een CE-markering om aan te geven dat ze voldoen aan de vereisten van de verordening. De letters ‘CE’ staan op veel producten die worden verhandeld op de uitgebreide interne markt in de Europese Economische Ruimte (EER). Ze geven aan dat producten die in de EER worden verkocht, voldoen aan hoge eisen op het gebied van veiligheid, gezondheid en milieubescherming.
De verordening is van toepassing op alle producten die direct of indirect verbonden zijn met een ander apparaat of met een netwerk. Er zijn enkele uitzonderingen voor producten waarvoor de eisen op het gebied van cyberbeveiliging al zijn vastgelegd in bestaande EU-regels, bijvoorbeeld medische apparatuur, luchtvaartproducten en auto’s.
Ten slotte zal de nieuwe verordening consumenten in staat stellen rekening te houden met cyberbeveiliging bij het kiezen en gebruiken van producten die digitale elementen bevatten, zodat ze gemakkelijker hardware- en softwareproducten met de juiste cyberbeveiligingsfuncties kunnen identificeren.
Volgende stappen
Na de goedkeuring zal het wetgevingsbesluit in de komende weken worden ondertekend door de voorzitters van de Raad en het Europees Parlement en worden gepubliceerd in het Publicatieblad van de EU. De nieuwe verordening treedt twintig dagen na deze publicatie in werking en wordt 36 maanden na de inwerkingtreding van toepassing, waarbij sommige bepalingen eerder van kracht worden.
Achtergrond
De CRA “cyberweerbaarheidswet” is voor het eerst aangekondigd door Commissievoorzitter von der Leyen in haar State of the Union-toespraak in september 2021 en werd genoemd in de conclusies van de Raad van 23 mei 2022 over de ontwikkeling van de cyberhouding van de Europese Unie, waarin de Commissie werd opgeroepen haar voorstel uiterlijk eind 2022 in te dienen.
Op 15 september 2022 heeft de Commissie het voorstel voor een CRA ingediend, die een aanvulling zal vormen op het bestaande EU-kader voor cyberbeveiliging: de richtlijn inzake de beveiliging van netwerk- en informatiesystemen (de NIS-richtlijn), de richtlijn inzake maatregelen voor een hoog niveau van cyberbeveiliging in de Unie (de NIS 2-richtlijn) en de EU-cyberbeveiligingswet. Na interinstitutionele onderhandelingen (“trialogen”) is op 30 november 2023 een voorlopig akkoord bereikt tussen de medewetgevers.