Het gaat hierbij niet alleen om fysieke, digitale apparaten, maar ook om software en apps. Fabrikanten moeten hun producten op een veilige manier ontwerpen en bouwen. En zij moeten gedurende de economische levensduur de producten ondersteunen met veiligheidsupdates en kwetsbaarheidsmanagementsystemen. Daarnaast verplicht de CRA de fabrikanten en ook nationale cybersecurity coördinatoren zoals het NCSC, om actief te informeren bij incidenten of uitbuitbare kwetsbaarheden.
De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen.
- De eerste 18 maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden.
- Op 11 september 2026 gaat de meldplicht voor actief misbruikte kwetsbaarheden en incidenten in.
- De streefdatum voor de beschikbaarheid van standaarden en notified bodies is 11 december 2026, zodat producten alvast op conformiteit beoordeeld kunnen worden
- Op 11 december 2027 gaan alle eisen in en moeten de producten, de software en de apps voldoen aan de CRA
(bron: RDI)