Cyber Resilience Act: welke producten vallen eronder?

Verordening (EU) 2024/2847, de zogenaamde Cyber Resilience Act (CRA), werd aangenomen op 23 oktober 2024 en is op 10 december 2024 in werking getreden. Ze legt cybersecurityvereisten op aan producten met digitale elementen die op de Europese markt worden aangeboden.

Welke producten

Geviseerd worden producten — hardware of software — waarvan het beoogde, of redelijkerwijs te voorziene, gebruik een logische of fysieke verbinding, rechtstreeks of onrechtstreeks, met een toestel of een netwerk inhoudt. Het toepassingsgebied is ruim: van verbonden voorwerpen tot toepassingen. Bepaalde producten die al onder sectorale regelgeving vallen — medische hulpmiddelen, automobiel, luchtvaart, bijvoorbeeld — zijn uitgesloten.

Welke verplichtingen

De verordening legt essentiële cybersecurityvereisten vast, na te leven vanaf het ontwerp en gedurende de hele levenscyclus, samen met een beheer van kwetsbaarheden. Ze voorziet in technische documentatie, procedures voor conformiteitsbeoordeling, en de CE-markering die de naleving van de vereisten bevestigt. Deze verplichtingen rusten op de fabrikanten, maar ook op de invoerders en de distributeurs.

Het tijdpad

De CRA wordt volledig van toepassing op 11 december 2027. Twee mijlpalen gaan daaraan vooraf: de meldingsplichten van de fabrikanten — actief uitgebuite kwetsbaarheden en ernstige incidenten — gelden vanaf 11 september 2026, en bepaalde verplichtingen voor de conformiteitsbeoordelingsinstanties vanaf 11 juni 2026.

Voor organisaties die zulke producten ontwerpen of integreren, wordt de conformiteit stroomopwaarts voorbereid; het bepalen van de eigen rol in de waardeketen is het vertrekpunt.