De Europese Commissie heeft de Cyber Resilience Act (CRA) gepubliceerd. Daarmee is de nieuwe verordening definitief en wordt hij stapsgewijs van kracht vanaf 11 december 2024. De CRA stelt wettelijke eisen aan digitale iot-producten, zoals hardware, software en apps, om de digitale veiligheid van consumenten en bedrijven in de EU te verbeteren.
Met de Cyber Resilience Act wil de Europese Unie de bestaande wetgeving verduidelijken en versterken, zodat de veiligheid van producten met digitale elementen in de gehele toeleveringsketen en levenscyclus gewaarborgd blijft. De verordening heeft betrekking op diverse soorten internet-of-things-(iot)-apparaten en hun software. De producten moeten aan de regels voldoen voordat ze op de markt komen. Er geldt ook een meldplicht voor incidenten en kwetsbaarheden.
De invoering van de CRA gaat gefaseerd. In de eerste anderhalf jaar worden standaarden ontwikkeld. De meldplicht gaat in op 11 september 2026. Alle producten moeten vanaf 11 december 2027 volledig aan de regels voldoen.
RDI houdt toezicht
Europese Commissie-voorzitter Ursula von der Leyen kondigde de Cyber Resilience Act aan in 2021. In september 2022 diende de commissie het officiële voorstel in, waarna in november 2023 een voorlopig akkoord werd bereikt. Een maand later volgde instemming van het Europees Parlement en afgelopen oktober kwam de verordening door de Raad van de Europese Unie. Twintig dagen na de publicatie in het officiële EU-publicatieblad treedt ze in werking. Dat is dus vanaf 11 december 2024. In Nederland is de Rijksinspectie Digitale Infrastructuur (RDI) belast met de handhaving en het toezicht.
