De Europese Commissie heeft vandaag in het Publicatieblad van de Europese Unie de Cyber Resilience Act (CRA) gepubliceerd, die onder andere ervoor moet zorgen dat producten minimaal vijf jaar beveiligingsupdates ontvangen. Ook komt er een meldplicht voor actief misbruikte kwetsbaarheden. De CRA treedt op 10 december dit jaar in werking. Vanaf 10 december 2027 moeten alle producten met digitale elementen aan de CRA voldoen.

De Cyber Resilience Act stelt onder andere 'essentiële cyberbeveiligingsvereisten' aan producten met digitale elementen. Het gaat hierbij niet alleen om fysieke, digitale apparaten, zoals IoT-apparatuur, firewalls of netwerkapparatuur, maar ook software zoals videogames, mobiele apps of besturingssystemen en componenten zoals videokaarten en software libraries.

"Twee grote problemen die kosten voor gebruikers en de samenleving met zich meebrengen, moeten worden aangepakt: een laag niveau van cyberbeveiliging van producten met digitale elementen, dat tot uiting komt in wijdverbreide kwetsbaarheden en de ontoereikende en inconsistente verstrekking van beveiligingsupdates om die aan te pakken, en onvoldoende inzicht in en toegang tot informatie door gebruikers, waardoor zij niet in staat zijn producten met passende cyberbeveiligingskenmerken te kiezen of die op een veilige manier te gebruiken", zo staat in de tekst van de CRA.

De eisen die de CRA stelt moeten ervoor zorgen dat. fabrikanten op een veilige manier producten ontwerpen, ontwikkelen en onderhouden. Zo moeten fabrikanten hun product minimaal vijf jaar van beveiligingsupdates voorzien. Ook vereist de wet dat feabrikanten een proces inrichten om te reageren op kwetsbaarheden en om deze direct te kunnen verhelpen, bijvoorbeeld door een beveiligingsupdate te verstrekken.

Meldplicht

Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, waarschuwden eerder nog voor deze meldplicht. De verstrekte informatie zou voor surveillance en inlichtingendoeleinden zijn te misbruiken. Ondanks de zorgen wordt de meldplicht toch ingevoerd.

"De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen", zo laat de Rijksinspectie Digitale Infrastructuur (RDI) weten. "De eerste achttien maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden." De RDI gaat toezicht op het naleven van de CRA houden.