De Europese Cyber Resilience Act (CRA), die onder andere ervoor moet zorgen dat producten minimaal vijf jaar beveiligingsupdates ontvangen, is vandaag officieel in werking getreden. "Omdat de CRA een verordening is, hoeft deze niet vertaald te worden naar Nederlandse wetgeving, maar is deze direct van kracht", zo laat de Rijksinspectie Digitale Infrastructuur (RDI) weten.

De Cyber Resilience Act stelt onder andere 'essentiële cyberbeveiligingsvereisten' aan producten met digitale elementen. Het gaat hierbij niet alleen om fysieke, digitale apparaten, zoals IoT-apparatuur, firewalls of netwerkapparatuur, maar ook software zoals videogames, mobiele apps of besturingssystemen en componenten zoals videokaarten en software libraries. Ook komt er een meldplicht voor fabrikanten om actief misbruikte kwetsbaarheden en incidenten te rapporteren.

Hoewel de CRA vandaag officieel in werking is getreden houdt dit niet in dat fabrikanten onmiddellijk aan alle eisen moeten voldoen. De meldplicht gaat op 10 september 2026 in. Fabrikanten moeten dergelijke beveiligingslekken binnen 24 uur bij een centraal meldingsplatform rapporteren. In Nederland zou dit het Nationaal Cyber Security Centrum (NCSC) zijn. Verdere informatie zou binnen 72 uur moeten volgen, zoals te nemen mitigatiemaatregelen. Alle producten met digitale elementen moeten vanaf december 2027 volledig aan de CRA voldoen.

Volgens de RDI zorgt de Cyber Resilience Act voor een 'nieuw tijdperk van digitale veiligheid'. "Deze wet zal niet alleen consumenten beter beschermen, maar ook bedrijven een solide basis bieden voor cyberveiligheid." De Rijksinspectie Digitale Infrastructuur gaat toezicht op het naleven van de CRA houden.