Cyber Resilience Act

De Europese Cyber Resilience Act is een juridisch kader dat de cybersecurityvereisten beschrijft voor hardware- en softwareproducten met digitale elementen die op de markt van de Europese Unie worden geplaatst.

Wetboeken
Aangemaakt op: 23 oktober 2022 Bijgewerkt op: 6 september 2024

Kort geleden heeft de Europese Commissie haar voorstel voor de Cyber Resilience Act gepresenteerd. Hierin zijn minimumeisen opgenomen voor producten met digitale inhoud. Deze wet zou burgers moeten helpen bij de keuze voor veilige producten, door cyberveiligheid als minimum vast te stellen en bepaalde transparantie hierover te eisen. Dit ligt in lijn met de digitaliseringsstrategie van de Europese Commissie.

Concept Cyber Resilience Act: toepassing

Het Conceptvoorstel voor de Cyber Resilience Act kent een brede toepassing. Ieder product dat maar iets van digitale inhoud in zich heeft, valt onder de regels. Mits het beoogde of voorzienbare gebruik is om een ​​directe en/of indirecte link van welke aard dan ook tot stand te brengen met een apparaat of netwerk.

Ieder product dat gegevens verwerkt, valt hier dus onder. Daar gelden uiteraard uitzonderingen op. Voor bijvoorbeeld medische hulpmiddelen gelden eigen regels uit de MDR. Dit soort specifieke producten zijn uitgezonderd van de Cyber Resilience Act.

Cyber Resilience Act: verplichtingen

Producten moeten veilig op de markt worden gebracht. De Cyber Resilience Act bevat een bijlage, met daarin beschreven wat onder veilig wordt verstaan. Daarin wordt met name gekeken naar veilige ontwikkeling, productie en het op de markt brengen van de betrokken producten. Maar dat niet alleen. Ook reactief, dus als reactie op technische kwetsbaarheden, worden eisen gesteld.

Het stopt niet bij de ontwikkeling en productie. De Cyber Resilience Act vereist minimum standaarden voor onderhoud van digitale producten. Gedurende maximaal de eerste 5 jaar nadat het product op de markt is gebracht, hoort de veiligheid van het product bijgehouden te worden.

Wat nu?

Zodra de Cyber Resilience Act van kracht wordt, heeft de Europese ontwikkelaar maximaal 2 jaar de tijd om de regels te implementeren. Een grote impact voor productontwikkelaars. Dit, omdat de meeste producten een langere ontwikkelcyclus kennen. En digitale veiligheid lang niet overal in de standaard fabricage is ingebed. Dat een dergelijke wet er komt, daar lijkt het wel zeker van te zijn. Maar in de inhoud kan nog van alles veranderen. Dat neemt niet weg dat het slim is voor ondernemers om nu al te onderzoeken welke cyber risico’s er gelden voor hun producten. En op welke wijze ondernemers alvast kunnen inspelen op het verminderen van deze risico’s.

Vragen over dit blog? Ideeën of opmerkingen?

"*" geeft vereiste velden aan

Laat ons weten wat je bezighoudt. Heb je een vraag voor ons? Stel hem gerust.
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
← Terug naar blogoverzicht