30 november zijn het Europees Parlement en de Europese Raad tot een akkoord gekomen over de Cyber Resilience Act (CRA), een Europese cybersecuritywet die een zeer grote impact gaat hebben. Alle “producten met digitale elementen” (alle hardware en software) moeten straks aan een set cybersecurity-eisen voldoen.
Deze wet is in tegenstelling tot de NIS2 niet beperkt tot middelgrote en grote bedrijven. Ieder product dat op de markt verschijnt in de EU moet hieraan voldoen. De CRA treedt over een aantal jaar in werking. Beleidsadviseur Jelmer Schreuder van NLDigital vertelt je in dit artikel meer over deze wet en wat dit voor gevolgen heeft.
In principe komen alle hard- en software, in de wet benoemd als “producten met digitale elementen”, onder de wet te vallen. Er zijn wel uitzonderingen opgenomen voor Software as a Service (SaaS, is al gereguleerd onder de NIS2), voor reserveonderdelen die volgens hetzelfde proces als het product ontwikkeld zijn en voor open source die niet commercieel aangeboden is. Op SaaS is overigens wel weer een uitzondering op de uitzondering: wanneer een losstaand product gebruikmaakt van “rekenkracht op afstand” voor diens functionaliteit, dan valt die “rekenkracht op afstand” wel onder de CRA.
Om een indruk te geven van wat hieronder gaat vallen: dit loopt van een evenementen-app op je telefoon, tot de telefoon zelf, tot de robot in een productielijn en de besturingssoftware in een sluis. Het gaat over ieder product dat digitale componenten bevat en aan te sluiten is (permanent, draadloos, met usb-stick, etc.).
Meer weten over de reikwijdte en meldplicht? Klik op ‘Meer informatie’ onder aan dit artikel.
