28 april 2025

Cyber Resilience Act: tijd om in actie te komen

De Cyber Resilience Act (CRA) is de eerste Europese wet die verplichte cyberbeveiliging introduceert voor álle digitale producten die op de Europese interne markt komen. Onlangs eindigde een nationale consultatie om te bepalen hoe deze wet in ons land moet worden ingevoerd. Intussen kunnen fabrikanten, importeurs en distributeurs van producten die onder de CRA vallen zich nu al voorbereiden op wat komen gaat.

De Europese regels rondom de cyberveiligheid van digitale producten staan al vast (zie ook de officiële EU-website voor wet- en regelgeving). Die bepalen welke beveiligingseisen hiervoor straks gelden. De nationale consultatie diende om vast te stellen hoe die regels in de praktijk in Nederland worden toegepast, dus om antwoord te krijgen op vragen als: wie gaat erop toezien dat bedrijven zich eraan houden? En hoe wordt de handhaving geregeld? Kortom, het ging in de consultatie niet over de regels zelf, maar over hoe die in ons land gehandhaafd gaan worden.

Technische maatregelen

Hoewel er nog geen Europese normen zijn vastgesteld voor de technische eisen (zoals genoemd in bijlage III van de CRA), doen fabrikanten er verstandig aan om nú al te beginnen met het treffen van technische maatregelen die aansluiten bij de verplichtingen uit de wet. Een goed beginpunt is bijlage I van de CRA. Die bevat de essentiële eisen voor cyberbeveiliging. Fabrikanten die deze nu al in hun product verwerken én documenteren, kunnen straks sneller en efficiënter voldoen aan de nieuwe regels.

Gebruiksdocumentatie

Naast technische maatregelen vraagt de CRA ook om duidelijke informatie voor de gebruikers van de producten waarop de CRA betrekking heeft. Dit is vastgelegd in bijlage II en hoort bij de verplichte technische documentatie (bijlage VII). Fabrikanten en leveranciers kunnen alvast aan de slag met onder andere:

  • Een duidelijke uitleg over wat het product doet en waarvoor het bedoeld is;
  • Instructies voor installatie, gebruik en onderhoud;
  • Informatie over hoe lang het product ondersteund wordt;
  • Hoe en wanneer beveiligingsupdates beschikbaar komen;
  • Hoe gebruikers kwetsbaarheden kunnen melden.

Door deze documentatie op tijd op orde te brengen, voldoen fabrikanten en leveranciers straks aan de eisen van artikel 31 en zijn ze voorbereid op de conformiteitsbeoordelingen uit artikel 32. Dit is een cruciale stap om aan te tonen dat producten voldoen aan de nieuwe Europese cyberbeveiligingseisen.

CRA-voorbereiding met Kiwa

Door nu al proactief aan de slag te gaan met zowel technische als gebruikersgerichte maatregelen, kunnen organisaties voorkomen dat ze straks onder tijdsdruk moet handelen. De eerste verplichtingen, zoals het melden van kwetsbaarheden, gaan namelijk al in vanaf 11 september 2026. Vanaf 11 december 2027 geldt de wet volledig. ​Kiwa ondersteunt organisaties bij de voorbereiding op CRA met test-, inspectie-, certificerings- en trainingsdiensten die helpen cyberrisico's te minimaliseren en bijdragen aan CRA-compliance.