Hoewel de belangrijkste verplichtingen pas op 11 december 2027 van kracht worden, krijgen fabrikanten voldoende tijd om zich aan te passen. De wet, die ruim twee jaar geleden werd voorgesteld, heeft als doel om consumenten te beschermen tegen de risico’s van apparaten zoals smartwatches, verbonden speelgoed en huishoudelijke apparaten die via een app worden aangestuurd.

Een antwoord op groeiende risico’s

De explosieve groei van verbonden apparaten heeft geleid tot meer risico’s op hacking. Regelmatig halen incidenten zoals gehackte babyfoons of kwetsbaar speelgoed het nieuws, wat de bezorgdheid vergroot dat winst soms boven veiligheid wordt gesteld. De CRA legt de verantwoordelijkheid nu expliciet bij fabrikanten, zodat hun producten voldoen aan strikte veiligheidsnormen om toegang te krijgen tot de Europese markt.

Verplichtingen gedurende de hele levenscyclus

De wet stelt eisen aan cyberveiligheid gedurende de volledige levenscyclus van de apparaten: van ontwerp en ontwikkeling tot gebruik en zelfs na verkoop. Ook distributeurs en verkopers moeten ervoor zorgen dat de producten die zij leveren of op voorraad hebben, voldoen aan de Europese regelgeving.

Welke producten vallen onder de CRA?

De CRA is van toepassing op een breed scala aan verbonden apparaten, oftewel apparaten die direct of indirect verbinding maken met een ander apparaat of netwerk. Producten die al onder bestaande EU-regels vallen, zoals medische apparaten en auto's, zijn vrijgesteld.

Een keurmerk voor consumenten

Producten die aan de wet voldoen, zullen het CE-keurmerk dragen. Dit biedt consumenten een handige manier om veiligere apparaten te herkennen en met meer vertrouwen aankopen te doen.

Strenge sancties bij niet-naleving

Bedrijven die zich niet aan de CRA houden, riskeren hoge boetes: tot 2,5% van de wereldwijde jaaromzet of 15 miljoen euro bij ernstige overtredingen. Voor minder kritieke inbreuken kunnen boetes oplopen tot 2% (10 miljoen euro), en het niet opvolgen van verzoeken van toezichthouders kan een boete van 1% (5 miljoen euro) opleveren.

Een belangrijke stap richting betere cyberveiligheid

Met de Cyber Resilience Act wil de Europese Unie een cultuur van cyberveiligheid bevorderen. Door meer verantwoordelijkheid bij fabrikanten te leggen, worden eindgebruikers beter beschermd. Deze vooruitgang zou zelfs als inspiratie kunnen dienen voor andere regio’s wereldwijd.

Voor digitale professionals is het belangrijk om deze regelgeving op de voet te volgen: het verandert de spelregels voor toegang tot de Europese markt aanzienlijk.