Inleiding
De Europese Unie zet haar ambitie voort om de digitale interne markt te versterken door middel van een robuust regelgevend kader dat cyberbeveiliging centraal plaatst. Na eerdere initiatieven zoals de NIS2-richtlijn en de Digital Operational Resilience Act (DORA), is op 10 december 2024 de verordening betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen, oftewel de Verordening Cyberweerbaarheid officieel in werking getreden. Deze Cyber Resilience Act (CRA) heeft verstrekkende gevolgen voor ondernemingen die “producten met digitale elementen” op de Europese markt brengen.
De CRA is de eerste EU-wetgeving die horizontale cybersecurityverplichtingen oplegt voor producten met digitale elementen. Ze beoogt niet alleen de consumenten te beschermen, maar ook het algemene niveau van cyberveiligheid binnen de interne markt te verhogen.
Doel en toepassingsgebied van de CRA
De CRA is van toepassing op alle producten met digitale elementen, waaronder zowel hardware als software die direct of indirect met een netwerk kunnen worden verbonden. Denk bijvoorbeeld aan:
- Internet of Things (IoT)-apparaten zoals slimme thermostaten of slimme horloges;
- Besturingssystemen en toepassingen voor laptops, smartphones of servers;
- Software development kits (SDK’s);
- Industriële automatiseringsproducten;
- En zelfs AI-toepassingen, indien deze op netwerken zijn aangesloten.
Het toepassingsgebied is dus bijzonder breed en raakt zowel klassieke IT-spelers als fabrikanten in sectoren zoals gezondheidszorg, mobiliteit, energie of bouw, zodra hun producten digitale functionaliteiten bevatten.
Uitzonderingen zijn voorzien voor producten die reeds onder specifieke EU-wetgeving vallen, zoals medische hulpmiddelen (MDR), luchtvaartproducten of auto-onderdelen, mits deze al gelijkaardige cybersecurityvereisten bevatten.
Op wie is de CRA van toepassing?
De CRA legt verplichtingen op aan verschillende actoren in de toeleveringsketen, waaronder:
- Fabrikanten van producten met digitale elementen;
- Importeurs en distributeurs van dergelijke producten op de EU-markt;
- In beperkte mate ook aanbieders van open-source software, hoewel die grotendeels buiten het toepassingsgebied vallen indien de software kosteloos en niet-commercieel wordt aangeboden.
Voor Belgische ondernemingen die digitale producten ontwikkelen, verkopen of verdelen, is het dus essentieel om na te gaan of zij onder deze nieuwe verordening vallen.
Lees meer over de impact van de CRA op softwareontwikkeling.
Belangrijkste verplichtingen onder de CRA
De CRA bevat een reeks ex-ante en ex-post verplichtingen die de gehele productlevenscyclus bestrijken:
1. Veiligheidsvereisten by design
Fabrikanten moeten cybersecurity integreren vanaf het ontwerp en de ontwikkeling van het product (“security by design and by default”). Dit houdt onder meer in:
- Bescherming tegen ongeoorloofde toegang of manipulatie;
- Beveiligingsupdates moeten op een veilige en geautomatiseerde manier kunnen worden geïnstalleerd;
- De software moet bestand zijn tegen bekende kwetsbaarheden en voorzien zijn van mechanismen voor incidentdetectie.
2. Risicobeoordeling en conformiteitsbeoordeling
Fabrikanten zijn verplicht een cybersecurity-risicobeoordeling uit te voeren van elk product dat zij op de markt willen brengen. Afhankelijk van de risicoklasse (standaard of hoog risico) moet een product een conformiteitsbeoordeling ondergaan via:
- Interne technische documentatie en zelfcertificatie;
- Of – bij producten met een hoger risico – via een geaccrediteerde conformiteitsbeoordelingsinstantie (Notified Body).
3. Vulnerability handling en rapportageplicht
De CRA introduceert ook een verplicht vulnerability management systeem, met inbegrip van:
- Het actief monitoren van kwetsbaarheden gedurende de hele levensduur van het product (minstens 5 jaar);
- De verplichting om ernstige kwetsbaarheden binnen 24 uur na ontdekking te melden aan het Europees Agentschap voor Cyberbeveiliging (ENISA);
- Communicatie naar gebruikers bij risico’s of bij noodzakelijke beveiligingsupdates.
4. Informatievoorziening aan gebruikers
De fabrikant moet duidelijke en toegankelijke informatie verschaffen over:
- De verwachte levensduur van het product;
- De periode waarin beveiligingsupdates zullen worden geleverd;
- Aanbevolen beveiligingsinstellingen en procedures.
Relatie met andere Europese regelgeving
De CRA maakt deel uit van een bredere strategie om de digitale weerbaarheid in de EU te versterken. Ze moet in samenhang worden gelezen met andere regelgeving, waaronder:
- NIS2-richtlijn: voor sectoren van vitaal belang, met nadruk op operationele beveiliging;
- DORA: voor de financiële sector;
- AI Act: indien het digitale product AI-functionaliteit bevat;
- CE-markering en productveiligheid: producten die voldoen aan de CRA-vereisten zullen voorzien zijn van de CE-markering, wat aangeeft dat ze conform de Europese cybersecuritystandaarden zijn.
Tijdlijn en overgangsperiode
Hoewel de CRA op 10 december 2024 in werking is getreden, zijn de verplichtingen niet onmiddellijk van toepassing. Er is een gefaseerde implementatie voorzien:
- 11 juni 2026: Conformiteitsbeoordelingsinstanties moeten vanaf deze datum voldoen aan de nieuwe eisen.
- 11 september 2026: Fabrikanten zijn verplicht om vanaf deze datum ernstige kwetsbaarheden en beveiligingsincidenten te melden aan het Europees Agentschap voor Cyberbeveiliging (ENISA).
- 11 december 2027: De overige verplichtingen, waaronder de cybersecurity-eisen voor producten en de zorgplicht voor veiligheidsupdates, zijn vanaf deze datum volledig van kracht.
Deze overgangsperiode stelt ondernemingen in staat om hun producten en processen aan te passen aan de nieuwe vereisten en om cybersecurity volledig te integreren in hun productontwikkeling en bedrijfsvoering.
Sancties bij niet-naleving
De Cyber Resilience Act voorziet in aanzienlijke sancties voor ondernemingen die niet voldoen aan de gestelde verplichtingen:
- Overtreding van essentiële cybersecurityvereisten of verplichtingen: Boetes kunnen oplopen tot €15 miljoen of 2,5% van de totale wereldwijde jaaromzet, waarbij het hoogste bedrag wordt gehanteerd.
- Verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties en toezichthoudende autoriteiten: Dit kan eveneens leiden tot boetes tot €15 miljoen of 2,5% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Naast financiële sancties kunnen nationale autoriteiten aanvullende maatregelen nemen, zoals het terugroepen van niet-conforme producten of het opleggen van tijdelijke of permanente verkoopverboden. Deze strikte handhavingsmaatregelen onderstrepen het belang voor ondernemingen om tijdig te voldoen aan de CRA-vereisten en zo juridische en financiële risico’s te minimaliseren.
Wat betekent dit concreet voor Belgische bedrijven?
Voor Belgische bedrijven die digitale producten ontwikkelen, verdelen of implementeren, is het belangrijk om:
- Nu al een intern auditproces op te starten van hun producten in functie van de CRA;
- De nodige cybersecuritypraktijken en procedures te implementeren, inclusief kwetsbaarhedenbeheer;
- Na te gaan of zij hun CE-markering moeten aanpassen;
- Juridisch en technisch personeel op te leiden rond de nieuwe verplichtingen.
Hoewel de CRA pas in 2026 van kracht wordt, is nu handelen essentieel. Productontwikkelingstrajecten zijn immers lang en complex, en vroege voorbereiding biedt een competitief voordeel én vermindert het risico op marktverstoringen.
Conclusie
De Cyber Resilience Act betekent een significante stap voorwaarts in het versterken van de digitale veiligheid binnen de Europese Unie. Het is cruciaal voor Belgische ondernemingen om tijdig te beginnen met de implementatie van de vereiste maatregelen om te voldoen aan de nieuwe regelgeving en om de veiligheid van hun producten te waarborgen.
Onze advocaten staan klaar om u te begeleiden bij de analyse van de CRA-verplichtingen, het opstellen van interne procedures, of bij het afstemmen van uw CE-conformiteit.
