De manier waarop bedrijven omgaan met cyberveiligheid op productniveau moet drastisch veranderen. De Europese Cyber Resilience Act (CRA) legt fabrikanten van producten met digitale componenten nieuwe, strenge eisen op, die hen verplichten om cyberveiligheid vanaf de ontwerpfase centraal te stellen.
De wet introduceert onder andere verplichtingen zoals:
- Het beheren en melden van kwetsbaarheden gedurende de volledige levensduur van een product;
- Het opstellen van een Software Bill of Materials (SBOM) om gebruikte softwarecomponenten transparant te maken;
- Het laten certificeren van producten via zelfbeoordeling of door een aangemelde instantie, afhankelijk van het risiconiveau;
- Producten moeten gedurende hun volledige levensduur ondersteuning krijgen en beveiligingsupdates ontvangen.
De deadlines zijn kort: vanaf 11 september 2026 moeten fabrikanten kwetsbaarheden melden en vanaf 11 december 2027 gelden de volledige normen. Niet-naleving kan leiden tot boetes tot 15 miljoen euro of 2,5% van de wereldwijde omzet.
Voor veel maakbedrijven in onze regio zijn dit geen vrijblijvende regels. IoT-apparaten, slimme machines en producten met veel software vallen vrijwel zeker onder de CRA. Dat vraagt om investeringen in conformiteit maar ook in processen en nauwe samenwerking met leveranciers. Hoewel het als een uitdaging voelt, biedt het ook kansen: producten die voldoen aan de CRA-normen hebben een concurrentievoordeel in de markt. De CRA vraagt om snelle actie, maar ook om strategisch denken. Wie zich nu voorbereidt, wint tijd.
Voor IT-managers die ervaringen met CRA-compliance en ook NIS2 willen uitwisselen, organiseren we dit jaar opnieuw een Lerend Netwerk Cybersecurity. In 8 sessies verspreid over 2025 werken we samen aan welke stappen je onderneming moet zetten om te voldoen aan deze nieuwe normen. Meer info en inschrijven? Zie hieronder!
