Met alle aandacht voor NIS2 zou je het bijna vergeten, maar er is nog een wet die door Europa is aangenomen en een flinke impact heeft op IT. De Cyber Resilience Act (CRA) biedt nieuwe regelgeving op het gebied van veiligheid van digitale producten.
Op 10 oktober is de wet (officieel een Europese verordening) ingegaan. Fabrikanten van hard- en software zijn nu verplicht om hun producten strenger te beveiligen, niet alleen bij het ontwerpen en verkopen, maar ook bij updates gedurende de levenscyclus van de producten.
Europa loopt hiermee voorop. De CRA is de eerste wet wereldwijd die cybersecurity-standaarden voor zulke producten reguleert. Het groeiend aantal incidenten met kwetsbare digitale producten maakt deze wet volgens de Europese Unie een noodzakelijke stap om de digitale wereld veiliger te maken. Bedrijven die actief zijn binnen de EU of hun producten daar aanbieden, zullen aan de CRA moeten voldoen. De wet verplicht om een aantal cruciale stappen te zetten om ervoor te zorgen dat hun producten aan de vereiste cybersecurity-eisen voldoen.
Net als bij de AVG en NIS2 staan er flinke boetes op het niet naleven van de verordening. Het gaat hierbij om bedragen tot 15 miljoen euro of 2,5% van de wereldwijde omzet (wat hoger is krijgt voorrang). En ook net als bij de andere twee verordeningen die betrekking hebben op IT, is hier ook een overgangsfase voorzien. Officieel moeten fabrikanten in de EU vanaf 2027 voldoen aan de regels. Maar die tijd zal hard nodig zijn. Productielijnen en softwareontwikkeling moeten aangepast worden om ervoor te zorgen dat producten voldoen. Naast de boetes zal ook reputatieschade een belangrijke afschrikkende werking hebben.
