De Raad van de Europese Unie heeft goedkeuring gegeven aan de Cyber Resilience Act (CRA). De wet, die gericht is op fabrikanten, distributeurs en importeurs van hardware en software, regelt de veiligheid van digitale producten in Europa.
De CRA verplicht leveranciers van hard- en software tot het nemen van beveiligingsmaatregelen waardoor hun producten veiliger worden. Dat gaat onder meer om gratis security-updates zodra duidelijk is dat er lekken in de producten zijn. Daarnaast moeten het misbruik van lekken en incidenten worden gemeld.
Gevolgen opensource
Nederland heeft zich actief ingezet voor deze wet, die in de aanloop veel kritiek kreeg. De IT-wereld was in de zomer van 2023 in rep en roer over de gevolgen voor de opensource ontwikkelaars. Brussel is uiteindelijk met die kritiek aan de slag gegaan.
Bij de CRA in de huidige vorm is er gericht gekeken naar het vinden van een balans tussen de bescherming van de digitale veiligheid en de impact op innovatie. Er komen verplichte cyberveiligheidseisen voor digitale producten. Er geldt een verantwoordelijkheid voor fabrikanten, importeurs en distributeurs om ervoor te zorgen dat producten veilig zijn en blijven.
Melden kwetsbaarheden verplicht
Ook zijn updates voor beveiliging en het melden van kwetsbaarheden volgens de nieuwe wet verplicht. Er gelden boetes tot 2,5 procent van de wereldwijde omzet voor bedrijven die niet voldoen aan de regelgeving. Niet-commerciële opensourcesoftware is vrijgesteld van de regels, aangezien deze software meestal wordt ontwikkeld zonder winstoogmerk.
De CRA treedt in 2025 in werking. Er is een overgangsperiode van 24 maanden ingevoerd zodat producten en processen kunnen worden aangepast aan de nieuwe eisen.
