Europese Cyber Resilience Act creëert meer producentenverantwoordelijkheid en dreigt met hoge boetes

07 nov '22

Auteur(s): Jouko Barensen, Hugo van Aardenne,

We informeerden u in een eerder bericht over de Cyber Resilience Act (CRA). Niet te verwarren met de NIS2-Richtlijn. 

Onlangs werd de tekst van deze Europese Verordening bekend gemaakt. Wanneer de Verordening in werking treedt is nog niet bekend: als het Europees Parlement groen licht geeft, wordt de Verordening binnen 24 maanden van kracht. De Verordening hoeft niet te worden omgezet in Nederlandse wetgeving, en is rechtstreeks in Nederland geldig. Toch zullen er vermoedelijk wel nationale bepalingen komen om nadere uitvoering te kunnen geven aan de CRA. 

Doelstelling 

De Verordening bevat regels op het gebied van cyberveiligheidseisen die aan producten worden gesteld. Deze Verordening is ontstaan vanuit het gemis van een regeling die in brede zin van toepassing is op hardware en software producten. De doelstelling is tweeledig: horizontale robuuste cybersecurity voorwaarden creëren, en het zorgen voor transparantie over de mate van veiligheid van dergelijke producten. 

Producten 

Producten met digitale elementen die bij gebruik ‘in een directe of indirecte verbinding met een eindapparaat of netwerk staan’ vallen onder het bereik van de Verordening. Dit geldt niet voor een aantal categorieën zoals medische apparaten, motorvoertuigen of producten die zijn gerelateerd aan de (burger)luchtvaart. 

Verplichtingen 

De Verordening bevat twee categorieën verplichtingen: verplichtingen waaraan aanbieders van producten moeten voldoen voordat producten op de markt worden gebracht, en verplichtingen waaraan moeten worden voldaan nadat producten op de markt zijn gebracht. 

Producten mogen, kortgezegd, niet onderhevig zijn aan exploiteerbare kwetsbaarheden. Ze moeten zodanig ontworpen zijn dat ze een passend niveau van cybersecurity garanderen in overeenstemming met het risico dat voortvloeit uit het gebruik. Om die reden moet het product aan een conformiteitsbeoordeling worden onderworpen. Voor bepaalde producten gelden nog zwaardere eisen. 

Voor wat betreft de verplichtingen nadat producten op de markt zijn gebracht geldt dat producenten voor de verwachte levensduur moet garanderen dat kwetsbaarheden van het product effectief worden aangepakt, waardoor het product blijft voldoen aan de veiligheidseisen. 

Handhaving en sancties  

Er zal een nationale autoriteit worden aangewezen die toezicht gaat houden op de naleving van de Verordening. Deze autoriteit zal in staat worden gesteld om sancties op te leggen.  

In de Verordening is bepaald dat de boetes die kunnen worden opgelegd maximaal EUR 15 miljoen kunnen bedragen, maar als de overtreder een onderneming is (!) kunnen omzetgerelateerde boetes worden opgelegd ter hoogte van 2,5% van de wereldwijde omzet. 

Gevolg 

Net als de NIS2-Richtlijn gaat ook de CRA grote gevolgen hebben, met name voor producenten van de producten die onder het bereik van de Verordening vallen. De tijd van goedkope webcams van dubieuze kwaliteit en oorsprong is voorbij als de CRA van kracht wordt. 

Houd onze website in de gaten voor alle belangrijke ontwikkelingen op het gebied van Europese en Nederlandse cybersecuritywetgeving! 

Contact

Advocaat

Jouko Barensen

Expertises:  Economisch strafrecht,Bestuursrecht,Afvalstoffenrecht,Milieurecht ,Cybersecurity , Transport en logistiek, BRZO,Corona (COVID-19) juridische Helpdesk,Handhaving en sancties,Cybersecurity en Cybercrime,

Advocaat

Hugo van Aardenne

Expertises:  Economisch strafrecht,Bestuursrecht,Cybersecurity , Handhaving en sancties,Cybersecurity en Cybercrime,Internationale sancties en exportcontrole ,

Deel dit artikel

Reageer op dit artikel

Wilt u reageren op dit artikel? Inloggen of maak een Mijn Ploum account aan om uw reactie te plaatsen


Blijf op de hoogte

Voeg deze interesses toe aan Mijn Ploum.

Stel direct een vraag

Inschrijven nieuwsbrief

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in ons Privacy statement. U kunt uw voorkeuren altijd wijzigen via de link ‘Wijzig uw gegevens' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses
  • Snel inschrijven voor kennisevents en Ploum Academy
  • Vraag en antwoord mogelijkheden gebruiken bij artikelen

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

Snel inschrijven voor kennisevents en Ploum Academy

Reacties op artikelen plaatsen


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.