07 nov '22
We informeerden u in een eerder bericht over de Cyber Resilience Act (CRA). Niet te verwarren met de NIS2-Richtlijn.
Onlangs werd de tekst van deze Europese Verordening bekend gemaakt. Wanneer de Verordening in werking treedt is nog niet bekend: als het Europees Parlement groen licht geeft, wordt de Verordening binnen 24 maanden van kracht. De Verordening hoeft niet te worden omgezet in Nederlandse wetgeving, en is rechtstreeks in Nederland geldig. Toch zullen er vermoedelijk wel nationale bepalingen komen om nadere uitvoering te kunnen geven aan de CRA.
De Verordening bevat regels op het gebied van cyberveiligheidseisen die aan producten worden gesteld. Deze Verordening is ontstaan vanuit het gemis van een regeling die in brede zin van toepassing is op hardware en software producten. De doelstelling is tweeledig: horizontale robuuste cybersecurity voorwaarden creëren, en het zorgen voor transparantie over de mate van veiligheid van dergelijke producten.
Producten met digitale elementen die bij gebruik ‘in een directe of indirecte verbinding met een eindapparaat of netwerk staan’ vallen onder het bereik van de Verordening. Dit geldt niet voor een aantal categorieën zoals medische apparaten, motorvoertuigen of producten die zijn gerelateerd aan de (burger)luchtvaart.
De Verordening bevat twee categorieën verplichtingen: verplichtingen waaraan aanbieders van producten moeten voldoen voordat producten op de markt worden gebracht, en verplichtingen waaraan moeten worden voldaan nadat producten op de markt zijn gebracht.
Producten mogen, kortgezegd, niet onderhevig zijn aan exploiteerbare kwetsbaarheden. Ze moeten zodanig ontworpen zijn dat ze een passend niveau van cybersecurity garanderen in overeenstemming met het risico dat voortvloeit uit het gebruik. Om die reden moet het product aan een conformiteitsbeoordeling worden onderworpen. Voor bepaalde producten gelden nog zwaardere eisen.
Voor wat betreft de verplichtingen nadat producten op de markt zijn gebracht geldt dat producenten voor de verwachte levensduur moet garanderen dat kwetsbaarheden van het product effectief worden aangepakt, waardoor het product blijft voldoen aan de veiligheidseisen.
Er zal een nationale autoriteit worden aangewezen die toezicht gaat houden op de naleving van de Verordening. Deze autoriteit zal in staat worden gesteld om sancties op te leggen.
In de Verordening is bepaald dat de boetes die kunnen worden opgelegd maximaal EUR 15 miljoen kunnen bedragen, maar als de overtreder een onderneming is (!) kunnen omzetgerelateerde boetes worden opgelegd ter hoogte van 2,5% van de wereldwijde omzet.
Net als de NIS2-Richtlijn gaat ook de CRA grote gevolgen hebben, met name voor producenten van de producten die onder het bereik van de Verordening vallen. De tijd van goedkope webcams van dubieuze kwaliteit en oorsprong is voorbij als de CRA van kracht wordt.
Houd onze website in de gaten voor alle belangrijke ontwikkelingen op het gebied van Europese en Nederlandse cybersecuritywetgeving!
Contact
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.