Veel ondernemers krijgen te maken met Cyber Resilience Act en de Cyberveiligheidswet

Veel ondernemers krijgen te maken met Cyber Resilience Act en de Cyberveiligheidswet

Twee nieuwe wetten moeten de cyberspace veiliger gaan maken, waarmee elke ondernemer te maken kan krijgen: de Cyber Resilience Act en de Cyberveiligheidswet.

Cyber Resilience Act

Een wet die nog dit jaar ingaat is de Cyber Resilience Act (CRA); resilience betekent ‘weerbaarheid’. De CRA is een Europese wet die digitale producten beter moet beveiligen en heet ook wel de Verordening cyberweerbaarheid. De wet geldt voor software en hardware met digitale functies, en onderdelen daarvan. Diensten vallen niet onder de CRA.

Voor fabrikanten en importeurs

De wet is bedoeld voor fabrikanten van producten met digitale elementen en gemachtigde vertegenwoordigers die door fabrikanten zijn aangewezen om namens hen specifieke taken uit te voeren. Verder geldt de CRA voor importeurs die digitale producten in de EU op de markt brengen en distributeurs die dergelijke producten verkopen.

Eisen en regels

Voor al deze partijen stelt de CRA regels op. Zij moeten ervoor zorgen dat producten met digitale onderdelen aan bepaalde eisen voldoen. Daarnaast moeten fabrikanten kunnen laten zien dat de producten aan deze eisen voldoen. In de Gids Cyber Resilience Act staat de belangrijkste informatie over deze regels.

Veilig ontworpen

De wet gaat in 2026 maar een onderdeel wordt later ingevoerd: vanaf 11 december 2027 moeten alle digitale producten (apps, videokaarten, slimme apparaten) veilig zijn ontworpen en gemaakt (‘security-by-design’). Wie digitale producten importeert of verkoopt, moet zorgen voor beveiligingsupdates en moet problemen snel melden. Digitale producten moeten beschikken over een zogenoemde CE-markering, waarmee kan worden aangetoond dat ze voldoen aan de wet. Dit kunnen fabrikanten meestal zelf bepalen, soms moet een externe partij dit controleren. Verder moeten fabrikanten vanaf 11 september 2026 ernstige problemen met hun digitale producten snel melden. Dit moet via het digitale meldloket van het Nationaal Cyber Security Centrum (NCSC).

Cyberbeveiligingswet

De Cyberbeveiligingswet (Cbw) is de Nederlandse versie van een Europese regel: de NIS-2. Deze wet geldt vooral voor bedrijven in een vitale sector, zoals energiebedrijven, ziekenhuizen of banken. Krijgt zo’n bedrijf te maken met een cyberaanval, dan heeft dat voor veel mensen een grote impact. Leveranciers van een vitaal bedrijf moeten volgens de Cbw kunnen aantonen dat hun systemen cyberveilig zijn. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NTCV) heeft daarvoor een tool ontwikkeld. De Cyberbeveiligingswet gaat waarschijnlijk in juli 2026 in.