Wetsvoorstel (18-12-2025) tot Uitvoering van Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale cyberbeveiligingsvereisten voorproducten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828 (Uitvoeringswet verordening cyberweerbaarheid
—De te implementeren Verordening trad op 10 december 2024 in werking en stelt horizontale cybersecurityvereisten voor producten met digitale elementen en verplicht lidstaten om maatregelen te treffen voor toezicht, handhaving en rechtsbescherming. Nationale wetgeving is nodig voor praktische uitvoering, zoals aanwijzing van autoriteiten en de inrichting van toezicht.
Doel en reikwijdte van de CRA
De CRA heeft twee hoofddoelen:
- robuuste cybersecurityvoorwaarden voor alle producten met digitale elementen, zowel vóór marktintroductie als tijdens de levenscyclus, en
- transparantie voor gebruikers over de mate van cybersecurity van producten.
De verordening geldt voor een breed scala aan producten: van consumentenproducten (smartphones, routers, apps) tot industriële systemen (OT), inclusief losse componenten. Uitzonderingen zijn o.a. medische apparaten, voertuigen, luchtvaartproducten, producten voor nationale veiligheid en niet-commerciële digitale producten zoals bepaalde open source software.
Verplichtingen marktdeelnemers
De CRA verdeelt verplichtingen in ex-ante (voor marktintroductie) en ex-post (na marktintroductie). Fabrikanten moeten producten ontwerpen en produceren volgens essentiële cybersecurityvereisten (bijlage I CRA), zoals geen bekende uitbuitbare kwetsbaarheden en secure-by-default configuratie. Voor kritieke producten is onafhankelijke beoordeling verplicht. Na marktintroductie moeten fabrikanten kwetsbaarheden verhelpen, kosteloos veiligheidsupdates aanbieden, een software bill of materials (SBOM) opstellen en meldplicht naleven bij actief misbruikte kwetsbaarheden en ernstige incidenten.
Uitvoering in Nederland
Het wetsvoorstel regelt aanwijzing van autoriteiten: de Minister van Economische Zaken (uitvoering door Rijksinspectie Digitale Infrastructuur, RDI) als aanmeldende autoriteit en markttoezichthouder, de Raad voor Accreditatie voor beoordeling conformiteitsinstanties en het Nationaal Cyber Security Centrum (NCSC) als meldpunt voor incidenten. De RDI krijgt bevoegdheden voor inspecties, gegevensvorderingen, mystery shopping en het opleggen van corrigerende maatregelen. Bij ernstige risico’s kan RDI producten terugroepen; sancties omvatten bestuurlijke boetes conform artikel 64 CRA.
Samenhang met andere EU-regelgeving
De CRA sluit aan bij de NIS2-richtlijn, de Cyberbeveiligingsverordening en de AI-verordening.
Beoogde inwerkingtreding
Er wordt een gefaseerde inwerkingtreding voorzien: meldplicht vanaf 11 september 2026, aanmelding conformiteitsinstanties vanaf 11 juni 2026, overige bepalingen vanaf 11 december 2027.