De Cyber Resilience Act (CRA) is per 10 november 2024 gestart. Het is een nieuwe wet binnen de Europese Unie die de cybersecurity van producten die met het internet zijn verbonden moet verbeteren. Denk hierbij aan alles van slimme koelkasten en smartphones tot industriële controlesystemen.

De CRA stelt strengere eisen aan de cybersecurity van producten gedurende hun hele levenscyclus, van ontwerp en ontwikkeling tot en met het einde van de levensduur. Consumenten moeten daarbij beter geïnformeerd worden over de digitale eigenschappen van producten: ze moeten voldoen aan specifieke veiligheidseisen, zoals bescherming tegen ongeautoriseerde toegang en gegevensbescherming. Fabrikanten zijn tevens verplicht een systeem opzetten om kwetsbaarheden te identificeren en aan te pakken, inclusief het verstrekken van beveiligingsupdates.

Men is ook verplicht om cyberincidenten en kwetsbaarheden te melden aan de bevoegde autoriteiten en de producten moeten voldoen aan beoordelingsprocedures om aan te tonen dat ze aan de eisen van de CRA voldoen.

Hoewel de CRA van start is gegaan, betekent dit niet dat fabrikanten onmiddellijk aan alle eisen moeten voldoen. In september 2026 wordt de meldplicht geïntroduceerd en per december 2027 zal de maatregel officieel van kracht zijn.