De invoering van de Cyber Resilience Act: waar staan we nu?
Sinds de inwerkingtreding op 10 december 2024 van de Cyber Resilience Act (CRA), bedoeld om de cyberweerbaarheid van digitale producten te verhogen, is het digitale landschap in Europa zichtbaar veranderd en zijn de eerste concrete effecten en bijbehorende uitdagingen merkbaar. Dit geldt voor bedrijven en consumenten, maar ook voor de cybersecuritysector in het algemeen en binnen de Europese Unie.
Bedrijven en consumenten
Voor veel bedrijven vormde de CRA aanvankelijk een aanzienlijke uitdaging. Organisaties die vroegtijdig hebben geïnvesteerd in cybersecuritymaatregelen ervaren inmiddels een verbeterde reputatie en toegenomen klantvertrouwen. In sectoren als gezondheidszorg, fintech en de industriële omgeving wordt CRA-naleving inmiddels vaak gebruikt als kwaliteitsindicator. Productontwikkelingsprocessen zijn fundamenteel aangepast, ontwikkelteams werken intensiever samen met cybersecurityspecialisten en “security by design” geldt niet langer als optie, maar als vereiste. Dit resulteert in langere ontwikkelcycli, maar leidt ook tot robuustere en beter beveiligde producten.
Voor het midden- en kleinbedrijf blijft CRA-naleving complex en duur. Veel MKB’s kiezen daarom voor samenwerking en maken gezamenlijk gebruik van gespecialiseerde cybersecuritybedrijven of gestandaardiseerde compliance-platforms die zijn ontstaan naar aanleiding van de wet. Consumenten zijn zich meer bewust van de beveiligingsaspecten van digitale producten en labels en transparantieverklaringen, verplicht gesteld onder de CRA, worden vaker meegenomen in aankoopoverwegingen. Slimme apparaten zoals thermostaten, beveiligingscamera’s en wearables worden als veiliger beoordeeld. Daarnaast is, door onder andere verplichte beveiligingsupdates en intensievere monitoring, het aantal datalekken afgenomen. Hoewel de prijzen van bepaalde producten zijn gestegen, accepteren veel consumenten deze stijging als noodzakelijke investering in veiligheid. Tegelijkertijd blijft prijsgevoeligheid een belangrijk criterium, met name binnen het lagere marktsegment. Consumenten kunnen de prijsstijging begrijpen, maar niet iedere consument kan deze ook betalen.
De Cybersecuritysector en Europese Unie
De vraag naar professionals binnen de cybersecuritysector is verder toegenomen. Nieuwe functies, waaronder “CRA Compliance Officer” en “Secure Product Architect”, zijn ontstaan. Opleidingsinstellingen en certificeringsorganisaties hebben hun aanbod daarop aangepast. Ook consultancybureaus zien een toename in CRA-gerelateerde adviesaanvragen.
Daarnaast is een markt ontstaan voor gespecialiseerde tools die bedrijven ondersteunen bij het monitoren, rapporteren en documenteren van CRA-compliance. Deze tools zijn vaak geïntegreerd in al bestaande DevOps-omgevingen.
Binnen de Europese Unie verschilt de implementatie van de CRA per lidstaat, dit komt onder andere doordat de CRA moet worden afgestemd met nationale wetten. Dit kan zorgen voor verwarring bij internationaal opererende bedrijven die vestigingen hebben in meerdere lidstaten. Er bestaat een duidelijke behoefte aan verdere harmonisatie en verduidelijking van de richtlijnen. Dit leidt wel tot intensievere samenwerking tussen EU-lidstaten op het gebied van dreigingsinformatie en standaardisatie, wat de collectieve cyberweerbaarheid binnen de Unie weer versterkt. Hoewel de wet innovatie stimuleert op het gebied van veilige technologie, melden sommige startups dat een overmatige focus op compliance de experimenteerruimte beperkt.
Toezichthoudende instanties ervaren moeilijkheden bij het effectief controleren van het groeiende aantal producten en aanbieders. Er wordt gewerkt aan de ontwikkeling van geautomatiseerde auditsystemen, al bevinden deze zich nog in de beginfase.
Hoe verder?
De invoering van de Cyber Resilience Act heeft onmiskenbaar geleid tot aanzienlijke reuring binnen het digitale ecosysteem van de EU. De wet markeert een ingrijpende verandering in de manier waarop digitale producten worden ontwikkeld, vermarkt en gebruikt. In aanloop naar de eerste verjaardag van de CRA en daarna, blijven de ontwikkelingen zich in hoog tempo opvolgen. Zo moeten bijvoorbeeld sinds deze maand apparaten met draadloze connectiviteit, zoals laptops en slimme deurbellen, voldoen aan cybersecurityeisen onder de Radio Equipment Directive (RED) en zijn fabrikanten vanaf september 2026 verplicht om ernstige incidenten of kwetsbaarheden te melden bij een nationale instantie en gebruikers hierover te informeren.
De komende maanden zullen uitwijzen hoe de implementatie zich verder verdiept en welke structurele effecten blijvend zullen zijn binnen sectoren, wetgeving en technologische innovatie. De komende jaren worden cruciaal voor de lange termijn effectiviteit van de wet en zullen duidelijk maken of het Europese model ook internationaal navolging krijgt.
Heb je vragen over één of meerdere van de onderstaande onderwerpen? Mogelijk vind je het antwoord op één van deze specifieke pagina’s. Ontdek meer over de mogelijkheden van werken bij ITicon en krijg inzicht in wat ITicon als organisatie te bieden heeft. Mocht je toch geen antwoord op je vraag kunnen vinden, aarzel dan niet om contact met ons op te nemen. We staan klaar om je te helpen en je vragen te beantwoorden!