Veilige digitale producten verplicht (Cyber Resilience Act)

De Cyber Resilience Act (CRA) is een ingrijpende Europese wet die de veiligheid van digitale producten drastisch gaat verhogen. Deze wet geldt voor alle producten met digitale elementen: van smartphone apps en slimme thermostaten tot videokaarten en IoT-sensoren. Als MKB-ondernemer ben je geraakt als je digitale producten ontwikkelt, produceert, importeert uit landen buiten de EU, of distribueert binnen Europa.

De wet introduceert het principe van 'security-by-design', wat betekent dat beveiliging vanaf het ontwerp ingebouwd moet zijn in je product. Dit is geen oppervlakkige aanpassing, maar vereist een fundamentele herziening van je ontwikkel- en inkoopprocessen. Voor fabrikanten betekent dit nieuwe testprocedures, risicoanalyses en documentatie. Voor importeurs en distributeurs ontstaat de plicht om te controleren of leveranciers wel aan de CRA-eisen voldoen.

De impact op niet-compliance is aanzienlijk. Producten zonder juiste CE-markering mogen niet verkocht worden, wat direct je omzet raakt. De meldplicht voor beveiligingsproblemen via het NCSC kan leiden tot publieke bekendmaking van kwetsbaarheden, met reputatieschade tot gevolg. Bovendien kunnen toezichthouders boetes opleggen en producten van de markt halen bij ernstige overtredingen.

De gefaseerde invoering geeft je wel tijd om voor te bereiden. De meldplicht start al in september 2026, maar de volledige wet geldt pas vanaf december 2027. Dit betekent dat je nu moet beginnen met inventariseren welke producten onder de wet vallen, je leveranciers moet screenen en processen moet aanpassen. Ondernemers die nu actie ondernemen, kunnen deze transitie als concurrentievoordeel gebruiken door vroegtijdig in te zetten op veiligere producten.