De Verordening Cyberweerbaarheid of Cyber Resilience Act (CRA) is de eerste Europese verordening die minimale cyberbeveiligingseisen oplegt voor alle geconnecteerde producten die in de EU op de markt worden gebracht. De verordening moet de lacunes in de wetgeving dichten, de samenhang tussen wetten verduidelijken en het wetgevingskader voor cyberbeveiliging coherenter maken. Producten met digitale elementen, zoals producten die tot het internet der dingen (Internet of Things) behoren, moeten in de gehele toeleveringsketen en gedurende hun hele levenscyclus veilig kunnen worden gebruikt.
De tekst bevat Europese cyberbeveiligingsvoorschriften voor het ontwerp, de ontwikkeling, de productie en het op de markt aanbieden van hardware en software. Een Europese wet moet ervoor zorgen dat er niet in elke EU-lidstaat andere regels gelden. Zo zullen software en hardware worden voorzien van de CE-markering, om aan te geven dat ze voldoen aan deze voorschriften. Op veel producten die in de Europese Economische Ruimte worden verhandeld op de uitgebreide eengemaakte markt, staan de letters "CE". Dat betekent dat ze voldoen aan strenge eisen op het gebied van veiligheid, gezondheid en milieubescherming.
De verordening zal gelden voor alle apparaten die direct of indirect verbonden zijn met een ander apparaat of een netwerk. Een uitzondering zijn producten waarvoor al cyberbeveiligingsvereisten zijn vastgelegd in andere EU-wetten, zoals medische hulpmiddelen, producten voor de luchtvaart en auto's.
Tot slot schept de nieuwe wet meer bewustzijn rond cyberveiligheid zodat consumenten een geïnformeerde keuze kunnen maken bij het kopen en gebruiken van deze hard- of softwareproducten. Het moet voor hen gemakkelijker worden om te zien welke producten goede bescherming bieden op dit vlak.
Alle fabrikanten die producten op de EU-markt brengen, moeten aan de CRA voldoen, zelfs als ze buiten de EU gevestigd zijn. De CRA is bijvoorbeeld van toepassing op een Amerikaanse ontwikkelaar die een mobiele app verkoopt op Europese telefoons of op een Chinese fabrikant die zonnepanelen verkoopt in België. Bovendien zullen distributeurs en importeurs van aangesloten producten ook voor naleving moeten zorgen.
De belangrijkste nieuwigheid van de CRA is dat het een minimumniveau van cyberveiligheid definieert voor alle geconnecteerde producten die beschikbaar zijn op de EU-markt - iets wat voorheen niet bestond. Bijvoorbeeld:
Omdat de CRA een EU-verordening en geen richtlijn is, zal deze rechtstreeks van toepassing zijn in alle EU-landen zonder dat nationale omzetting nodig is. Er is echter een overgangsperiode voorzien om ervoor te zorgen dat marktdeelnemers voldoende tijd hebben om zich aan te passen aan de nieuwe vereisten. De verordening is van toepassing vanaf 11 december 2027.