De Cyber Resilience Act (CRA), gepubliceerd op 20 november 2024, is een Europese Verordening, vergelijkbaar met de AVG en is daarom rechtstreeks van toepassing op alle EU-lidstaten. De verordening wordt op 11 december 2027 van kracht, met uitzondering van enkele artikelen (de meldplicht treedt in werking op 11 september 2026). In tegenstelling tot de NIS2-richtlijn is de CRA niet beperkt tot middelgrote en grote bedrijven.
Deze verordening richt zich op de cyberveiligheid van producten met digitale elementen, inclusief AI. Het doel? De digitale veiligheid van producten versterken en consumenten en bedrijven beter beschermen tegen cyberdreigingen. In principe komen alle hard- en software onder de CRA te vallen, met in beginsel de uitzondering van Software as a Service (SaaS), hetgeen juist wel weer valt onder de NIS2.
De CRA legt verplichte en essentiële cybersecurity-eisen op aan fabrikanten en distributeurs van producten met digitale componenten. Volgens de Europese Commissie biedt de verordening:
- Harmonisatie van regels voor het op de markt brengen van digitale producten en software.
- Verplichte cyberbeveiligingseisen voor alle stadia van de productlevenscyclus: van ontwerp tot onderhoud.
- Een zorgplicht die ervoor zorgt dat beveiligingsvereisten gedurende de volledige levensduur van producten worden nageleefd.
Koppeling met de EU AI Act
Een belangrijk aspect van de CRA is de interactie met de EU AI Act, zoals vastgelegd in artikel 12. AI-systemen die als hoog risico worden aangemerkt, vallen onder specifieke bepalingen van beide verordeningen:
- Producten die voldoen aan de cyberbeveiligingseisen van de CRA worden geacht ook aan de eisen van artikel 15 van de EU AI Act te voldoen.
- AI-systemen met hoog risico die gebruikmaken van interne controleprocedures (artikel 43, lid 2, EU AI Act) moeten daarnaast de conformiteitsbeoordelingen van de CRA doorlopen.
Wat betekent dit voor organisaties?
De CRA wordt vanaf 11 december 2027 volledig van kracht en is, net als de AVG en de EU AI Act, een rechtstreeks toepasbare EU-verordening. Dit betekent dat bedrijven in alle lidstaten verplicht zijn om aan de nieuwe eisen te voldoen. Voor organisaties die AI-systemen ontwikkelen of producten met digitale elementen op de markt brengen, is het cruciaal om nu al voorbereid te zijn op deze harmonisatie van cyberveiligheidsregels.
Met de Cyber Resilience Act zet de EU opnieuw een grote stap in het reguleren van digitale veiligheid, waarbij de impact op de AI-sector niet te onderschatten is. Dit is in ieder geval hét moment om de eigen systemen, producten en processen grondig tegen het licht te houden.
Wat kunt u nú al doen?
Compliance met AI-Cyber security en datawetgeving vormt niet alleen een juridische verplichting, maar ook een kans voor organisaties om veilige en verantwoorde innovatie te versterken én het vertrouwen bij klanten en/of stakeholders te vergroten.
De ondernemingsjuristen van The Legal Company combineren bij bovenstaande actiepunten juridische expertise met kennis van technologie. Of u nu net begint met AI of uw bestaande systemen wilt analyseren, wij zorgen dat u niet alleen voorbereid bent op de regelgeving, maar er ook strategisch van profiteert.
Wacht niet tot de deadlines naderen. Neem vandaag nog contact op met ons via info@thelegalcompany.nl of bel naar 020 345 0152.
Dit artikel is geplaatst op 10 december 2024
