De Cyber Resilience Act (CRA) stelt verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico’s zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren.Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de “essentiële cybersecurity-verplichtingen” voldoen.
De CRA introduceert ook een meldplicht voor leveranciers van hard- en software. Actief aangevallen kwetsbaarheden moeten binnen 24 uur bij het Europees Agentschap voor cyberbeveiliging (ENISA) worden gerapporteerd, dat vervolgens nationale Cybersecurity Incident Response Teams (CSIRTs) kan informeren. “Het kabinet ziet het belang van het zo snel mogelijk melden van kwetsbaarheden en steunt daarom in beginsel een 24 uurs-termijn voor kwetsbaarheden die reeds actief misbruikt zijn”, stelt minister Adriaansens.