De Cyber Resilience Act (CRA) komt eraan: Is jouw voorraad straks nog verkoopbaar?

 

De regels voor digitale producten veranderen ingrijpend. De Cyber Resilience Act (CRA) stelt strenge eisen aan cybersecurity voor hard- en software. Voor jou als installateur, distributeur of importeur heeft dit directe gevolgen.

Niet alles wordt direct “verboden”, maar de risico’s verschuiven enorm. Hier is wat je moet weten om geen juridisch gedonder of onverkoopbare voorraad te krijgen.

 

1. Wat mag je nog verkopen? (De nuance)

 

De CRA richt zich op het op de markt brengen van producten in de EU.

  • Fabrikanten mogen na de deadline geen nieuwe producten introduceren die niet voldoen aan de eisen.

  • Jij (als verkoper/installateur) mag bestaande voorraad in principe nog verkopen, mits het product vóór de deadline rechtmatig op de markt is gebracht.

Maar let op de valkuil: Hoewel het verkopen van "oude voorraad" strikt genomen mag, loop je een enorm risico. Als de fabrikant stopt met updates voor die oude modellen om zich te focussen op CRA-conforme producten, verkoop jij apparatuur die snel onveilig wordt.

  • Het gevolg: Je levert een ondeugdelijk product (non-conformiteit volgens consumentenrecht). Als er iets misgaat, kijken de klant én de rechter naar jou.

 

2. De "Dood Kapitaal" Check

 

Heb jij nog 50 camera’s of slimme thermostaten in het magazijn liggen? Ze zijn niet per direct illegaal, maar ze kunnen wel economisch onverkoopbaar worden.

Als blijkt dat deze producten onveilig zijn en de fabrikant geen updates meer uitbrengt (omdat ze niet aan de CRA voldoen), mag je ze feitelijk niet meer installeren bij klanten die rekenen op een veilig product.

  • Advies: Inventariseer je voorraad nu. Oude modellen zonder gegarandeerde supportperiode zijn een tikkende tijdbom voor je aansprakelijkheid.

 

3. White Label & Eigen Merk: Jij bent de klos

 

Plak jij je eigen logo op camera’s uit China? Of verkoop je onder een huismerk? Onder de CRA ben jij juridisch de fabrikant.

Dit betekent niet dat je zelf code moet kunnen schrijven, maar je bent wel eindverantwoordelijk.

  • Jij moet zorgen voor de technische documentatie.

  • Jij moet de risico-analyse (laten) doen.

  • Cruciaal: Als de oorspronkelijke fabriek stopt met patchen, is dat jouw probleem. Jij moet de updates leveren. Kun je dat niet? Dan ben je in overtreding. De boetes voor fabrikanten zijn niet mals (tot €15 miljoen of 2,5% van de omzet).

 

4. De Update-termijn: Geen harde "5 jaar", wel een verplichting

 

Er gaat een verhaal rond dat 5 jaar updates verplicht is. Dat is juridisch niet juist, maar de realiteit is genuanceerder. De wet zegt: De ondersteuningsperiode moet in verhouding staan tot de verwachte levensduur van het product.

  • Voor een goedkope sensor kan dat 2 jaar zijn.

  • Voor een high-end beveiligingscamera kan dat 5 tot 10 jaar zijn.

  • De eis: De fabrikant móét deze termijn vooraf publiceren.

Commercieel advies: Neem die 5 jaar op als jouw inkoop-eis. Juridisch hoeft het misschien niet altijd, maar commercieel wil je geen spullen verkopen die na 2 jaar 'end-of-life' zijn.

 

5. SBOM: Verplicht of niet?

 

Een Software Bill of Materials (SBOM) is een ingrediëntenlijst van de software.

  • Is het verplicht voor alles? Nee.

  • Is het verplicht voor kritieke producten? Ja (Categorie I & II).

  • Advies: Vraag het wel altijd op. Het helpt je enorm als er een lek (zoals in Log4j) wordt ontdekt; je ziet dan direct welke apparaten in jouw assortiment kwetsbaar zijn.

 

Actieplan: De 5 Vragen voor jouw Leverancier

 

Stuur dit niet zomaar door, maar eis antwoorden voordat je nieuwe contracten tekent of groot inkoopt:

  1. Conformiteit: "Zijn deze producten CRA-ready en hebben jullie de CE-markering hierop aangepast?"

  2. Supportperiode: "Wat is de vastgelegde einddatum voor beveiligingsupdates voor dit specifieke model? (Let op: 'zolang de voorraad strekt' is niet meer geldig)."

  3. Verantwoordelijkheid: "Hoe garanderen jullie updates als jullie fabriek/toeleverancier failliet gaat of stopt met dit model?"

  4. Kwetsbaarheden: "Binnen hoeveel uur/dagen communiceren jullie over nieuwe lekken en patches?"

  5. SBOM: "Leveren jullie een Software Bill of Materials mee? (Eis dit zeker bij kritieke beveiligingshardware)."

 

Contractclausule voor jouw inkoop

 

Bescherm jezelf. De wet eist geen 5 jaar, maar jij mag dat als klant wél eisen van je leverancier:

"De Leverancier garandeert dat de geleverde Producten gedurende een periode van minimaal [X] jaar na levering worden voorzien van essentiële beveiligingsupdates, in lijn met de vereisten van de Cyber Resilience Act. Indien updates binnen deze termijn uitblijven, heeft de Afnemer het recht de onverkochte voorraad te retourneren voor de volledige inkoopprijs en is de Leverancier aansprakelijk voor eventuele vervangingskosten bij eindklanten."

Samenvattend: De CRA is geen verbod op elektronica, maar een verbod op onveilige elektronica. Zorg dat je niet blijft zitten met de zwartepiet als de fabrikant zijn handen ervan aftrekt.

0 reacties

Reactie plaatsen