De Cyber Resilience Act (CRA)

In de steeds digitale wordende wereld neemt het belang van Cyber Security dagelijks toe. Om hierop in te spelen, heeft de Europese Commissie de Cyber Resilience Act (CRA) voorgesteld. Deze wetgeving is bedoeld om de beveiliging van digitale producten en diensten in de Europese Unie (EU) te versterken. Digitale hardware- en softwareproducten vormen één van de belangrijkste wegen voor succesvolle cyberaanvallen. In een verbonden omgeving kan een cyberbeveiligingsincident in één product grote gevolgen hebben voor een hele organisatie of zelfs een hele toeleveringsketen. In dit blog bespreken we wat de Cyber Resilience Act inhoudt, wie ermee te maken krijgt, welke eisen worden gesteld, de impact voor organisaties en wanneer deze wet in werking treedt.

Wat is de Cyber Resilience Act?

De Cyber Resilience Act (CRA) is een wettelijk kader gericht op het verbeteren van de digitale veiligheid van producten en diensten die verbonden zijn met het internet. Denk hierbij aan allerlei soorten hardware en software, zoals smartphones, slimme apparaten, routers, printers, camera’s en applicaties. Het doel? Het algemene niveau van Cyber Security van digitale producten en diensten in de EU verhogen. De CRA moet bijdragen aan het tegengaan van de snelgroeiende dreiging van cyberaanvallen en het vertrouwen van consumenten in digitale technologieën vergroten. De wet moet voorkomen dat onveilige producten of producten met beveiligingsupdates op de Europese markt komen.

Voor wie van toepassing?

De CRA is van toepassing op de fabrikanten, importeurs en distributeurs van producten op de Europese markt die in verbinding staan met andere apparaten of een netwerk (digitale producten). Dit geldt zowel voor software, hardware als componenten, die direct of indirect op een apparaat of netwerk zijn aangesloten. Met uitzondering van specifieke uitsluitingen, zoals niet-commerciële opensourcesoftware of diensten die reeds onder de bestaande regels vallen (bijvoorbeeld medische hulpmiddelen, luchtvaart en auto’s).

Ook als jouw organisatie zelf geen producten produceert, maar bijvoorbeeld software integreert of distributeur is van digitale producten, ben je verplicht om te voldoen aan de eisen van de CRA. Bovendien geldt de wet voor alle bedrijven die actief zijn op de Europese markt, ongeacht of ze binnen of buiten de EU gevestigd zijn.

Welke eisen worden gesteld?

De CRA stelt eisen aan de digitale producten voordat deze op markt gebracht worden. Daarbij worden de meeste eisen gesteld aan de fabrikanten. Zij moeten aan diverse cyberbeveiligingseisen voldoen, zoals:

• Veilig vanaf de ontwerpfase. Producten moeten vanaf de ontwerpfase en tijdens hun gehele levenscyclus veilig zijn. Dit betekent dat organisaties rekening moeten houden met beveiligingsrisico’s bij het ontwikkelen van hun producten.
• Ondersteuning voor gehele levensduur. Het verstrekken van gratis veiligheidsupdates zodra kwetsbaarheden worden ontdekt, gedurende de hele te verwachten gebruiksperiode. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar.
• Voldoen aan standaarden voor cyberveiligheid. Het ervoor zorgen dat producten voldoen aan de cybersecurityeisen, voordat een product op de markt wordt gebracht. Het gaat dan bijvoorbeeld om eisen dat producten veilig zijn ontworpen en getest zijn op veiligheidslekken.
• Veiligheidsupdates automatisch geïnstalleerd. In veel gevallen moeten veiligheidsupdates automatisch worden geïnstalleerd, opgeslagen persoonlijke- en financiële gegevens worden beschermd en krijgt de gebruiker de mogelijk geboden om deze data permanent te verwijderen.
• Incidenten melden bij CSIRT. Incidenten en kwetsbaarheden, die worden misbruikt door kwaadwillende, binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid.

Importeurs moeten er onder andere op toezien dat fabrikanten hun verplichtingen zijn nagekomen, bijvoorbeeld dat zij de conformiteitsbeoordeling correct hebben uitgevoerd en de EU-conformiteitsverklaring is opgesteld. Een conformiteitsbeoordeling is een proces waarin de fabrikant aantoont dat een product voldoet aan de gestelde veiligheidseisen in de CRA. Na afronding van deze conformiteitsbeoordeling moet de fabrikant een EU-conformiteitsverklaring opstellen. Dit is een document waarin de fabrikant verklaart dat het product voldoet aan de relevante wetgeving, waaronder de eisen van de Cyber Resilience Act.

Distributeurs zijn verplicht ervoor te zorgen dat het product is voorzien van de juiste CE-markering. Deze marketing geeft aan dat het product voldoet aan de wettelijke veiligheids- en gezondheidsvereisten van de EU. Voor de CRA betekent dit dat de fabrikant en distributeur hebben aangetoond dat het product veilig is vanuit een cyberbeveiligingsperspectief. Ook controleren de distributeurs of de fabrikant aan bepaalde verplichtingen heeft voldaan, zoals het product voorzien van identificatie-elementen die het product traceerbaar maken. Daarnaast moet het product voorzien zijn van duidelijke gebruiks- en veiligheidsinstructies.

Wat is de impact voor organisaties?

De Cyber Resilience Act zal aanzienlijke impact hebben op een groot aantal bedrijven, vooral binnen de technologie- en IT-sector. Hier zijn enkele belangrijke aandachtspunten:

• Aanpassingen in ontwikkelprocessen: Bedrijven zullen hun ontwikkelprocessen moeten herzien om beveiliging vanaf de ontwerpfase centraal te stellen. Dit vraagt om nieuwe tools, trainingen en een grotere focus op Cyber Security.
• Toenemende kosten voor naleving: Organisaties zullen moeten investeren in beveiligingsmaatregelen, risicomanagementsystemen en documentatie om te voldoen aan de eisen. Dit kan zowel de kosten van productontwikkeling verhogen als extra middelen vereisen voor post-productie ondersteuning (bijv. beveiligingsupdates).
• Compliance en sancties: Bedrijven die niet voldoen aan de regels van de CRA riskeren zware boetes. De Europese Commissie heeft aangekondigd dat niet-naleving kan leiden tot boetes tot 15 miljoen euro of 2,5% van de wereldwijde omzet van het bedrijf, afhankelijk van welk bedrag hoger is.
• Concurrentievoordeel: Tegelijkertijd biedt naleving van de CRA een concurrentievoordeel. Organisaties die kunnen aantonen dat hun producten veilig en up-to-date zijn, zullen het vertrouwen van klanten vergroten en zich onderscheiden in de markt.

Wanneer treedt de wet in werking?

De Europese Commissie heeft de CRA in september 2022 voorgesteld. Op 12 maart 2024 heeft het Europees Parlement gestemd. Naar verwachting gaat de CRA nu de laatste wetgevende fase in. Het wetsvoorstel moet formeel worden aangenomen door de Raad. Inwerkingtreding gebeurt 20 dagen na publicatie in het publicatieblad van de EU. Vervolgens hebben fabrikanten, importeurs en distributeurs 36 maanden de tijd om aan de wetgeving te voldoen. Naar verwachting moet vanaf 2027 worden voldaan aan de uitgebreide eisen uit de CRA.

Conclusie

De Cyber Resilience Act (CRA) is belangrijke wetgeving die de Cyber Security van digitale producten op de Europese markt aanzienlijk zal verbeteren. Het stelt strengere eisen aan fabrikanten, importeurs en distributeurs en dwingt organisaties om beveiliging vanaf het ontwerp tot en met het einde van de levensduur van een product centraal te stellen. Hoewel de naleving van deze wet bedrijven voor uitdagingen stelt, biedt het ook kansen om vertrouwen en veiligheid te versterken. Voor organisaties is het cruciaal om zich tijdig voor te bereiden en hun processen aan te passen om te voldoen aan de eisen van de Cyber Resilience Act.

Heeft jouw organisatie hulp nodig bij het voldoen aan de Cyber Resilience Act? Onze ervaren Information- en Cyber Security Consultants staan voor je klaar. Neem vrijblijvend contact op voor de mogelijkheden.

Reduce Risk, Create Value!

Contact