Cyber Resilience Act (CRA)

Mischa Puyenbroek – Business Consultant

De schade veroorzaakt door cybercriminaliteit werd in 2021 wereldwijd geschat op 5,5 triljoen euro. Kwetsbare hard- en software vormen hiervoor de hoofdoorzaak. De nu in behandeling zijnde Cyber Resilience Act is bedoeld om hier – in Europees verband -verandering in te brengen. Dit Europese voorstel voor een Verordening van cyberbeveiligingsvereisten – ook wel CRA genoemd – is van toepassing op alle producten met digitale elementen. De Cyber Resilience Act moet de cyberbeveiligingsregels versterken en zorgen voor veiligere hardware- en softwareproducten. Wat houdt de CRA – tot dusver – in en hoe kunt u hierop voorsorteren? In deze blog leest u meer.

Hoofdoorzaak kwetsbaarheid voor cybercriminaliteit

De kosten en gebruik van hard- en software zijn voor gebruikers en hiermee de samenleving de laatste decennia exponentieel gegroeid. Om de grondslag van de CRA beter te kunnen uitleggen, is het nuttig de achtergrond in beeld te brengen. Zoomen we in op hard- en softwaregebruik dan kunnen we globaal een tweedeling maken tussen:

1. Beveiliging van hard- en software: De cyberveiligheid van de producten is gemiddeld genomen te laag. We zien dit terug in wijdverspreide kwetsbaarheden en een ontoereikend en inconsistent aanbod van beveiligingsupdates.
2. Kennis bij gebruikers: Onvoldoende begrip van en/of toegang tot informatie voor gebruikers. Er wordt niet of niet bewust gekozen voor producten met adequate cyberbeveiligingseigenschappen. Ook het op een veilige manier gebruiken van hard- en software is onvoldoende duidelijk.

Veel succes te behalen op cyberveiligheidsvlak

De bestaande wetgeving voor Europa, is nu van toepassing op slechts bepaalde producten met digitale elementen. De CRA is echter bedoeld voor alle hardware- en softwareproducten, die momenteel dus niet onder EU-wetgeving vallen als het gaat om cyberbeveiliging.

Het huidige EU-rechtskader heeft namelijk geen betrekking op de cyberbeveiliging van niet-ingebedde software, ook al zijn cyberbeveiligingsaanvallen in toenemende mate gericht op kwetsbaarheden in deze producten, wat aanzienlijke maatschappelijke en economische schade veroorzaakt. Denk hierbij aan producten zoals, (autonome) auto’s, automatiseringsindustrie (zoals robots), maar ook sluizen, bruggen, alle producten verbonden met het internet, zoals ook Cloud-technologie én AI.

Kerndoelen cyber resilience act

Er zijn twee hoofddoelstellingen vastgesteld om de goede werking van de interne markt te waarborgen:

1. Voorwaarden voor de ontwikkeling van veilige producten met digitale elementen, waardoor hardware- en softwareproducten met minder kwetsbaarheden op de markt worden gebracht en bewerkstelligen dat fabrikanten gedurende de gehele productlevenscyclus de beveiliging serieus nemen.
2. Voorwaarden die gebruikers in staat stellen rekening te houden met cyberbeveiliging bij het selecteren en gebruiken van producten met digitale elementen.

Vanuit deze hoofddoelstellingen zijn in de CRA vier specifieke doelstellingen geformuleerd:

1. Zorgen dat fabrikanten de beveiliging van producten met digitale elementen verbeteren gedurende de ontwerp- en ontwikkelingsfase én complete product lifecycle;
2. Zorgen voor een coherent kader voor cyberbeveiliging, dat de naleving voor hardware- en softwareproducenten vergemakkelijkt;
3. De transparantie van de beveiligingseigenschappen van producten met digitale elementen te vergroten;
4. Bedrijven en consumenten in staat te stellen om producten met digitale elementen veilig te gebruiken.

Waarop is de CRA precies van toepassing?

In het Cyber Resilience Act voorstel, wordt onderscheid gemaakt tussen producten met digitale elementen (KLASSE 1), waaronder SIEM systemen, MDM software, boot managers, IAM en PAM-software, microprocessoren en microcontrollers, PLC, CMC SCADA en kritische producten met digitale elementen (KLASSE 2), zoals firewalls, IDS, smartcards, smartcard readers, Industriële Internet of Things producten, routers, modems, switches (voor industrieel gebruik), hypervisors, public key infrastructure en digitale certificerende uitgevers. Daarnaast wordt nog onderscheid gemaakt in de toepassing van algemene veiligheid van het product met digitale elementen en machinale producten. En wordt een uitzonderlijke categorie van producten met AI digitale elementen gemaakt.

Cyber Resilience Act wat is specifiek inbegrepen en wat valt erbuiten?

De Cyber Resilience Act stelt geconnecteerde apparaten vrij die al onderdeel zijn van de sectorale wetgeving, zoals digitale producten gereguleerd door de Medical Devices Regulation (Verordening (EU) 2017/745), In Vitro Diagnostic Medical Devices Regulation (Verordening (EU) 2017/746), Motorvoertuigen Algemene veiligheidsverordening (Verordening (EU) 2019/2144) en Gemeenschappelijke regels in de burgerluchtvaartverordening (Verordening (EU) 2018/1139).

De Cyber Resilience Act stelt de European Digital Identity Wallets, systemen voor elektronische medische dossiers of producten met risicovolle kunstmatige-intelligentiesystemen niet vrij. Op deze pagina treft u een overzicht aan van alle benoemde categorieën. [>Cyber Resilience Act – Factsheet | Shaping Europe’s digital future (europa.eu)<]

 

 

Flinke boetes voor bestuurders en directie!

Niet-naleving van de essentiële vereisten en verplichtingen van bijlage I in de artikelen 10 [<Obligations of manufacturers, p.38>] en 11 [>reporting obligations of manufacturers, p. 40<][ Cyber Resilience Act | Shaping Europe’s digital future (europa.eu)] onderwerpt overtredende bedrijven aan de hoogste boete van ofwel administratieve boetes tot € 15 miljoen of 2,5 procent van hun wereldwijde jaaromzet voor het voorgaande fiscale jaar, afhankelijk van welke van de twee het hoogste is.

Het niet naleven van andere verplichtingen binnen de Cyber Resilience Act leidt tot bestuurlijke boetes tot € 10 miljoen of 2 procent van de wereldwijde jaaromzet van het voorgaande fiscale jaar, afhankelijk van wat het hoogste is.

Misleidende markttoezichtautoriteiten met onjuiste, onvolledige of gemanipuleerde informatie zal leiden tot een boete van € 5 miljoen of 1 procent van de wereldwijde jaaromzet van het voorgaande fiscale jaar, afhankelijk van welke van de twee het hoogste is.

Lidstaten kunnen effectieve, evenredige en afschrikkende regels vaststellen voor sancties die van toepassing zijn op bedrijven die de Cyber Resilience Act niet naleven. Wel moeten zij de Commissie op de hoogte stellen van de regels, maatregelen en latere wijzigingen. Nationale markttoezichtautoriteiten kunnen de beschikbaarheid van producten ook verbieden of beperken als de fabrikant, importeur, distributeur of andere verantwoordelijke ondernemingen niet-volgens, in overeenstemming met blijken te zijn.

Signaleringsrol fabrikanten bij cybersecurity incidenten

CRA belicht ook de verplichtingen van de fabrikant, zoals verplichte rapportering en de verplichting een gemachtigde vertegenwoordiger aan te wijzen. Ook komen er verplichtingen voor de importeur van de producten en verplichtingen voor de distributeurs, denk hierbij bijvoorbeeld aan de CE-markering.

De Cyber Resilience Act creëert rapportageverplichtingen voor fabrikanten om het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) binnen 24 uur op de hoogte te stellen nadat ze zich bewust zijn geworden van “elke actief uitgebuite kwetsbaarheid in het product met digitale elementen” of “elk incident dat gevolgen heeft voor de veiligheid van het product met digitale elementen”. De fabrikanten zullen ook de gebruikers van het product van het incident informeren, evenals corrigerende maatregelen die de impact voor de consument kunnen verminderen.

Ook moeten importeurs en distributeurs van producten met digitale elementen fabrikanten onverwijld informeren over kwetsbaarheden in de cyberbeveiliging. Als er een aanzienlijk cyberbeveiligingsrisico bestaat, moeten importeurs en distributeurs ook de nationale markttoezichtautoriteiten informeren over de non-conformiteit en de genomen corrigerende maatregelen.

Hoe kunt u voorsorteren op de CRA?

Bij BMGRIP merken we dat deze aankomende nieuwe wetgeving veel vragen oproept. Onze opdrachtgevers willen graag in controle zijn en blijven. Ook u wilt niet aansprakelijk worden gesteld of een boete worden opgelegd en daarom is het verstandig om voorbereidingen te treffen en processen te toetsen op de op handen zijnde regelgeving.

Wilt u daarom ook meer informatie of advies over:

  • conformiteitsbeoordelingsprocedures,
  • EU-typeonderzoek,
  • conformiteit met het type op basis van interne productiecontrole,
  • conformiteit op basis van volledige kwaliteitsborging,
  • de inhoudseisen van technische documentatie of
  • EU-conformiteitsverklaringsvoorbeeld
Blog geschreven door Mischa Puyenbroek, Business Consultant
Deel dit bericht:

Realiteitszin bij het werken met de NEN 7510 in de zorg: balanceren tussen veiligheid en praktisch gemak

In de complexe wereld van informatiebeveiliging in de gezondheidszorg staat één uitdaging centraal: het vinden van de juiste balans tussen veilig...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Adres

Computerweg 22
3542 DR Utrecht

KvK: 30277648
BTW: NL 8217.37.612.B01

Privacy statement - Disclaimer - © 2024 BMGRIP