Auteur: Tim Fitters (IT Risk & Compliance Consultant)

De Cyber Resilience Act

Over de Cyber Resilience Act (CRA) is al veel geschreven. In dit artikel bied ik een beknopt overzicht van wat de Cyber Resilience Act inhoud. Ik ga kort in op de CRA, het doel ervan, welke eisen er zijn en welke stappen je als bedrijf kan zetten richting CRA compliancy. We zullen beginnen met het begin: wat is de CRA? CRA is nieuwe Europese wetgeving en, kort gezegd, in de CRA is vastgelegd dat bedrijven die producten maken met digitale componenten erin, veilig moeten zijn. De wet bepaalt dat fabrikanten gedurende de gehele levensduur verantwoordelijk blijven voor de cyberveiligheid van hardware- en softwareproducten. Dit geldt voor alle producten die op de EU-markt worden gebracht. De CRA geeft regels voor de veiligheid van producten en hoe gereageerd moet worden op kwetsbaarheden in producten. Deze regels zijn overigens verplicht!

De CRA wil namelijk dat de interne (Europese) markt veilig is door veilige producten te maken die minder kwetsbaar zijn. Door het verminderen van de problemen met soft- en hardware in producten en het verbeteren van de kwaliteit, zal uiteindelijk een hogere digitale weerbaarheid ontstaan. Fabrikanten krijgen als het ware een zorgplicht. De wet stelt namelijk dat ze verantwoordelijk zijn voor de veiligheid van hun producten tijdens de hele levenscyclus. Daarnaast helpt CRA gebruikers rekening te houden met cyberveiligheid bij hun keuze en gebruik van producten. Dit wordt onder andere bereikt door de beveiliging van producten van het begin tot het einde van de productlevenscyclus mee te nemen, een systeem te maken dat wettelijke naleving makkelijker maakt en gebruikers meer bewust te maken over veiligheid en risico's. Dit zorgt voor verplichtingen aan de kant van fabrikanten, importeurs en distributeurs. Per groep zal ik kort toelichten wat deze verplichtingen inhouden.

Verantwoordelijkheid van Fabrikanten
Fabrikanten hebben verschillende verplichtingen onder de CRA. Ze moeten ervoor zorgen dat hun producten veilig zijn bij het leveren, installeren, onderhouden en gebruiken van hun producten. Ze moeten ook transparant zijn over de cyberveiligheid van hun producten, (gratis) beveiligingsondersteuning bieden (updates) en voldoen aan de eisen voor kwetsbaarheidsrespons. Dat laatste betekent dat fabrikanten een plan moeten hebben om snel te reageren op ontdekte kwetsbaarheden, gebruikers hierover te informeren en patches om het op te lossen uit te rollen. Fabrikanten moeten ook ernstige incidenten melden aan het Europees Agentschap voor Cyberbeveiliging (ENISA) en een beleid maken voor openbaarmaking van kwetsbaarheden. Dit alles verkleint de risico's voor gebruikers.

Verplichtingen van Importeurs en Distributeurs

De fabrikant is dus verantwoordelijk voor de beveiliging van producten, maar importeurs en distributeurs zijn verantwoordelijk voor het garanderen dat alleen producten die aan de eisen van de CRA voldoen, de Europese markt bereiken. De CRA legt uit wat importeurs en distributeurs moeten doen om veiligheid in de gehele supplychain te verbeteren. Dit is een vriendelijke manier om te zeggen, wat hun verplichtingen zijn. Onder de CRA moeten importeurs en distributeurs ervoor zorgen dat hun producten aan strenge eisen voldoen voordat ze op de markt komen. Importeurs dienen ervoor te zorgen dat producten veilig zijn en aan alle regelgeving voldoen, inclusief het controleren van conformiteitsprocedures en het verstrekken van correcte CE-markeringen en bijbehorende informatie. Zij zijn ook verantwoordelijk voor het melden van eventuele tekortkomingen aan fabrikanten en toezichthoudende autoriteiten, het transparant vermelden van hun eigen identificatiegegevens en het voorzien van gebruikers van duidelijke instructies. Distributeurs delen vergelijkbare verplichtingen, waaronder zorgvuldige productverificatie, meldingsplicht bij vermoedelijke non-conformiteit en samenwerking met autoriteiten om de naleving te waarborgen. Waarom krijgen zij ook deze verplichtingen? Nou, om de veiligheid van digitale producten te kunnen waarborgen en heldere verantwoordelijkheden vast te stellen in de gehele supplychain, zijn deze verplichtingen en gezamenlijke inspanningen erg belangrijk.

Waar moet je als bedrijf op letten met betrekking tot CRA?

De CRA gaat een grote impact hebben op bedrijven. Het aantal incidenten in de EU zal door de strengere regels met betrekking tot cyberveiligheid verminderen en de impact van incidenten zal ook afnemen. Een beter cyberbeveiligingsniveau voor producten betekent namelijk minder incidenten en een lagere impact voor bedrijven. Dankzij het uniform maken van cyberbeveiligingsregels door de hele EU, krijgen bedrijven ook meer rechtszekerheid en creëert een gelijk speelveld. Elk EU bedrijf moet zich tenslotte aan dezelfde regels houden. De grotere transparantie over beveiliging zal gebruikers ook meer vertrouwen geven, wat op lange termijn goed is voor bedrijven die zich inzetten voor cyberveiligheid en compliance.

Laten we eerlijk zijn, CRA heeft wel een aantal voordelen, maar het brengt ook (net als andere wetgevingen) uitdagingen met zich mee. Want om aan de CRA te voldoen, moet je als bedrijf onder andere de volgende stappen ondernemen. Zoals gewoonlijk, begint het met een uitgebreide risico assessment van mogelijke bedreigingen voor producten met digitale componenten, waarbij de bevindingen gedocumenteerd worden en maatregelen geïntegreerd moeten worden voor alle fasen van de productlevenscyclus. Vanaf de ontwerpfase moeten producten worden ontwikkeld die veilig zijn en die geen kwetsbaarheden, maar juiste sterke beveiligingsmaatregelen bevatten. Kortom: in de gehele productlevenscyclus blijf je als fabrikant voor de veiligheid van het product verantwoordelijk.

Daarnaast zijn het verkrijgen van een CE-markering en het voorbereiden van een EU-conformiteitsverklaring belangrijke stappen om aan de CRA te voldoen. Ook hierbij blijft het je verantwoording om aan de gebruikers duidelijke instructies en beveiligingsinformatie te verstrekken. Bedrijven dienen ook een beleid voor kwetsbaarheidsbeheer te implementeren, inclusief de mogelijkheid om snel patches uit te voeren, waarbij ernstige kwetsbaarheden en incidenten gemeld moeten worden aan ENISA en andere relevante autoriteiten. Een goede samenwerking met markttoezichtautoriteiten en het continue trainen en bewust worden binnen het bedrijf over cyberbeveiliging zijn, zoals altijd, ook weer belangrijk. Deze stappen zorgen niet alleen voor een juiste stap richting het compliant worden aan CRA, maar ook voor een digitaal weerbaarder Europa!

Key take aways!

Hierbij nog een kort overzicht van wat we zojuist besproken hebben:

Doel van de CRA: De CRA is Europese wetgeving die bedrijven verplicht om producten met digitale componenten veilig te maken en te houden gedurende hun hele levenscyclus. Dit is bedoeld om de veiligheid te verbeteren en problemen met hardware en software te verminderen.

Verantwoordelijkheden van Fabrikanten: Fabrikanten moeten ervoor zorgen dat hun producten veilig zijn en aan alle wettelijke eisen voldoen. Ze moeten de cyberveiligheid in de gaten houden, updaten, transparant zijn en snel reageren op kwetsbaarheden.

Rol van Importeurs en Distributeurs: Importeurs en distributeurs zijn verantwoordelijk voor het controleren en garanderen dat alleen conformiteitsgecertificeerde producten op de markt komen. Ze moeten non-conformiteiten melden en samenwerken met autoriteiten om de naleving te waarborgen.

Stappen richting compliancy: Bedrijven moeten verschillende stappen ondernemen om aan de CRA te voldoen, zoals risicobeoordelingen uitvoeren, CE-markering verkrijgen, gebruikers van duidelijke instructies voorzien en een beleid voor kwetsbaarheidsbeheer implementeren.

Voordelen en Uitdagingen: De CRA belooft een verbeterd niveau van cyberveiligheid, minder incidenten en meer vertrouwen bij gebruikers. Tegelijkertijd brengt het nalevingskosten met zich mee, zoals kosten voor risicobeoordelingen en certificeringen.