Cyber Resilience Act (CRA)
De Cyber Resilience Act (CRA) is een Europese verordening die zich richt op het verbeteren van de beveiliging van digitale producten en diensten. De verordening is gepubiceerd en eind 2024 in werking getreden.
Omdat de CRA een verordening is, hoeft deze niet vertaald te worden naar Nederlandse wetgeving, maar is deze direct van kracht. Eind 2027 moeten vervolgens alle producten met digitale elementen als inherent veilig ontworpen en geproduceerd zijn (zogeheten security-by-design). Daarnaast geldt voor fabrikanten en andere partijen in de toeleveringsketen een zorgplicht, waaronder het aanbieden van ondersteuning en beveiligingsupdates en een meldplicht bij kwetsbaarheden en incidenten.
Welke producten moeten aan de CRA voldoen?
Alle producten met digitale elementen moeten vanaf 2027 voldoen aan de CRA. Dit zijn niet alleen fysieke producten zoals IoT-apparatuur, firewalls of netwerkapparatuur, maar ook software zoals videogames, mobiele apps of besturingssystemen zoals Windows en componenten zoals videokaarten en software libraries.
Wie krijgen met de CRA te maken?
Alle fabrikanten, importeurs, distributeurs en gebruikers van producten met digitale elementen krijgen te maken met de CRA. Daarnaast kunnen fabrikanten een vertegenwoordiger machtigen.
- Consumenten: Consumenten en gebruikers van producten hebben rechten en mogen rekenen op veiligere producten met een ondersteuningsperiode die redelijkerwijs te verwachten is.
- Fabrikanten en importeurs: De meeste verplichtingen gelden voor fabrikanten. Zij dragen integraal de verantwoordelijkheid voor een veilig product.
Ook voor importeurs geldt dat ze in moeten staan voor de veiligheid van het product, en actief moeten controleren of producten wel aan de CRA voldoen. Brengt een importeur het product onder zijn eigen merk op de markt? Dan wordt de importeur beschouwd als fabrikant, en gelden alle plichten die ook op een fabrikant van toepassing zijn. - Distributeurs: Een distributeur daarentegen hoeft alleen passende zorgvuldigheid toe te passen. Dat betekent echter wel dat de distributeur moet controleren op de aanwezigheid van de CE-markering op het product. Twijfelt de distributeur of het product wel voldoet aan de wet? Dan brengt deze het product niet op de markt.
Welke eisen stelt de CRA?
De belangrijkste eisen uit de CRA worden gesteld aan de producten die op de markt worden gebracht. Maar er worden ook eisen gesteld aan de processen die fabrikanten ingericht hebben om hun producten te ontwikkelen, ontwerpen, fabriceren en te onderhouden.
Om veiligheidsproblemen te voorkomen, moet de fabrikant van een product vaststellen met welke functionaliteit en bedoelde werking het product ontwikkeld wordt. De fabrikant voert een risicoanalyse uit, die de basis moet vormen voor het veilig ontwerpen van het product. Het is van belang dat hierbij alle kwetsbaarheden en reële risico’s worden weggenomen. Bij serieuze incidenten of actief uitgebuite kwetsbaarheden wordt de fabrikant verplicht om melding te maken bij de nationale CSIRT en de getroffen gebruikers te informeren en adviseren. Ook vereist de wet dat de fabrikant een proces inricht om te reageren op kwetsbaarheden en om deze direct te kunnen adresseren, bijvoorbeeld door een beveiligingsupdate te verstrekken. Deze verplichtingen gelden voor de gehele verwachte levensduur van het product, maar minimaal voor een periode van vijf jaar.
Wanneer voldoet een product aan de CRA?
Om aan te tonen dat het product voldoet aan de CRA is de fabrikant verplicht de conformiteit te laten beoordelen. In veel gevallen mag de fabrikant dit zelf doen: een zogenaamde self assessment. In sommige gevallen moet dit door een externe partij gebeuren. Deze beoordeling heeft ook betrekking op de processen die de fabrikant heeft ingericht om te reageren op kwetsbaarheden. De fabrikant is verantwoordelijk dat dit gebeurt en voert de CE-markering op het product, zodat deze als zodanig herkenbaar is.
De Cyber Resilience Act (CRA) maakt onderscheid tussen vier verschillende soorten producten, waarvoor de volgende beoordelingen gelden:
- Reguliere producten, zoals mobiele apps, videogames, IoT-apparatuur. Voor deze producten mag een zelfbeoordeling worden toegepast.
- Belangrijke producten type 1, zoals security software of apparatuur, netwerkapparatuur en besturingssystemen. Zelfbeoordeling van deze producten mag alleen op basis van geharmoniseerde Europese normen. Zijn deze er niet? Dan moet verplicht van een notified body gebruik worden gemaakt.
- Belangrijke producten type 2 zijn hypervisors, firewalls en intrusion detection & prevention systemen en manipulatiebestendige microprocessoren en -controllers. Deze producten moeten verplicht van een notified body gebruik maken.
- Kritieke producten zijn smartcards, hardwareapparaten met beveiligingskastje en gateways voor slimme meters die bidirectioneel verbruik kunnen meten. Voor deze apparaten kan in de toekomst worden voorgeschreven dat zij worden gecertificeerd volgens een geschikt CSA-certificatieschema. Zo lang dit niet is voorgeschreven moet verplicht van een notified body gebruik worden gemaakt.