Cyber Resilience Act: verplicht cybersecurity CE-markering voor alle hard- en software
Op 20 november 2024 is de definitieve Cyber Resilience Act (CRA) gepubliceerd, een Europese cybersecuritywet die een zeer grote impact gaat hebben. Alle “producten met digitale elementen” (alle hardware en software) moeten straks aan een set cybersecurity-eisen voldoen. Deze wet is in tegenstelling tot de NIS2 niet beperkt tot middelgrote en grote bedrijven. Ieder product dat op de markt verschijnt in de EU moet hieraan voldoen. Voor Nederlandse IT-leveranciers betekent dit dat vrijwel alle software en hardware die zij ontwikkelen, produceren of importeren onder deze wetgeving valt – ongeacht de grootte van het bedrijf. De CRA treedt op 11 december 2027 volledig in werking. Beleidsadviseur Jelmer Schreuder vertelt je in dit artikel meer over deze wet en wat dit voor gevolgen heeft.
Wat komt er onder de CRA te vallen
In principe komen alle hard- en software, in de wet benoemd als “producten met digitale elementen”, onder de wet te vallen. Er zijn wel uitzonderingen opgenomen voor Software as a Service (SaaS, is al gereguleerd onder de NIS2), voor reserveonderdelen die volgens hetzelfde proces als het product ontwikkeld zijn en voor open source die niet commercieel aangeboden is. Op SaaS is overigens wel weer een uitzondering op de uitzondering: wanneer een losstaand product gebruikmaakt van “rekenkracht op afstand” voor diens functionaliteit, dan valt die “rekenkracht op afstand” wel onder de CRA.
Om een indruk te geven van wat hieronder gaat vallen: dit loopt van een evenementen-app op je telefoon, tot de telefoon zelf, tot de robot in een productielijn en de besturingssoftware in een sluis. Het gaat over ieder product dat digitale componenten bevat en aan te sluiten is (permanent, draadloos, met usb-stick, etc.). Het gaat bovendien niet om een productielijn of productserie, deze wetgeving ziet toe op ieder individueel product dat geleverd is.
Eisen uit de CRA
Producten met digitale elementen mogen volgens de CRA alleen op de markt worden gebracht als deze voldoen aan de “essentiële cybersecurity-eisen”. En als de fabrikant processen heeft ingericht om kwetsbaarheden doeltreffend aan te kunnen pakken. Tot slot moet elke fabrikant een verplichte cybersecurityrisicobeoordeling uitvoeren en documenteren die:
- Cyberbeveiligingsrisico’s in kaart brengt voor het specifieke product
- Rekening houdt met beoogd én redelijkerwijs voorzienbaar gebruik
- Tijdens de hele productlevenscyclus wordt bijgehouden
- Onderdeel wordt van de technische documentatie
Als leeswijzer voor de de CRA: in bijlage I zijn de cyberbeveiligingsvereisten aan producten vastgelegd, bijlage II definieert de eisen aan gebruikersdocumentatie, bijlagen III & IV welke producten als belangrijk en kritiek geclassificeerd worden, bijlage V & VI definiëren de EU-conformiteitsverklaring en een vereenvoudigde versie daarvan en bijlage VII de eisen aan technische documentatie bij producten. Het ministerie van Economische zaken heeft een Gids Cyber Reslience Act gepubliceerd (PDF) waarin de wet uitgebreider uitgelegd wordt dan in dit artikel, maar minder juridisch dan de wetstekst zelf.
Essentiële beveiligingseisen aan producten
- Producten zijn ontworpen, ontwikkeld en worden geproduceerd om veilig te kunnen werken (secure-by-design).
- Producten hebben geen bekende uitbuitbare kwetsbaarheden.
- Producten hebben secure-by-default configuratie.
- Automatische updates staan standaard aan.
- Producten moeten afdoende veilige authenticatie en authorisatie bevatten.
- Gegevens zijn goed beschermd door bijvoorbeeld gebruik van encryptie.
- Er wordt gegevensminimalisatie toegepast voor gevoelige data.
- De beschikbaarheid is goed gewaarborgd, o.a. bestand tegen DDOS-aanvallen.
Essentiële beveiligingseisen aan omgang met kwetsbaarheden
- Fabrikanten zullen kwetsbaarheden identificeren en documenteren, o.a. in een software bill of materials die machine-leesbaar is.
- Kwetsbaarheden worden direct geadresseerd, waaronder door uitbrengen van gratis security-updates tijdens de gehele levensduur.
- De beveiliging wordt regelmatig getest en beoordeeld.
- Kwetsbaarheden worden publiek bekend gemaakt nadat een security-update beschikbaar is.
- Fabrikant heeft beleid voor coordinated vulnerability disclosure vastgesteld.
- Fabrikant biedt een veilig update-mechanisme, waar mogelijk geautomatiseerd.
- Security updates worden direct zo, snel als mogelijk, beschikbaar gesteld, inclusief toelichting.
Meldplicht
Actief uitgebuite kwetsbaarheden en beveiligingsincidenten moeten gemeld worden:
- Binnen 24 uur moet er een early warning gegeven worden.
- Binnen 72 uur moet een volledige melding van het incident gedaan worden.
Deze meldplicht geldt al vanaf 11 september 2026 en is van toepassing op alle producten, ook die vóór 11 december 2027 uitgebracht zijn.
Ondersteuningsperiode van producten
De wet stelt de eisen voor de ondersteuningsperiode van producten. In deze wet wordt de leverancier verantwoordelijk om deze ondersteuningsperiode vast te stellen en proactief te communiceren bij de verkoop van producten (zowel digitaal als fysiek). Deze periode moet gebaseerd zijn op de verwachte gebruiksduur van het product en gaat in op het moment van verkoop. Daarnaast zullen toezichthouders bijhouden wat de gemiddelde verwachte ondersteuningsperiode van producten per prijscategorie is, en mogen ze hierover op geaggregeerd niveau communiceren. Er geldt een minimum van 5 jaar ondersteuning, tenzij de verwachte gebruiksduur korter is.
Belangrijke nuance bij de ondersteuningsperiode is dat de wet toeziet op ieder individueel product, en daarom het moment van verkoop geldt als het moment waarop de ondersteuningsperiode gaat lopen.
Hoe krijg je een CE-markering
In veruit de meeste gevallen zal je een product zelf kunnen beoordelen. Externe beoordeling door een derde partij is alleen vereist voor een specifieke lijst van producten die in bijlage III en IV van de CRA als “belangrijk klasse 2” of “kritiek” zijn geclassificeerd. Dit betreft vooral zeer beveiligingsgevoelige producten zoals firewalls, inbraakdetectiesystemen, hypervisors, smartcards en hardware security modules. Voor de meeste Nederlandse IT-leveranciers zal zelfbeoordeling mogelijk zijn, waarbij sommige producten wel aan geharmoniseerde normen moeten voldoen als die beschikbaar zijn. Deze beoordeling (zelf of extern) moet opnieuw gedaan worden voor iedere versie die uitgebracht wordt en substantiële wijzigingen bevat, waarbij bugfix-releases uitgezonderd zijn. Deze beoordeling kan gecontroleerd worden door de toezichthouder, dit zal vrijwel zeker de Rijksinspectie Digitale Infrastructuur (RDI) worden voor Nederland. We verwachten meer guidance over het beoordelingsproces eind dit jaar. In bijlage V en VI van de CRA staan de basale eisen waaraan de daaruit voortvloeiende EU-conformiteitsverklaring moet voldoen.
Invoertermijn
Op 20 november 2024 is de CRA gepubliceerd in de Official Journal of the European Union (OJEU), daarmee zijn de termijnen voor implementatie gaan lopen. Voor de meldplicht is dit 21 maanden later op 11 september 2026, voor alle overige bepalingen is dit 36 maanden later op 11 december 2027. Vanaf dat moment mogen geen nieuwe producten of majeure versies van bestaande producten uitgebracht worden die niet aan deze wetgeving voldoen.
Zorgen NLdigital
De eisen die gesteld worden zijn begrijpelijk en veel producten zullen hier al aan kunnen voldoen. Tegelijk maken we ons wel zorgen over de aantoonbaarheid en hoe bestaande producten constructief onder deze wet gebracht kunnen worden. Voor bedrijven van iedere omvang zal het de vraag worden hoe ze dit aantoonbaar kunnen maken. We hebben standaarden en certificeringen nodig om hier invulling aan te geven, en deze bestaan grotendeels nog niet. De wetgever verwijst hiervoor naar de Cybersecurity Act maar na 5 jaar is slechts één schema hieronder gepubliceerd. Wij vrezen dat dit te traag gaat om invulling te kunnen geven aan deze wet voor ieder product.
Ook maken we ons zorgen in welke mate deze eisen haalbaar zijn voor kleinere leveranciers. Er is een tekst over opgenomen in de wet over kleinere bedrijven, maar Nederland zal hier zelf uitwerking aan moeten geven. Dit is met name voor het startup- en scaleupklimaat essentieel.
We verwachten dat eind 2025 meer concrete guidance beschikbaar komt vanuit de EU en ENISA over de praktische implementatie van de CRA. NLdigital zal op basis van deze guidance meer gedetailleerde uitleg en tools beschikbaar maken voor leden om de conformiteit praktisch aan te pakken.
We volgen deze wetgeving op de voet. Als er ontwikkelingen zijn, dan updaten we dit artikel.
Gerelateerde artikelen
Voordat je AI inzet: denk na over AI governance
AI Act in zicht, voorkom verrassingen
