Cyber Resilience Act: verplicht cybersecurity CE-markering voor alle hard- en software

CYBERSECURITY

30 november zijn het Europees Parlement en de Europese Raad tot een akkoord gekomen over de Cyber Resilience Act (CRA), een Europese cybersecuritywet die een zeer grote impact gaat hebben. Alle “producten met digitale elementen” (alle hardware en software) moeten straks aan een set cybersecurity-eisen voldoen. Deze wet is in tegenstelling tot de NIS2 niet beperkt tot middelgrote en grote bedrijven. Ieder product dat op de markt verschijnt in de EU moet hieraan voldoen. De CRA treedt over een aantal jaar in werking. Beleidsadviseur Jelmer Schreuder vertelt je in dit artikel meer over deze wet en wat dit voor gevolgen heeft.

Dit artikel is voor het laatst bijgewerkt op 20 december 2023.

Wat komt er onder de CRA te vallen

In principe komen alle hard- en software, in de wet benoemd als “producten met digitale elementen”, onder de wet te vallen. Er zijn wel uitzonderingen opgenomen voor Software as a Service (SaaS, is al gereguleerd onder de NIS2), voor reserveonderdelen die volgens hetzelfde proces als het product ontwikkeld zijn en voor open source die niet commercieel aangeboden is. Op SaaS is overigens wel weer een uitzondering op de uitzondering: wanneer een losstaand product gebruikmaakt van “rekenkracht op afstand” voor diens functionaliteit, dan valt die “rekenkracht op afstand” wel onder de CRA.

Om een indruk te geven van wat hieronder gaat vallen: dit loopt van een evenementen-app op je telefoon, tot de telefoon zelf, tot de robot in een productielijn en de besturingssoftware in een sluis. Het gaat over ieder product dat digitale componenten bevat en aan te sluiten is (permanent, draadloos, met usb-stick, etc.).

Eisen uit de CRA

Producten met digitale elementen mogen volgens de CRA alleen op de markt worden gebracht als deze voldoen aan de “essentiële cybersecurity-eisen”. En als de fabrikant processen heeft ingericht om kwetsbaarheden doeltreffend aan te kunnen pakken. De exacte uitwerking van deze eisen is vastgelegd in bijlage 1 van de CRA. We hebben de definitieve tekst nog niet volledig kunnen analyseren, maar op basis van de concepten die tot vorige week bekend waren komen die neer op:

Essentiële beveiligingseisen aan producten

  • Producten zijn ontworpen, ontwikkeld en worden geproduceerd om veilig te kunnen werken (secure-by-design).
  • Producten hebben geen bekende uitbuitbare kwetsbaarheden.
  • Producten hebben secure-by-default configuratie.
  • Automatische updates staan standaard aan.
  • Producten moeten afdoende veilige authenticatie en authorisatie bevatten.
  • Gegevens zijn goed beschermd door bijvoorbeeld gebruik van encryptie.
  • Er wordt gegevensminimalisatie toegepast voor gevoelige data.
  • De beschikbaarheid is goed gewaarborgd, o.a. bestand tegen DDOS-aanvallen.

Essentiële beveiligingseisen aan omgang met kwetsbaarheden

  • Fabrikanten zullen kwetsbaarheden identificeren en documenteren, o.a. in een software bill of materials die machine-leesbaar is.
  • Kwetsbaarheden worden direct geadresseerd, waaronder door uitbrengen van gratis security-updates tijdens de gehele levensduur.
  • De beveiliging wordt regelmatig getest en beoordeeld.
  • Kwetsbaarheden worden publiek bekend gemaakt nadat een security-update beschikbaar is.
  • Fabrikant heeft beleid voor coordinated vulnerability disclosure vastgesteld.
  • Fabrikant biedt een veilig update-mechanisme, waar mogelijk geautomatiseerd.
  • Security updates worden direct zo, snel als mogelijk, beschikbaar gesteld, inclusief toelichting.

Meldplicht

  • Actief uitgebuite kwetsbaarheden en beveiligingsincidenten moeten gemeld worden.
  • Binnen 24 uur moet er een early warning gegeven worden.
  • Binnen 72 uur moet een volledige melding van het incident gedaan worden.

De exacte details op dit vlak zijn nog veranderd in de laatste onderhandelingen, hierover later meer.

Levensduur van producten

De wet stelt de eisen voor de ondersteuningstermijn van producten. In deze wet wordt de leverancier verantwoordelijk om deze ondersteuningstermijn vast te stellen en proactief te communiceren bij de verkoop van producten (zowel digitaal als fysiek). Daarnaast zullen toezichthouders bijhouden wat de gemiddelde verwachte levensduur van producten is, en mogen ze hierover op geaggregeerd niveau communiceren.

Hoe krijg je een CE-markering

In veruit de meeste gevallen zal je een product zelf kunnen beoordelen. Alleen bij een lijst van kritieke producten wordt beoordeling door een derde partij vereist. De exacte lijst van deze kritieke producten was nog onderdeel van de laatste onderhandelingen en kunnen we daardoor nog niet vermelden (te vinden in bijlage 3 klasse 2). Deze beoordeling (zelf of extern) moet opnieuw gedaan worden voor iedere versie die uitgebracht wordt en substantiële wijzigingen bevat (bugfix-releases zijn waarschijnlijk uitgezonderd). Deze beoordeling kan gecontroleerd worden door de toezichthouder, dit zal waarschijnlijk de RDI worden voor Nederland.

Invoertermijn

Er moeten nog een paar stappen worden genomen om de wet definitief te maken, maar dat lijken vooral formaliteiten te zijn. Dat wil zeggen dat het Europees Parlement en de Europese Raad nog hun definitieve akkoord op het compromis moeten geven en dat de CRA vervolgens gepubliceerd moet worden. Twintig dagen na publicatie zal de wet definitief in werking treden en gaan de invoeringstermijnen in. De verwachting is dat dit ongeveer in juni 2024 zal zijn. Voor de meldplicht is dit 21 maanden later (verwacht: maart 2026), voor alle overige bepalingen is dit 36 maanden later (verwacht: juni 2027). Vanaf dat moment mogen geen nieuwe producten of majeure versies daarvan uitgebracht worden die niet aan deze wetgeving voldoen.

Zorgen NLdigital

De eisen die gesteld worden zijn begrijpelijk en veel producten zullen hier al aan kunnen voldoen. Tegelijk maken we ons wel zorgen over de aantoonbaarheid en hoe bestaande producten constructief onder deze wet gebracht kunnen worden. Voor bedrijven van iedere omvang zal het de vraag worden hoe ze dit afdoende aantoonbaar kunnen maken. We hebben ook standaarden en certificeringen nodig om hier invulling aan te geven, en deze bestaan grotendeels nog niet. De wetgever verwijst hiervoor naar de Cybersecurity Act maar de eerste schema’s hieronder zijn pas net in hun laatste fase beland. Het is nog niet duidelijk in hoeverre die invulling kunnen geven aan deze wet voor ieder product.

Ook maken we ons zorgen in welke mate deze eisen haalbaar zijn voor kleinere leveranciers. Er is een tekst over opgenomen in de wet over kleinere bedrijven, maar Nederland zal hier zelf uitwerking aan moeten geven. Dit is met name voor het startup- en scaleupklimaat essentieel.

We volgen deze wetgeving op de voet. Als er ontwikkelingen zijn, dan updaten we dit artikel.