EU Cyber Resilience Act (CRA)
De EU Cyber Resilience Act (CRA) is aanstaande EU-wetgeving die verplichte cybersecurity-eisen vaststelt voor producten met digitale elementen (hardware en software) die op de EU-markt worden gebracht. De CRA, die naar verwachting in 2027 volledig in werking treedt, heeft als doel te waarborgen dat producten door ontwerp veilig zijn ('secure by design'), dat leveranciers gedurende de gehele levenscyclus van het product de veiligheid handhaven en dat consumenten transparantie krijgen over de beveiliging van producten.
De CRA is nog niet volledig van kracht. De handhavingstermijnen variëren per type vereiste, waarbij volledige naleving wordt verwacht tegen eind 2027. Houd de officiële EU-publicaties in de gaten voor de definitieve tekst en implementatiedeadlines.
Wie moet voldoen aan de CRA?
De CRA is van toepassing op:
Fabrikanten: Entiteiten die producten met digitale elementen ontwerpen, ontwikkelen of vervaardigen voor plaatsing op de EU-markt
Importeurs: Bedrijven die producten met digitale elementen de EU binnenbrengen
Distributeurs: Entiteiten die producten op de EU-markt aanbieden
Open-source stewards: Organisaties die commerciële ondersteuning bieden voor open-source producten (onder bepaalde voorwaarden)
Producten met digitale elementen omvatten:
Software (applicaties, besturingssystemen, firmware)
Hardware met ingebedde software (IoT-apparaten, routers, slimme apparaten)
Verbonden producten (wearables, industriële controlesystemen)
Reikwijdte en uitzonderingen
Binnen de reikwijdte: Commerciële producten met digitale elementen die op de EU-markt worden gebracht, inclusief SaaS- en clouddiensten als deze downloadbare softwarecomponenten bevatten.
Uitgezonderd:
Medische hulpmiddelen, luchtvaartsystemen en auto-onderdelen die al onder sectorspecifieke regelgeving vallen
Puun niet-commerciële open-source software die buiten commerciële activiteiten om is ontwikkeld of geleverd
Producten die uitsluitend bestemd zijn voor nationale veiligheid of defensie
Als u open-source software distribueert zonder monetisatie of commerciële ondersteuning, bent u waarschijnlijk vrijgesteld. Als u betaalde ondersteuning, SLA's of enterprise-functies aanbiedt, kan de CRA van toepassing zijn.
Productclassificatie
De CRA deelt producten in op basis van cybersecurityrisico:
Standaard (Klasse I): Standaard cybersecurity-eisen, zelfbeoordeling toegestaan
Belangrijk (Klasse II): Producten met een hoger risico (identiteitsbeheer, VPN's, netwerkbeheer) die een conformiteitsbeoordeling door een derde partij vereisen
Kritiek: Producten met het hoogste risico (beveiligde elementen, smartcards, PKI-systemen) die een strikte certificering door een derde partij vereisen
De meeste commerciële softwareproducten vallen in de standaardcategorie.
Kernvereisten
Fabrikanten moeten ervoor zorgen dat producten gedurende de gehele levenscyclus voldoen aan essentiële cybersecurity-eisen:
Veilig door ontwerp (Secure by Design):
Geen bekende exploiteerbare kwetsbaarheden op het moment van plaatsing op de markt
Beveiliging is ingebouwd in de productarchitectuur en het ontwikkelingsproces
Minimaal aanvalsoppervlak en veilige standaardconfiguraties
Gegevensbescherming en versleuteling waar van toepassing
Beveiligingsupdates worden automatisch geleverd of met kennisgeving aan de gebruiker
Beheer van kwetsbaarheden:
Identificeer, documenteer en verhelp kwetsbaarheden gedurende de ondersteuningsperiode
Meld actief misbruikte kwetsbaarheden binnen 24 uur na ontdekking aan het ENISA
Bied beveiligingsupdates aan voor de verwachte levensduur van het product (minimaal 5 jaar voor veel producten)
Hanteer een openbaar beleid voor de openbaarmaking van kwetsbaarheden
Documentatie en transparantie:
Verstrek duidelijke beveiligingsdocumentatie aan gebruikers
Publiceer de EU-conformiteitsverklaring
Breng de CE-markering aan op conforme producten
Bewaar technische documentatie gedurende 10 jaar
Incidentrapportage:
Meld actief misbruikte kwetsbaarheden en ernstige incidenten aan het ENISA
Stel getroffen gebruikers op de hoogte van beveiligingsproblemen en beschikbare oplossingen
Conformiteitsbeoordeling
Afhankelijk van de productklasse moeten fabrikanten conformiteit aantonen via:
Zelfbeoordeling (Klasse I): De fabrikant voert interne tests uit en stelt documentatie op
Beoordeling door derden (Klasse II/Kritiek): Een aangemelde instantie (notified body) beoordeelt de naleving vóór de marktintroductie
Alle fabrikanten moeten technische documentatie bijhouden die de conformiteit bewijst, inclusief risicobeoordelingen, beveiligingstestresultaten en verslagen van het ontwikkelingsproces.
Ondersteuningsverplichtingen
Fabrikanten moeten beveiligingsondersteuning bieden voor:
De verwachte levensduur van het product, OF
Minimaal 5 jaar na plaatsing op de markt (voor de meeste producten)
Dit omvat het patchen van kwetsbaarheden, beveiligingsupdates en incidentrespons. Producten zonder voortdurende ondersteuning mogen wettelijk gezien niet op de EU-markt blijven.
Sancties
De CRA stelt aanzienlijke financiële sancties vast:
Ernstige overtredingen (niet-conforme producten, ontbrekende CE-markering): Tot €15 miljoen of 2,5% van de wereldwijde jaaromzet
Andere overtredingen (onvolledige documentatie, gebrekkige medewerking): Tot €10 miljoen of 2% van de wereldwijde jaaromzet
Onjuiste informatie: Tot €5 miljoen of 1% van de wereldwijde jaaromzet
Implementatietijdlijn
Verwachte handhavingsfasen (onder voorbehoud van definitieve publicatie van de verordening):
2024-2025: Verordening gepubliceerd, respijtperiode begint
2026: Verplichtingen voor het melden van kwetsbaarheden treden in werking
2027: Volledige naleving vereist voor nieuwe producten die op de markt worden gebracht
Na 2027: Bestaande producten moeten voldoen aan de ondersteuningsverplichtingen
Begin nu met de voorbereiding door veilige ontwikkelingspraktijken te implementeren, processen voor kwetsbaarheidsbeheer op te stellen en uw beveiligingsarchitectuur te documenteren.
Hoe ISMS Copilot helpt
ISMS Copilot kan ondersteuning bieden bij de voorbereiding op CRA-naleving:
Algemeen cybersecurity-advies: Stel vragen over veilige ontwikkelingspraktijken, kwetsbaarheidsbeheer en beveiliging gedurende de levenscyclus
Beleidsontwikkeling: Creëer beleid voor een veilige ontwikkelingslevenscyclus (SDLC) en beleid voor de openbaarmaking van kwetsbaarheden
Risicobeoordelingen: Genereer risicobeoordelingen voor productbeveiliging die zijn afgestemd op de essentiële vereisten
Documentatiesjablonen: Ontwikkel kaders voor beveiligingsdocumentatie ten behoeve van de conformiteitsbeoordeling
Gap-analyse: Upload bestaand ontwikkelingsbeleid om hiaten ten opzichte van CRA-principes te identificeren
Hoewel ISMS Copilot geen specifieke CRA-kennis heeft (de regelgeving wordt nog afgerond), kunt u vragen stellen over ISO 27001-beveiligingsmaatregelen voor ontwikkeling en algemene best practices voor productbeveiliging die aansluiten bij de doelstellingen van de CRA.
Probeer eens: "Genereer een beleid voor de openbaarmaking van kwetsbaarheden voor een softwareproduct" of "Wat zijn secure-by-design principes voor productontwikkeling?"
Aan de slag
Ter voorbereiding op CRA-naleving:
Beoordeel of uw producten binnen de reikwijdte van de CRA vallen en bepaal de classificatie
Implementeer praktijken voor een veilige ontwikkelingslevenscyclus (threat modeling, beveiligingstesten, code review)
Stel processen vast voor kwetsbaarheidsbeheer en openbaarmaking
Plan voor langdurige beveiligingsondersteuning (5+ jaar)
Documenteer de beveiligingsarchitectuur en risicobeoordelingen
Houd het ENISA en de officiële publicaties van de EU in de gaten voor definitieve vereisten en richtlijnen
Gerelateerde bronnen
Voorstel voor de EU CRA en updates van de Europese Commissie
ENISA cybersecurity-certificeringskaders en richtlijnen
Nationale markttoezichtautoriteiten in EU-lidstaten