Home > Blog & nieuws > Security regulations: EU’s Cyber Resilience Act

Security Regulations: EU's Cyber Resilience Act

We kopen vaak producten met een digitaal element, zonder stil te staan bij de veiligheidsrisico’s. Denk maar aan een nieuwe smartphone, of binnen een industriële omgeving, een IoT-toestel. De Cyber Resilience Act (CRA) moet hier verandering in brengen.

We kopen vaak producten met een digitaal element, zonder stil te staan bij de veiligheidsrisico’s. Denk maar aan een nieuwe smartphone, of binnen een industriële omgeving, een IoT-toestel. De Cyber Resilience Act (CRA) moet hier verandering in brengen.

 

Wat dekt de CRA?

De Cyber Resilience Act is van toepassing op ‘alle software- of hardwareproducten en hun oplossingen voor dataverwerking vanop afstand, inclusief de software- of hardwarecomponenten die apart verkocht worden’. We kunnen concluderen dat de CRA van toepassing zal zijn op de volledige levenscyclus van de hardware en software, zowel van fabrikanten, distributeurs en importeurs.

Hardware- en softwareproducten hebben vaak een laag beveiligingsniveau, waardoor er veel kwetsbaarheden ontstaan. Deze kwetsbaarheden kunnen uitgebuit worden door mensen met slechte bedoelingen. Daarnaast is er zelden weinig informatie beschikbaar over de veiligheidsmaatregelen geïmplementeerd in het product. De CRA wil beide problemen aanpakken. Zo moeten fabrikanten de veiligheid mee opnemen in de volledige levenscyclus van hun producten, van de designfase tot de verouderingsfase. Dit kunnen ze doen door hun eigen producten meer te testen om te verzekeren dat ze enkel producten met minder kwetsbaarheden lanceren op de markt.

Daarnaast zullen ze transparanter moeten communiceren over de veiligheidsmaatregelen die geïmplementeerd worden in hun producten. Om ervoor te zorgen dat er voor alle producten een gereguleerde baseline is, wordt er een nieuw framework opgezet. Door dit framework te hanteren, kunnen fabrikanten aantonen dat ze compliant zijn met de CRA.

Fabrikanten, distributeurs en importeurs die niet compliant zijn, kunnen een boete krijgen tot 15 miljoen Euro, of 2,5% van de totale jaarlijkse wereldwijde omzet, afhankelijk van wat het hoogst is.

 

Welke producten zijn gedekt?

De CRA splitst producten op in 3 categorieën:

  • Klasse I
  • Klasse II
  • Niet-geclassificeerd of Default

Producten in de Default klasse hebben geen kritieke kwetsbaarheden in de cyberveiligheid. Producten in klasse I of II worden onderverdeeld op basis van hun risicolevel (bv.: wordt het product gebruikt in gevoelige omgevingen).

 

Wanneer treedt deze wet in werking?

Momenteel is de CRA slechts een voorstel, een wetsontwerp, dat nog moet goedgekeurd worden door het Europese Parlement en de Raad. Na goedkeuring krijgen fabrikanten 2 jaar de tijd om te voldoen aan de Cyber Resilience Act.

Hoe kunnen wij u helpen?

Als uw security partner blijft spotit het gegeven nauw opvolgen en belangrijke updates communiceren. Hou zeker onze website en social media in de gaten!