Skip to main content

Stapsgewijze aanpak om te voldoen aan de Cyber Resilience Act

De Cyber Resilience Act, CRA, van de Europese Unie betekent een belangrijke stap voorwaarts op het gebied van cyberbeveiliging. Er worden strenge eisen gesteld aan de cybersecurity met digitale elementen van hardware en softwareproducten, die bestemd zijn voor de EU markt. Deze regelgeving is bedoeld om ervoor te zorgen dat dergelijke producten vrij zijn van bekende kwetsbaarheden en dat ze gedurende hun hele levenscyclus beveiligd blijven. In dit artikel gaat Avnet Silica in op de CRA en de impact ervan op Original Equipment Manufacturers, OEM s. Aan de orde komen de strenge eisen die de CRA stelt, de stappen die nodig zijn voor naleving en de potentiele concurrentievoordelen voor OEM s die aan deze normen voldoen.

Na de formele goedkeuring en het ingaan van de overgangsfase van de CRA, naar verwachting eind 2024, krijgen OEM s twee jaar de tijd om aan de eisen te voldoen. Handhaving zal naar verwachting op zijn vroegst eind 2026 plaatsvinden. Niet naleving kan leiden tot boetes, die kunnen oplopen tot 15 miljoen euro of 2,5 procent van de jaaromzet van de OEM.

Het nalevingsproces zal voor OEM s waarschijnlijk leiden tot hogere kosten voor productontwikkeling vanwege de benodigde tijdsinvestering voor risicobeoordelingen en het opstellen van de benodigde documentatie. Geverifieerde naleving van producten op het gebied van cybersecurity kan echter ook een concurrentievoordeel opleveren omdat je je daarmee onderscheidt van buiten de EU vervaardigde producten.

Impact van de CRA

Een belangrijk gevolg van de CRA is dat fabrikanten uitgebreide details over hun producten moeten registreren. Dit omvat het duidelijk definieren van de software en hardwarematige BoM. Verder moeten ze een gedetailleerde inventarisatie maken van alle geharmoniseerde EU cybersecuritynormen waaraan het product voldoet en diepgaande risicobeoordelingen uitvoeren voor zowel de OEM als de eindgebruiker. Het is ook noodzakelijk dat de fabrikanten de aard van de gebruikte software bekendmaken, of deze nu open source of bedrijfseigen is, en zich gedurende de gehele levensduur van het product committeren aan een regime van voortdurende waakzaamheid, waarbij de markt proactief wordt geinformeerd over eventuele beveiligingslekken.

De CRA schrijft fabrikanten ook voor om te voorzien in upgrades, via een een bekabelde of draadloze verbinding. De OEM is immers verantwoordelijk voor het in stand houden van de beveiliging van het product gedurende de gehele levenscyclus. In dat kader is het ook zaak om gedurende de levenscyclus de securityfuncties van het product te verbeteren. Het upgrademechanisme moet beveiligd zijn, waarbij de OEM de integriteit en vertrouwelijkheid van de firmware bewaakt.

Voldoen aan CRA

Voor het uitvoeren van risicobeoordelingen deelt de CRA de producten in vier categorieen in.

Zeer kritiek

Deze strengste classificatie is van toepassing op producten als smartcards, secure elements en vertrouwde platformmodules, TPM s. De CRA verplicht een beoordeling door een derde partij van niveau substantieel of hoger, volgens de NIS2 richtlijn van de EU.

Kritiek klasse I

Dit zijn producten die verband houden met cybersecurity of die een aanzienlijk risico vormen op negatieve gevolgen voor een breed scala aan andere producten of voor de gezondheid en veiligheid van gebruikers. Denk daarbij aan VPN s, besturingssystemen, routers, microcontrollers en microprocessoren. OEM s moeten zich houden aan een cybersecuritynorm of een beoordeling laten uitvoeren door een derde partij.

Kritiek klasse II

Dit zijn producten die, als ze worden gecompromitteerd door cyberincidenten, kunnen leiden tot ernstigere nadelige gevolgen vanwege de kenmerken van hun cyberbeveiligingsgerelateerde rol of de uitvoering van een andere functie die een substantieel risico met zich meebrengt. Voorbeelden zijn firewalls en manipulatiebestendige MPU s. Voor deze producten schrijft de CRA een risicobeoordeling door een derde partij voor.

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen