Stapsgewijze aanpak om te voldoen aan de Cyber Resilience Act
De Cyber Resilience Act, CRA, van de Europese Unie betekent een belangrijke stap voorwaarts op het gebied van cyberbeveiliging. Er worden strenge eisen gesteld aan de cybersecurity met digitale elementen van hardware en softwareproducten, die bestemd zijn voor de EU markt. Deze regelgeving is bedoeld om ervoor te zorgen dat dergelijke producten vrij zijn van bekende kwetsbaarheden en dat ze gedurende hun hele levenscyclus beveiligd blijven. In dit artikel gaat Avnet Silica in op de CRA en de impact ervan op Original Equipment Manufacturers, OEM s. Aan de orde komen de strenge eisen die de CRA stelt, de stappen die nodig zijn voor naleving en de potentiele concurrentievoordelen voor OEM s die aan deze normen voldoen.
Na de formele goedkeuring en het ingaan van de overgangsfase van de CRA, naar verwachting eind 2024, krijgen OEM s twee jaar de tijd om aan de eisen te voldoen. Handhaving zal naar verwachting op zijn vroegst eind 2026 plaatsvinden. Niet naleving kan leiden tot boetes, die kunnen oplopen tot 15 miljoen euro of 2,5 procent van de jaaromzet van de OEM.
Het nalevingsproces zal voor OEM s waarschijnlijk leiden tot hogere kosten voor productontwikkeling vanwege de benodigde tijdsinvestering voor risicobeoordelingen en het opstellen van de benodigde documentatie. Geverifieerde naleving van producten op het gebied van cybersecurity kan echter ook een concurrentievoordeel opleveren omdat je je daarmee onderscheidt van buiten de EU vervaardigde producten.
Impact van de CRA
Een belangrijk gevolg van de CRA is dat fabrikanten uitgebreide details over hun producten moeten registreren. Dit omvat het duidelijk definieren van de software en hardwarematige BoM. Verder moeten ze een gedetailleerde inventarisatie maken van alle geharmoniseerde EU cybersecuritynormen waaraan het product voldoet en diepgaande risicobeoordelingen uitvoeren voor zowel de OEM als de eindgebruiker. Het is ook noodzakelijk dat de fabrikanten de aard van de gebruikte software bekendmaken, of deze nu open source of bedrijfseigen is, en zich gedurende de gehele levensduur van het product committeren aan een regime van voortdurende waakzaamheid, waarbij de markt proactief wordt geinformeerd over eventuele beveiligingslekken.
De CRA schrijft fabrikanten ook voor om te voorzien in upgrades, via een een bekabelde of draadloze verbinding. De OEM is immers verantwoordelijk voor het in stand houden van de beveiliging van het product gedurende de gehele levenscyclus. In dat kader is het ook zaak om gedurende de levenscyclus de securityfuncties van het product te verbeteren. Het upgrademechanisme moet beveiligd zijn, waarbij de OEM de integriteit en vertrouwelijkheid van de firmware bewaakt.
Voldoen aan CRA
Voor het uitvoeren van risicobeoordelingen deelt de CRA de producten in vier categorieen in.
Zeer kritiek
Deze strengste classificatie is van toepassing op producten als smartcards, secure elements en vertrouwde platformmodules, TPM s. De CRA verplicht een beoordeling door een derde partij van niveau substantieel of hoger, volgens de NIS2 richtlijn van de EU.
Kritiek klasse I
Dit zijn producten die verband houden met cybersecurity of die een aanzienlijk risico vormen op negatieve gevolgen voor een breed scala aan andere producten of voor de gezondheid en veiligheid van gebruikers. Denk daarbij aan VPN s, besturingssystemen, routers, microcontrollers en microprocessoren. OEM s moeten zich houden aan een cybersecuritynorm of een beoordeling laten uitvoeren door een derde partij.
Kritiek klasse II
Dit zijn producten die, als ze worden gecompromitteerd door cyberincidenten, kunnen leiden tot ernstigere nadelige gevolgen vanwege de kenmerken van hun cyberbeveiligingsgerelateerde rol of de uitvoering van een andere functie die een substantieel risico met zich meebrengt. Voorbeelden zijn firewalls en manipulatiebestendige MPU s. Voor deze producten schrijft de CRA een risicobeoordeling door een derde partij voor.
Verder lezen bij de bron- Gemeente gooit camerabewaking in de strijd tegen onveiligheid Schaepmanstraat Hoogezand - 6 december 2024
- Kleinbedrijf laat subsidiepot cybersecurity nog links liggen - 6 december 2024
- Ciso en cio groeien naar elkaar toe - 5 december 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Gemeente gooit camerabewaking in de strijd tegen onveiligheid Schaepmanstraat Hoogezand | Verder lezen | |
Kleinbedrijf laat subsidiepot cybersecurity nog links liggen | Verder lezen | |
Ciso en cio groeien naar elkaar toe | Verder lezen | |
Intern advies over digitaal oorlogsarchief toch openbaar | Verder lezen | |
De European Health Data Space: een nieuwe stap voor data uitwisseling en innovatie in de gezondheidszorg | Verder lezen | |
Crisisbeheer: voorbereiden op cyberaanvallen | Verder lezen | |
DNB waarschuwt voor internationale spanningen en cyberaanvallen | Verder lezen | |
RDI en AP: alle toezichthouders moeten toezien op ai | Verder lezen | |
AP verwijt DUO discriminatie bij gebruik algoritme | Verder lezen | |
Citrix kwetsbaarheden werden vorig jaar het vaakst uitgebuit | Verder lezen |