De Cyber Resilience Act, CRA, van de Europese Unie betekent een belangrijke stap voorwaarts op het gebied van cyberbeveiliging. Er worden strenge eisen gesteld aan de cybersecurity met digitale elementen van hardware en softwareproducten, die bestemd zijn voor de EU markt. Deze regelgeving is bedoeld om ervoor te zorgen dat dergelijke producten vrij zijn van bekende kwetsbaarheden en dat ze gedurende hun hele levenscyclus beveiligd blijven. In dit artikel gaat Avnet Silica in op de CRA en de impact ervan op Original Equipment Manufacturers, OEM s. Aan de orde komen de strenge eisen die de CRA stelt, de stappen die nodig zijn voor naleving en de potentiele concurrentievoordelen voor OEM s die aan deze normen voldoen.

Na de formele goedkeuring en het ingaan van de overgangsfase van de CRA, naar verwachting eind 2024, krijgen OEM s twee jaar de tijd om aan de eisen te voldoen. Handhaving zal naar verwachting op zijn vroegst eind 2026 plaatsvinden. Niet naleving kan leiden tot boetes, die kunnen oplopen tot 15 miljoen euro of 2,5 procent van de jaaromzet van de OEM.

Het nalevingsproces zal voor OEM s waarschijnlijk leiden tot hogere kosten voor productontwikkeling vanwege de benodigde tijdsinvestering voor risicobeoordelingen en het opstellen van de benodigde documentatie. Geverifieerde naleving van producten op het gebied van cybersecurity kan echter ook een concurrentievoordeel opleveren omdat je je daarmee onderscheidt van buiten de EU vervaardigde producten.

Impact van de CRA

Een belangrijk gevolg van de CRA is dat fabrikanten uitgebreide details over hun producten moeten registreren. Dit omvat het duidelijk definieren van de software en hardwarematige BoM. Verder moeten ze een gedetailleerde inventarisatie maken van alle geharmoniseerde EU cybersecuritynormen waaraan het product voldoet en diepgaande risicobeoordelingen uitvoeren voor zowel de OEM als de eindgebruiker. Het is ook noodzakelijk dat de fabrikanten de aard van de gebruikte software bekendmaken, of deze nu open source of bedrijfseigen is, en zich gedurende de gehele levensduur van het product committeren aan een regime van voortdurende waakzaamheid, waarbij de markt proactief wordt geinformeerd over eventuele beveiligingslekken.

De CRA schrijft fabrikanten ook voor om te voorzien in upgrades, via een een bekabelde of draadloze verbinding. De OEM is immers verantwoordelijk voor het in stand houden van de beveiliging van het product gedurende de gehele levenscyclus. In dat kader is het ook zaak om gedurende de levenscyclus de securityfuncties van het product te verbeteren. Het upgrademechanisme moet beveiligd zijn, waarbij de OEM de integriteit en vertrouwelijkheid van de firmware bewaakt.

Voldoen aan CRA

Voor het uitvoeren van risicobeoordelingen deelt de CRA de producten in vier categorieen in.

Zeer kritiek

Deze strengste classificatie is van toepassing op producten als smartcards, secure elements en vertrouwde platformmodules, TPM s. De CRA verplicht een beoordeling door een derde partij van niveau substantieel of hoger, volgens de NIS2 richtlijn van de EU.

Kritiek klasse I

Dit zijn producten die verband houden met cybersecurity of die een aanzienlijk risico vormen op negatieve gevolgen voor een breed scala aan andere producten of voor de gezondheid en veiligheid van gebruikers. Denk daarbij aan VPN s, besturingssystemen, routers, microcontrollers en microprocessoren. OEM s moeten zich houden aan een cybersecuritynorm of een beoordeling laten uitvoeren door een derde partij.

Kritiek klasse II

Dit zijn producten die, als ze worden gecompromitteerd door cyberincidenten, kunnen leiden tot ernstigere nadelige gevolgen vanwege de kenmerken van hun cyberbeveiligingsgerelateerde rol of de uitvoering van een andere functie die een substantieel risico met zich meebrengt. Voorbeelden zijn firewalls en manipulatiebestendige MPU s. Voor deze producten schrijft de CRA een risicobeoordeling door een derde partij voor.

Deze versturen we 3-4x per jaar.