Skip to main content

Stapsgewijze aanpak om te voldoen aan de Cyber Resilience Act

De Cyber Resilience Act, CRA, van de Europese Unie betekent een belangrijke stap voorwaarts op het gebied van cyberbeveiliging. Er worden strenge eisen gesteld aan de cybersecurity met digitale elementen van hardware en softwareproducten, die bestemd zijn voor de EU markt. Deze regelgeving is bedoeld om ervoor te zorgen dat dergelijke producten vrij zijn van bekende kwetsbaarheden en dat ze gedurende hun hele levenscyclus beveiligd blijven. In dit artikel gaat Avnet Silica in op de CRA en de impact ervan op Original Equipment Manufacturers, OEM s. Aan de orde komen de strenge eisen die de CRA stelt, de stappen die nodig zijn voor naleving en de potentiele concurrentievoordelen voor OEM s die aan deze normen voldoen.

Na de formele goedkeuring en het ingaan van de overgangsfase van de CRA, naar verwachting eind 2024, krijgen OEM s twee jaar de tijd om aan de eisen te voldoen. Handhaving zal naar verwachting op zijn vroegst eind 2026 plaatsvinden. Niet naleving kan leiden tot boetes, die kunnen oplopen tot 15 miljoen euro of 2,5 procent van de jaaromzet van de OEM.

Het nalevingsproces zal voor OEM s waarschijnlijk leiden tot hogere kosten voor productontwikkeling vanwege de benodigde tijdsinvestering voor risicobeoordelingen en het opstellen van de benodigde documentatie. Geverifieerde naleving van producten op het gebied van cybersecurity kan echter ook een concurrentievoordeel opleveren omdat je je daarmee onderscheidt van buiten de EU vervaardigde producten.

Impact van de CRA

Een belangrijk gevolg van de CRA is dat fabrikanten uitgebreide details over hun producten moeten registreren. Dit omvat het duidelijk definieren van de software en hardwarematige BoM. Verder moeten ze een gedetailleerde inventarisatie maken van alle geharmoniseerde EU cybersecuritynormen waaraan het product voldoet en diepgaande risicobeoordelingen uitvoeren voor zowel de OEM als de eindgebruiker. Het is ook noodzakelijk dat de fabrikanten de aard van de gebruikte software bekendmaken, of deze nu open source of bedrijfseigen is, en zich gedurende de gehele levensduur van het product committeren aan een regime van voortdurende waakzaamheid, waarbij de markt proactief wordt geinformeerd over eventuele beveiligingslekken.

De CRA schrijft fabrikanten ook voor om te voorzien in upgrades, via een een bekabelde of draadloze verbinding. De OEM is immers verantwoordelijk voor het in stand houden van de beveiliging van het product gedurende de gehele levenscyclus. In dat kader is het ook zaak om gedurende de levenscyclus de securityfuncties van het product te verbeteren. Het upgrademechanisme moet beveiligd zijn, waarbij de OEM de integriteit en vertrouwelijkheid van de firmware bewaakt.

Voldoen aan CRA

Voor het uitvoeren van risicobeoordelingen deelt de CRA de producten in vier categorieen in.

Zeer kritiek

Deze strengste classificatie is van toepassing op producten als smartcards, secure elements en vertrouwde platformmodules, TPM s. De CRA verplicht een beoordeling door een derde partij van niveau substantieel of hoger, volgens de NIS2 richtlijn van de EU.

Kritiek klasse I

Dit zijn producten die verband houden met cybersecurity of die een aanzienlijk risico vormen op negatieve gevolgen voor een breed scala aan andere producten of voor de gezondheid en veiligheid van gebruikers. Denk daarbij aan VPN s, besturingssystemen, routers, microcontrollers en microprocessoren. OEM s moeten zich houden aan een cybersecuritynorm of een beoordeling laten uitvoeren door een derde partij.

Kritiek klasse II

Dit zijn producten die, als ze worden gecompromitteerd door cyberincidenten, kunnen leiden tot ernstigere nadelige gevolgen vanwege de kenmerken van hun cyberbeveiligingsgerelateerde rol of de uitvoering van een andere functie die een substantieel risico met zich meebrengt. Voorbeelden zijn firewalls en manipulatiebestendige MPU s. Voor deze producten schrijft de CRA een risicobeoordeling door een derde partij voor.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Van code naar vertrouwen: bouw het veilig
Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?
Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?
In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.
Wat is bewustwording eigenlijk?
: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloopt.” Maar is dit echt bewustwording? En werkt het ook echt? In deze blog gaan we hier dieper op in.

Meer recente berichten

Gemeente gooit camerabewaking in de strijd tegen onveiligheid Schaepmanstraat Hoogezand
Verder lezen
Kleinbedrijf laat subsidiepot cybersecurity nog links liggen
Verder lezen
Ciso en cio groeien naar elkaar toe
Verder lezen
Intern advies over digitaal oorlogsarchief toch openbaar
Verder lezen
De European Health Data Space: een nieuwe stap voor data uitwisseling en innovatie in de gezondheidszorg
Verder lezen
Crisisbeheer: voorbereiden op cyberaanvallen
Verder lezen
DNB waarschuwt voor internationale spanningen en cyberaanvallen
Verder lezen
RDI en AP: alle toezichthouders moeten toezien op ai
Verder lezen
AP verwijt DUO discriminatie bij gebruik algoritme
Verder lezen
Citrix kwetsbaarheden werden vorig jaar het vaakst uitgebuit
Verder lezen