De Cyber Resilience Act (CRA) werd op 20 november 2024 gepubliceerd. Deze nieuwe EU-verordening bevat “horizontale cybersecurity-eisen voor producten met digitale elementen”. Met andere woorden, het legt minimale cybersecurity-eisen op voor alle verbonden producten die op de EU-markt worden geplaatst, waardoor het zogenaamde “Internet of Things” (IoT) veiliger wordt. De nieuwe regels zullen van toepassing zijn in alle EU-landen en de implementatie zal gefaseerd gebeuren. Uiteindelijk wordt verwacht dat de CRA zal bijdragen aan de visie van het CCB om België cyberveiliger te maken door ervoor te zorgen dat de burgers en organisaties, zowel publiek als privé, minder kwetsbaar zijn voor cyberaanvallen.

Waarom deze regelgeving?

Burgers en organisaties vertrouwen steeds meer op verbonden producten in hun dagelijkse activiteiten. Denk bijvoorbeeld aan smartphones, slimme camera’s die voor beveiligingsdoeleinden worden gebruikt, slimme meters die worden gebruikt om de elektriciteitsproductie en -consumptie te optimaliseren, enz. Tegelijkertijd hebben veel verbonden producten die op de markt worden gebracht nog steeds lage cybersecurity-normen (bijvoorbeeld zwakke standaardwachtwoorden, geen versleuteling van gegevens…), waardoor ze ideale doelwitten zijn voor cyberaanvallen. Dergelijke kleine zwakheden kunnen zelfs ernstige supply-chain-aanvallen veroorzaken bij essentiële entiteiten, met mogelijk ernstige impact voor onze gehele economie en samenleving. Omdat gebruikers zich vaak niet bewust zijn van de risico’s en onvoldoende zijn uitgerust om zichzelf te beschermen, is de CRA ontworpen om ervoor te zorgen dat fabrikanten hun deel doen in het ontwerpen van producten die cyberveiliger zijn en het gemakkelijker maken voor gebruikers om de producten gedurende de gehele levenscyclus in een veilige staat te houden.

Welke “verbonden producten” vallen onder de CRA?

Producten die onder de CRA vallen, variëren van goedkope consumentenproducten tot B2B-software en complexe industriële systemen. Meer specifiek worden “producten met digitale elementen” gedefinieerd als producten die op de een of andere manier kunnen worden verbonden met een apparaat of netwerk en omvatten:

• hardwareproducten met verbonden functies zoals bijvoorbeeld smartphones, laptops, huiscamera’s, smartwatches, verbonden speelgoed, maar ook modems, firewalls en slimme meters,
• software die niet in een product is ingebed en los wordt verkocht, bijvoorbeeld boekhoudsoftware en mobiele gaming-apps.

De volgende producten vallen echter niet onder de CRA-eisen:

• niet-commerciële open source-software,
• reserveonderdelen die bedoeld zijn om identieke componenten in verbonden producten te vervangen (mits ze worden vervaardigd op basis van dezelfde specificaties),
• prototypes gepresenteerd op handelsbeurzen (onder bepaalde voorwaarden),
• onvoltooide software die voor testdoeleinden voor een beperkte periode wordt gebruikt (onder bepaalde voorwaarden),
• clouddiensten en software als een dienst (SaaS), die apart gereguleerd worden onder de NIS2-richtlijn,
• producten “die uitsluitend zijn ontwikkeld of aangepast voor nationale veiligheid of defensiedoeleinden” of specifiek zijn ontworpen om geclassificeerde informatie te verwerken,
• producten die vallen onder specifieke EU-regelgeving zoals medische hulpmiddelen, motorvoertuigen, maritieme apparatuur en producten die worden gebruikt voor de burgerluchtvaart.

Wie is onderworpen aan de nieuwe regels?

Alle fabrikanten die producten op de EU-markt brengen, moeten voldoen aan de CRA, zelfs als ze buiten de EU zijn gevestigd. Bijvoorbeeld, de CRA is van toepassing op een Amerikaanse ontwikkelaar die een mobiele app verkoopt op Europese telefoons of een Chinese fabrikant die zonnepanelen in België verkoopt.

De CRA legt voornamelijk verplichtingen op aan fabrikanten (met betrekking tot ontwerp, conformiteitsbeoordeling van hun producten, rapportage van kwetsbaarheden en incidenten, transparantie naar gebruikers...) om ervoor te zorgen dat hun producten veilig zijn voordat ze op de EU-markt worden gebracht, maar ook daarna gedurende de gehele levenscyclus van het product.

De CRA bevat ook bepalingen die andere partijen treffen, zoals importeurs, distributeurs, open source software beheerders (zoals stichtingen), conformiteitsbeoordelingsinstanties (CAB’s) en openbare autoriteiten (nationale cybersecurity-agentschappen, markttoezichtautoriteiten).

Wat zijn de belangrijkste verplichtingen voor fabrikanten van verbonden producten?

De belangrijkste vernieuwing van de CRA is dat het een minimumniveau van cybersecurity definieert voor alle verbonden producten die beschikbaar zijn op de EU-markt – iets dat voorheen niet bestond. Bijvoorbeeld:

• In lijn met het principe van “cybersecurity by design”, moeten verbonden producten worden ontworpen met cybersecurity in gedachten, bijvoorbeeld door ervoor te zorgen dat gegevens die in of door het product worden opgeslagen of verzonden, versleuteld zijn en dat het aanvalsvlak zo beperkt mogelijk is.
• In lijn met het principe van “cybersecurity by default”, moeten de standaardinstellingen van verbonden producten waar mogelijk bijdragen aan het verminderen van kwetsbaarheden, bijvoorbeeld door zwakke standaardwachtwoorden te verbieden, door een automatische installatie van beveiligingsupdates te voorzien, enz.
• Om gebruikers te helpen aankoopbeslissingen te nemen op basis van niet alleen prijs en functionaliteit, maar ook het niveau van cybersecurity, verhoogt de CRA de transparantie voor gebruikers door duidelijke openbaarmaking te eisen, op het product of de verpakking, van de einddatum van de ondersteuning, d.w.z. de datum tot wanneer de fabrikant zich verplicht om beveiligingsupdates te leveren.
• Om informatie-uitwisseling over kwetsbaarheden en snelle oplossingen door middel van patches te ondersteunen, verplicht de CRA het melden van alle actief geëxploiteerde kwetsbaarheden, evenals ernstige incidenten die de veiligheid van verbonden producten beïnvloeden, aan de openbare autoriteiten binnen 72 uur (met een vroege waarschuwing binnen 24 uur). Om het meldingsproces voor fabrikanten te vergemakkelijken en om een veilige en efficiënte uitwisseling van gegevens tussen Europese Computer Security Incident Response Teams (CSIRTs) en ENISA te waarborgen, voorziet de CRA in de oprichting van een nieuw centraal meldplatform met verschillende nationale “eindpunten”.

Zijn de regels identiek voor alle producten?

Ja en nee. Aan de ene kant bevat de CRA een enkele set cybersecurity-eisen die van toepassing is op alle verbonden producten, ongeacht of ze goedkoop of duur zijn, of ze worden gebruikt door individuele consumenten of geavanceerde zakelijke gebruikers. De verplichting om kwetsbaarheden te rapporteren en de verplichting om de einddatum van de ondersteuningsperiode duidelijk aan te geven op het product, bijvoorbeeld, gelden voor alle soorten producten.

Aan de andere kant is de procedure om te beoordelen of producten voldoen aan de CRA-regels verschillend voor standaardproducten en voor producten die als gevoeliger worden beschouwd vanuit een cybersecurity-oogpunt. Deze producten, “belangrijke” of “kritieke” producten genoemd, zijn opgenomen in Bijlagen III & IV van de verordening (bijv. wachtwoordmanagers, firewalls, smartcards, slimme meters…). Deze zullen strengere conformiteitsbeoordelingsprocedures moeten ondergaan, bijvoorbeeld door een EU-cybersecuritycertificering (of een overeenkomstige nationale certificering) te verkrijgen, door te worden beoordeeld op naleving door een derde partij auditor onder het bestaande productwetgevingskader (NLF), of – in beperkte gevallen – door te voldoen aan geharmoniseerde normen die op Europees niveau zijn erkend om de CRA-eisen te dekken.

Wat met open source-software?

Het is belangrijk op te merken dat niet-commerciële open source-software, zoals software waarvan de broncode openbaar beschikbaar is en die gratis kan worden gedownload, niet onder de CRA-verplichtingen valt, aangezien veel open source-projecten gebaseerd zijn op de bijdrage van vrijwilligers en het opleggen van strikte wettelijke verplichtingen aan dergelijke projecten het voortbestaan van deze projecten in gevaar zou kunnen brengen.

Andere typen open source-software worden echter commercieel verspreid en kunnen op grote schaal door individuen en organisaties wereldwijd worden gebruikt. Dergelijke software moet op dezelfde manier worden behandeld als andere commerciële software en valt dus onder dezelfde CRA-eisen.

Desondanks voorziet de CRA in een speciaal regime voor commerciële open source-software die wordt beheerd onder een stichtingmodel, aangezien stichtingen doorgaans fungeren als “beheerders” van open source-projecten en niet verantwoordelijk kunnen worden gehouden voor het werk van individuele ontwikkelaars. Onder het speciale regime dat door de CRA is gecreëerd, hoeven open source-softwarebeheerders niet de CRA-conformiteitsbeoordelingsprocedures te ondergaan, maar moeten ze hun cybersecuritybeleid documenteren. Ze moeten ook ernstige incidenten en kwetsbaarheden die bij hen betrokken zijn melden en worden aangemoedigd om deel te nemen aan vrijwillige beveiligingscertificeringsprogramma’s.

Is er niet een risico dat kleine fabrikanten het te belastend vinden om zich aan de CRA te houden?

Om ervoor te zorgen dat kleine en micro-ondernemingen niet worden benadeeld ten opzichte van grotere bedrijven, bevat de CRA verschillende bepalingen die gericht zijn op het verminderen van de nalevingslast voor KMO’s. Voorbeelden van dergelijke maatregelen zijn de mogelijkheid voor KMO’s om een vereenvoudigd formaat te gebruiken voor het uitgeven van de technische documentatie van hun producten en de verplichting voor conformiteitsbeoordelingsinstanties om rekening te houden met de grootte van een bedrijf bij het bepalen van het bedrag aan vergoedingen voor een conformiteitsbeoordeling.

Openbare autoriteiten zullen ook een belangrijke rol spelen in het ondersteunen van kleinere fabrikanten bij hun nalevingsinspanningen. De Europese Commissie heeft zich verplicht om CRA-richtlijnen te publiceren die speciaal gericht zijn op KMO’s, terwijl elk EU-land een speciaal kanaal voor communicatie met micro- en kleine ondernemingen moet oprichten om hun vragen en verzoeken om advies over de implementatie van de CRA te beantwoorden.

Wat zal de CRA betekenen voor consumenten en zakelijke gebruikers van verbonden producten?

Tegenwoordig vinden consumenten het vaak moeilijk om te weten of een verbonden product voldoende veilig is, of het gemakkelijk kan worden gehackt door derden. Dankzij de CRA kunnen Europese consumenten er zeker van zijn dat de producten die ze kopen op de EU-markt voldoen aan minimale normen en bijvoorbeeld geen belangrijke bekende kwetsbaarheid hebben of zwakke standaardinstellingen bevatten.

Maar de CRA stelt consumenten ook in staat om meer geïnformeerde keuzes te maken door transparantie van fabrikanten te eisen over het niveau van cybersecurity dat hun producten bieden. Een van de belangrijkste vernieuwingen van de CRA is dat het fabrikanten verplicht om duidelijk aan te geven, op het product, de verpakking of een gemakkelijk toegankelijke webpagina, tot wanneer beveiligingsupdates voor het product worden geleverd. Met andere woorden, gebruikers kunnen producten niet alleen vergelijken op basis van prijs en functies, maar ook op de lengte van de ondersteuningsperiode – een belangrijke indicator om ervoor te zorgen dat producten veilig kunnen worden gebruikt gedurende hun verwachte levensduur.

Welke rol speelt het CCB bij het waarborgen van de correcte implementatie van de CRA?

Door cybersecurity by default en by design te bevorderen, door de melding van actief geëxploiteerde kwetsbaarheden verplicht te stellen en door een goed patchingproces te waarborgen, zal de CRA het CCB helpen om zijn visie te realiseren om België een van de minst kwetsbare landen in het cyberdomein te maken. Als nationale autoriteit voor cybersecurity:

• werkt het CCB om burgers en organisaties te onderwijzen over het belang van cybersecurity en om bewustwording te creëren over effectieve beschermingsmaatregelen. Zo zal het CCB de bewustwording en naleving van de CRA ondersteunen, met bijzondere aandacht voor kleine fabrikanten en ontwikkelaars. Bijvoorbeeld, het Nationale Coördinatiecentrum (NCC-BE) zal Belgische marktdeelnemers informeren over EU-financieringsmogelijkheden, evenals trainingen en hulpmiddelen die beschikbaar zijn om de implementatie van de CRA te ondersteunen.
• fungeert het CCB als computerbeveiligingsincidentrespons-team (CSIRT) voor België, waarbij het meldingen van kwetsbaarheden en incidenten ontvangt van organisaties, of deze nu wettelijk verplicht zijn of optioneel. In het kader van de CRA zal het CCB zich aansluiten bij het toekomstige centrale meldplatform dat door ENISA wordt ontwikkeld om kwetsbaarheden en incidentmeldingen van fabrikanten van verbonden producten die onder de meldvereisten van de CRA vallen, te verzamelen.
• fungeert het CCB als Nationale Cybersecurity Certificeringsautoriteit (NCCA). In deze hoedanigheid draagt het CCB actief bij aan de ontwikkeling van CRA-normen en heeft het een rol in het toezicht op het conformiteitsbeoordelingskader van de CRA – wat in sommige gevallen een cybersecurity-certificering zal inhouden.

Wanneer treedt de CRA in werking?

De CRA treedt officieel in werking 20 dagen na de publicatie, namelijk op 10 december 2024. Omdat het een EU-verordening is en geen richtlijn, is het direct van toepassing in alle EU-landen zonder de noodzaak voor nationale omzetting. Er is echter een overgangsperiode voorzien om ervoor te zorgen dat economische operatoren voldoende tijd hebben om zich aan te passen aan de nieuwe eisen. De implementatie van de CRA zal dus plaatsvinden in verschillende fasen van eind 2024 tot 2027:

• 18 maanden nadat de CRA in werking is getreden, zullen conformiteitsbeoordelingsinstanties (CAB’s) bevoegd zijn om de conformiteit van producten met de CRA-eisen te beoordelen.
• 3 maanden later zullen fabrikanten van verbonden producten onderworpen worden aan de verplichte meldingsverplichtingen voor kwetsbaarheden en incidenten.
• Ten slotte, 3 jaar na de inwerkingtreding van de CRA, zullen alle CRA-eisen van toepassing zijn, inclusief essentiële cybersecurity-eisen voordat een product op de markt wordt gebracht, het afhandelen van kwetsbaarheden gedurende de gehele levenscyclus van het product en transparantie naar de gebruiker.