Verbonden producten veiliger maken

De Cyber Resilience Act (CRA) werd op 20 november 2024 gepubliceerd. Deze nieuwe EU-verordening bevat “horizontale cybersecurity-eisen voor producten met digitale elementen”. Met andere woorden, het legt minimale cybersecurity-eisen op voor alle verbonden producten die op de EU-markt worden geplaatst, waardoor het zogenaamde “Internet of Things” (IoT) veiliger wordt. De nieuwe regels zullen van toepassing zijn in alle EU-landen en de implementatie zal gefaseerd gebeuren. Uiteindelijk wordt verwacht dat de CRA zal bijdragen aan de visie van het CCB om België cyberveiliger te maken door ervoor te zorgen dat de burgers en organisaties, zowel publiek als privé, minder kwetsbaar zijn voor cyberaanvallen.

Zie ook onderaan Vragen en Antwoorden over de CRA

Waarom deze regelgeving?

Burgers en organisaties vertrouwen steeds meer op verbonden producten in hun dagelijkse activiteiten. Denk bijvoorbeeld aan smartphones, slimme camera’s die voor beveiligingsdoeleinden worden gebruikt, slimme meters die worden gebruikt om de elektriciteitsproductie en -consumptie te optimaliseren, enz. Tegelijkertijd hebben veel verbonden producten die op de markt worden gebracht nog steeds lage cybersecurity-normen (bijvoorbeeld zwakke standaardwachtwoorden, geen versleuteling van gegevens…), waardoor ze ideale doelwitten zijn voor cyberaanvallen. Dergelijke kleine zwakheden kunnen zelfs ernstige supply-chain-aanvallen veroorzaken bij essentiële entiteiten, met mogelijk ernstige impact voor onze gehele economie en samenleving. Omdat gebruikers zich vaak niet bewust zijn van de risico’s en onvoldoende zijn uitgerust om zichzelf te beschermen, is de CRA ontworpen om ervoor te zorgen dat fabrikanten hun deel doen in het ontwerpen van producten die cyberveiliger zijn en het gemakkelijker maken voor gebruikers om de producten gedurende de gehele levenscyclus in een veilige staat te houden.

Welke “verbonden producten” vallen onder de CRA?

Producten die onder de CRA vallen, variëren van goedkope consumentenproducten tot B2B-software en complexe industriële systemen. Meer specifiek worden “producten met digitale elementen” gedefinieerd als producten die op de een of andere manier kunnen worden verbonden met een apparaat of netwerk en omvatten:

  • hardwareproducten met verbonden functies zoals bijvoorbeeld smartphones, laptops, huiscamera’s, smartwatches, verbonden speelgoed, maar ook modems, firewalls en slimme meters,
  • software die niet in een product is ingebed en los wordt verkocht, bijvoorbeeld boekhoudsoftware en mobiele gaming-apps.

De volgende producten vallen echter niet onder de CRA-eisen:

  • niet-commerciële open source-software,
  • reserveonderdelen die bedoeld zijn om identieke componenten in verbonden producten te vervangen (mits ze worden vervaardigd op basis van dezelfde specificaties),
  • prototypes gepresenteerd op handelsbeurzen (onder bepaalde voorwaarden),
  • onvoltooide software die voor testdoeleinden voor een beperkte periode wordt gebruikt (onder bepaalde voorwaarden),
  • clouddiensten en software als een dienst (SaaS), die apart gereguleerd worden onder de NIS2-richtlijn,
  • producten “die uitsluitend zijn ontwikkeld of aangepast voor nationale veiligheid of defensiedoeleinden” of specifiek zijn ontworpen om geclassificeerde informatie te verwerken,
  • producten die vallen onder specifieke EU-regelgeving zoals medische hulpmiddelen, motorvoertuigen, maritieme apparatuur en producten die worden gebruikt voor de burgerluchtvaart.

Wie is onderworpen aan de nieuwe regels?

Alle fabrikanten die producten op de EU-markt brengen, moeten voldoen aan de CRA, zelfs als ze buiten de EU zijn gevestigd. Bijvoorbeeld, de CRA is van toepassing op een Amerikaanse ontwikkelaar die een mobiele app verkoopt op Europese telefoons of een Chinese fabrikant die zonnepanelen in België verkoopt.

De CRA legt voornamelijk verplichtingen op aan fabrikanten (met betrekking tot ontwerp, conformiteitsbeoordeling van hun producten, rapportage van kwetsbaarheden en incidenten, transparantie naar gebruikers...) om ervoor te zorgen dat hun producten veilig zijn voordat ze op de EU-markt worden gebracht, maar ook daarna gedurende de gehele levenscyclus van het product.

De CRA bevat ook bepalingen die andere partijen treffen, zoals importeurs, distributeurs, open source software beheerders (zoals stichtingen), conformiteitsbeoordelingsinstanties (CAB’s) en openbare autoriteiten (nationale cybersecurity-agentschappen, markttoezichtautoriteiten).

Wat zijn de belangrijkste verplichtingen voor fabrikanten van verbonden producten?

De belangrijkste vernieuwing van de CRA is dat het een minimumniveau van cybersecurity definieert voor alle verbonden producten die beschikbaar zijn op de EU-markt – iets dat voorheen niet bestond. Bijvoorbeeld:

  • In lijn met het principe van “cybersecurity by design”, moeten verbonden producten worden ontworpen met cybersecurity in gedachten, bijvoorbeeld door ervoor te zorgen dat gegevens die in of door het product worden opgeslagen of verzonden, versleuteld zijn en dat het aanvalsvlak zo beperkt mogelijk is.
  • In lijn met het principe van “cybersecurity by default”, moeten de standaardinstellingen van verbonden producten waar mogelijk bijdragen aan het verminderen van kwetsbaarheden, bijvoorbeeld door zwakke standaardwachtwoorden te verbieden, door een automatische installatie van beveiligingsupdates te voorzien, enz.
  • Om gebruikers te helpen aankoopbeslissingen te nemen op basis van niet alleen prijs en functionaliteit, maar ook het niveau van cybersecurity, verhoogt de CRA de transparantie voor gebruikers door duidelijke openbaarmaking te eisen, op het product of de verpakking, van de einddatum van de ondersteuning, d.w.z. de datum tot wanneer de fabrikant zich verplicht om beveiligingsupdates te leveren.
  • Om informatie-uitwisseling over kwetsbaarheden en snelle oplossingen door middel van patches te ondersteunen, verplicht de CRA het melden van alle actief geëxploiteerde kwetsbaarheden, evenals ernstige incidenten die de veiligheid van verbonden producten beïnvloeden, aan de openbare autoriteiten binnen 72 uur (met een vroege waarschuwing binnen 24 uur). Om het meldingsproces voor fabrikanten te vergemakkelijken en om een veilige en efficiënte uitwisseling van gegevens tussen Europese Computer Security Incident Response Teams (CSIRTs) en ENISA te waarborgen, voorziet de CRA in de oprichting van een nieuw centraal meldplatform met verschillende nationale “eindpunten”.

Zijn de regels identiek voor alle producten?

Ja en nee. Aan de ene kant bevat de CRA een enkele set cybersecurity-eisen die van toepassing is op alle verbonden producten, ongeacht of ze goedkoop of duur zijn, of ze worden gebruikt door individuele consumenten of geavanceerde zakelijke gebruikers. De verplichting om kwetsbaarheden te rapporteren en de verplichting om de einddatum van de ondersteuningsperiode duidelijk aan te geven op het product, bijvoorbeeld, gelden voor alle soorten producten.

Aan de andere kant is de procedure om te beoordelen of producten voldoen aan de CRA-regels verschillend voor standaardproducten en voor producten die als gevoeliger worden beschouwd vanuit een cybersecurity-oogpunt. Deze producten, “belangrijke” of “kritieke” producten genoemd, zijn opgenomen in Bijlagen III & IV van de verordening (bijv. wachtwoordmanagers, firewalls, smartcards, slimme meters…). Deze zullen strengere conformiteitsbeoordelingsprocedures moeten ondergaan, bijvoorbeeld door een EU-cybersecuritycertificering (of een overeenkomstige nationale certificering) te verkrijgen, door te worden beoordeeld op naleving door een derde partij auditor onder het bestaande productwetgevingskader (NLF), of – in beperkte gevallen – door te voldoen aan geharmoniseerde normen die op Europees niveau zijn erkend om de CRA-eisen te dekken.

Wat met open source-software?

Het is belangrijk op te merken dat niet-commerciële open source-software, zoals software waarvan de broncode openbaar beschikbaar is en die gratis kan worden gedownload, niet onder de CRA-verplichtingen valt, aangezien veel open source-projecten gebaseerd zijn op de bijdrage van vrijwilligers en het opleggen van strikte wettelijke verplichtingen aan dergelijke projecten het voortbestaan van deze projecten in gevaar zou kunnen brengen.

Andere typen open source-software worden echter commercieel verspreid en kunnen op grote schaal door individuen en organisaties wereldwijd worden gebruikt. Dergelijke software moet op dezelfde manier worden behandeld als andere commerciële software en valt dus onder dezelfde CRA-eisen.

Desondanks voorziet de CRA in een speciaal regime voor commerciële open source-software die wordt beheerd onder een stichtingmodel, aangezien stichtingen doorgaans fungeren als “beheerders” van open source-projecten en niet verantwoordelijk kunnen worden gehouden voor het werk van individuele ontwikkelaars. Onder het speciale regime dat door de CRA is gecreëerd, hoeven open source-softwarebeheerders niet de CRA-conformiteitsbeoordelingsprocedures te ondergaan, maar moeten ze hun cybersecuritybeleid documenteren. Ze moeten ook ernstige incidenten en kwetsbaarheden die bij hen betrokken zijn melden en worden aangemoedigd om deel te nemen aan vrijwillige beveiligingscertificeringsprogramma’s.

 

Is er niet een risico dat kleine fabrikanten het te belastend vinden om zich aan de CRA te houden?

Om ervoor te zorgen dat kleine en micro-ondernemingen niet worden benadeeld ten opzichte van grotere bedrijven, bevat de CRA verschillende bepalingen die gericht zijn op het verminderen van de nalevingslast voor KMO’s. Voorbeelden van dergelijke maatregelen zijn de mogelijkheid voor KMO’s om een vereenvoudigd formaat te gebruiken voor het uitgeven van de technische documentatie van hun producten en de verplichting voor conformiteitsbeoordelingsinstanties om rekening te houden met de grootte van een bedrijf bij het bepalen van het bedrag aan vergoedingen voor een conformiteitsbeoordeling.

Openbare autoriteiten zullen ook een belangrijke rol spelen in het ondersteunen van kleinere fabrikanten bij hun nalevingsinspanningen. De Europese Commissie heeft zich verplicht om CRA-richtlijnen te publiceren die speciaal gericht zijn op KMO’s, terwijl elk EU-land een speciaal kanaal voor communicatie met micro- en kleine ondernemingen moet oprichten om hun vragen en verzoeken om advies over de implementatie van de CRA te beantwoorden.

Wat zal de CRA betekenen voor consumenten en zakelijke gebruikers van verbonden producten?

Tegenwoordig vinden consumenten het vaak moeilijk om te weten of een verbonden product voldoende veilig is, of het gemakkelijk kan worden gehackt door derden. Dankzij de CRA kunnen Europese consumenten er zeker van zijn dat de producten die ze kopen op de EU-markt voldoen aan minimale normen en bijvoorbeeld geen belangrijke bekende kwetsbaarheid hebben of zwakke standaardinstellingen bevatten.

Maar de CRA stelt consumenten ook in staat om meer geïnformeerde keuzes te maken door transparantie van fabrikanten te eisen over het niveau van cybersecurity dat hun producten bieden. Een van de belangrijkste vernieuwingen van de CRA is dat het fabrikanten verplicht om duidelijk aan te geven, op het product, de verpakking of een gemakkelijk toegankelijke webpagina, tot wanneer beveiligingsupdates voor het product worden geleverd. Met andere woorden, gebruikers kunnen producten niet alleen vergelijken op basis van prijs en functies, maar ook op de lengte van de ondersteuningsperiode – een belangrijke indicator om ervoor te zorgen dat producten veilig kunnen worden gebruikt gedurende hun verwachte levensduur.

Welke rol speelt het CCB bij het waarborgen van de correcte implementatie van de CRA?

Door cybersecurity by default en by design te bevorderen, door de melding van actief geëxploiteerde kwetsbaarheden verplicht te stellen en door een goed patchingproces te waarborgen, zal de CRA het CCB helpen om zijn visie te realiseren om België een van de minst kwetsbare landen in het cyberdomein te maken. Als nationale autoriteit voor cybersecurity:

  • werkt het CCB om burgers en organisaties te onderwijzen over het belang van cybersecurity en om bewustwording te creëren over effectieve beschermingsmaatregelen. Zo zal het CCB de bewustwording en naleving van de CRA ondersteunen, met bijzondere aandacht voor kleine fabrikanten en ontwikkelaars. Bijvoorbeeld, het Nationale Coördinatiecentrum (NCC-BE) zal Belgische marktdeelnemers informeren over EU-financieringsmogelijkheden, evenals trainingen en hulpmiddelen die beschikbaar zijn om de implementatie van de CRA te ondersteunen.
  • fungeert het CCB als computerbeveiligingsincidentrespons-team (CSIRT) voor België, waarbij het meldingen van kwetsbaarheden en incidenten ontvangt van organisaties, of deze nu wettelijk verplicht zijn of optioneel. In het kader van de CRA zal het CCB zich aansluiten bij het toekomstige centrale meldplatform dat door ENISA wordt ontwikkeld om kwetsbaarheden en incidentmeldingen van fabrikanten van verbonden producten die onder de meldvereisten van de CRA vallen, te verzamelen.
  • fungeert het CCB als Nationale Cybersecurity Certificeringsautoriteit (NCCA). In deze hoedanigheid draagt het CCB actief bij aan de ontwikkeling van CRA-normen en heeft het een rol in het toezicht op het conformiteitsbeoordelingskader van de CRA – wat in sommige gevallen een cybersecurity-certificering zal inhouden.

Wanneer treedt de CRA in werking?

De CRA treedt officieel in werking 20 dagen na de publicatie, namelijk op 10 december 2024. Omdat het een EU-verordening is en geen richtlijn, is het direct van toepassing in alle EU-landen zonder de noodzaak voor nationale omzetting. Er is echter een overgangsperiode voorzien om ervoor te zorgen dat economische operatoren voldoende tijd hebben om zich aan te passen aan de nieuwe eisen. De implementatie van de CRA zal dus plaatsvinden in verschillende fasen van eind 2024 tot 2027:

  • 18 maanden nadat de CRA in werking is getreden, zullen conformiteitsbeoordelingsinstanties (CAB’s) bevoegd zijn om de conformiteit van producten met de CRA-eisen te beoordelen.
  • 3 maanden later zullen fabrikanten van verbonden producten onderworpen worden aan de verplichte meldingsverplichtingen voor kwetsbaarheden en incidenten.
  • Ten slotte, 3 jaar na de inwerkingtreding van de CRA, zullen alle CRA-eisen van toepassing zijn, inclusief essentiële cybersecurity-eisen voordat een product op de markt wordt gebracht, het afhandelen van kwetsbaarheden gedurende de gehele levenscyclus van het product en transparantie naar de gebruiker.

Vragen en antwoorden over de EU Verordening Cyberweerbaarheid (CRA)

Frequently Asked Questions

 

De Cyber Resilience Act (CRA) werd aangenomen op 20/11/2024. Hier zijn enkele eerste antwoorden op de meest gestelde vragen over deze nieuwe Europese regelgeving en hoe deze in België zal worden toegepast. Houd er rekening mee dat de richtlijnen die hier worden gegeven alleen voor informatieve doeleinden zijn en niet bedoeld zijn als juridisch advies. De wettekst van de CRA zal, zodra deze gepubliceerd is, voorrang hebben op de hier gegeven uitleg.

  • Wat is de CRA?

    De Verordening Cyberweerbaarheid of Cyber Resilience Act is de eerste Europese verordening die minimale cyberbeveiligingseisen oplegt voor alle geconnecteerde producten die in de EU op de markt worden gebracht. Het doel: het zogenaamde "internet van dingen" (IoT) veiliger maken. De nieuwe regels gelden in alle EU-landen en worden in fases uitgevoerd. Uiteindelijk zal de CRA naar verwachting bijdragen aan de visie van het CCB om België cyberveiliger te maken door ervoor te zorgen dat zijn burgers en organisaties, zowel publiek als privaat, minder kwetsbaar zijn voor cyberaanvallen.

    Burgers en organisaties vertrouwen in hun dagelijks leven steeds meer op geconnecteerde producten. Tegelijkertijd hebben veel geconnecteerde producten die op de markt worden gebracht nog steeds lage cyberbeveiligingsnormen (bv. zwakke standaardwachtwoorden, geen versleuteling van gegevens, moeilijke updateprocessen...), waardoor ze ideale doelwitten zijn voor cyberaanvallen. Omdat gebruikers zich vaak niet bewust zijn van de risico's en onvoldoende uitgerust zijn om zichzelf te beschermen, is de CRA bedoeld om ervoor te zorgen dat fabrikanten hun steentje bijdragen aan het ontwerpen van producten die cyberveiliger zijn en het voor gebruikers gemakkelijker te maken om producten gedurende de hele levenscyclus in een veilige staat te houden.

  • Wat voor soort producten zullen onder de CRA vallen?

    Producten die onder de CRA vallen variëren van goedkope consumentenproducten tot B2B-software en complexe industriële systemen in het hogere segment. Meer specifiek worden "producten met digitale elementen" gedefinieerd als producten die verbonden kunnen worden met een apparaat of een netwerk van een of andere soort:

    • hardware producten met geconnecteerde functies zoals bv. smartphones, laptops, thuiscamera's, smartwatches, speelgoed maar ook modems, firewalls en slimme meters,
    • software die niet is ingebouwd in een product en op zelfstandige basis wordt verkocht, bv. boekhoudsoftware, online games en mobiele apps.

    Producten die NIET onder de CRA-vereisten vallen zijn onder andere niet-commerciële open source software, clouddiensten en software as a service (SaaS). De laatste twee zijn al gereguleerd onder de NIS2-richtlijn.

  • Voor wie gelden de nieuwe regels?

    Alle fabrikanten die producten op de EU-markt brengen, moeten aan de CRA voldoen, zelfs als ze buiten de EU gevestigd zijn. De CRA is bijvoorbeeld van toepassing op een Amerikaanse ontwikkelaar die een mobiele app verkoopt op Europese telefoons of op een Chinese fabrikant die zonnepanelen verkoopt in België. Bovendien zullen distributeurs en importeurs van aangesloten producten ook voor naleving moeten zorgen.

  • Wat zijn de nieuwe vereisten?

    De belangrijkste nieuwigheid van de CRA is dat het een minimumniveau van cyberveiligheid definieert voor alle geconnecteerde producten die beschikbaar zijn op de EU-markt - iets wat voorheen niet bestond. Bijvoorbeeld:

    • In lijn met het principe van "cybersecurity by design” zullen geconnecteerde producten moeten worden ontworpen met cyberveiligheid in gedachten, bijvoorbeeld door ervoor te zorgen dat gegevens die worden opgeslagen of verzonden met (in) het product worden versleuteld, en dat het aanvalsoppervlak zo beperkt mogelijk is.
    • In overeenstemming met het principe van "cybersecurity by default" moeten de standaardinstellingen van aangesloten producten - waar mogelijk - bijdragen aan het verminderen van kwetsbaarheden, door bijvoorbeeld zwakke standaardwachtwoorden te verbieden endoor te voorzien in een automatische installatie van beveiligingsupdates, enz.
    • Om gebruikers te helpen goed geïnformeerde aankoopbeslissingen te nemen, d.w.z. niet alleen op basis van prijs en functionaliteit, maar ook op basis van het niveau van cyberveiligheid, vergroot de CRA de transparantie voor de gebruiker. Ditoor onder meer te eisen dat op het product of de verpakking ervan duidelijk wordt vermeld wanneer de ondersteuning afloopt, d.w.z. de datum tot wanneer de fabrikant zich ertoe verbindt security updates te leveren.
    • Om het delen van informatie over kwetsbaarheden en snelle oplossingen door middel van patching te ondersteunen, zal de CRA vereisen dat alle actief misbruikte kwetsbaarheden en ernstige incidenten die de beveiliging van aangesloten producten beïnvloeden, binnen 72 uur (met een vroegtijdige waarschuwing binnen 24 uur) aan overheidsinstanties worden gemeld. Om het meldingsproces voor fabrikanten gemakkelijk te maken en een veilige en efficiënte uitwisseling van de gegevens tussen de Europese Computer Security Incident Response Teams (CSIRT's) en ENISA te garanderen, voorziet de CRA in de oprichting van één nieuw centraal meldingsplatform met verschillende nationale "eindpunten".
  • Zullen de regels identiek zijn voor alle producten?

    Ja en nee. Enerzijds bevat de CRA een enkele set van cybersecurityvereisten die van toepassing zullen zijn op alle geconnecteerde producten, ongeacht of ze goedkoop of duur zijn, of ze worden gebruikt door individuele consumenten of door geavanceerde zakelijke gebruikers. De vereisten om kwetsbaarheden te melden en om duidelijk de einddatum van de ondersteuningsperiode op het product aan te geven, zullen bijvoorbeeld gelden voor alle soorten producten.

    Aan de andere kant zal de procedure om te beoordelen of producten in overeenstemming zijn met de CRA-regels verschillend zijn voor standaardproducten en voor producten die als gevoeliger worden beschouwd vanuit een cybersecurityperspectief. Deze producten worden "belangrijke" of "kritieke" producten genoemd en staan vermeld in Bijlagen III & IV van de Verordening (bijv. wachtwoordbeheerders, firewalls, smartcards, slimme meters...). Ze zullen strengere conformiteitsbeoordelingsprocedures moeten ondergaan, bijvoorbeeld door het verkrijgen van een EU-cybersecuritycertificering (of een overeenkomstige nationale certificering), door te worden beoordeeld op naleving door een externe auditor onder het bestaande productregelgevingskader (NLF), of – in beperkte gevallen – door te voldoen aan geharmoniseerde normen die op Europees niveau erkend zijn om aan de CRA-vereisten te voldoen. De EU werkt momenteel aan de ontwikkeling van de noodzakelijke normen voor deze verschillende soorten producten.

  • Wat gebeurt er met open source software?

    Belangrijk is dat niet-commerciële open source software niet onderhevig is aan de CRA-verplichtingen, in erkenning van het feit dat veel open source projecten gebaseerd zijn op de bijdrage van vrijwilligers en dat het opleggen van strikte wettelijke verplichtingen aan dergelijke projecten hun bestaansrecht zou kunnen ondermijnen.

    Andere soorten open source software die op commerciële basis worden verspreid, zullen echter op dezelfde manier worden behandeld als gesloten bron commerciële software en dus onderworpen zijn aan dezelfde CRA-vereisten. Als uitzondering op deze categorie voorziet de CRA in een speciaal regime voor commerciële open source software die wordt onderhouden onder een stichtingsmodel, in erkenning van het feit dat stichtingen doorgaans optreden als “stewards” van open source projecten en niet aansprakelijk kunnen worden gesteld voor het werk van individuele ontwikkelaars.

    Echter, aangezien zoveel commerciële producten sterk afhankelijk zijn van gratis en open source software, sluit de CRA de maas in de wet door fabrikanten (of distributeurs of importeurs) van deze producten te verplichten ervoor te zorgen dat de open source software die ze gebruiken veilig is. Op deze manier wordt de mogelijkheid van supply chain-aanvallen beperkt.

  • Bestaat er geen risico dat kleine fabrikanten het te belastend vinden om aan de CRA te voldoen?

    Om ervoor te zorgen dat kleine en micro-ondernemingen niet benadeeld worden ten opzichte van grotere bedrijven, bevat de CRA verschillende bepalingen die gericht zijn op het verminderen van de nalevingslast voor KMO's. Voorbeelden van dergelijke maatregelen zijn de mogelijkheid voor KMO's om een vereenvoudigd formaat te gebruiken voor het opstellen van de technische documentatie van hun producten en de verplichting voor conformiteitsbeoordelingsorganen om rekening te houden met de omvang van een bedrijf bij het bepalen van het bedrag aan vergoedingen dat moet worden betaald voor een conformiteitsbeoordeling.

    Ook de overheid zal een sleutelrol spelen bij het ondersteunen van kleinere fabrikanten in hun nalevingsinspanningen. De Europese Commissie heeft zich ertoe verbonden om CRA-richtlijnen te publiceren die speciaal gericht zijn op KMO's, terwijl elk EU-land een speciaal kanaal moet opzetten voor communicatie met micro- en kleine ondernemingen om hun vragen en verzoeken om advies over de implementatie van de CRA te beantwoorden.

  • De CRA voorziet in de oprichting van een centraal platform voor de melding van kwetsbaarheden op Europees niveau. Zal dit het niet gemakkelijker maken voor kwaadwillenden om zwakheden te vinden en uit te buiten?

    Allereerst is het belangrijk te benadrukken dat fabrikanten alleen actief misbruikte kwetsbaarheden hoeven te melden aan het centrale meldingsplatform. Dit betekent dat de kwetsbaarheden die onder de CRA worden gemeld, al door kwaadwillenden zijn gebruikt om cyberaanvallen uit te voeren.

    Ten tweede is het doel van het centrale meldingsplatform ervoor te zorgen dat informatie over kwetsbaarheden en incidenten soepel en efficiënt wordt overgedragen tussen nationale cybersecurity agentschappen (Computer Security Incident Response Teams) en met ENISA. Het platform zal geen gevoelige informatie opslaan over bijvoorbeeld niet-gepatchte kwetsbaarheden. Verschillende technische, operationele en organisatorische waarborgen zullen worden ingevoerd om ervoor te zorgen dat het platform op een volledig veilige manier wordt ontwikkeld en gebruikt, met bijzondere aandacht voor de vertrouwelijkheid van de overgedragen gegevens.

    Tot slot moet het centrale meldingsplatform dat door de CRA is opgericht niet worden verward met de Europese kwetsbaarheidsdatabase die is opgezet door de NIS2-richtlijn.

  • Wat zal de CRA betekenen voor consumenten en zakelijke gebruikers van geconnecteerde producten?

    Tegenwoordig vinden consumenten het meestal moeilijk om te weten of een geconnecteerd product voldoende veilig is, of dat het gemakkelijk kan worden gehackt door derden. Dankzij de CRA zullen Europese consumenten de garantie hebben dat de producten die ze in de EU kopen voldoen aan minimumnormen en bijvoorbeeld geen grote bekende kwetsbaarheiden of zwakke standaardinstellingen hebben.

    Maar de CRA stelt consumenten ook in staat om beter geïnformeerde keuzes te maken door van fabrikanten transparantie te eisen over het niveau van cybersecurity dat hun producten bieden. Een van de belangrijkste nieuwigheden van de CRA is dat het fabrikanten verplicht om duidelijk aan te geven, op het product, op de verpakking of op een gemakkelijk toegankelijke webpagina, de datum tot wanneer beveiligingsupdates voor het product zullen worden geleverd. Met andere woorden, gebruikers zullen producten niet alleen kunnen vergelijken op basis van hun prijs en functies, maar ook op basis van de duur van de ondersteuningsperiode – een belangrijke indicator om ervoor te zorgen dat producten op een veilige manier kunnen worden gebruikt gedurende hun verwachte levensduur.

  • Wanneer treedt de CRA in werking?

    Omdat de CRA een EU-verordening en geen richtlijn is, zal deze rechtstreeks van toepassing zijn in alle EU-landen zonder dat nationale omzetting nodig is. Er is echter een overgangsperiode voorzien om ervoor te zorgen dat marktdeelnemers voldoende tijd hebben om zich aan te passen aan de nieuwe vereisten. Het Europees Parlement heeft al gestemd over een voorlopige versie van de tekst. Na een juridische-taalkundige toetsing wordt verwacht dat de wet aan het eind van de zomer van 2024 officieel wordt goedgekeurd door het nieuw gekozen Europees Parlement en door de Raad van de EU. De definitieve tekst zal dan worden gepubliceerd in het Publicatieblad van de EU en zal 20 dagen later in werking treden. De implementatie van de CRA zal dan in verschillende fasen plaatsvinden van eind 2024 tot 2027:

    • 18 maanden nadat de CRA in werking is getreden, dus waarschijnlijk niet vóór het voorjaar van 2026, zullen conformiteitsbeoordelingsorganen (CAB's) gemachtigd zijn om de conformiteit van producten met de CRA-vereisten te beoordelen.
    • 3 maanden later, dus waarschijnlijk rond de zomer van 2026, zullen fabrikanten van geconnecteerde producten onderworpen zijn aan de verplichte meldingsverplichtingen voor kwetsbaarheden en incidenten.
    • Ten slotte, 3 jaar nadat de CRA in werking is getreden, dus niet vóór de herfst van 2027, zullen alle CRA-vereisten van toepassing zijn, inclusief essentiële cybersecurityvereisten voordat een product op de markt wordt gebracht, het omgaan met kwetsbaarheden gedurende de hele levenscyclus van het product en transparantie naar de gebruiker.