Vragen en antwoorden over de EU Verordening Cyberweerbaarheid (CRA)
De Cyber Resilience Act (CRA) treedt naar verwachting in werking in het najaar van 2024. Hier zijn enkele eerste antwoorden op de meest gestelde vragen over deze nieuwe Europese regelgeving en hoe deze in België zal worden toegepast. Houd er rekening mee dat de richtlijnen die hier worden gegeven alleen voor informatieve doeleinden zijn en niet bedoeld zijn als juridisch advies. De wettekst van de CRA zal, zodra deze gepubliceerd is, voorrang hebben op de hier gegeven uitleg.
Wat is de CRA?
De Verordening Cyberweerbaarheid of Cyber Resilience Act is de eerste Europese verordening die minimale cyberbeveiligingseisen oplegt voor alle geconnecteerde producten die in de EU op de markt worden gebracht. Het doel: het zogenaamde "internet van dingen" (IoT) veiliger maken. De nieuwe regels gelden in alle EU-landen en worden in fases uitgevoerd. Uiteindelijk zal de CRA naar verwachting bijdragen aan de visie van het CCB om België cyberveiliger te maken door ervoor te zorgen dat zijn burgers en organisaties, zowel publiek als privaat, minder kwetsbaar zijn voor cyberaanvallen.
Burgers en organisaties vertrouwen in hun dagelijks leven steeds meer op geconnecteerde producten. Tegelijkertijd hebben veel geconnecteerde producten die op de markt worden gebracht nog steeds lage cyberbeveiligingsnormen (bv. zwakke standaardwachtwoorden, geen versleuteling van gegevens, moeilijke updateprocessen...), waardoor ze ideale doelwitten zijn voor cyberaanvallen. Omdat gebruikers zich vaak niet bewust zijn van de risico's en onvoldoende uitgerust zijn om zichzelf te beschermen, is de CRA bedoeld om ervoor te zorgen dat fabrikanten hun steentje bijdragen aan het ontwerpen van producten die cyberveiliger zijn en het voor gebruikers gemakkelijker te maken om producten gedurende de hele levenscyclus in een veilige staat te houden.
Wat voor soort producten zullen onder de CRA vallen?
Producten die onder de CRA vallen variëren van goedkope consumentenproducten tot B2B-software en complexe industriële systemen in het hogere segment. Meer specifiek worden "producten met digitale elementen" gedefinieerd als producten die verbonden kunnen worden met een apparaat of een netwerk van een of andere soort:
- hardware producten met geconnecteerde functies zoals bv. smartphones, laptops, thuiscamera's, smartwatches, speelgoed maar ook modems, firewalls en slimme meters,
- software die niet is ingebouwd in een product en op zelfstandige basis wordt verkocht, bv. boekhoudsoftware, online games en mobiele apps.
Producten die NIET onder de CRA-vereisten vallen zijn onder andere niet-commerciële open source software, clouddiensten en software as a service (SaaS). De laatste twee zijn al gereguleerd onder de NIS2-richtlijn.
Voor wie gelden de nieuwe regels?
Alle fabrikanten die producten op de EU-markt brengen, moeten aan de CRA voldoen, zelfs als ze buiten de EU gevestigd zijn. De CRA is bijvoorbeeld van toepassing op een Amerikaanse ontwikkelaar die een mobiele app verkoopt op Europese telefoons of op een Chinese fabrikant die zonnepanelen verkoopt in België. Bovendien zullen distributeurs en importeurs van aangesloten producten ook voor naleving moeten zorgen.
Wat zijn de nieuwe vereisten?
De belangrijkste nieuwigheid van de CRA is dat het een minimumniveau van cyberveiligheid definieert voor alle geconnecteerde producten die beschikbaar zijn op de EU-markt - iets wat voorheen niet bestond. Bijvoorbeeld:
- In lijn met het principe van "cybersecurity by design” zullen geconnecteerde producten moeten worden ontworpen met cyberveiligheid in gedachten, bijvoorbeeld door ervoor te zorgen dat gegevens die worden opgeslagen of verzonden met (in) het product worden versleuteld, en dat het aanvalsoppervlak zo beperkt mogelijk is.
- In overeenstemming met het principe van "cybersecurity by default" moeten de standaardinstellingen van aangesloten producten - waar mogelijk - bijdragen aan het verminderen van kwetsbaarheden, door bijvoorbeeld zwakke standaardwachtwoorden te verbieden endoor te voorzien in een automatische installatie van beveiligingsupdates, enz.
- Om gebruikers te helpen goed geïnformeerde aankoopbeslissingen te nemen, d.w.z. niet alleen op basis van prijs en functionaliteit, maar ook op basis van het niveau van cyberveiligheid, vergroot de CRA de transparantie voor de gebruiker. Ditoor onder meer te eisen dat op het product of de verpakking ervan duidelijk wordt vermeld wanneer de ondersteuning afloopt, d.w.z. de datum tot wanneer de fabrikant zich ertoe verbindt security updates te leveren.
- Om het delen van informatie over kwetsbaarheden en snelle oplossingen door middel van patching te ondersteunen, zal de CRA vereisen dat alle actief misbruikte kwetsbaarheden en ernstige incidenten die de beveiliging van aangesloten producten beïnvloeden, binnen 72 uur (met een vroegtijdige waarschuwing binnen 24 uur) aan overheidsinstanties worden gemeld. Om het meldingsproces voor fabrikanten gemakkelijk te maken en een veilige en efficiënte uitwisseling van de gegevens tussen de Europese Computer Security Incident Response Teams (CSIRT's) en ENISA te garanderen, voorziet de CRA in de oprichting van één nieuw centraal meldingsplatform met verschillende nationale "eindpunten".
Zullen de regels identiek zijn voor alle producten?
Ja en nee. Enerzijds bevat de CRA een enkele set van cybersecurityvereisten die van toepassing zullen zijn op alle geconnecteerde producten, ongeacht of ze goedkoop of duur zijn, of ze worden gebruikt door individuele consumenten of door geavanceerde zakelijke gebruikers. De vereisten om kwetsbaarheden te melden en om duidelijk de einddatum van de ondersteuningsperiode op het product aan te geven, zullen bijvoorbeeld gelden voor alle soorten producten.
Aan de andere kant zal de procedure om te beoordelen of producten in overeenstemming zijn met de CRA-regels verschillend zijn voor standaardproducten en voor producten die als gevoeliger worden beschouwd vanuit een cybersecurityperspectief. Deze producten worden "belangrijke" of "kritieke" producten genoemd en staan vermeld in Bijlagen III & IV van de Verordening (bijv. wachtwoordbeheerders, firewalls, smartcards, slimme meters...). Ze zullen strengere conformiteitsbeoordelingsprocedures moeten ondergaan, bijvoorbeeld door het verkrijgen van een EU-cybersecuritycertificering (of een overeenkomstige nationale certificering), door te worden beoordeeld op naleving door een externe auditor onder het bestaande productregelgevingskader (NLF), of – in beperkte gevallen – door te voldoen aan geharmoniseerde normen die op Europees niveau erkend zijn om aan de CRA-vereisten te voldoen. De EU werkt momenteel aan de ontwikkeling van de noodzakelijke normen voor deze verschillende soorten producten.
Wat gebeurt er met open source software?
Belangrijk is dat niet-commerciële open source software niet onderhevig is aan de CRA-verplichtingen, in erkenning van het feit dat veel open source projecten gebaseerd zijn op de bijdrage van vrijwilligers en dat het opleggen van strikte wettelijke verplichtingen aan dergelijke projecten hun bestaansrecht zou kunnen ondermijnen.
Andere soorten open source software die op commerciële basis worden verspreid, zullen echter op dezelfde manier worden behandeld als gesloten bron commerciële software en dus onderworpen zijn aan dezelfde CRA-vereisten. Als uitzondering op deze categorie voorziet de CRA in een speciaal regime voor commerciële open source software die wordt onderhouden onder een stichtingsmodel, in erkenning van het feit dat stichtingen doorgaans optreden als “stewards” van open source projecten en niet aansprakelijk kunnen worden gesteld voor het werk van individuele ontwikkelaars.
Echter, aangezien zoveel commerciële producten sterk afhankelijk zijn van gratis en open source software, sluit de CRA de maas in de wet door fabrikanten (of distributeurs of importeurs) van deze producten te verplichten ervoor te zorgen dat de open source software die ze gebruiken veilig is. Op deze manier wordt de mogelijkheid van supply chain-aanvallen beperkt.
Bestaat er geen risico dat kleine fabrikanten het te belastend vinden om aan de CRA te voldoen?
Om ervoor te zorgen dat kleine en micro-ondernemingen niet benadeeld worden ten opzichte van grotere bedrijven, bevat de CRA verschillende bepalingen die gericht zijn op het verminderen van de nalevingslast voor KMO's. Voorbeelden van dergelijke maatregelen zijn de mogelijkheid voor KMO's om een vereenvoudigd formaat te gebruiken voor het opstellen van de technische documentatie van hun producten en de verplichting voor conformiteitsbeoordelingsorganen om rekening te houden met de omvang van een bedrijf bij het bepalen van het bedrag aan vergoedingen dat moet worden betaald voor een conformiteitsbeoordeling.
Ook de overheid zal een sleutelrol spelen bij het ondersteunen van kleinere fabrikanten in hun nalevingsinspanningen. De Europese Commissie heeft zich ertoe verbonden om CRA-richtlijnen te publiceren die speciaal gericht zijn op KMO's, terwijl elk EU-land een speciaal kanaal moet opzetten voor communicatie met micro- en kleine ondernemingen om hun vragen en verzoeken om advies over de implementatie van de CRA te beantwoorden.
De CRA voorziet in de oprichting van een centraal platform voor de melding van kwetsbaarheden op Europees niveau. Zal dit het niet gemakkelijker maken voor kwaadwillenden om zwakheden te vinden en uit te buiten?
Allereerst is het belangrijk te benadrukken dat fabrikanten alleen actief misbruikte kwetsbaarheden hoeven te melden aan het centrale meldingsplatform. Dit betekent dat de kwetsbaarheden die onder de CRA worden gemeld, al door kwaadwillenden zijn gebruikt om cyberaanvallen uit te voeren.
Ten tweede is het doel van het centrale meldingsplatform ervoor te zorgen dat informatie over kwetsbaarheden en incidenten soepel en efficiënt wordt overgedragen tussen nationale cybersecurity agentschappen (Computer Security Incident Response Teams) en met ENISA. Het platform zal geen gevoelige informatie opslaan over bijvoorbeeld niet-gepatchte kwetsbaarheden. Verschillende technische, operationele en organisatorische waarborgen zullen worden ingevoerd om ervoor te zorgen dat het platform op een volledig veilige manier wordt ontwikkeld en gebruikt, met bijzondere aandacht voor de vertrouwelijkheid van de overgedragen gegevens.
Tot slot moet het centrale meldingsplatform dat door de CRA is opgericht niet worden verward met de Europese kwetsbaarheidsdatabase die is opgezet door de NIS2-richtlijn.
Wat zal de CRA betekenen voor consumenten en zakelijke gebruikers van geconnecteerde producten?
Tegenwoordig vinden consumenten het meestal moeilijk om te weten of een geconnecteerd product voldoende veilig is, of dat het gemakkelijk kan worden gehackt door derden. Dankzij de CRA zullen Europese consumenten de garantie hebben dat de producten die ze in de EU kopen voldoen aan minimumnormen en bijvoorbeeld geen grote bekende kwetsbaarheiden of zwakke standaardinstellingen hebben.
Maar de CRA stelt consumenten ook in staat om beter geïnformeerde keuzes te maken door van fabrikanten transparantie te eisen over het niveau van cybersecurity dat hun producten bieden. Een van de belangrijkste nieuwigheden van de CRA is dat het fabrikanten verplicht om duidelijk aan te geven, op het product, op de verpakking of op een gemakkelijk toegankelijke webpagina, de datum tot wanneer beveiligingsupdates voor het product zullen worden geleverd. Met andere woorden, gebruikers zullen producten niet alleen kunnen vergelijken op basis van hun prijs en functies, maar ook op basis van de duur van de ondersteuningsperiode – een belangrijke indicator om ervoor te zorgen dat producten op een veilige manier kunnen worden gebruikt gedurende hun verwachte levensduur.
Wanneer treedt de CRA in werking?
Omdat de CRA een EU-verordening en geen richtlijn is, zal deze rechtstreeks van toepassing zijn in alle EU-landen zonder dat nationale omzetting nodig is. Er is echter een overgangsperiode voorzien om ervoor te zorgen dat marktdeelnemers voldoende tijd hebben om zich aan te passen aan de nieuwe vereisten. Het Europees Parlement heeft al gestemd over een voorlopige versie van de tekst. Na een juridische-taalkundige toetsing wordt verwacht dat de wet aan het eind van de zomer van 2024 officieel wordt goedgekeurd door het nieuw gekozen Europees Parlement en door de Raad van de EU. De definitieve tekst zal dan worden gepubliceerd in het Publicatieblad van de EU en zal 20 dagen later in werking treden. De implementatie van de CRA zal dan in verschillende fasen plaatsvinden van eind 2024 tot 2027:
- 18 maanden nadat de CRA in werking is getreden, dus waarschijnlijk niet vóór het voorjaar van 2026, zullen conformiteitsbeoordelingsorganen (CAB's) gemachtigd zijn om de conformiteit van producten met de CRA-vereisten te beoordelen.
- 3 maanden later, dus waarschijnlijk rond de zomer van 2026, zullen fabrikanten van geconnecteerde producten onderworpen zijn aan de verplichte meldingsverplichtingen voor kwetsbaarheden en incidenten.
- Ten slotte, 3 jaar nadat de CRA in werking is getreden, dus niet vóór de herfst van 2027, zullen alle CRA-vereisten van toepassing zijn, inclusief essentiële cybersecurityvereisten voordat een product op de markt wordt gebracht, het omgaan met kwetsbaarheden gedurende de hele levenscyclus van het product en transparantie naar de gebruiker.