Vriend of vijand? Hoe dan ook, de Cyber Resilience Act komt eraan

Door Phil Muncaster • 25 September 2023

De Europese Commissie heeft technologieverkopers en -verkopers in het vizier. Consumenten en bedrijven worden al te lang geplaagd door slecht ontworpen, ontwikkelde en onderhouden software en hardware. Het beweert dat de cybercriminaliteitseconomie de belangrijkste begunstigde is van deze tekortkomingen, die volgens de commissie in 5.5 € 4.7 biljoen (£ 2021 biljoen) waard waren. De omvang van de uitdaging is enorm. Het aantal nieuwe softwarekwetsbaarheden gerapporteerd door de Amerikaanse regering in 2022 jaarlijks met een kwart gestegen tot 25,096 – opnieuw een recordhoogte.

Het antwoord van de EU is de Cyber Resilience Act (CRA). Hoewel er nog steeds de laatste hand aan wordt gelegd, hebben sommigen betoogd dat de bepalingen ervan een bedreiging vormen voor de open-sourcegemeenschap en de digitale wereld zelfs minder veilig kunnen maken.

Wat staat er in de CRA?

De CRA heeft tot doel consumenten en bedrijven te beschermen die producten kopen met een “digitale component”. Het probeert aan te pakken twee belangrijke uitdagingen:

De slechte cyberbeveiligingsmaatregelen die in veel producten zijn ingebouwd, waaronder software en aangesloten apparaten zoals slimme babyfoons, en/of ontoereikende updates van software en apparaten
Het ontbreken van een sectorbreed ‘vliegermerk’ dat kopers van technologie kan helpen beter te begrijpen welke producten veilig zijn en hoe ze veilig kunnen worden opgezet

Met dit in gedachten, de CRA-doelstellingen tot:

Harmoniseer de regels voor het hele blok voor fabrikanten en detailhandelaren die digitale producten ontwikkelen/verkopen
Noem een strikte reeks cyberbeveiligingsvereisten “die de planning, het ontwerp, de ontwikkeling en het onderhoud van deze producten regelen”.
Verplicht relevante fabrikanten/wederverkopers tot een zorgplicht voor de gehele levenscyclus van digitale producten
Uitrol van een nieuwe CE-markering die aangeeft dat producten CRA-conform zijn, waardoor fabrikanten en detailhandelaren worden gestimuleerd om prioriteit te geven aan beveiliging en IT-kopers in staat worden gesteld beter geïnformeerde beslissingen te nemen

Wat is gedekt en wat is vereist?

In de huidige staat, de wetgeving zal “van toepassing zijn op alle producten die direct of indirect verbonden zijn met een ander apparaat of netwerk, met uitzondering van specifieke uitsluitingen zoals open source software of diensten die al onder de bestaande regels vallen, wat het geval is voor medische apparatuur, de luchtvaart en auto’s.”

Deze producten zijn onderverdeeld in drie categorieën:

Standaard: Producten met een laag risico, zoals slim speelgoed en koelkasten, videogames en andere veelgebruikte software en apparaten, waarvan de commissie beweert dat ze 90% van de markt dekken. Bedrijven zullen een zelfbeoordeling moeten uitvoeren om er zeker van te zijn dat een product aan de relevante beveiligingsnormen voldoet.

Klasse I: Producten met een hoog risico, waaronder identiteits- en toegangsbeheer software; browsers; wachtwoordbeheerders; detectietools voor kwaadaardige software; producten die VPN's gebruiken; netwerkbeheerconfiguratie, monitoring en middelenbeheertools; systemen voor beveiligingsinformatie en gebeurtenisbeheer (SIEM); tools voor patchbeheer; Software voor beheer van mobiele apparaten en apps; Software voor toegang op afstand; microcontrollers; besturingssystemen; firewalls; routers en modems; industriële controleapparatuur; en elk industrieel IoT dat niet onder Klasse II valt.

Klasse II: Producten met een nog hoger risico dan Klasse I. Inclusief enkele besturingssystemen; firewalls; microcontrollers; industriële routers en modems; schakelaars; smartcards en lezers; beveiligde elementen; hardware-beveiligingsmodules; slimme meters; indringersdetectie; robotdetectie- en actuatorcomponenten; en IIoT-apparaten die worden gebruikt door entiteiten beschreven in NIS 2.

Wanneer dezelfde producttypen in Klasse I en II worden vermeld, wordt het juiste niveau bepaald op basis van risicofactoren, zoals of een product in gevoelige NIS 2-omgevingen draait, met geprivilegieerde toegang werkt, wordt gebruikt om persoonlijke informatie te verwerken, een kwetsbaarheid bevat wat een ‘pluraliteit’ van mensen zou kunnen beïnvloeden; of dat het al schadelijke gevolgen heeft veroorzaakt.

Bijlage I beschrijft de beveiligingseisen voor fabrikanten van digitale producten. Zij zouden moeten:

Ontworpen, ontwikkeld en geproduceerd zijn om een “gepast” beveiligingsniveau te garanderen
Wordt geleverd zonder bekende exploiteerbare kwetsbaarheden
Wordt geleverd met standaard beveiligde configuratie
Zorg voor bescherming tegen ongeoorloofde toegang
Bescherm de vertrouwelijkheid en integriteit van persoonlijke en andere gegevens
Verwerk alleen de minimaal noodzakelijke hoeveelheid gegevens
Bescherm de beschikbaarheid van essentiële functies, bijvoorbeeld tegen DDoS-aanvallen
Ontworpen, ontwikkeld en geproduceerd om aanvalsoppervlakken te beperken en de impact van incidenten te verminderen
Monitor interne activiteiten om relevante beveiligingsgerelateerde informatie te verstrekken

Bijlage I biedt ook een lange lijst met vereisten voor het omgaan met kwetsbaarheden, waaronder dat fabrikanten kwetsbaarheden onmiddellijk moeten documenteren en aanpakken en verhelpen, de productbeveiliging regelmatig moeten testen en informatie openbaar moeten maken over eventuele bugs die ze repareren. De CRA eist ook dat ontwikkelaars een beleid inzake openbaarmaking van kwetsbaarheden handhaven, informatie over bugs delen, een manier bieden om beveiligingsupdates te verspreiden, en dit zonder vertraging en gratis.

Rapportage- en conformiteitsvereisten

Terwijl fabrikanten uit de standaardklasse effectief zelf kunnen beoordelen of een product marktklaar is, moeten degenen in klasse I een conformiteitsbeoordeling door een derde partij ondergaan of geharmoniseerde normen toepassen. Als alternatief zouden ze Europese cyberbeveiligingscertificeringsregelingen op hun producten kunnen toepassen. Degenen in klasse II moeten een conformiteitsbeoordeling door een derde partij ondergaan.

De CRA vereist ook dat fabrikanten de beveiligingsorganisatie ENISA binnen 24 uur op de hoogte stellen nadat ze zich bewust zijn geworden van een actief misbruikte kwetsbaarheid of beveiligingsincident. Importeurs en distributeurs moeten op vergelijkbare wijze fabrikanten onverwijld op de hoogte stellen van eventuele nieuwe bugs en eventueel de nationale markttoezichtautoriteiten in het geval van ernstige risico's.

Kan een ISMS fabrikanten helpen?

Nu de boetes voor niet-naleving zijn vastgesteld op € 15 miljoen of 2.5% van de jaaromzet, moeten alle organisaties die binnen de reikwijdte vallen, overwegen hoe zij zich aan het nieuwe regime aanpassen. Hunton Andrews Kurth-partner, David Dumont, vertelt ISMS.online dat organisaties in sommige sectoren, zoals fabrikanten van IoT-medische apparatuur, mogelijk al een voorsprong hebben vanwege de bestaande regelgeving. Zijn collega-partner bij het advocatenkantoor, Sarah Pearce, voegt eraan toe dat organisaties hier volledig aan voldoen GDPR, dat “robuuste veiligheidscontroles en aanverwant beleid en procedures” vereist, zou naleving van de CRA “haalbaar moeten vinden met beperkte aanpassingen”.

Het kan echter zijn dat het niet allemaal van een leien dakje gaat.

“Het voldoen aan strenge voorwaarden voor het introduceren en houden van digitale producten op de EU-markt kan tot extra kosten leiden”, waarschuwt Dumont. “Al deze extra nalevingskosten kunnen het voor kleine en middelgrote bedrijven moeilijker maken om op de digitale markt te concurreren en kunnen de technologische vooruitgang belemmeren.”

Dit is waar een Informatiebeveiligingsbeheersysteem (ISMS) zou kunnen helpen door de naleving van ISO 27001 en de robuuste, door de AVG gemandateerde controles, beleidslijnen en procedures te ondersteunen die door Pearce worden aangehaald.

“Er is een overlap tussen bestaande Europese en internationale cyberbeveiligingsnormen zoals ISO 27001 en enkele van de belangrijkste cyberbeveiligingsvereisten in de CRA”, legt Dumont uit. “Bedrijven die zich aan dergelijke bestaande normen houden, zullen hiervan gebruik kunnen maken bij het aanpakken van CRA-compliance.”

Wat zijn de mogelijke problemen?

Sommigen hebben de poging van de commissie verwelkomd om de basisveiligheid en transparantie van technische producten te verbeteren. Veracode EMEA CTO John Smith beschrijft het als een “mijlpaalstuk wetgeving.”

“Het brengt niet alleen meer transparantie op een gebied dat vaak ondoorzichtig is, maar moedigt softwareleveranciers, fabrikanten en detailhandelaren ook aan om de cyberbeveiliging te vergroten voor de producten die ze verkopen, en helpt kopers gemakkelijk producten te selecteren die robuust zijn”, voegt hij eraan toe. “Hopelijk zal dit organisaties ertoe aanzetten om verder te gaan dan de verplichte vereisten en beveiliging hoger op de agenda te zetten.”

Anderen hebben echter ernstige zorgen. Non-profit rechtengroep de Electronic Frontier Foundation benadrukt twee potentieel ernstige gevolgen als het CRA in zijn huidige vorm wordt aangenomen:

Open source: Elke open source-ontwikkelaar die om donaties vraagt of kosten in rekening brengt voor ondersteunende diensten voor zijn software, is aansprakelijk voor schade als zijn ‘product’ een bug bevat die in andere producten terechtkomt. Gezien het complexe, onderling verbonden karakter van open source softwaretoeleveringsketenDit zou een huiveringwekkend effect op de industrie kunnen hebben en ontwikkelaars ertoe kunnen dwingen de regio helemaal te verlaten.

Openbaarmaking van kwetsbaarheden: Ten eerste zou het zeer korte tijdsbestek (24 uur) voor het melden van nieuwe kwetsbaarheden aan ENISA kunnen leiden tot snelle, maar “oppervlakkige” oplossingen die de hoofdoorzaak van de problemen niet aanpakken. Ten tweede rapporteert ENISA vervolgens aan de Computer Security Incident Response Teams (CSIRT's) en markttoezichtautoriteiten van de lidstaten. De EFF is bezorgd dat overheidshackers deze kwetsbaarheidsinformatie kunnen misbruiken en/of kunnen uitlekken naar de cybercriminaliteitsgemeenschap.

Helaas lijkt het er niet op dat wetgevers gehoor zullen geven aan deze zorgen.

“Nu cyberaanvallen de afgelopen jaren onmiskenbaar zijn toegenomen en een enorme economische en maatschappelijke impact hebben, is de noodzaak van enig overheidsingrijpen duidelijk en weegt deze aantoonbaar zwaarder dan dergelijke zorgen”, besluit Pearce.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster