hoe te voldoen aan de nieuwe eu cyber resilience act banner

Hoe te voldoen aan de nieuwe EU Cyber ​​Resilience Act

De Britse regelgeving steelt zelden een voorsprong op de EU. Toch is dat precies wat er gebeurde in april 2024 toen de Productbeveiliging en telecommunicatie-infrastructuur van het Verenigd Koninkrijk (PSTI) Act, die connected devices reguleert, werd wet. Wat de PSTI echter in snelheid wist te regelen, verloor het in reikwijdte. De EU-versie, de Cyber ​​Resilience Act (CRA), is veel breder en gedetailleerder en zal de lat hoog leggen voor naleving, en vraagt ​​om een ​​rigoureuze aanpak van cyberrisicobeheer.

Op een hoog niveau is de CRA ontworpen om de veiligheid en betrouwbaarheid van verbonden technologie te verbeteren en het voor kopers gemakkelijker te maken om hoogwaardige producten te onderscheiden dankzij een kite mark-regeling. Met boetes tot € 15 miljoen of 2.5% van de jaarlijkse omzet is non-compliance geen optie, en voor Britse bedrijven die de enorme EU-markt willen aanboren, is het een must. Gelukkig zal naleving van best practice-beveiligingsnormen zoals ISO 27001 een groot deel van het zware werk doen.

Wat dekt het?

De CRA is van toepassing op:

  • Producten met digitale elementen (PDE's) – met andere woorden, software of hardware die verbinding kan maken met een apparaat of netwerk
  • De oplossingen van een PDE voor “gegevensverwerking op afstand”
  • De software- of hardwarecomponenten van een PDE die afzonderlijk op de markt worden gebracht

In de praktijk betekent dit een breed scala aan producten, waaronder slimme apparaten zoals smartphones, tablets, pc's, tv's en koelkasten, wearables en zelfs kinderspeelgoed. Sommige productcategorieën zoals medische apparaten en voertuigen, die al gereguleerd zijn, vallen nog niet onder de CRA.

Wat moet je doen?

De wetgeving is van toepassing op fabrikanten, hun geautoriseerde vertegenwoordigers, importeurs, distributeurs en retailers. Het grootste deel van de nalevingslast komt op de schouders van fabrikanten terecht, die:

  • Beoordeel PDE-cyberbeveiligingsrisico's en zorg ervoor dat producten worden ontworpen en geproduceerd in overeenstemming met de essentiële cyberbeveiligingsvereisten (ECR's) van de CRA
  • Zorg ervoor dat componenten die extern worden ingekocht de beveiliging van de PDE niet in gevaar brengen
  • Documenteer en patch kwetsbaarheden tijdig
  • Bied beveiligingsondersteuning gedurende vijf jaar of de levensduur van het product (afhankelijk van welke korter is)
  • Breng het EU-veiligheidsagentschap ENISA binnen 24 uur op de hoogte als u op de hoogte raakt van actieve kwetsbaarheidsexploitatie of een ander beveiligingsincident, met informatie over corrigerende maatregelen
  • Geef gedetailleerde informatie over hoe u productupdates installeert, aan wie u kwetsbaarheden moet melden en andere details van de fabrikant.
  • Stel een conformiteitsbeoordelingsproces in om de naleving van de CRA te verifiëren

Importeurs moeten op de hoogte zijn van het bovenstaande om te voldoen aan hun verplichtingen om ervoor te zorgen dat alleen conforme PDE's in de EU worden verkocht. De CRA heeft een uitgebreide lijst met ECR's vermeld in Bijlage I van de wetgeving, die zijn ontworpen om open te zijn in plaats van op details gericht om ze relevant te houden naarmate de technologie evolueert. Ze omvatten vereisten voor PDE's om:

  • Standaard geproduceerd zonder bekende exploiteerbare kwetsbaarheden en met een veilige configuratie
  • Ontworpen en vervaardigd met ingebouwde ‘passende’ niveaus van cyberbeveiliging en op een manier die de impact van beveiligingsincidenten zal verminderen.
  • Kan bescherming bieden tegen ongeautoriseerde toegang met sterke authenticatie
  • In staat om de vertrouwelijkheid van opgeslagen, verzonden of verwerkte informatie te beschermen, bijvoorbeeld via encryptie
  • Conform de principes van gegevensminimalisatie
  • Ontworpen en geproduceerd met een beperkt aanvalsoppervlak
  • Ontworpen om ervoor te zorgen dat kwetsbaarheden automatisch kunnen worden gepatcht via productupdates, waar mogelijk
  • Geproduceerd samen met een beleid voor het bekendmaken van kwetsbaarheden

Tijd om te plannen

John Moor, hoofd van de IoT Security Foundation (IoTSF), legt uit dat het nog niet tijd is om in paniek te raken, maar dat fabrikanten wel moeten gaan samenwerken met hun toeleveringsketens om te bepalen hoe nieuwe producten voldoen aan de CRA.

"Producten op de markt vallen nu buiten het bereik, maar hebben mogelijk een end-of-life plan nodig", vertelt hij aan ISMS.online. "Hoewel de tijdlijn ongeveer 36 maanden is, zullen sommige bepalingen eerder worden ingevoerd. Productfabrikanten moeten op die datum compliant zijn, en aangezien iedereen in de toeleveringsketen eigenaarschap moet nemen, wijst dat op vooruitplannen."

Naast de samenwerking met deze partners in de toeleveringsketen, moeten fabrikanten ook beoordelen of interne processen vanuit het perspectief van risico- en kwetsbaarheidsbeheer geschikt zijn voor het beoogde doel, betoogt Moor.

"Dan komen we bij het product zelf. Hier komen beveiligings- en privacy-by-design-praktijken in beeld. Veel fabrikanten zijn al bekend met deze elementen, naast de traditionele overwegingen over functionaliteit, prestaties en vermogen", zegt hij. "Waar kunnen ze hulp krijgen? Consultants, testlabs en organisaties zoals de IoTSF. Wij zijn in 2015 opgericht en konden zien hoe de wereld zich ontwikkelde. Daarom hebben we geanticipeerd op wat er zou komen en hebben we advies, processen en methodologieën in onze handleidingen en tools opgenomen."

Hoe ISO 27001 kan helpen

Gezien de lange en veeleisende nalevingsvereisten van de CRA, kunnen organisaties ook profiteren van het volgen van reeds vastgestelde best practice-normen die relevant zijn voor de wet. Moor zegt dat productontwikkelingsnormen ISO/SAE 21434 voor automotive en IEC/ISA 62443 voor industriële controlesystemen waarschijnlijk het meest relevant zijn. Andere experts zeggen echter ook dat er enige overlap is met ISO 27001.

Adam Brown, managing security consultant bij Black Duck, vertelt ISMS.online dat het een “goede basis” zou kunnen leggen voor Britse technologiebedrijven die de CRA in het oog houden.

"De systematische aanpak van ISO 27001 voor risicomanagement, veilige ontwikkeling, beveiliging van de toeleveringsketen, respons op incidenten en levenscyclusbeheer bestrijkt veel van dezelfde gebieden die de CRA benadrukt. ISO 27001 is echter gericht op organisatorische beveiliging, terwijl de CRA gericht is op individuele producten", voegt hij toe.

“Organisaties die ISO-geaccrediteerd zijn, begrijpen risicobeoordeling; de CRA eist ook een grondige risicobeoordeling per product. Veilig door ontwerp en standaard: CRA Annex 1(h) vereist dat producten worden ontworpen, ontwikkeld en geproduceerd om aanvalsoppervlakken te beperken, inclusief externe interfaces. Op dezelfde manier behandelt ISO 27001's Annex A.14 veilige ontwikkeling en ondersteuning voor informatiesystemen, inclusief het integreren van beveiliging gedurende de hele levenscyclus van softwareontwikkeling.”

Het goede nieuws is dat het afstemmen op ISO 27001 fabrikanten niet alleen succesvol zal maken met CRA-naleving. Het kan ook helpen een veilige basis te creëren voor een reeks andere industriële regelgevingen en vereisten, van NIS 2 tot de AVG. Het is misschien tijd om er eens naar te kijken.

Auteur

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een ​​freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Bekijk alle berichten van Phil Muncaster

gerelateerde berichten

SOC 2 is hier! Versterk uw beveiliging en bouw vandaag nog aan het vertrouwen van uw klanten met onze krachtige compliance-oplossing!