Cyber Resilience Act
Cyber Resilience Act
Overzicht
De Cyber Resilience Act (CRA) introduceert verplichte cybersecurityvereisten voor hardware- en softwareproducten met digitale elementen. Het dekt de gehele productlevenscyclus van ontwerp tot einde ondersteuning en heeft als doel de proliferatie van onveilige IoT- en softwareproducten aan te pakken.[1]
De CRA is van toepassing op producten die op de EU-markt worden gebracht, ongeacht waar ze zijn vervaardigd.
Toepassingsschema
| Datum | Mijlpaal |
|---|---|
| 10 december 2024 | CRA treedt in werking |
| 11 september 2026 | Rapporteringsverplichtingen beginnen |
| 11 december 2027 | Volledige toepassing van alle vereisten |
Producten binnen de reikwijdte
Gedekte producten
Producten met digitale elementen die:
- Een directe of indirecte logische of fysieke dataverbinding hebben met een apparaat of netwerk
- Hardware- en softwarecomponenten bevatten
Categorieën
| Categorie | Vereisten | Voorbeelden |
|---|---|---|
| Standaard | Zelfbeoordeling | Meeste software, basis IoT |
| Belangrijk Klasse I | Beoordeling op basis van normen | Browsers, wachtwoordmanagers, VPN's, netwerkbeheer |
| Belangrijk Klasse II | Beoordeling door derden | Besturingssystemen, firewalls, routers, hypervisors |
| Kritiek | Beoordeling door derden + certificering | Hardware security modules, slimme meters, smartcards |
Uitzonderingen
- Open source software (niet-commerciële ontwikkeling)
- SaaS (gedekt door andere regelgeving)
- Producten die al gereguleerd zijn (medische hulpmiddelen, voertuigen, luchtvaart)
- Defensie- en nationale veiligheidsproducten
Essentiële cybersecurityvereisten[2]
Security by Design
Producten moeten zo worden ontworpen en ontwikkeld dat ze zorgen voor:
- Passend beveiligingsniveau: Gebaseerd op voorzienbare risico's
- Geen bekende exploiteerbare kwetsbaarheden: Op het moment van marktintroductie
- Veilige standaardconfiguratie: Inclusief mogelijkheid tot fabrieksreset
- Bescherming van vertrouwelijkheid: Voor opgeslagen, verzonden en verwerkte gegevens
- Bescherming van integriteit: Tegen ongeautoriseerde wijziging
- Beschikbaarheid: Weerstand tegen denial of service
- Minimaal aanvalsoppervlak: Verminderen van potentiële aanvalsvectoren
- Beperking van incidentimpact: Minimaliseren van de gevolgen van een inbreuk
Authenticatie en toegangscontrole
- Sterke, unieke standaardreferenties of door gebruiker ingesteld bij eerste gebruik
- Bescherming tegen brute force-aanvallen
- Veilige authenticatiemechanismen
Gegevensbescherming
- Versleutelde opslag voor gevoelige gegevens
- Veilige gegevensoverdracht
- Verwijderen of anonimiseren van gegevens wanneer deze niet langer nodig zijn
Vereisten voor kwetsbaarhedenbeheer[3]
Fabrikanten moeten:
- Kwetsbaarheden identificeren: Door testen en monitoring
- Componenten documenteren: Onderhouden van software bill of materials (SBOM)
- Kwetsbaarheden aanpakken: Beveiligingsupdates zonder onnodige vertraging leveren
- Kwetsbaarheden openbaar maken: Coördineren met betrokken partijen
- Beveiligingsupdates: Gratis updates voor de gedefinieerde ondersteuningsperiode (minimaal 5 jaar)
Rapportage van kwetsbaarheden
Vanaf september 2026 moeten fabrikanten rapporteren:
| Type rapport | Tijdslijn |
|---|---|
| Actief geëxploiteerde kwetsbaarheid | 24 uur aan ENISA |
| Incident met beveiligingsimpact | 24 uur aan ENISA/CSIRT |
| Kwetsbaarheidsmelding | 72 uur aan ENISA |
Conformiteitsbeoordeling
| Categorie | Procedure |
|---|---|
| Standaard | Zelfverklaring of EU-typeonderzoek |
| Belangrijk Klasse I | Geharmoniseerde normen OF beoordeling door derden |
| Belangrijk Klasse II | Conformiteitsbeoordeling door derden |
| Kritiek | EU-typeonderzoek + kwaliteitsborging productie |
Producten moeten een CE-markering dragen die conformiteit bevestigt.
Sancties
- Niet-naleving: Tot €15 miljoen of 2,5% van de wereldwijde omzet
- Schending van essentiële vereisten: Tot €10 miljoen of 2% van de omzet
- Andere overtredingen: Tot €5 miljoen of 1% van de omzet[4]
Actiepunten voor ontwikkelaars
Voor software- en hardwarefabrikanten:
- Producten inventariseren: Bepalen welke binnen de reikwijdte vallen en hun categorie
- Security by design: Beveiliging integreren in ontwikkelprocessen
- Kwetsbaarhedenbeheer: Procedures voor detectie en afhandeling opzetten
- SBOM aanmaken: Documenteren van softwarecomponenten en afhankelijkheden
- Ondersteuningsplanning: Ondersteuningsperioden definiëren en communiceren
- Update-mechanismen: Veilige updateleveringssystemen bouwen
- Conformiteitsvoorbereiding: Technische documentatie voorbereiden
Bronnen & Referenties
[1]
Verordening (EU) 2024/2847 over cybersecurityvereisten voor producten. EUR-Lex: Officiële tekst CRA
[2]
CRA Bijlage I: Essentiële cybersecurityvereisten. CRA Portal: Bijlage I
[3]
CRA Bijlage I Deel II: Vereisten voor kwetsbaarhedenbeheer. CRA Portal: Kwetsbaarhedenbeheer
[4]
CRA Artikel 64: Sancties. CRA Portal: Sancties