Mischa Puyenbroek – Business Consultant
De schade veroorzaakt door cybercriminaliteit werd in 2021 wereldwijd geschat op 5,5 triljoen euro. Kwetsbare hard- en software vormen hiervoor de hoofdoorzaak. De nu in behandeling zijnde Cyber Resilience Act is bedoeld om hier – in Europees verband -verandering in te brengen. Dit Europese voorstel voor een Verordening van cyberbeveiligingsvereisten – ook wel CRA genoemd – is van toepassing op alle producten met digitale elementen. De Cyber Resilience Act moet de cyberbeveiligingsregels versterken en zorgen voor veiligere hardware- en softwareproducten. Wat houdt de CRA – tot dusver – in en hoe kunt u hierop voorsorteren? In deze blog leest u meer.
De kosten en gebruik van hard- en software zijn voor gebruikers en hiermee de samenleving de laatste decennia exponentieel gegroeid. Om de grondslag van de CRA beter te kunnen uitleggen, is het nuttig de achtergrond in beeld te brengen. Zoomen we in op hard- en softwaregebruik dan kunnen we globaal een tweedeling maken tussen:
1. Beveiliging van hard- en software: De cyberveiligheid van de producten is gemiddeld genomen te laag. We zien dit terug in wijdverspreide kwetsbaarheden en een ontoereikend en inconsistent aanbod van beveiligingsupdates.
2. Kennis bij gebruikers: Onvoldoende begrip van en/of toegang tot informatie voor gebruikers. Er wordt niet of niet bewust gekozen voor producten met adequate cyberbeveiligingseigenschappen. Ook het op een veilige manier gebruiken van hard- en software is onvoldoende duidelijk.
De bestaande wetgeving voor Europa, is nu van toepassing op slechts bepaalde producten met digitale elementen. De CRA is echter bedoeld voor alle hardware- en softwareproducten, die momenteel dus niet onder EU-wetgeving vallen als het gaat om cyberbeveiliging.
Het huidige EU-rechtskader heeft namelijk geen betrekking op de cyberbeveiliging van niet-ingebedde software, ook al zijn cyberbeveiligingsaanvallen in toenemende mate gericht op kwetsbaarheden in deze producten, wat aanzienlijke maatschappelijke en economische schade veroorzaakt. Denk hierbij aan producten zoals, (autonome) auto’s, automatiseringsindustrie (zoals robots), maar ook sluizen, bruggen, alle producten verbonden met het internet, zoals ook Cloud-technologie én AI.
Er zijn twee hoofddoelstellingen vastgesteld om de goede werking van de interne markt te waarborgen:
1. Voorwaarden voor de ontwikkeling van veilige producten met digitale elementen, waardoor hardware- en softwareproducten met minder kwetsbaarheden op de markt worden gebracht en bewerkstelligen dat fabrikanten gedurende de gehele productlevenscyclus de beveiliging serieus nemen.
2. Voorwaarden die gebruikers in staat stellen rekening te houden met cyberbeveiliging bij het selecteren en gebruiken van producten met digitale elementen.
Vanuit deze hoofddoelstellingen zijn in de CRA vier specifieke doelstellingen geformuleerd:
1. Zorgen dat fabrikanten de beveiliging van producten met digitale elementen verbeteren gedurende de ontwerp- en ontwikkelingsfase én complete product lifecycle;
2. Zorgen voor een coherent kader voor cyberbeveiliging, dat de naleving voor hardware- en softwareproducenten vergemakkelijkt;
3. De transparantie van de beveiligingseigenschappen van producten met digitale elementen te vergroten;
4. Bedrijven en consumenten in staat te stellen om producten met digitale elementen veilig te gebruiken.
In het Cyber Resilience Act voorstel, wordt onderscheid gemaakt tussen producten met digitale elementen (KLASSE 1), waaronder SIEM systemen, MDM software, boot managers, IAM en PAM-software, microprocessoren en microcontrollers, PLC, CMC SCADA en kritische producten met digitale elementen (KLASSE 2), zoals firewalls, IDS, smartcards, smartcard readers, Industriële Internet of Things producten, routers, modems, switches (voor industrieel gebruik), hypervisors, public key infrastructure en digitale certificerende uitgevers. Daarnaast wordt nog onderscheid gemaakt in de toepassing van algemene veiligheid van het product met digitale elementen en machinale producten. En wordt een uitzonderlijke categorie van producten met AI digitale elementen gemaakt.
De Cyber Resilience Act stelt geconnecteerde apparaten vrij die al onderdeel zijn van de sectorale wetgeving, zoals digitale producten gereguleerd door de Medical Devices Regulation (Verordening (EU) 2017/745), In Vitro Diagnostic Medical Devices Regulation (Verordening (EU) 2017/746), Motorvoertuigen Algemene veiligheidsverordening (Verordening (EU) 2019/2144) en Gemeenschappelijke regels in de burgerluchtvaartverordening (Verordening (EU) 2018/1139).
De Cyber Resilience Act stelt de European Digital Identity Wallets, systemen voor elektronische medische dossiers of producten met risicovolle kunstmatige-intelligentiesystemen niet vrij. Op deze pagina treft u een overzicht aan van alle benoemde categorieën. [>Cyber Resilience Act – Factsheet | Shaping Europe’s digital future (europa.eu)<]
Niet-naleving van de essentiële vereisten en verplichtingen van bijlage I in de artikelen 10 [<Obligations of manufacturers, p.38>] en 11 [>reporting obligations of manufacturers, p. 40<][ Cyber Resilience Act | Shaping Europe’s digital future (europa.eu)] onderwerpt overtredende bedrijven aan de hoogste boete van ofwel administratieve boetes tot € 15 miljoen of 2,5 procent van hun wereldwijde jaaromzet voor het voorgaande fiscale jaar, afhankelijk van welke van de twee het hoogste is.
Het niet naleven van andere verplichtingen binnen de Cyber Resilience Act leidt tot bestuurlijke boetes tot € 10 miljoen of 2 procent van de wereldwijde jaaromzet van het voorgaande fiscale jaar, afhankelijk van wat het hoogste is.
Misleidende markttoezichtautoriteiten met onjuiste, onvolledige of gemanipuleerde informatie zal leiden tot een boete van € 5 miljoen of 1 procent van de wereldwijde jaaromzet van het voorgaande fiscale jaar, afhankelijk van welke van de twee het hoogste is.
Lidstaten kunnen effectieve, evenredige en afschrikkende regels vaststellen voor sancties die van toepassing zijn op bedrijven die de Cyber Resilience Act niet naleven. Wel moeten zij de Commissie op de hoogte stellen van de regels, maatregelen en latere wijzigingen. Nationale markttoezichtautoriteiten kunnen de beschikbaarheid van producten ook verbieden of beperken als de fabrikant, importeur, distributeur of andere verantwoordelijke ondernemingen niet-volgens, in overeenstemming met blijken te zijn.
CRA belicht ook de verplichtingen van de fabrikant, zoals verplichte rapportering en de verplichting een gemachtigde vertegenwoordiger aan te wijzen. Ook komen er verplichtingen voor de importeur van de producten en verplichtingen voor de distributeurs, denk hierbij bijvoorbeeld aan de CE-markering.
De Cyber Resilience Act creëert rapportageverplichtingen voor fabrikanten om het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) binnen 24 uur op de hoogte te stellen nadat ze zich bewust zijn geworden van “elke actief uitgebuite kwetsbaarheid in het product met digitale elementen” of “elk incident dat gevolgen heeft voor de veiligheid van het product met digitale elementen”. De fabrikanten zullen ook de gebruikers van het product van het incident informeren, evenals corrigerende maatregelen die de impact voor de consument kunnen verminderen.
Ook moeten importeurs en distributeurs van producten met digitale elementen fabrikanten onverwijld informeren over kwetsbaarheden in de cyberbeveiliging. Als er een aanzienlijk cyberbeveiligingsrisico bestaat, moeten importeurs en distributeurs ook de nationale markttoezichtautoriteiten informeren over de non-conformiteit en de genomen corrigerende maatregelen.
Bij BMGRIP merken we dat deze aankomende nieuwe wetgeving veel vragen oproept. Onze opdrachtgevers willen graag in controle zijn en blijven. Ook u wilt niet aansprakelijk worden gesteld of een boete worden opgelegd en daarom is het verstandig om voorbereidingen te treffen en processen te toetsen op de op handen zijnde regelgeving.
Wilt u daarom ook meer informatie of advies over:
Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.
Computerweg 22
3542 DR Utrecht
KvK: 30277648
BTW: NL 8217.37.612.B01
Privacy statement - Disclaimer - © 2024 BMGRIP