Cyber Resilience Act - succesformule of showstopper?

Deze act verplicht strenge beveiligingsnormen stelt voor producten met digitale elementen, zoals IoT-apparaten, software en industriële system.

De CRA is de eerste wereldwijde regelgeving die strenge beveiligingsnormen verplicht stelt voor producten met digitale elementen, zoals IoT-apparaten, software en industriële systemen. Waar de nadruk eerder lag op kritieke infrastructuren, zoals energie, transport en watervoorziening, introduceert de CRA een bredere, proactieve aanpak. Hiermee worden ook alle met het internet verbonden producten (hard- en software), inclusief consumentenelektronica, onderworpen aan deze strengere normen. Deze regelgeving vormt een mijlpaal in de bescherming tegen cyberdreigingen in een steeds meer verbonden wereld.

Wat houdt de Cyber Resilience Act in?

De CRA stelt strenge eisen aan fabrikanten, importeurs en distributeurs van zg. digitale elementen. Doel van deze act is een uitgebreid kader te creëren om de cyberweerbaarheid van zowel bij publieke als private entiteiten te verbeteren. De focus is om veiligheidsrisico’s al in de ontwerpfase te minimaliseren en cyberdreigingen gedurende de levensduur van een product te mitigeren. De act dwingt verantwoordelijkheid en aansprakelijkheid af. De focus ligt op gemeenschappelijke cybersecurity eisen voor een basisniveau in de gehele EU en het faciliteren van veilige digitale transacties.

Belangrijke pijlers zijn:

• Verplichte risicobeoordeling voorafgaand aan plaatsen van product op de markt  
• Beveiligingsupdates gedurende de hele product life cycle
• Documentatie verplichtingen, zoals Software Bill of Materials (SBOM)
• Sancties tot wel 15 miljoen euro of 2,5% van de wereldwijde omzet bij niet-naleving

De impact van de Cyber Resilience Act: meer dan alleen de maakindustrie

Hoewel de maakindustrie veel aandacht krijgt vanwege haar rol in hardwareontwikkeling, is de impact van deze wet veel breder. Dienstverleners, supply chains en zelfs eindgebruikers worden direct beïnvloed. De regulatie omvat alle producten met kort gezegd een internet connective (publiek dan wel privaat). De CRA zal naar verwachting ook leiden tot een competitievere markt. De CRA voegt cybersecurity toe als onderdeel van de CE-markering, waardoor producten die in de EU worden verkocht aan strenge veiligheidsnormen moeten gaan voldoen.

Hoewel vaak minder belicht, zal de CRA dienstverleners zoals Managed Security Service Providers (MSSP’s), cloudleveranciers en softwareontwikkelaars zwaar beïnvloeden.

Denk bijvoorbeeld aan:

• Medeaansprakelijkheid: Dienstverleners die geïntegreerde software of cloudgebaseerde functies aanbieden, moeten bewijzen dat hun aanbod voldoet aan de CRA-voorschriften. Dit kan een herziening van contracten en licentieovereenkomsten vereisen.
• Verhoogde compliancekosten: Van security audits tot het opzetten van documentatiesystemen, de operationele lasten zullen toenemen.
• Verwachtingen van klanten: Klanten zullen eisen dat ook ondersteunende diensten voldoen aan CRA-vereisten, wat extra druk legt op het aantonen van naleving.

HENs in actie: standaarden die veiligheid garanderen

Een belangrijke stap in de implementatie van de CRA is het opstellen van geharmoniseerde Europese normen (hENs). Deze normen, ontwikkeld door organisaties zoals CEN en CENELEC, specificeren de technische eisen waaraan producten moeten voldoen om CE-conformiteit te verkrijgen. De hENs voor CRA zijn nog in ontwikkeling en hebben als doel om fabrikanten te helpen voldoen aan de vereisten van de CRA.

Overzicht van belangrijke aspecten:

1. Secure by design: Producten moeten ontworpen worden met beveiliging als kernfocus, inclusief veilige standaardconfiguraties en minimale kwetsbaarheden.
2. Software Bill of Materials (SBOM): Het verplicht bijhouden van een overzicht van softwarecomponenten in producten om kwetsbaarheden eenvoudiger op te sporen en op te lossen.
3.  Kwetsbaarheidsbeheer: Doorlopende evaluatie, identificatie, en mitigatie van kwetsbaarheden, ondersteund door transparantie en regelmatige updates.
4. Classificatie van producten: Producten worden ingedeeld in risicoklassen (Class I en II), waarbij strengere eisen gelden voor kritische systemen en netwerken.
5. Vrijstelling voor open source-software: Open source valt buiten de CRA tenzij het commercieel wordt gebruikt in een product.

Het naleven van de hENs biedt een "vermoeden van conformiteit" met de CRA, wat betekent dat fabrikanten eenvoudiger de CE-markering kunnen verkrijgen. Als er geen hENs beschikbaar zijn, kan de Europese Commissie gemeenschappelijke specificaties vaststellen om aan de vereisten te voldoen. Dit harmonisatieproces heeft als doel om nationale en internationale normen op elkaar af te stemmen.

Cyberweerbaarheid in supply chain

De CRA kijkt niet alleen naar het eindproduct, maar stelt eisen aan de gehele supply chain.

Zo moeten leveranciers een overzicht bieden van alle gebruikte componenten, inclusief software van derden. Dit zal de afhankelijkheid van open-source libraries en goedkope hardwareketens drastisch veranderen. Verder kan elke partij in de keten  aansprakelijk worden gesteld voor tekortkomingen, wat kan leiden tot strengere contractuele afspraken en hogere verzekeringspremies. Voor kleinere spelers kan de compliance een zware financiële last zijn, wat innovatie kan vertragen en kan leiden tot consolidatie in de markt.

CRA’s minder bekende effecten

De minder bekende en besproken effecten van de CRA zijn:

• “Grijze” import onder druk: De CRA maakt het moeilijker voor distributeurs om producten van buiten de EU te importeren die niet aan de regelgeving voldoen. Dit kan resulteren in hogere prijzen en een verminderde beschikbaarheid van bepaalde technologieën binnen de EU-markt.
• Toename van “shadow” IT risico’s: Producten die niet voldoen aan de CRA-vereisten worden minder aantrekkelijk voor de reguliere markt. Toch kunnen factoren zoals een zeer lage prijs of directe beschikbaarheid gebruikers verleiden om ongeregistreerde of niet-gecertificeerde technologie te gebruiken. Dit brengt echter aanzienlijke beveiligingsrisico’s met zich mee en kan leiden tot ongecontroleerde shadow IT binnen organisaties.
• Uitdagingen voor legacy-systemen: Organisaties die afhankelijk zijn van verouderde IoT-apparatuur staan voor een lastig dilemma: investeren in updates en aanpassingen om te voldoen aan de CRA, of overgaan tot volledige vervanging, wat vaak gepaard gaat met aanzienlijke kosten.
• Uitdagingen voor legacy-systemen: Organisaties die afhankelijk zijn van verouderde IoT-apparatuur staan voor een lastig dilemma: investeren in updates en aanpassingen om te voldoen aan de CRA, of overgaan tot volledige vervanging, wat vaak gepaard gaat met aanzienlijke kosten.
• Impact op export buiten de EU: De CRA zal fungeren als een ‘gouden standaard’ voor cyberveiligheid. Bedrijven die internationaal concurreren, zullen zich genoodzaakt voelen om aan vergelijkbare eisen te voldoen, zelfs in markten waar dergelijke regelgeving ontbreekt.

De impact van de CRA op producten en bedrijfsstrategie

De CRA is niet alleen gericht op fabrikanten, maar beïnvloedt de hele waardeketen, inclusief dienstverleners en eindgebruikers. Bovendien vereist het naleven van de wet investeringen in technologie, expertise en samenwerking binnen de supply chain. Organisaties die proactief CRA-compliant zijn, kunnen een concurrentievoordeel behalen door vertrouwen en marktaandeel te winnen. 
Begin nu met een impact analyse, inclusief een audit van de huidige beveiligings controls, SBOM-documentatie en een plan voor continue updates.

De CRA als sleutelfactor voor veilige digitale producten

De maakindustrie signaleert dat klanten vaak niet bereid zijn te betalen voor beveiliging, terwijl klanten op hun beurt aangeven dat leveranciers beveiliging soms presenteren als een verkooptruc. Dit onderstreept een breder probleem: het gebrek aan effectieve communicatie over het belang van beveiliging en de voordelen ervan.

De CRA is een belangrijke stap richting een veiliger digitaal Europa. Hoewel de weg naar naleving uitdagend is, biedt deze transformatie kansen. Bedrijven die beveiliging omarmen en hun processen versterken, zullen uiteindelijk concurrentievoordelen behalen en sterker uit deze transitie komen.

De verantwoordelijkheid voor cybersecurity verschuift steeds meer van gebruikers en operators naar productleveranciers. Zowel binnen de EU als wereldwijd staan productveiligheid en naleving van strikte normen steeds meer centraal. Hoewel de gestelde eisen grotendeels consistent en logisch zijn, ligt de uitdaging in de implementatie. De mate van handhaving door autoriteiten, de reacties van concurrenten en de houding van marktleiders zullen bepalen hoe productbeveiliging daadwerkelijk wordt gerealiseerd.

Voor fabrikanten bieden de komende jaren een unieke kans om het voortouw te nemen, consumentenvertrouwen te vergroten en beveiliging als onderscheidende waarde te positioneren. Het versterken van dit vertrouwen is essentieel voor het succes van digitale transformatie en veilige productontwikkeling. Met de CRA verschuift beveiliging van een optie naar een verplichting, waarmee een nieuwe norm wordt gezet voor product verantwoordelijkheid.

Door Antoinette Hodes - Global Solutions Architect en IoT expert bij Check Point