Binnen de beveiligingsgerichte EU-regelgeving springt de CRA eruit als het breedste algemene beveiligingskader en vraagt deze om actie van elke fabrikant, importeur en distributeur van digitale producten in de EU.
Vraag gratis advies aanLeestijd: 8 minuten
Er bestaat geen wettelijke definitie van cyberweerbaarheid. De term kan worden omschreven als het vermogen van een organisatie om cyberaanvallen te weerstaan en zich voor te bereiden op het uitvallen van kritieke systeemcomponenten. Om in Europa een algemeen niveau van weerbaarheid tegen cyberaanvallen te creëren, in lijn met moderne IT-beveiliging en informatiebeveiliging, heeft de EU verschillende beveiligingsgerichte regelgevingen ingevoerd, waaronder de Cyber Resilience Act (CRA), de Richtlijn betreffende de beveiliging van netwerk- en informatiesystemen (NIS2) en de Digital Operational Resilience Act (DORA).
Daarvan springt de CRA eruit als het breedste algemene beveiligingskader. De CRA is bedoeld om de beveiliging te versterken van digitale producten die in de hele EU worden geproduceerd en verkocht. Onder de CRA moeten alle digitale producten een conformiteitsbeoordeling doorlopen en in sommige gevallen van een CE-markering zijn voorzien voordat ze in de handel mogen worden gebracht.
De Cyber Resilience Act is een nieuwe reeks bindende beveiligingsvereisten van de Europese Commissie. De CRA is bedoeld om de beveiliging van digitale producten die in de hele EU worden verkocht te versterken. Onder de CRA moeten alle producten met digitale elementen een conformiteitsbeoordeling doorlopen en in sommige gevallen van een CE-markering zijn voorzien voordat ze in de handel mogen worden gebracht.
De Cyber Resilience Act stelt drie centrale eisen vast voor alle digitale producten op de EU-markt.
De CRA geldt voor alle digitale producten die binnen EU-lidstaten aan eindgebruikers worden verkocht. Daaronder vallen zowel eindproducten, zoals smartphones, als componenten, zoals chips en besturingssystemen. Daarnaast geldt de CRA gelijkelijk voor alle digitale producten die op de EU-markt beschikbaar worden gesteld. Er zijn geen vrijstellingen op basis van marktomvang. De CRA vereist bovendien beveiligingsbeoordelingen voor IT-infrastructuur en software die binnen de eigen IT-activiteiten van een bedrijf worden gebruikt als onderdeel van de “digitale toeleveringsketen”.
Voor producten die op de EU-markt worden verkocht, maakt de CRA onderscheid tussen digitale producten op basis van hun belang voor de veiligheid van consumenten, de cyberweerbaarheid van organisaties en nationale en regionale veiligheid.
Vierledige illustratie van de CRA-productclassificatie (Standaard, Belangrijk klasse I, Klasse II, Kritiek).
De Cyber Resilience Act definieert de volgende productclassificaties:
Hieronder vallen geheugenchips, mobiele apps, slimme speakers en computerspellen, naast andere veelvoorkomende digitale producten.
Hieronder vallen IT-toegangsbeheer, browsers en besturingssystemen, VPN's en netwerkbeheer- en smarthome-apparaten.
Hieronder vallen hypervisors en containersystemen, firewalls en IDS/IPS, evenals manipulatiebestendige microcontrollers en processors.
Hieronder vallen smartcards, beveiligde kaartlezers, tachografen en HSM's, evenals smart-meter-gateways en cryptografische systemen.
De Europese Commissie gaat ervan uit dat de meeste betrokken producten in de standaardcategorie vallen en uitsluitend onderworpen zijn aan zelfbeoordeling door de productfabrikant. Voor producten in de categorieën “Belangrijk” en “Kritiek” gelden echter strengere vereisten voor conformiteitsbeoordeling. Fabrikanten van producten die als kritiek zijn geclassificeerd, moeten mogelijk een specifiek Europees cybersecuritycertificaat verkrijgen. De conformiteit moet blijken uit de CE-markering op het product, aangevuld met nationaal markttoezicht na het in de handel brengen om correcte implementatie te waarborgen.
| Categorie | Conformiteitsbeoordeling | CE-markering | Voorbeelden |
|---|---|---|---|
| Standaard | Zelfbeoordeling door de fabrikant | Verplicht | Geheugenchips, mobiele apps, slimme speakers, computerspellen |
| Klasse I | Strengere regels, beoordeling door derde partij mogelijk | Verplicht | IT-toegangsbeheer, browsers, besturingssystemen, VPN's, netwerkbeheer, smarthome-apparaten |
| Klasse II | Beoordeling door derde partij vereist | Verplicht | Hypervisors, container-runtime, firewalls, IDS/IPS, manipulatiebestendige microcontrollers |
| Kritiek | Gecertificeerde instantie verplicht, EU-cybersecuritycertificaat mogelijk | Verplicht | Smartcards, beveiligde kaartlezers, tachografen, HSM's, smart-meter-gateways |
De Cyber Resilience Act bakent zijn toepassingsgebied af via het begrip “marktdeelnemers”. Hieronder vallen fabrikanten, gemachtigde vertegenwoordigers, importeurs, distributeurs en alle natuurlijke of rechtspersonen die betrokken zijn bij de productie of distributie van digitale producten in de EU. Dit raakt zowel producenten van eindapparaten, zoals smartphones, als leveranciers van afzonderlijke componenten, zoals chips of besturingssystemen. De verordening geldt bovendien ongeacht waar een bedrijf is gevestigd. Ook fabrikanten buiten de EU moeten voldoen als zij hun producten op de Europese markt aanbieden.
De Cyber Resilience Act definieert “marktdeelnemers” als volgt:
De Cyber Resilience Act legt een reeks verplichtingen op aan marktdeelnemers die betrokken zijn bij de productie of distributie van digitale producten in de EU. In de regel moeten betrokken marktdeelnemers maatregelen nemen om de productbeveiliging gedurende de volledige levenscyclus te versterken, van ontwerp tot buitengebruikstelling; processen invoeren voor het afhandelen en melden van kwetsbaarheden; en herstelmaatregelen voor eindgebruikers mogelijk maken.
Veilig productontwerp en levenscyclus, beveiligingsbeoordelingen en SBOM, afhandeling van kwetsbaarheden en meldplichten.
Afhankelijk van de ernst kunnen overtredingen van de CRA leiden tot aanzienlijke boetes.
OPENVAS SECURITY INTELLIGENCE ondersteunt CRA-compliance on-premises of in de cloud. Neem contact met ons op voor meer informatie.
De CRA is op 23 oktober 2024 aangenomen als EU-wetgeving en officieel in werking getreden op 10 december 2024. Bepaalde CRA-compliancetermijnen gelden gefaseerd en leiden tot volledige handhaving op 11 december 2027. De Commissie blijft de naleving van de nieuwe cybersecurityregels van de EU monitoren en kan waar nodig sancties opleggen.
Tijdlijn van de kritieke fasen in de CRA-implementatie:
Vanaf 11 september 2026 moeten fabrikanten strikte meldingsdeadlines naleven voor actief misbruikte kwetsbaarheden en ernstige incidenten.
Eerste melding aan ENISA en het nationale CSIRT.
Getroffen producten, details van de kwetsbaarheid en richtlijnen voor mitigatie.
Definitieve informatie over de genomen maatregelen na een beveiligingsupdate of workaround.
Al meer dan 15 jaar helpt Greenbone klanten zich voor te bereiden op een zo hoog mogelijke beveiligingsstandaard. Wij zien de Cyber Resilience Act als een kans om ondersteuning te bieden en organisaties te helpen de sterkst mogelijke cyberweerbaarheid op te bouwen. Het OPENVAS SECURITY INTELLIGENCE-platform helpt organisaties te voldoen aan de vereisten, on-premises of in de cloud.
OPENVAS SECURITY INTELLIGENCE-dashboard met resultaten van kwetsbaarheidsscans, CVSS-ernstverdeling en asset-inventaris afgestemd op CRA-rapportagevereisten.
Horizontale procesflow: assets scannen, SBOM beoordelen, CVE's prioriteren, rapport genereren, ENISA informeren.
Wat is cyberweerbaarheid?
Er bestaat geen wettelijke definitie van cyberweerbaarheid. De term kan worden omschreven als het vermogen van een organisatie om cyberaanvallen te weerstaan en zich voor te bereiden op het uitvallen van kritieke systeemcomponenten.
Wat is de EU Cyber Resilience Act (CRA)?
De Cyber Resilience Act is een nieuwe reeks bindende beveiligingsvereisten van de Europese Commissie. Het doel ervan is de beveiliging te versterken van digitale producten die in de hele EU worden verkocht. Onder de CRA moeten alle producten met digitale elementen een conformiteitsbeoordeling doorlopen en in sommige gevallen van een CE-markering zijn voorzien voordat ze in de handel mogen worden gebracht.
Welke producten vallen onder de Cyber Resilience Act?
De Cyber Resilience Act geldt voor alle digitale producten die binnen EU-lidstaten aan eindgebruikers worden verkocht. Daaronder vallen zowel eindproducten, zoals smartphones, als componenten, zoals chips en besturingssystemen. Er zijn geen vrijstellingen op basis van marktomvang. De CRA vereist bovendien beveiligingsbeoordelingen voor IT-infrastructuur en software die binnen de eigen IT-activiteiten van een bedrijf worden gebruikt als onderdeel van de “digitale toeleveringsketen”.
Geldt de CRA ook voor fabrikanten buiten de EU?
Ja. De CRA is niet beperkt tot fabrikanten met een hoofdkantoor in de EU. Fabrikanten buiten de EU vallen onder de vereisten van de CRA als zij producten in de EU verkopen. Ook importeurs en distributeurs zijn verantwoordelijk voor de controle dat de fabrikant de vereiste compliancestappen heeft afgerond voordat een product op de EU-markt beschikbaar wordt gesteld.
Wat is een conformiteitsbeoordeling onder de CRA?
Een conformiteitsbeoordeling is de procedure waarmee een fabrikant aantoont dat een product voldoet aan de essentiële beveiligingsvereisten van de CRA. Voor de meeste producten in de standaardcategorie volstaat een zelfbeoordeling door de fabrikant. Voor producten in de categorieën Belangrijk klasse I, Klasse II en Kritiek gelden strengere vereisten. Fabrikanten van kritieke producten moeten mogelijk een specifiek Europees cybersecuritycertificaat verkrijgen, waarbij conformiteit wordt aangegeven met de CE-markering.
Welke meldplichten voor kwetsbaarheden definieert de CRA?
Vanaf 11 september 2026 moeten betrokken fabrikanten bekende kwetsbaarheden en bekende exploits binnen 24 uur bij ENISA melden, beveiligingsincidenten aan productgebruikers melden samen met de vereiste herstelstappen en vastgestelde kwetsbaarheden in componenten van derden aan de betreffende leveranciers melden.
Wat is een Software Bill of Materials (SBOM) en waarom vereist de CRA dit?
Een Software Bill of Materials (SBOM) is een volledige inventaris van alle softwarecomponenten in een digitaal product. De CRA vereist dat fabrikanten kwetsbaarheidsscans uitvoeren, inclusief SBOM-beoordelingen, om te waarborgen dat producten vrij zijn van bekende kwetsbaarheden en om downstreamklanten een SBOM te leveren die de softwarecomponenten van een product omvat.
Is de CRA ook van toepassing op open-sourcesoftware?
Commercieel verspreide open-sourcesoftware kan onder de verplichtingen van de CRA vallen. Niet-commerciële FOSS-bijdragen zijn doorgaans uitgesloten.
Beheerders van open-sourceprojecten kunnen te maken krijgen met lichtere verplichtingen, zoals het onderhouden van een cybersecuritybeleid, het coördineren van kwetsbaarheidsmeldingen en het samenwerken met markttoezichthouders.
Wanneer wordt de CRA volledig handhaafbaar?
De CRA is op 23 oktober 2024 aangenomen als EU-wetgeving en officieel in werking getreden op 10 december 2024. Compliancetermijnen gelden gefaseerd: bepalingen in hoofdstuk IV over conformiteitsbeoordelingsinstanties vanaf 11 juni 2025, meldplichten voor kwetsbaarheden onder artikel 14 vanaf 11 september 2026 en volledige handhaving van alle resterende vereisten vanaf 11 december 2027.
Hoe verhoudt de CRA zich tot NIS2 en DORA?
De CRA, de richtlijn betreffende netwerk- en informatiebeveiliging (NIS) en de Digital Operational Resilience Act (DORA) maken allemaal deel uit van het beveiligingsgerichte regelgevingskader van de EU. Daarvan springt de CRA eruit als het breedste algemene beveiligingskader, omdat deze alle digitale producten omvat die op de EU-markt beschikbaar worden gesteld, ongeacht sector of bedrijfsgrootte.
Hoe helpt Greenbone bij CRA-compliance?
Al meer dan 15 jaar helpt Greenbone klanten zich voor te bereiden op een zo hoog mogelijke beveiligingsstandaard. Het OPENVAS SECURITY INTELLIGENCE-platform van Greenbone ondersteunt organisaties bij de door de CRA vereiste doorlopende kwetsbaarheidsbeoordelingen en externe audits, on-premises of in de cloud.
De volledige handhaving begint in december 2027, maar de meldplicht voor kwetsbaarheden gaat al in september 2026 in. Neem nu contact met ons op en ontdek hoe OPENVAS SECURITY INTELLIGENCE uw CRA-complianceprogramma ondersteunt, on-premises of in de cloud.
