Cyber Resilience Act
9 april 2024
Op 12 maart 2024 heeft het Europees Parlement ingestemd met het voorstel voor de Cyber Resilience Act (Voorstel voor een verordening betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen; "CRA"). De CRA moet eerst nog formeel door de Europese Raad worden goedgekeurd om van kracht te worden. Dit zal naar verwachting in april 2024 plaatsvinden.
Het doel van de CRA is de cyberbeveiliging van producten met digitale elementen die op de Europese markt worden verkocht, zoals deurbellen, smart home apparaten en wifirouters, te verbeteren. Hiermee worden niet alleen gemeenschappelijke regels en vereisten voor fabrikanten van deze producten geïntroduceerd, maar ook verplichtingen voor de importeurs en distributeurs van die producten om ervoor te zorgen dat producten met digitale elementen veilig kunnen worden gebruikt, weerbaar zijn tegen cyberdreigingen en voldoende informatie wordt gegeven over de beveiligingseigenschappen daarvan.
Reikwijdte
De CRA geldt voor alle producten met digitale elementen die op de Europese markt worden aangeboden, waarvan het beoogde of redelijkerwijs voorzienbaar gebruik een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk omvat, met uitzondering van specifieke uitsluitingen, zoals medische hulpmiddelen en auto's. Het begrip 'product met digitale elementen' wordt breed gedefinieerd en omvat hardware- en softwareproducten die verbonden kunnen worden en de oplossingen voor gegevensverwerking op afstand. Dit houdt in dat alle hardware- en softwareproducten die tijdens het gebruik een gegevens- of netwerkverbinding hebben (of kunnen hebben) binnen de reikwijdte van de CRA vallen. Software as a Service (SaaS) valt echter niet onder de CRA maar onder de NIS2-richtlijn.
De verplichtingen van de CRA gelden voor alle marktdeelnemers die bij de levenscyclus van producten met digitale elementen zijn betrokken: fabrikanten, importeurs en distributeurs, waarbij de meeste verplichtingen aan fabrikanten worden opgelegd.
Deze verplichtingen sluiten aan bij de reeds bestaande regels inzake productveiligheid. In de CRA wordt aangegeven dat bepaalde verplichtingen uit de Verordening inzake algemene productveiligheid (EU 2023/988) van toepassing zijn op producten met digitale elementen met betrekking tot aspecten en risico's of risicocategorieën die niet onder de CRA vallen indien die producten niet onderworpen zijn aan specifieke veiligheidseisen die zijn vastgesteld bij andere Europese wetgeving.
Verplichtingen van fabrikanten
Fabrikanten van producten met digitale elementen moet aan de volgende verplichtingen uit de CRA voldoen:
- Essentiële eisen: fabrikanten moeten ervoor zorgen dat producten met digitale elementen die zij op de markt aanbieden, voldoen aan de essentiële eisen van bijlage I bij de CRA. Deze eisen zijn onder meer dat producten vrij zijn van bekende kwetsbaarheden, over veilige instellingen en toegangsbeveiliging beschikken, de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens gewaarborgd zijn, dat de verwerking van gegevens wordt beperkt, evenals kwetsbaarheden voor aanvallen, dat kwetsbaarheden worden aangepakt en beveiligingslogs beschikbaar zijn.
- Risicobeoordeling: fabrikanten moeten de cyberbeveiligingsrisico's van een product met digitale elementen beoordelen en het resultaat van die beoordeling gebruiken om cyberbeveiligingsrisico's te beperken, beveiligingsincidenten te voorkomen en te beperken, en de gezondheid en veiligheid van gebruikers gedurende de gehele levenscyclus van het product te beschermen. Deze risicobeoordeling moet worden vastgelegd en in voorkomend geval worden geactualiseerd.
- Documentatie: de producten moeten vergezeld gaan van technische documentatie en gebruiksinstructies. De documentatie en instructies moeten in duidelijke en begrijpelijke vorm worden verstrekt in een taal die de gebruikers gemakkelijk kunnen begrijpen. Daarin moeten ook de naam en contactgegevens van de fabrikant worden vermeld. Daarnaast moet een type, partij of serienummer of een ander element aan de hand waarvan het product kan worden geïdentificeerd op het product worden vermeld.
- Levensduur: fabrikanten moeten de levensduur voor hun product bepalen. Deze moet minstens vijf jaar bedragen. Gedurende deze periode moeten de producten steeds worden gecontroleerd en moeten beveiligingsupdates beschikbaar worden gesteld. De einddatum van de levensduur moet duidelijk aan de gebruikers van het product worden gecommuniceerd.
- Conformiteitsbeoordelingen: fabrikanten moeten voordat ze de producten in de EU aanbieden eerst een conformiteitsbeoordeling uitvoeren en de CE-markering op het product aanbrengen. Al naargelang het risiconiveau van het product (belangrijk of kritiek) kunnen zij verschillende methodes toepassen om de conformiteit te controleren, van een interne controle voor laagrisicoproducten tot een volledige conformiteitsbeoordeling voor hoogrisicoproducten.
- Rapportage: fabrikanten moeten het computer security incident response team (CSIRT) en het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) van elke actief uitgebuite kwetsbaarheid in het product en elk ernstig incident dat gevolgen heeft voor de veiligheid van het product in kennis stellen. Vroegtijdige meldingen moeten binnen 24 uur worden gedaan nadat de fabrikant van de kwetsbaarheid of het incident kennis heeft genomen. Fabrikanten moeten ook de betrokken gebruikers van het product zo snel mogelijk van de kwetsbaarheid of het incident dat gevolgen heeft voor de veiligheid van het product op de hoogte stellen en maatregelen voorstellen die de gebruiker kan nemen om de gevolgen indien mogelijk te beperken.
Verplichtingen van importeurs en distributeurs
In de CRA worden ook verplichtingen opgelegd aan importeurs en distributeurs van producten met digitale elementen. Zo moeten importeurs erop toezien dat fabrikanten hun verplichtingen zijn nagekomen, waaronder dat aan alle essentiële eisen is voldaan en dat de betreffende conformiteitsbeoordeling is uitgevoerd. Distributeurs zijn verplicht ervoor te zorgen dat het product is voorzien van een CE-markering en dat de fabrikant aan bepaalde verplichtingen heeft voldaan, waaronder dat het product is voorzien van een type, partij of serienummer of een ander element aan de hand waarvan het product kan worden geïdentificeerd, dat de naam en contactgegevens van de fabrikant in de documentatie bij het product zijn opgenomen, en dat het einde van de ondersteuningsperiode duidelijk wordt gecommuniceerd. Daarnaast moeten zowel importeurs als distributeurs fabrikanten zo snel mogelijk van elke kwetsbaarheid in het product in kennis stellen.
Wanneer een importeur of distributeur onder zijn eigen naam of merknaam een product met digitale elementen in de handel brengt of een ingrijpende wijziging aan het product uitvoert, wordt hij voor de toepassing van de CRA als de fabrikant beschouwd.
Toezicht en sancties
Met de verordening wordt ook een stelsel voor markttoezicht en handhaving opgezet, waarbij lidstaten autoriteiten aanwijzen om op naleving toe te zien en te controleren en om bij niet-naleving corrigerende of beperkende maatregelen te treffen.
De geldboetes voor niet-naleving van de essentiële cyberbeveiligingsvereisten en andere verplichtingen die voor fabrikanten gelden, kunnen oplopen tot EUR 15 miljoen of 2,5% van de totale wereldwijde jaarlijkse omzet in het voorafgaande boekjaar. Wanneer importeurs en distributeurs niet aan de voor hen geldende CRA-vereisten voldoen, riskeren ze een geldboete van maximaal EUR 10 miljoen of 2% van hun totale wereldwijde jaarlijkse omzet.
Bovendien is de Commissie op grond van de CRA bevoegd om gedelegeerde handelingen en uitvoeringshandelingen vast te stellen om bepaalde aspecten van de wetgeving te actualiseren en te specificeren, zoals de lijst van kritieke producten en de inhoud van de conformiteitsverklaring.
Aanpassing en inwerkingtreding
Nadat de Raad heeft ingestemd met de CRA treedt de CRA op de 20ste dag na publicatie in het Publicatieblad in werking. Na inwerkingtreding hebben fabrikanten, importeurs en distributeurs van producten met digitale elementen 36 maanden de tijd om zich aan de nieuwe vereisten aan te passen. De verplichting voor fabrikanten om incidenten en kwetsbaarheden te melden wordt echter 21 maanden na inwerkingtreding van kracht.