Newsroom
abonneren op nieuwsbrief

Hoe de EU Cyber Resilience Act (CRA) de beveiligingsregels verandert

9 minuten leestijd
tags:
geschreven door:
Andre Bastert
Andre Bastert
Video surveillance camera with a cybersecurity overlay

De EU heeft nieuwe regels aangenomen die het beveiligingsniveau van alle verbonden apparaten moeten verhogen, met gevolgen voor fabrikanten, importeurs en distributeurs.

De Cyber Resilience Act (CRA) is een nieuwe verordening van de Europese Unie die gericht is op het verbeteren van de cyberbeveiliging van alle producten met digitale netwerkelementen die in de EU worden verkocht.

De CRA introduceert voor het eerst EU-brede cyberbeveiligingseisen voor verbonden apparaten en software. De verordening harmoniseert bestaande regelgeving en vormt een aanvulling op andere wetgeving, zoals NIS2, die is ontworpen om de cyberbeveiliging van kritieke sectoren binnen de EU te versterken.

Het belangrijkste doel is consumenten en bedrijven te beschermen tegen producten met onvoldoende cyberbeveiliging. Bij de aanschaf van verbonden apparaten is er daardoor meer zekerheid dat deze voldoen aan een norm die helpt beschermen tegen dreigingen.

EU Cyber Resilience Act

De belangrijkste, maar niet enige, doelstelling van de CRA is ervoor te zorgen dat alle producten met digitale elementen voldoen aan de principes van Secure by Design.

Dit geldt vanaf het moment van aankoop en gedurende de volledige levenscyclus van het product. Europese toezichthouders willen gebruikers beschermen door ervoor te zorgen dat elk verbonden apparaat dat wordt verkocht, hen niet blootstelt aan een verhoogd cyberbeveiligingsrisico.

Een tweede doelstelling is het vergroten van de transparantie rond de beveiliging van verbonden apparaten. Fabrikanten moeten specifieke informatie verstrekken, zoals:

  • Hoe lang zij beveiligingsupdates zullen leveren
  • Hoe het product veilig moet worden geïnstalleerd en onderhouden
  • Hoe zij beveiligingskwetsbaarheden identificeren, afhandelen en melden, zowel aan gebruikers als aan de bevoegde autoriteiten.

De Cyber Resilience Act heeft een brede reikwijdte. Hoewel iedereen die een verbonden apparaat produceert of verkoopt uiteraard onder de verordening valt, zijn er veel meer schakels in de supply chain die hiermee rekening moeten houden.

Definitie van ‘producten met digitale elementen’

De Cyber Resilience Act definieert een product met digitale elementen als een “software- of hardwareproduct en de bijbehorende oplossingen voor gegevensverwerking op afstand, inclusief software- of hardwarecomponenten die afzonderlijk op de markt worden gebracht”.

Ook voor gegevensverwerking op afstand (remote data processing) geldt een definitie. Deze omvat situaties waarbij “de afwezigheid ervan zou verhinderen dat het product met digitale elementen een van zijn functies kan uitvoeren”.

Een netwerkcamera valt bijvoorbeeld onder de reikwijdte van de Cyber Resilience Act. De uiteindelijke hardware en/of software moet aan deze normen voldoen. Hetzelfde geldt voor besturingssystemen, softwarebibliotheken van derden en alle andere componenten die deel uitmaken van het apparaat en het gebruik ervan mogelijk maken.

De rollen van fabrikanten, importeurs en distributeurs

De brede reikwijdte van de Cyber Resilience Act brengt een grote mate van gedeelde verantwoordelijkheid met zich mee. Fabrikanten moeten ervoor zorgen dat alle relevante onderdelen van hun product voldoen aan de cyberbeveiligingseisen, net zoals bij andere regelgeving.

Op hun beurt moeten importeurs en distributeurs erop kunnen vertrouwen dat fabrikanten aan deze eisen voldoen. Het ecosysteem is afhankelijk van coördinatie en samenwerking binnen de gehele toeleveringsketen om aan de vereisten van de CRA te voldoen.

A women holding a visualization of the cyber resilience act

Belangrijke uitzonderingen binnen de Cyber Resilience Act

Er zijn enkele uitzonderingen op de Cyber Resilience Act, waaronder niet-commerciële open-source software en medische hulpmiddelen. Voor deze categorieën geldt echter andere cyberbeveiligingswetgeving.

Daarnaast zijn fabrikanten verplicht de nodige zorgvuldigheid (due diligence) in acht te nemen wanneer zij gratis open-source software integreren in hun producten.

De videobewakingsindustrie heeft de verantwoordelijkheid om producten te leveren die voldoen aan de cyberbeveiligingseisen. De sector levert niet alleen verbonden hardware die een risico vormt wanneer deze niet goed is beveiligd, maar verwerkt ook gegevens die beschermd moeten blijven.

Voer een cyberbeveiligingsrisicobeoordeling uit

Voor elk product is een cyberbeveiligingsrisicobeoordeling vereist. De uitkomsten van deze beoordeling moeten gedurende de volledige levenscyclus van het product worden meegenomen, van planning en ontwerp tot onderhoud.

De risicobeoordeling moet worden gedocumenteerd en regelmatig worden bijgewerkt. Daarbij moet worden verwezen naar de vereisten van de Cyber Resilience Act waar deze van toepassing zijn. Fabrikanten worden geacht alle relevante cyberbeveiligingsaspecten van hun producten te documenteren en eventuele kwetsbaarheden die zij ontdekken of waarvan zij op de hoogte zijn vast te leggen.

Zorg voor een veilig productontwerp en veilige productontwikkeling

Verbonden apparaten moeten vanaf het begin worden ontworpen en ontwikkeld met cyberbeveiliging als integraal onderdeel. Dit vormt de basis voor security by design en security by default.

De EU wil dat producten die op de Europese markt worden verkocht direct veilig zijn te gebruiken, zonder dat hiervoor complexe configuraties of instellingen nodig zijn. Daarnaast moeten producten veilig blijven wanneer zij worden gebruikt zoals bedoeld.

A network speaker with a cybersecurity overlay visualizing the cyber resilience act

Echte Secure by Design-principes zijn fundamenteel afhankelijk van een hardware root of trust (HRoT) en het onderliggende besturingssysteem. Dit besturingssysteem is de software die op het apparaat draait.

Hardwaregebaseerde beveiliging, zoals secure boot op de system-on-chip (SoC) en het gebruik van een beveiligd element (secure element) voor veilige key storage, vormt de basis van deze bescherming. Het besturingssysteem bouwt voort op deze fundamenten om gebruikers van beveiligingsfuncties te voorzien.

Deze fundamentele hardwarebeveiliging wordt vaak geleverd door een vertrouwd ecosysteem van componentleveranciers en halfgeleiderpartners.

Meld actief misbruikte kwetsbaarheden en incidenten

Er gelden strikte termijnen voor het melden van kwetsbaarheden en beveiligingsincidenten. Binnen 24 uur nadat een organisatie op de hoogte is van een kwetsbaarheid of incident moet een eerste waarschuwing worden ingediend, gevolgd door een volledige melding binnen 72 uur.

Een eindrapport moet worden ingediend binnen 14 dagen nadat een corrigerende maatregel is genomen voor actief misbruikte kwetsbaarheden en binnen één maand voor ernstige incidenten. Het meldplatform zal beschikbaar zijn vanaf 11 september 2026, wanneer de meldingsverplichtingen van kracht worden.

Lever beveiligingsupdates gedurende de volledige levenscyclus van het product

Beveiligingsupdates moeten beschikbaar zijn gedurende de levensduur van het product en standaard onderdeel uitmaken van het productgedrag. Net zoals het besturingssysteem van een laptop of smartphone relatief eenvoudig wordt bijgewerkt, moeten ook de digitale componenten van verbonden apparaten eenvoudig kunnen worden geüpdatet. De verordening schrijft een minimale ondersteuningsperiode van ten minste vijf jaar voor beveiligingsupdates voor (met enkele uitzonderingen).

Daarbij wordt rekening gehouden met de gemiddelde levensduur van het product, verwachtingen van gebruikers, componenten van derden en wettelijke vereisten buiten de Cyber Resilience Act.

Zorg voor duidelijke technische documentatie en gebruikersinstructies

De meeste fabrikanten leveren al een vorm van technische documentatie. Onder de CRA is dit echter een wettelijke verplichting en vormt het onderdeel van het bewijs dat aan de regelgeving is voldaan. Deze technische documentatie moet onder meer informatie bevatten over de cyberbeveiligingsrisicobeoordeling, de ondersteuningsperiode, testrapporten die conformiteit aantonen en andere relevante gegevens.

Computer screen with a cybersecurity overlay visualizing the need for technical documentation

De gebruikersinstructies moeten onder meer contactgegevens van de fabrikant bevatten, informatie over de aangeboden cyberbeveiligingsondersteuning en uitleg over hoe beveiligingsupdates kunnen worden geïnstalleerd. Deze documenten moeten als ‘levende documenten’ worden beschouwd en waar nodig worden bijgewerkt.

Axis Communications is goed voorbereid op de essentiële vereisten van de CRA en streeft ernaar deze zelfs te overtreffen. Daarbij is nauwe samenwerking met partners, zoals NXP Semiconductors, dat FIPS- en Common Criteria-gecertificeerde EdgeLock®-secure elements levert, van groot belang. Zo weten distributeurs en eindgebruikers zeker dat producten aan de regelgeving voldoen.

  • Het Axis Security Development Model (SDM) integreert beveiliging gedurende de volledige softwarelevenscyclus, van initiële dreigingsmodellering en penetratietests vóór de release tot doorlopend kwetsbaarheidsbeheer en een bug bounty-programma na de introductie van het product. Dit zorgt voor een proactieve en continue benadering van softwarebeveiliging.
  • De samenwerking met NXP ondersteunt de integratie van hardwaregebaseerde beveiligingsfuncties. Hieronder valt het gebruik van vertrouwde en gecertificeerde EdgeLock secure elements. Deze helpen een hardware root of trust binnen Axis-apparaten te realiseren en maken het mogelijk om beveiliging al vanaf de eerste ontwerpfase mee te nemen.
  • Axis is een CNA (CVE Numbering Authority) en heeft daarmee de bevoegdheid om CVE-identificatienummers toe te kennen aan kwetsbaarheden. Dit gebeurt via de CVE-website, de eigen website van Axis en e-mailmeldingen aan abonnees, zodat gebruikers zo snel mogelijk op de hoogte worden gebracht van risico’s.
  • De apparaatbeheersoftware van Axis biedt meldingen over beveiligingsupdates en maakt het mogelijk om AXIS OS automatisch of handmatig bij te werken, indien nodig op honderden apparaten tegelijk. Ook zijn einddatums voor softwareondersteuning eenvoudig beschikbaar.
  • Voor de meeste producten die op AXIS OS draaien, netwerkvideorecorders en het merendeel van de video- en apparaatbeheersoftware van Axis zijn Software Bills of Materials (SBOM’s) beschikbaar.

De Cyber Resilience Act wordt vanaf 11 december 2027 volledig gehandhaafd. Vanaf dat moment moeten alle hardware- en softwareproducten die op de EU-markt worden aangeboden volledig voldoen aan de regelgeving en voorzien zijn van een CE-markering.

Een tijdige voorbereiding is daarom essentieel, zeker voor producten die momenteel al in ontwikkeling zijn.

Er zijn echter enkele belangrijke data om rekening mee te houden. Op 11 juni 2026 treedt het kader voor de aanmelding van conformiteitsbeoordelingsinstanties in werking. Dit is met name van belang voor producten die als ‘belangrijk’ (important) of ‘kritiek’ (critical) worden aangemerkt en waarvoor een beoordeling door een onafhankelijke derde partij vereist is.

Van bredere relevantie is 11 september 2026. Vanaf die datum gelden de meldingsverplichtingen en moeten fabrikanten actief misbruikte kwetsbaarheden rapporteren.

De CRA is van toepassing op alle producten die op de markt worden gebracht nadat de verordening van kracht wordt, ook wanneer deze producten al vóór de inwerkingtreding zijn ontworpen en ontwikkeld.

De sancties voor het niet naleven van de CRA zijn aanzienlijk en bedoeld om organisaties van elke omvang aan te moedigen aan de regelgeving te voldoen.

De zwaarste sanctie bedraagt maximaal € 15 miljoen of 2,5% van de totale wereldwijde jaaromzet van het voorgaande boekjaar, afhankelijk van welk bedrag hoger is.

Network camera with a cybersecurity overlay visualizing compliance towards the cra

Deze maximale boete is voorbehouden aan overtredingen van de essentiële cyberbeveiligingsvereisten. Voor andere overtredingen, zoals tekortkomingen in het beheer van kwetsbaarheden of het verstrekken van onvolledige of onjuiste informatie naar aanleiding van een verzoek, gelden lagere maar nog steeds aanzienlijke boetes.

Zelfs voor fabrikanten die zich sterk inspannen om hun producten veilig te maken en te houden, introduceert de CRA strikte eisen voor de manier waarop zij dit documenteren en aantonen aan toezichthouders, klanten en distributeurs.

De nieuwe regels benadrukken het belang van security by design: beveiliging moet zijn ingebouwd in elke beslissing die tijdens de ontwikkeling van een product wordt genomen. Dat betekent dat langdurige cyberweerbaarheid afhankelijk is van ontwerpkeuzes die jaren vóór de inzet van een product worden gemaakt. Beveiliging kan geen toevoeging achteraf zijn of later worden opgelost met patches.

Daarnaast spelen toegankelijkheid en vertrouwen een belangrijke rol. Omdat naleving van de regelgeving afhankelijk is van verschillende partijen binnen de toeleveringsketen, is het essentieel dat organisaties aan de eisen voldoen om elkaar te beschermen. Ook zullen klanten eerder vertrouwen hebben in leveranciers en fabrikanten met een aantoonbaar goede staat van dienst op het gebied van cyberbeveiliging.

Dit onderstreept het belang van nauwe samenwerking binnen de volledige waardeketen, van componentleveranciers tot apparaatfabrikanten, om langdurige cyberweerbaarheid te ondersteunen.

Andre Bastert

Andre Bastert is Global Product Manager bij Axis Communications. Hij is verantwoordelijk voor het AXIS OS-softwareplatform voor AXIS-netwerkapparaten. Andre richt zich op alles wat te maken heeft met cybersecurity, de IT-infrastructuur/beveiligingsintegratie en het het management van de softwarelevenscyclus van onze producten. Andre begon zijn carrière bij Axis in 2014 bij de technische dienst. Voordat hij zijn huidige functie opnam, werkte hij als productspecialist voor PTZ-camera's en AXIS OS. Als Andre niet aan het werk is, brengt hij tijd door met zijn gezin en renoveert hij de graag in een echte doe-het-zelf-stijl.

Lees meer berichten van Andre
Andre Bastert