Cyber Resilience Act

Vanaf 11 december 2027 mogen alleen producten die voldoen aan de eisen van de Cyber Resilience Act (CRA) in de Europese Unie op de markt worden gebracht. De CRA bevat eisen aan de cyberveiligheid van producten met digitale elementen.

Welke nieuwe vereisten brengt de Cyber Resilience Act met zich mee? Welke producten vallen onder de CRA? Wat bedrijven moeten doen: We hebben de belangrijkste feiten voor u samengevat.

Wat is de Cyber Resilience Act?

De Cyber Resilience Act (CRA) is een EU-verordening, die eisen definieert voor producten met digitale elementen met betrekking tot Industrial Security. Er moet een fundamentele beoordeling en aanpassing worden uitgevoerd voor de betrokken producten. Dit is absoluut noodzakelijk, omdat er vanaf december 2027 alleen nog producten op de markt mogen worden gebracht die voldoen aan de CRA!

Wanneer wordt de Cyber Resilience Act van kracht?

De CRA is op 20 november 2024 gepubliceerd in het Publicatieblad van de EU. De verordening trad in werking op 10 december 2024 en is bindend in de EU vanaf 11 december 2027. De verplichting voor fabrikanten om misbruikte kwetsbaarheden te melden, geldt volgens de CRA echter al vanaf 11 september 2026.

Wat zijn precies de eisen uit de CRA?

Het doel van de CRA is om consumenten en bedrijven beter tegen cyberaanvallen te beschermen. De CRA bevat daarvoor veel eisen voor fabrikanten, importeurs en dealers van producten met digitale elementen die in staat zijn om met andere producten te communiceren. Dit omvat hard- en softwareproducten. De eisen gelden voor de volledige levenscyclus van het product, d.w.z. het ontwerp, de ontwikkeling, de productie, de levering en het onderhoud van het product, evenals de volledige bedrijfsduur bij de klant.

Is de Cyber Resilience Act een verordening of een richtlijn?

De Cyber Resilience Act is een EU-verordening en is daarom van toepassing in alle lidstaten van de Europese Unie zonder te worden omgezet in nationale wetgeving.

Welke producten vallen onder de CRA?

De CRA heeft betrekking op componenten, met name producten met digitale elementen, waarvoor een conformiteitsbeoordeling zal moeten worden uitgevoerd.

De Cyber Resilience Act (CRA) is van toepassing op alle producten die digitale componenten bevatten – zoals software of AI-systemen met een hoog risico – en verbonden zijn met netwerken of andere apparaten. De CRA heeft daarom een groot toepassingsgebied en geldt onder meer voor de volgende productgroepen:

• Industriële hardware en software zoals IoT-apparaten, programmeerbare besturingen (PLC's) en sensoren
• Softwareoplossingen zoals desktop-, web- en mobiele toepassingen en besturingssystemen
• Slimme apparaten voor particulier gebruik, zowel hardware als software

Deze producten worden al naargelang hun risicopotentieel in verschillende categorieën ingedeeld. Vooral systemen die worden gebruikt in kritieke infrastructuren, industriële productie of in de energie- en industriesector vallen in hogere risicoklassen. Voor deze producten gelden andere eisen ten aanzien van de conformiteitsbeoordelingsprocedure, omdat ze een aanzienlijke impact kunnen hebben op de openbare veiligheid en de economische stabiliteit.

Wat moet er worden gedaan? Wat zijn de eisen voor bedrijven?

Een fabrikant van producten met digitale elementen moet voldoen aan de Security-eisen van de CRA. Hiervoor moet hij een risicoanalyse opstellen en maatregelen definiëren en implementeren om eventuele risico's te verminderen. Ook moet documentatie over de risicobeoordeling (en over de maatregelen die zijn geïmplementeerd om Security-risico's te verminderen) worden opgesteld en bijgehouden, die ten minste 10 jaar moet worden bewaard. Eveneens verplicht zijn een doorlopende controle op potentiële Security-problemen, gratis levering van Security-updates gedurende de typische gebruiksduur van een product (minimaal 5 jaar) en de melding van gedetecteerde Security-kwetsbaarheden binnen 24 uur aan ENISA en eventuele nationale instanties.

Zelfs producten die al voldoen aan de CRA en niet worden gewijzigd, moeten nog steeds worden getest en beoordeeld volgens duidelijke regels. De resultaten van de controle worden gedocumenteerd en moeten tien jaar worden bewaard. Daarnaast moet er een stuklijst van de software worden aangemaakt en moet er bewijs worden geleverd dat veilig is ontwikkeld en getest volgens Industrial Security.

Wat betekent de EU-conformiteitsverklaring in verband met de CRA?

De EU-conformiteitsverklaring wordt nog steeds afgegeven door de fabrikant. Deze verklaart hiermee dat aan de essentiële eisen op het gebied van cyberbeveiliging is voldaan. Voor fabrikanten betekent dit: De naleving van de eisen met betrekking tot risicobeoordeling, kwetsbaarheidsbeheer en documentatie wordt gecontroleerd door een conformiteitsbeoordeling. Als aan alle eisen is voldaan, wordt een conformiteitsverklaring afgegeven. 

Bestaat er nog steeds één EU-conformiteitsverklaring voor alle EU-wetgeving?

Als een product met digitale elementen onderworpen is aan verschillende onderdelen van de EU-wetgeving, die elk een EU-conformiteitsverklaring vereisen, wordt één EU-conformiteitsverklaring afgegeven voor alle onderdelen van de EU-wetgeving. In deze verklaring worden de relevante wetten van de Unie en de vindplaatsen daarvan in het Publicatieblad gespecificeerd.

Hoelang moet de EU-conformiteitsverklaring beschikbaar zijn?

De fabrikant stelt voor elk productmodel een schriftelijke conformiteitsverklaring op en houdt deze verklaring voor een periode van tien jaar na het in de handel brengen van het product met digitale elementen of, als dat langer is, gedurende de ondersteuningsperiode ter beschikking van de nationale autoriteiten. In de conformiteitsverklaring moet het productmodel worden vermeld waarvoor de verklaring is afgegeven. Een kopie van de conformiteitsverklaring wordt op verzoek aan de relevante autoriteiten verstrekt.

Wat is het verschil tussen de Cyber Resilience Act en NIS2?

• De CRA bevat basiseisen inzake cyberbeveiliging voor het ontwerp, de ontwikkeling en de productie van producten met digitale elementen en de verplichtingen van marktdeelnemers met betrekking tot deze producten op het gebied van cyberveiligheid.
• De NIS2-richtlijn is gericht op bedrijven en vereist dat zij organisatorische en technische maatregelen implementeren om Industrial Security-risico's in het bedrijf te verminderen.
• Versterking van de cyberveiligheid in de EU: De twee voorschriften – de CRA en de NIS2-richtlijn – vullen elkaar aan door verschillende niveaus van cyberveiligheid aan te pakken: De CRA richt zich op productveiligheid, terwijl NIS2 gericht is op de veiligheid van infrastructuren en essentiële diensten. Samen leveren ze een belangrijke bijdrage aan de verbetering van de cyberveiligheid over de hele linie binnen de Europese Unie.

Pilz organiseert zijn ontwikkelingsproces al enkele jaren in overeenstemming met de norm IEC 62443-4-1. Als "basisnorm voor Industrial Security" definieert deze norm een veilige ontwikkeling van producten, het "Security Development Lifecycle-proces". TÜV Süd heeft in een audit de conformiteit van onze ontwikkelingsprocessen bevestigd. Pilz ontwikkelt niet alleen safe, maar ook secure!

Dit is belangrijk voor onze klanten, omdat met Verordening (EU) 2024/2847 – de Cyber Resilience Act (CRA) – naast de nieuwe Machineverordening (Verordening (EU) 2023/1230) in 2027 nog een verordening met betrekking tot Security verplicht moet worden toegepast.

Concreet betekent dit: Bestaande producten worden waar nodig omgebouwd, nieuwe producten worden ontwikkeld in overeenstemming met de CRA-conformiteit, en conformiteit (CE-markering) wordt aangepast in overeenstemming met de geldende voorschriften. Producten die niet meer aan de voorschriften voldoen, worden uit productie genomen of blijven beschikbaar als reserveonderdelen. In het laatste geval mogen ze echter niet meer worden gebruikt in nieuwe installaties.