Nieuws

Publicatie: 28 oktober 2024

Door:

Op 10 oktober 2024 heeft de Raad van de Europese Unie het wetsvoorstel voor de Cyberweerbaarheid Verordening (CRA) goedgekeurd. Dat betekent dat de CRA hoogstwaarschijnlijk komend jaar in werking treedt. De exacte datum van inwerkingtreding zal bekend worden wanneer de Verordening in het Publicatieblad van de Europese Unie verschijnt. De CRA introduceert een breed kader van minimale cyberbeveiligingsstandaarden voor producten met digitale elementen om de Europese Unie (EU) weerbaarder te maken tegen toenemende cyberdreigingen en cyberaanvallen.

In ‘t kort

  • Cybercriminaliteit vormt een serieus gevaar voor de Europese economie en democratie en de veiligheid en gezondheid van burgers.
  • De CRA introduceert strenge regels voor producten met digitale elementen: hoe hoger het risico op cyberincidenten en hoe ernstiger de mogelijke schade, des te strenger de vereisten.
  • De CRA moet producten met digitale elementen cyberveiliger maken om gebruikers, waaronder decentrale overheden, beter te beschermen tegen cyberaanvallen.

Het belang van cyberweerbaarheid

Het gebruik van producten met digitale elementen is niet meer weg te denken uit het dagelijks leven en neemt in hoog tempo toe. Artikel 3 van de CRA definieert ‘producten met digitale elementen’ als software- en hardware producten en de daarbij behorende oplossingen voor gegevensverwerking op afstand bedoeld. De Verordening geldt dus niet alleen voor fysieke producten, zoals mobiele telefoons of laptops, maar ook voor de programma’s die gebruikt worden op die producten. Hierbij kan gedacht worden aan software die organisaties gebruiken voor vergaderingen, communicatie en documentatie, zoals Microsoft Teams of Zoom.

De Europese economie en democratie zijn onlosmakelijk verbonden met en in toenemende mate afhankelijk geworden van de digitale samenleving. Tegelijkertijd neemt het aantal cyberaanvallen toe, die door die afhankelijkheid zowel de economie en democratie als de veiligheid en gezondheid van consumenten bedreigen. In het kader van deze ontwikkelingen introduceert de CRA daarom strenge minimale standaarden voor het overgrote deel van de producten met digitale elementen.

De Europese economie en democratie zijn onlosmakelijk verbonden met en in toenemende mate afhankelijk geworden van de digitale samenleving.

Het gevaar van cybercriminaliteit

Bij succesvolle cyberaanvallen kunnen cybercriminelen toegang krijgen tot informatie die gebruikt wordt in producten met digitale elementen met mogelijk ernstige (im)materiële schade en ontwrichting van de maatschappij als gevolg. Zo kunnen cybercriminelen persoonsgegevens, geheime gegevens, wachtwoorden of beveiligingssloten stelen door kwetsbare producten te hacken die bijvoorbeeld de politie, ministeries, gemeenten en provincies gebruiken. Deze informatie kunnen cybercriminelen vervolgens gebruiken voor het verstoren van belangrijke digitale infrastructuur, zoals de communicatie tussen hulpdiensten, of het oplichten van burgers door zich voor te doen als overheidsinstantie. In andere gevallen kunnen cybercriminelen zelfs producten met digitale elementen zoals beveiligingscamera’s volledig onder controle krijgen en op afstand besturen.

Kwetsbaarheid voor cyberaanvallen

In 2020 rapporteerde het Gemeenschappelijk Centrum voor Onderzoek van de Europese Commissie (JRC) dat alleen al in 2021 de wereldwijde kosten van cybercriminaliteit meer dan 5,5 biljoen euro bedragen. Dat is een verdubbeling ten opzichte van 2015. Bovendien meldde het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) in 2022 dat de kwetsbaarheid van producten met digitale elementen op de Europese markt de grootste oorzaak is van cyberbeveiligingsincidenten.

Doel en reikwijdte

Het doel van de CRA is om een breed Europees kader van minimale cyberbeveiligingsvereisten op te zetten voor producten met digitale elementen die in verbinding staan met een netwerk of één of meerdere andere apparaten, ook wel bekend als het internet der dingen (‘Internet of Things’). De Verordening is niet van toepassing op producten met digitale elementen voor medische hulpmiddelen, voertuigen, de luchtvaart of zeeschepen. Verder geldt de Verordening niet voor reserveonderdelen en producten met digitale elementen die uitsluitend bedoeld zijn voor de nationale veiligheid of defensie.

Tot slot is de CRA alleen van toepassing op marktdeelnemers die producten met digitale elementen aanbieden op de markt en daardoor dus een handelsactiviteit met winstoogmerk uitoefenen. Het aanbieden van opensourcesoftware zonder winstoogmerk geldt niet als handsactiviteit en valt daarom niet binnen het toepassingsbereik van de CRA.

Verplichtingen

De CRA introduceert strenge verplichtingen voor fabrikanten van producten met digitale elementen, omdat zij verantwoordelijkheid zijn voor het garanderen van de cyberveiligheid van hun producten. Deze verplichtingen worden opgesomd in artikel 13 van de CRA. De CRA hanteert een gelaagde benadering op het stellen van cyberbeveiligingsvereisten: hoe hoger het risico op cyberincidenten en hoe ernstiger de mogelijke schade, des te strenger de vereisten.

Hoe hoger het risico op cyberincidenten en hoe ernstiger de mogelijke schade, des te strenger de vereisten.

Verplichtingen

Algemene vereisten voor producten met digitale elementen

Een product met een digitale elementen mag alleen op de markt gebracht worden als het voldoet aan de twee voorwaarden gedefinieerd in artikel 6 van de CRA:

  1. Het product moet voldoen aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I. Zo moeten fabrikanten er onder meer voor zorgen dat zij hun producten zonder bekende kwetsbaarheden en met beveiligde configuratie aanbieden.  Daarnaast moeten fabrikanten hun producten op passende wijze installeren, onderhouden en zo nodig updaten.
  2. Fabrikanten moeten ervoor zorgen dat de door hen ingevoerde processen voldoen aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I. Fabrikanten moeten kwetsbaarheden in hun producten vaststellen en documenteren. Ook moeten zij deze kwetsbaarheden aanpakken, bijvoorbeeld met behulp van beveiligingsupdates.

Aanvullende vereisten voor belangrijke producten met digitale elementen

Verder gelden er speciale conformiteitsbeoordelingsprocedures voor belangrijke producten met digitale elementen onder bijlage III, zoals software en hardware voor identiteitsbeheersystemen of software die kwaadaardige software opzoekt. Deze producten worden onder artikel 7 van de CRA als belangrijk beschouwd als:

  • ze van kritiek belang zijn en een kernfunctie vervullen voor de cyberbeveiliging van andere producten, netwerken of diensten; EN
  • een aanzienlijk risico vormen op het veroorzaken van nadelige effecten voor de gezondheid, beveiliging of veiligheid van gebruikers door directe manipulatie

Aanvullende vereisten voor kritieke producten met digitale elementen

Naast bovenstaande eisen hebben fabrikanten een Europees cyberbeveiligingscertificaat nodig voor kritieke producten met digitale elementen onder bijlage IV, zoals smartcards. Met dit Europese cyberbeveiligingscertificaat kunnen fabrikanten aantonen dat hun kritieke producten in overeenstemming zijn met de essentiële cyberbeveiligingsvereisten van bijlage I. Producten met digitale elementen zijn kritiek als zij aan beide voorwaarden onder artikel 6 en aan een van onderstaande criteria onder artikel 8 voldoen:

  • Essentiële entiteiten onder de NIS2-Richtlijn zijn erg afhankelijk van het product; OF
  • Incidenten en kwetsbaarheden met betrekking tot het product zouden kunnen leiden tot ernstige verstoring van kritieke toeleveringsketens in de hele interne markt.

De Commissie kan, na deskundigen te hebben geraadpleegd, bepaalde categorieën van producten toevoegen aan of schrappen van deze lijst.

Decentrale relevantie

Decentrale overheden maken voor hun onlinedienstverlening dagelijks gebruik van belangrijke producten met digitale componenten in bijlage III, zoals software en hardware voor identiteitsbeheersystemen, virtueel particuliere netwerken (VPN), publieke sleutel infrastructuur (PKI) en software voor de afgifte van digitale certificaten, firewalls of inbraakdetectiesystemen. Ambtenaren gebruiken zelf ook producten met digitale componenten, zoals laptops, mobiele telefoons en slimme horloges, om hun werk uit te voeren en met elkaar te communiceren. De CRA zal er dus ook voor zorgen dat decentrale overheden en hun werknemers veiliger gebruik kunnen maken van producten met digitale elementen, zodat zij minder kwetsbaar zijn voor cyberaanvallen.

Vervolgstappen

De Raad heeft samen met het Europees Parlement het wetsvoorstel van de Europese Commissie goedgekeurd volgens de gewone wetgevingsprocedure.

De CRA treedt op 10 december 2024 in werking en is vanaf 11 december 2027 van toepassing, met uitzondering van de regels onder artikel 14 en hoofdstuk IV. Artikel 14 met betrekking tot het vrijwillig rapporteren van digitale kwetsbaarheden of cyberdreigingen aan een CSIRT of de ENISA wordt op 11 september 2026 van toepassing. Hoofdstuk IV over conformiteitsbeoordelingen en de meldingsprocedure wordt op 11 juni 2026 van toepassing.

Meer informatie

Kenniscentrum Europa Decentraal, Cyberveiligheid
Kenniscentrum Europa Decentraal, Digitale tijdlijn Cyberweerbaarheid Verordening CRA
Kenniscentrum Europa Decentraal, Digitale tijdlijn NIS2-Richtlijn

Bronnen

Gemeenschappelijk Centrum voor Onderzoek van de Europese Commissie, Cybersecurity, our digital anchor
Agentschap van de Europese Unie voor cyberbeveiliging, ENISA Threat Landscape 2022