De Verordening betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen (2024/2847), oftewel de Cyberweerbaarheid Verordening (CRA), versterkt de cyberbeveiligingsregels voor hardware- en softwareproducten. Deze producten zijn steeds vaker het doelwit van cyberaanvallen.
Op 10 oktober 2024 heeft de Raad van de Europese Unie het wetsvoorstel voor de Cyberweerbaarheid Verordening goedgekeurd. Dat betekent dat de CRA hoogstwaarschijnlijk komend jaar in werking treedt. De exacte datum van inwerkingtreding zal bekend worden wanneer de Verordening in het Publicatieblad van de Europese Unie verschijnt. De CRA introduceert een breed kader van minimale cyberbeveiligingsstandaarden voor producten met digitale elementen om de Europese Unie (EU) cyberweerbaarder te maken en consumenten te beschermen tegen toenemende cyberdreigingen en cyberaanvallen.
De CRA is ook van belang voor decentrale overheden, omdat zij dergelijke producten inkopen en dagelijks gebruiken voor het uitvoeren van hun taken. De CRA zal ervoor zorgen dat decentrale overheden en hun werknemers veiliger gebruik kunnen maken van producten met digitale elementen, zodat zij minder kwetsbaar zijn voor cyberaanvallen.
Doel en reikwijdte
Het doel van de CRA is om een breed Europees kader van minimale cyberbeveiligingsvereisten op te zetten voor producten met digitale elementen die in verbinding staan met een netwerk of één of meerdere andere apparaten, ook wel bekend als het internet der dingen (‘Internet of Things’). De Verordening is niet van toepassing op producten met digitale elementen voor medische hulpmiddelen, voertuigen, de luchtvaart of zeeschepen. Verder geldt de Verordening niet voor reserveonderdelen en producten met digitale elementen die uitsluitend bedoeld zijn voor de nationale veiligheid of defensie.
Tot slot is de CRA alleen van toepassing op marktdeelnemers die producten met digitale elementen aanbieden op de markt en daardoor dus een handelsactiviteit met winstoogmerk uitoefenen. Het aanbieden van opensourcesoftware zonder winstoogmerk geldt niet als handsactiviteit en valt daarom niet binnen het toepassingsbereik van de CRA.
Verplichtingen
De CRA introduceert strenge verplichtingen voor fabrikanten van producten met digitale elementen, omdat zij verantwoordelijkheid zijn voor het garanderen van de cyberveiligheid van hun producten. Fabrikanten moeten tijdens de hele levenscyclus van hun producten zorg dragen voor de cyberveiligheid van deze producten. Deze verplichtingen worden uitgebreid opgesomd in artikel 13 van de CRA. De CRA hanteert een gelaagde benadering op het stellen van cyberbeveiligingsvereisten: hoe hoger het risico op cyberincidenten en hoe ernstiger de mogelijke schade, des te strenger de vereisten.
Vereisten
Algemene vereisten voor producten met digitale elementen
Een product met een digitale elementen mag alleen op de markt op de markt aangeboden worden als het voldoet aan de twee voorwaarden gedefinieerd in artikel 6 van de CRA:
- Het product moet voldoen aan de essentiële cyberbeveiligingsvereisten van deel I van bijlage I. Zo moeten fabrikanten er onder meer voor zorgen dat zij hun producten zonder bekende kwetsbaarheden en met beveiligde configuratie aanbieden. Daarnaast moeten fabrikanten hun producten op passende wijze installeren, onderhouden en zo nodig updaten.
- Fabrikanten moeten ervoor zorgen dat de door hen ingevoerde processen voldoen aan de essentiële cyberbeveiligingsvereisten van deel II van bijlage I. Fabrikanten moeten kwetsbaarheden in hun producten vaststellen en documenteren. Ook moeten zij deze kwetsbaarheden aanpakken, bijvoorbeeld met behulp van beveiligingsupdates.
Aanvullende vereisten voor belangrijke producten met digitale elementen
Verder gelden er speciale conformiteitsbeoordelingsprocedures voor belangrijke producten met digitale elementen onder bijlage III, zoals software en hardware voor identiteitsbeheersystemen of software die kwaadaardige software opzoekt. Deze producten worden onder artikel 7 van de CRA als belangrijk beschouwd als:
- ze van kritiek belang zijn en een kernfunctie vervullen voor de cyberbeveiliging van andere producten, netwerken of diensten; en
- een aanzienlijk risico vormen op het veroorzaken van nadelige effecten voor de gezondheid, beveiliging of veiligheid van gebruikers door directe manipulatie
Aanvullende vereisten voor kritieke producten met digitale elementen
Naast bovenstaande eisen hebben fabrikanten een Europees cyberbeveiligingscertificaat nodig voor kritieke producten met digitale elementen onder bijlage IV, zoals smartcards. Met dit Europese cyberbeveiligingscertificaat kunnen fabrikanten aantonen dat hun kritieke producten in overeenstemming zijn met de essentiële cyberbeveiligingsvereisten van bijlage I. Producten met digitale elementen zijn kritiek als zij aan beide voorwaarden onder artikel 6 en aan een van onderstaande criteria onder artikel 8 voldoen:
- Essentiële entiteiten onder de NIS2-Richtlijn zijn erg afhankelijk van het product of;
- Incidenten en kwetsbaarheden met betrekking tot het product zouden kunnen leiden tot ernstige verstoring van kritieke toeleveringsketens in de hele interne markt.
De Commissie kan na het raadplegen van deskundigen bepaalde categorieën van producten toevoegen aan of schrappen van deze lijst.
Stand van zaken
De Raad heeft samen met het Europees Parlement het wetsvoorstel van de Europese Commissie goedgekeurd volgens de gewone wetgevingsprocedure. De voorzitters van de Raad en het Parlement hebben inmiddels ook het voorstel ondertekend.
De CRA treedt op 10 december 2024 in werking en is vanaf 11 december 2027 van toepassing, met uitzondering van de regels onder artikel 14 en hoofdstuk IV. Artikel 14 met betrekking tot het vrijwillig rapporteren van digitale kwetsbaarheden of cyberdreigingen aan een CSIRT of de ENISA wordt op 11 september 2026 van toepassing. Hoofdstuk IV over conformiteitsbeoordelingen en de meldingsprocedure wordt op 11 juni 2026 van toepassing.
