De Cyber Resilience Act (CRA)

Ontdek de toekomst van Cyber Security voor digitale producten in de Cyber Resilience Act (CRA). Duidelijke richtlijnen, hogere standaarden en een baanbrekende strategie voor een veiliger digitaal tijdperk.
Productie conform de Cyber Resilience Act (CRA)

De Cyber Resilience Act (CRA) is een baanbrekende ontwikkeling op het gebied van Cyber Security. Hierin staan duidelijke verplichtingen voor fabrikanten van digitale producten, met name met betrekking tot de implementatie van Security-by-design. Om het felbegeerde CE-keurmerk te krijgen, moeten toekomstige producten voldoen aan minimale veiligheidseisen. De CRA richt zich op essentiële aspecten, zoals toegangsbescherming, vertrouwelijkheid, integriteit en beschikbaarheid, gedurende het gehele ontwikkelingsproces. In dit artikel wordt gekeken naar de uitdagingen en kansen die de CRA met zich meebrengt voor fabrikanten en wordt de mogelijke rol van de internationale norm IEC 62443 als belangrijke speler in deze context bekeken.

Ontdek de toekomst van Cyber Security voor digitale producten in de Cyber Resilience Act (CRA) – duidelijke richtlijnen, hogere standaarden en een baanbrekende strategie voor een veiliger digitaal tijdperk.

Uitroeptekenpictogram

Wat is de CRA?

De Cyber Resilience Act (CRA) bepaalt duidelijke richtlijnen voor fabrikanten van digitale producten, die nu verplicht zijn om een Security-by-design-strategie te volgen. Om het felbegeerde CE-keurmerk te krijgen, moeten producten die zijn onderworpen aan de CRA, in de toekomst voldoen aan minimale veiligheidseisen. De wettekst legt grote nadruk op aspecten zoals toegangsbescherming, vertrouwelijkheid, integriteit en beschikbaarheid, die in het volledige ontwikkelingsproces moeten worden geïntegreerd. Daarnaast regelt de CRA het beheer van kwetsbaarheden en de termijn waarbinnen fabrikanten securityupdates beschikbaar moeten stellen.

Het doel van de CRA is om het vertrouwen in de digitale infrastructuur van de Europese Unie te versterken en het concurrentievermogen van Europese bedrijven op mondiaal niveau te vergroten. Omdat het een EU-wet is, hoeft deze niet op nationaal niveau te worden geïmplementeerd en zal deze naar verwachting vanaf 2024 in de gehele EU van kracht worden.

IEC 62443 speelt als internationale standaard een sleutelrol, omdat deze zowel het vereiste veilige ontwikkelingsproces als de technische vereisten voor producten en systemen omvat. Dankzij deze overeenkomst kan IEC 62443 fungeren als veelbelovende grondslag voor een geharmoniseerde norm van de CRA. Een gestandaardiseerde Software Bill of Material (SBOM) is noodzakelijk voor alle producten om te voldoen aan de vereisten voor kwetsbaarheidsbeheer. Dit uitgebreide overzicht van alle softwarecomponenten is essentieel. Daarnaast moeten bekende kwetsbaarheden digitaal worden vastgelegd, bijv. door het Common Vulnerability Scoring System (CVSS).

Gestileerde persoon en uitroeptekenpictogram

Wie heeft ermee te maken?

De Cyber Resilience Act (CRA) is een EU-wet die van invloed is op alle producten met digitale elementen die communicatiemogelijkheden hebben. De CRA heeft zowel betrekking op hardware als op software en is gebaseerd op het New Legislative Framework. De wet stelt bindende eisen waaraan moet worden voldaan bij het op de markt brengen van producten. Producten die aan deze regels voldoen, dragen een CE-markering.

Omgekeerd betekent dit dat niet-conforme producten niet langer op de markt mogen worden gebracht. De aanbieder moet echter ook stoppen met de verkoop van bestaande producten, wanneer niet aan de Cyber Security-eisen wordt voldaan.

Wat betekent dit voor de fabrikant?

mGuard-pictogram met veiligheidsslot
Productiepictogram
Pictogram IEC 62443
mGuard-pictogram met veiligheidsslot

De CRA stelt duidelijke securityeisen aan producten, waaronder toegangsbescherming, bescherming van vertrouwelijkheid, integriteit, beschikbaarheid en een veilige leveringstoestand. Om een veilig ontwikkelingsproces te waarborgen, moet vooral tijdens het ontwerp, de ontwikkeling en de productie hiermee rekening worden gehouden.

Productiepictogram

In het kader van het veilige ontwikkelingsproces moeten fabrikanten hun producten actief controleren op kwetsbaarheden en deze ook onmiddellijk verhelpen. Deze beveiligingsupdate dient gratis te worden geleverd en geldt voor een periode van vijf jaar. De CRA voert bovendien extra meldingsplichten in: fabrikanten moeten het Europees Agentschap voor Cyber Security (ENISA) onmiddellijk op de hoogte brengen wanneer ze kennis krijgen van actief uitgebuite kwetsbaarheden of aanvallen op hun producten, die de veiligheid in gevaar kunnen brengen, bijv. door downloadgebieden te manipuleren.

Pictogram IEC 62443

Voordat hij op de markt komt, moet de fabrikant ervoor zorgen dat zijn product aan de voorgeschreven standaarden voldoet. De beoordeling is gebaseerd op de classificatie van het product met betrekking tot zijn kriticiteit. Dit vereist de naleving van de Europese normen of tests door een erkend instituut. Bijzondere aandacht wordt besteed aan kritieke infrastructuren in de industrie. In deze context is de toepassing van geharmoniseerde normen en/of samenwerking met een erkend instituut te verwachten.

Pictogram personengroep

Wat betekent dat voor gebruikers?

De CRA stelt gebruikers in staat om te profiteren van producten die voldoen aan hogere cyberbeveiligingsnormen en minder risico's opleveren door hackers, beveiligingslekken of andere gevaren. Dergelijke producten moeten een CE-markering hebben om hun conformiteit met de nieuwe vereisten aan te tonen.

Fabrikanten zijn bovendien verplicht om de producten gedurende hun volledige levenscyclus te onderhouden en automatische beveiligingsupdates aan te bieden. Gebruikers kunnen daarom vertrouwen op de cyberbeveiligingsgaranties van met CE gemarkeerde producten.

IEC 62443 als succesfactor voor complete securityconcepten
Bescherming tegen cyberaanvallen en voldoen aan wettelijke vereisten
Kunnen componenten en systemen die zijn gecertificeerd volgens IEC 62443 uitgebreide bescherming bieden tegen cyberaanvallen en tegelijkertijd voldoen aan de nieuwe wettelijke vereisten van de EU, zoals NIS 2, de Cyber Resilience Act (CRA) en de nieuwe machineverordening? Lees in onze Whitepaper alles over de nieuwe wettelijke richtlijn, de implementatie van Cyber Security in de automatisering en het belang van IEC 62443.
Whitepaper nu downloaden
In een netwerk gekoppelde wereld met veiligheidsslot

Cyber Security is niet langer een optie, maar een noodzaak

Fabrikanten staan voor de uitdaging om een veilig ontwikkelingsproces te waarborgen en uitgebreide beveiligingsmaatregelen te implementeren vóór de introductie op de markt. Dit gaat gepaard met extra kosten die van invloed kunnen zijn op middelen en productietijden. De nieuwe wetgeving belooft aanzienlijke voordelen voor eindgebruikers, aangezien het beveiligingsniveau wordt verhoogd en de risico's op het gebied van Cyber Security aanzienlijk worden beperkt. Fabrikanten worden echter geconfronteerd met een aantal uitdagingen die extra kosten met zich meebrengen. Toch is het de moeite waard om deze uitdagingen aan te gaan, aangezien inbreuken ertoe kunnen leiden dat autoriteiten productverbeteringen of terugroepacties eisen en boetes opleggen, die kunnen oplopen tot vijftien miljoen euro of 2,5% van de wereldwijde jaaromzet.

Maar er is hoop, want de basiseisen, zoals gedefinieerd in de CRA, worden gedekt door het veilige ontwikkelingsproces conform IEC 62443-4-1 en de functionele specificaties volgens IEC 62443-4-2. Implementatie van norm IEC 62443 is dientengevolge aanbevelenswaardig.

Beschrijving van veilig ontwikkelingsproces – Security-by-design
360°-security – ons volledige aanbod zonder compromissen

Ons volledige 360°-securityconcept

Bij Phoenix Contact kiezen we voor een uitgebreide 360°-beveiligingsaanpak, waarin veilige producten als centraal element zijn geïntegreerd. Veilige producten worden conform de standaarden van IEC 62443-4-1 ontwikkeld, terwijl aan de vereisten voor securityfuncties volgens IEC 62443-4-2 wordt voldaan. Het PSIRT-team (Product Security Incident Response Team) is verantwoordelijk voor de doeltreffende behandeling van kwetsbaarheden.

Dankzij deze strategie is Phoenix Contact goed gepositioneerd om aan de nieuwe wettelijke vereisten te voldoen. Bovendien bieden we onze klanten veilige applicatieoplossingen en services. Onafhankelijke certificering door TÜV SÜD bevestigt de naleving van Cyber Security-processen conform IEC 62443.