De Cyber Resilience Act staat voor een baanbrekende ontwikkeling op het gebied van cybersecurity. Deze bepaalt duidelijke verplichtingen voor fabrikanten van digitale producten, met name voor wat betreft de implementatie van security-by-design. Om het felbegeerde CE-keurmerk te krijgen, moeten toekomstige producten voldoen aan minimale veiligheidseisen. De CRA richt zich op essentiële aspecten, zoals toegangsbescherming, vertrouwelijkheid, integriteit en beschikbaarheid, gedurende het gehele ontwikkelingsproces. Dit artikel werpt een blik op de uitdagingen en kansen, die de CRA voor fabrikanten is, en bekijkt de mogelijke rol van de internationale norm IEC 62443 als sleutel binnen deze context.
Ontdek de toekomst van Cyber Security voor digitale producten in de Cyber Resilience Act (CRA) – duidelijke richtlijnen, hogere standaarden en een baanbrekende strategie voor een veiliger digitaal tijdperk.
De Cyber Resilience Act (CRA) bepaalt duidelijke richtlijnen voor fabrikanten van digitale producten, die nu verplicht zijn om een Security-by-design-strategie te volgen. Om het felbegeerde CE-keurmerk te krijgen, moeten producten die zijn onderworpen aan de CRA, in de toekomst voldoen aan minimale veiligheidseisen. De wettekst legt grote nadruk op aspecten zoals toegangsbescherming, vertrouwelijkheid, integriteit en beschikbaarheid, die in het volledige ontwikkelingsproces moeten worden geïntegreerd. Daarnaast regelt de CRA het beheer van kwetsbaarheden en de termijn waarbinnen fabrikanten securityupdates beschikbaar moeten stellen.
Het doel van de CRA is om het vertrouwen in de digitale infrastructuur van de Europese Unie te versterken en het concurrentievermogen van Europese bedrijven op mondiaal niveau te vergroten. Als EU-besluit hoeft het niet op nationaal niveau te worden geïmplementeerd en treedt het op 10 december 2024 in werking in de hele EU.
De IEC 62443, als internationale standaard, neemt een sleutelpositie in, omdat deze zowel het gevraagde veilige ontwikkelingsproces als ook de technische eisen aan producten en systemen afdekt. Op basis van deze dekking kon de IEC 62443 als veelbelovende basis voor een geharmoniseerde norm van de CRA dienen. Een gestandaardiseerde Software Bill of Material (SBOM) is noodzakelijk voor alle producten om te voldoen aan de vereisten voor kwetsbaarheidsbeheer. Dit uitgebreide overzicht van alle softwarecomponenten is essentieel. Daarnaast moeten bekende kwetsbaarheden digitaal worden vastgelegd, bijv. door het Common Vulnerability Scoring System (CVSS).
De Cyber Resilience Act (CRA) is een EU-wet die van invloed is op alle producten met digitale elementen die communicatiemogelijkheden hebben. De CRA heeft zowel betrekking op hardware als op software en is gebaseerd op het New Legislative Framework. De wet stelt bindende eisen waaraan moet worden voldaan bij het op de markt brengen van producten. Producten die aan deze regels voldoen, dragen een CE-markering.
Omgekeerd betekent dit dat niet-conforme producten niet langer op de markt mogen worden gebracht. De aanbieder moet echter ook stoppen met de verkoop van bestaande producten, wanneer niet aan de Cyber Security-eisen wordt voldaan.
De CRA stelt duidelijke securityeisen aan producten, waaronder toegangsbescherming, bescherming van vertrouwelijkheid, integriteit, beschikbaarheid en een veilige leveringstoestand. Om een veilig ontwikkelingsproces te waarborgen, moet vooral tijdens het ontwerp, de ontwikkeling en de productie hiermee rekening worden gehouden.
In het kader van het veilige ontwikkelingsproces moeten fabrikanten hun producten actief controleren op kwetsbaarheden en deze ook onmiddellijk verhelpen. Deze beveiligingsupdate dient gratis te worden geleverd en geldt voor een periode van vijf jaar. De CRA voert bovendien extra meldingsplichten in: fabrikanten moeten het Europees Agentschap voor Cyber Security (ENISA) onmiddellijk op de hoogte brengen wanneer ze kennis krijgen van actief uitgebuite kwetsbaarheden of aanvallen op hun producten, die de veiligheid in gevaar kunnen brengen, bijv. door downloadgebieden te manipuleren.
Voordat het op de markt komt, moet de fabrikant ervoor zorgen dat het product aan de voorgeschreven standaarden voldoet. De beoordeling is gebaseerd op de classificatie van het product met betrekking tot zijn kriticiteit. Dit vereist de naleving van de Europese normen of tests door een erkend instituut. Bijzondere aandacht wordt besteed aan kritieke infrastructuren in de industrie. Binnen deze context is de toepassing van geharmoniseerde normen en/of de samenwerking met een erkend instituut noodzakelijk.
De CRA stelt gebruikers in staat om te profiteren van producten die voldoen aan hogere cyberbeveiligingsnormen en minder risico's opleveren door hackers, beveiligingslekken of andere gevaren. Dergelijke producten moeten een CE-markering hebben om hun conformiteit met de nieuwe vereisten aan te tonen.
Fabrikanten zijn bovendien verplicht om de producten gedurende hun volledige levenscyclus te onderhouden en automatische beveiligingsupdates aan te bieden. Gebruikers kunnen daarom vertrouwen op de cyberbeveiligingsgaranties van met CE gemarkeerde producten.
Fabrikanten staan voor de uitdaging om een veilig ontwikkelingsproces te waarborgen en uitgebreide beveiligingsmaatregelen te implementeren vóór de introductie op de markt. Dit gaat gepaard met extra kosten die van invloed kunnen zijn op middelen en productietijden. De nieuwe wetgeving belooft aanmerkelijke voordelen voor eindgebruikers, omdat deze het veiligheidsniveau verhoogt en de risico's op het gebied van cybersecurity aanmerkelijk vermindert. Fabrikanten staan echter wel voor enkele uitdagingen, die extra inspanning vragen. Maar het loont, deze uitdagingen aan te gaan, want overtredingen kunnen tot gevolg hebben, dat autoriteiten productverbeteringen of terugroepacties eisen en boetes tot wel 15 miljoen Euro of 2,5% van de wereldwijde jaaromzet kunnen uitdelen.
Maar er is hoop, want de principiële eisen, zoals gedefinieerd door de CRA, worden door het veilige ontwikkelingsproces conform IEC 62443-4-1 en de functionele voorschriften conform IEC 62443-4-2 afgedekt. Implementatie van de norm IEC 62443 verdient daarom aanbeveling.
Het startsignaal is gegeven. Nu is het tijd om maatregelen te nemen en samen voorbereidingen te treffen. De Cyber Resilience Act (CRA) werd officieel gepubliceerd op 10 december 2024. Op 11 september 2026 moeten alle producten een beheersysteem voor kwetsbaarheden hebben dat aan de eisen voldoet. Vanaf 11 december 2027 is volledige implementatie van de CRA vereist en moeten alle relevante producten voldoen aan de vereisten om de CE-markering te verkrijgen.
Nu is het tijd om te handelen om aan de nieuwe veiligheidsnormen te voldoen en de concurrentiepositie te waarborgen.
Ons volledige 360°-securityconcept
Bij Phoenix Contact kiezen we voor een uitgebreide 360°-beveiligingsaanpak, waarin veilige producten als centraal element zijn geïntegreerd. Veilige producten worden conform de standaarden van IEC 62443-4-1 ontwikkeld, terwijl aan de vereisten voor securityfuncties volgens IEC 62443-4-2 wordt voldaan. Het PSIRT-team (Product Security Incident Response Team) is verantwoordelijk voor de doeltreffende behandeling van kwetsbaarheden.
Dankzij deze strategie is Phoenix Contact goed gepositioneerd om aan de nieuwe wettelijke vereisten te voldoen. Bovendien bieden we onze klanten veilige applicatieoplossingen en services. Onafhankelijke certificering door TÜV SÜD bevestigt de naleving van Cyber Security-processen conform IEC 62443.
