Nu cyberbedreigingen van alle kanten komen, begrijpen we allemaal hoe belangrijk goede cyberbeveiliging is. Maar hoe zorgen we ervoor dat de producten die we kopen veilig zijn - en veilig blijven? Hier komt de Cyber Resilience Act om de hoek kijken. Binnenkort zal deze nieuwe EU-verordening bedrijven dwingen om cyberbeveiliging niet langer als een bijzaak te beschouwen, maar als een kernonderdeel van hun productontwikkeling.
In dit artikel leggen we uit wat de Cyber Resilience Act inhoudt, waarom deze nodig is, wat er voor bedrijven gaat veranderen en hoe we ons kunnen voorbereiden.
Wat is de Cyber Resilience Act?
Op 10 oktober 2024 heeft de Raad van de Europese Unie de Cyber Resilience Act goedgekeurd. De wet zal in 2025 van kracht worden, maar zal een overgangsperiode van 24 maanden bevatten om organisaties de kans te geven zich aan te passen aan de nieuwe vereisten.
De Cyberweerbaarheidswetof CRA, is een wettelijk kader dat de cyberbeveiligingseisen beschrijft voor hardware- en softwareproducten met digitale elementen die in de Europese Unie op de markt worden gebracht.
De wet is bedoeld om consumenten en bedrijven die producten of software met een digitale component kopen of gebruiken, te beschermen door ontoereikende beveiligingsvoorzieningen tot het verleden te laten behoren. Dit wordt gedaan door verplichte cyberbeveiligingseisen in te voeren voor fabrikanten en verkopers van dergelijke producten, waarbij deze bescherming zich uitstrekt over de gehele levenscyclus van het product.
Met de nieuwe regelgeving zijn fabrikanten nu verplicht om beveiliging serieus te nemen gedurende de hele levenscyclus van een product - wat bedrijven dwingt om cyberbeveiliging niet langer als een bijzaak te beschouwen, maar als een kernonderdeel van hun productontwikkeling.
Waarom is de CRA nodig?
De CRA wil twee problemen aanpakken. Het eerste is het ontoereikende niveau van cyberbeveiliging dat inherent is aan veel producten op de markt, waaronder onvoldoende beveiligingsupdates voor die producten en hun software. Het tweede probleem is het huidige onvermogen van consumenten en bedrijven om het cyberbeveiligingsniveau van producten te bepalen.
De wet wil deze problemen aanpakken door:
- het afdwingen van geharmoniseerde regels voor het uitbrengen van producten of software met een digitale component
- het creëren van een kader van eisen op het gebied van cyberbeveiliging voor de planning, het ontwerp, de ontwikkeling en het onderhoud van deze producten, met verplichtingen waaraan in elke fase van de waardeketen moet worden voldaan
- het toevoegen van een zorgplicht voor de gehele levenscyclus van deze producten
Wanneer de verordening van kracht wordt, moeten software en producten die met het internet verbonden zijn de CE-markering dragen om aan te geven dat ze aan de nieuwe normen voldoen.
Wat verandert er voor bedrijven?
De CRA heeft betrekking op een breed scala aan producten, waaronder software, Internet of Things apparaten, consumentenelektronica zoals smart home apparaten, en industriële apparatuur die verbinding maakt met het internet - voor alle delen van de toeleveringsketen. Dit betekent dat als je bedrijf betrokken is bij de ontwikkeling van een verbonden product, de CRA waarschijnlijk op jou van toepassing is.
Maar wat betekent dat voor jouw bedrijf? Er zijn twee belangrijke gevolgen van het CRA-kader waar je je bewust van moet zijn.
- De eerste is het security-by-design element: bedrijven zullen nu vanaf het begin cyberbeveiligingsfuncties moeten integreren in het ontwerp en de ontwikkeling van hun producten. Dit betekent dat beveiliging een kernonderdeel van de productlevenscyclus moet zijn, en geen bijzaak.
- De tweede is de verplichting na het op de markt brengen: fabrikanten moeten ervoor zorgen dat de beveiliging tijdens de hele levenscyclus van het product wordt gehandhaafd, inclusief het leveren van updates en patches om nieuw ontdekte kwetsbaarheden te verhelpen.
Dit betekent dat fabrikanten geen digitaal product of een product met digitale elementen kunnen verkopen en de rest aan klanten en bedrijven overlaten: deze fabrikanten blijven verantwoordelijk voor de cyberbeveiliging van een product gedurende de hele levenscyclus.
Hoe bereid ik me voor?
Terwijl je nog wat tijd hebt om je voor te bereiden, is het nu tijd om ervoor te zorgen dat je organisatie best practices volgt, zich houdt aan de bestaande certificeringen die door de ACT zijn geïntroduceerd en beveiliging tot prioriteit maakt in het hele productieproces.
Bij de voorbereidingen hoort ook het bepalen welke producten binnen uw portfolio onder het raamwerk zullen vallen - inclusief eventuele nieuwe producten. Bepaal voor elk product onder welke categorie het valt en of zelfbeoordeling, een onafhankelijke conformiteitsbeoordeling of certificering vereist is. Daarnaast moeten organisaties beginnen met een Software Bill of Materials (SBOM) voor alle softwarecomponenten in het productportfolio en een proces creëren om kwetsbaarheden te bewaken, verhelpen en rapporteren, in lijn met bestaande standaarden zoals ISO/IEC 29147:2018.
Hoe Fox Crypto kan helpen
Als bedrijf moet cyberbeveiliging een prioriteit zijn, omdat het voorop staat bij de ontwikkeling van digitale producten en producten met digitale elementen.
In plaats van beveiligingsoplossingen achteraf aan te brengen, legt de CRA de nadruk op het vanaf de grond opbouwen van cyberbeveiliging in producten: het security-by-design element. Bedrijven moeten veilige codeerpraktijken, regelmatige software-updates en grondige tests integreren in hun ontwikkelingsprocessen: allemaal onderdelen van een basispraktijk voor cyberhygiëne. Een ander onderdeel van cyberhygiëne, genoemd in het NIS2-raamwerkis dat van netwerksegmentatie.
Netwerksegmentatie is een cyberbeveiligingspraktijk waarbij een computernetwerk wordt opgedeeld in kleinere, afzonderlijke segmenten, elk geïsoleerd van de andere. Deze strategie is belangrijk omdat het aanvalsoppervlak wordt beperkt, inbreuken worden ingedamd en de reactie op incidenten wordt verbeterd, de toegangscontrole wordt verbeterd en gegevens worden beschermd, en monitoring en detectie worden verbeterd.
Eén manier om dit te doen is door logische segmentatie: gebruik VLAN's (Virtual Local Area Networks) om netwerkverkeer logisch te scheiden en zorg voor duidelijke grenzen tussen segmenten om ongeautoriseerde toegang te voorkomen. Waar mogelijk is het echter het beste om kritieke infrastructuur fysiek te scheiden van minder gevoelige delen van het netwerk. Hiervoor kan speciale hardware nodig zijn, zoals de Fox DataDiode.
De Fox DataDiode kan bedrijven helpen om te voldoen aan de CRA door:
- Zorgen voor eenrichtingsverkeer van gegevens, waardoor potentiële cyberaanvallen worden geblokkeerd.
- Onbevoegde toegang en lekken van gegevens voorkomen.
- Betere bescherming voor kritieke infrastructuur en legacysystemen.
- Risicomanagement en conformiteitsbeoordelingen vereenvoudigen.
Daarnaast zorgt de DataDiode voor een veilige samenwerking in de toeleveringsketen door het delen van informatie in de hele toeleveringsketen te beveiligen. Hierdoor kunnen productiebedrijven gevoelige gegevens delen met leveranciers en logistieke partners, zodat alle belanghebbenden in de toeleveringsketen veilig kunnen samenwerken.