Europa heeft de afgelopen jaren niet stilgezeten op het gebied van wetgevingsinitiatieven betreffende cyberveiligheid. Zowel bestaande als toekomstige wetgeving moet de Europese markt op alle vlakken veiliger maken. Als gevolg hiervan zal elke organisatie in de toekomst steeds meer moeten jongleren met instrumenten als GDPR, NIS(2), Datawet, Data Governance Act, AI Act, Cyber Security Act, Productaansprakelijkheid Richtlijn, … en niet te vergeten de Cyber Resilience Act (CRA).
Wat houdt de CRA precies in?
Op 15 september 2022 werd al een voorstel voor deze verordening (CRA) gepubliceerd, het beoogt in essentie dat:
- Producten met digitale elementen die in de EU op de markt worden gebracht, veilig zijn.
- Fabrikanten verantwoordelijk blijven voor cyberbeveiliging gedurende de hele levenscyclus van een product. De fabrikant heeft de wettelijke plicht om beveiliging door ontwerp te garanderen, om een passend beveiligingsniveau, een verplichte risicobeoordeling en een conformiteitsbeoordeling te bieden.
- Importeurs en distributeurs op hun beurt moeten verifiëren dat de producten aan de bovengenoemde essentiële eisen voldoen, wat een gelaagde verantwoordelijkheid creëert.
- Consumenten de nodige bescherming genieten via de transparantieverplichting van de fabrikant met betrekking tot de technische veiligheid en eventuele updates op basis van gedetailleerde en begrijpelijke informatie.
New Kids On The Block
Het voorstel van de CRA is momenteel in volle ontwikkeling. De laatste versie met wijzigingen is gepubliceerd op 31 augustus 2023. We zetten in een notendop enkele laatste toevoegingen op een rij die voor iedere CISO relevant zijn:
1.Verwerking of opslag op afstand
De definitie van producten met digitale elementen omvat ook oplossingen voor gegevensverwerking op afstand om ervoor te zorgen dat dergelijke producten in hun geheel adequaat worden beveiligd door hun fabrikanten, ongeacht of gegevens lokaal verwerkt worden of opgeslagen op het apparaat van de gebruiker of op afstand door de fabrikant. De verwerking of opslag op afstand wordt alleen gedekt voor zover nodig voor een product met digitale elementen om zijn functies uit te voeren. Dit kan bijvoorbeeld het geval zijn wanneer een hardware apparaat toegang vereist tot een toepassingsprogramma verbinding of een database die door de fabrikant is ontwikkeld.
De vereisten betreffende de oplossingen voor gegevensverwerking op afstand die onder het toepassingsgebied van deze verordening vallen, houden derhalve geen technische, operationele en organisatorische maatregelen in die gericht zijn op het beheer van de risico’s voor de beveiliging van hun netwerk en informatiesystemen als geheel. De verwerking of opslag op afstand valt alleen onder de dekking voor zover dit nodig is om een product met digitale elementen zijn functies te laten vervullen. Dit zou bijvoorbeeld het geval kunnen zijn wanneer een hardware apparaat toegang nodig heeft tot een applicatieprogramma-interface of een database die door de fabrikant is ontwikkeld. De eisen met betrekking tot oplossingen voor gegevensverwerking op afstand die onder het toepassingsgebied van deze verordening vallen, omvatten daarom geen technische, operationele en organisatorische maatregelen die gericht zijn op het beheersen van de risico’s voor de veiligheid van hun netwerk- en informatiesystemen als geheel.
2. Geen strengere beveiligingseisen
Overeenkomstig de doelstelling van deze verordening om belemmeringen voor het vrije verkeer van producten met digitale elementen weg te nemen, mogen de lidstaten geen verdere cyberbeveiliging eisen opleggen voor het op de markt aanbieden van producten met digitale elementen.
3. Commerciële activiteit
Deze verordening is alleen van toepassing op producten met digitale elementen in het kader van een commerciële activiteit. De levering kan niet alleen gekenmerkt worden door het aanrekenen van een prijs voor een product, maar ook door het aanrekenen van een prijs voor technische ondersteuningsdiensten wanneer dit niet alleen dient om de werkelijke kosten te dekken of om winst te maken of de bedoeling heeft geld te verdienen, door een software platform aan te bieden waarmee de fabrikant andere diensten te gelde maakt, of door als voorwaarde voor het gebruik de verwerking van persoonsgegevens te eisen om andere redenen dan uitsluitend ter verbetering van de veiligheid, compatibiliteit of interoperabiliteit van de software. De omstandigheden waaronder het product is ontwikkeld of de manier waarop de ontwikkeling is gefinancierd, mogen niet in aanmerking worden genomen bij het bepalen van de commerciële of niet-commerciële aard van die activiteit.
4. Nieuw beschikbare beveiligingsupdates
Een van de belangrijkste maatregelen die gebruikers moeten nemen om hun producten met digitale elementen te beschermen tegen cyberaanvallen, is het zo snel mogelijk installeren van de nieuwste beschikbare beveiligingsupdates. Fabrikanten moeten daarom hun producten ontwerpen en processen creëren om ervoor te zorgen dat producten met digitale elementen functies bevatten die de kennisgeving, distributie, download en installatie van beveiligingsupdates automatisch mogelijk maken. Ze moeten ook de mogelijkheid bieden om het downloaden en installeren van de beveiligingsupdates als laatste stap goed te keuren, evenals duidelijke instructies over hoe gebruikers zich kunnen afmelden voor automatische updates.
5. Integratie van componenten van derden
Bij het integreren van componenten van derden in producten met digitale elementen tijdens de ontwerp- en ontwikkelingsfase, moeten fabrikanten zorgvuldigheid betrachten. Het passende niveau van zorgvuldigheidseisen moet worden bepaald door de aard en het niveau van het cyber beveiligingsrisico dat aan het onderdeel is verbonden en moet daartoe rekening houden met specifieke factoren, zoals de manier waarop het onderdeel bijdraagt aan de functionaliteit van het product en de mate waarin het toegang heeft tot gegevens die door het product met digitale elementen worden verwerkt.
6. Essentiële eisen van toepassing op elk afzonderlijk product
Essentiële eisen, met inbegrip van eisen voor het beheer van de kwetsbaarheid, zijn van toepassing op elk afzonderlijk product met digitale elementen dat in de handel wordt gebracht, ongeacht of het product met digitale elementen als een afzonderlijke eenheid of in serie wordt vervaardigd.
7. Rechtvaardiging in de risicobeoordeling
Als bepaalde essentiële eisen niet van toepassing zijn op een product met digitale elementen, moet de fabrikant een duidelijke rechtvaardiging opnemen in de risicobeoordeling van de cyberbeveiliging die deel uitmaakt van de technische documentatie. Dit kan het geval zijn wanneer een essentiële eis onverenigbaar is met de aard van een product met digitale elementen. Bijvoorbeeld specifieke interoperabiliteit eisen.
8. Het concept van verwachte levensduur
Fabrikanten moeten de verwachte levensduur van het product bepalen. Daartoe moeten ze rekening houden met de tijd die gebruikers redelijkerwijs verwachten het product met digitale elementen te kunnen gebruiken gezien de functionaliteit en het beoogde doel ervan en dus beveiligingsupdates kunnen verwachten. Daarnaast moeten ze ook rekening kunnen houden met andere elementen, zoals:
- het relevant Unierecht dat de levensduur van producten met digitale elementen bepaalt
- de aard van het product met digitale elementen, met inbegrip van de licentievoorwaarden waaronder het beschikbaar gesteld wordt.
- de verwachte beschikbaarheid van de gebruiksomgeving waarvoor het product met digitale elementen bedoeld is; de levensduur van producten met digitale elementen die een vergelijkbare functionaliteit bieden die door andere fabrikanten op de markt zijn gebracht, met inbegrip van, indien beschikbaar, relevante richtsnoeren van markttoezicht autoriteiten.
- evenals de levensduur van geïntegreerde componenten die kernfuncties leveren en afkomstig zijn van derden.
Zet je schapen op het droge
We hebben enkele nieuwe onderwerpen besproken, maar het is duidelijk dat deze wetgeving in de praktijk veel nieuwe vragen zal oproepen. Voor elk bedrijf dat een product met digitale elementen op de Europese markt wil commercialiseren, zal het een uitdaging zijn om deze reeks nieuwe wettelijke veiligheidsverplichtingen tijdig te implementeren. Dit vereist dat een organisatie binnen een beperkte tijd behoorlijk wat middelen moet inzetten. Organisaties hebben slechts een periode van 24 maanden vanaf het moment dat de CRA definitief wordt.
Bovendien is de CRA slechts een onderdeel van een volledig wetgevend kader met een overlap van verschillende wetgevende instrumenten (zie bijvoorbeeld de verwijzingen bovenaan dit artikel) die van alle veiligheidsverplichtingen een complex juridisch kluwen maken.
Schakel dus de hulp in van een cybersecurity-advocaat en begin vroeg met de voorbereidingen, zodat de kosten over een langere periode gespreid worden. Je kan het bestuur van jouw organisatie vooraf overtuigen, want elke cybersecurity wet voorziet in aansprakelijkheden die ook elk bestuurslid persoonlijk kunnen treffen.
Vragen over cybersecurity?
Ons team staat graag voor je klaar. Stuur een mailtje naar roeland@siriuslegal.be of boek hiernaast een vrijblijvend kennismakingsgesprek in.