Cyber Resilience Act

De Cyber Resilience Act (CRA), in Nederland de Uitvoeringswet verordening cyberweerbaarheid (nog in ontwikkeling), is de eerste Europese wet die volledig gericht is op de digitale veiligheid van producten met digitale elementen. Denk aan smartwatches, industriële controllers, netwerkapparatuur en besturingssoftware in machines. Producten die al onder specifieke EU-wetgeving vallen, zoals medische hulpmiddelen of voertuigen, zijn uitgezonderd.

Binnen de CRA worden producten ingedeeld in twee risicoklassen:

• Algemene producten: met basiseisen voor cybersecurity gedurende de volledige levenscyclus.
• Kritieke producten: zoals firewalls, VPN-software of identity management tools, waarvoor strengere eisen gelden.

De Europese Commissie kan deze lijst uitbreiden; fabrikanten moeten wijzigingen dus actief volgen.

Verplichtingen voor fabrikanten

Voor fabrikanten van producten met digitale elementen betekent dit dat zij al vanaf het ontwerpproces (“security by design”) cybersecurity moeten integreren. Fabrikanten zijn verplicht kwetsbaarheden te monitoren en beveiligingsupdates te leveren gedurende de hele levensduur van hun producten. Dat vraagt om goed ingerichte processen voor patch management en continue monitoring.

Internationale normen als basis voor CRA-compliance

Om aan de CRA te voldoen, kunnen fabrikanten zich baseren op internationale normen zoals ISO/IEC 27001, IEC 62443 en ETSI EN 303 645. Zodra de EU geharmoniseerde normen aanwijst, geldt voor fabrikanten die deze toepassen een vermoeden van conformiteit.

De CRA vraagt dus om een fundamentele omslag in productontwikkeling: van functionaliteit en prestatie naar continue digitale weerbaarheid. Bedrijven die hier nu in investeren, bouwen niet alleen compliant, maar ook toekomstbestendig.

De link met de Verordening Machineproducten

In 2027 treedt de Verordening Machineproducten (2023/1230) in werking, ter vervanging van de Machinerichtlijn 2006/42/EG. Deze wet harmoniseert de veiligheids- en gezondheidseisen voor nieuw in de handel te brengen machines binnen de Europese Economische Ruimte en bevat nu ook specifieke eisen voor cyberweerbaarheid (artikelen 1.1.9 en 1.2.1).

Toont een fabrikant aan dat het product voldoet aan de CRA, dan ontstaat een vermoeden van overeenstemming met de cybersecurity-eisen uit de Verordening Machineproducten. Machinefabrikanten moeten daarom naast de gebruikelijke risicobeoordeling op het gebied van veiligheid en gezondheid ook een cyberrisicobeoordeling uitvoeren. Beide beoordelingen moeten worden vastgelegd en opgenomenin het technisch dossier.

De link met NIS2

Waar de CRA en de Machineverordening zich richten op veilige producten, stelt de NIS2-richtlijn eisen aan de cybersecurity van organisaties in vitale en belangrijke sectoren (zoals energie, industrie en gezondheidszorg).

De samenhang is duidelijk:

• NIS2 creëert de vraag naar veilige systemen vanuit de organisatie.
• De CRA zorgt voor het aanbod van veilige digitale producten en componenten die deze organisaties kunnen gebruiken.

Een fabriek die onder NIS2 valt, moet dus niet alleen haar processen en beleid op orde hebben, maar ook aantoonbaar veilige machines en software inzetten. Producten die voldoen aan de CRA zijn daarvoor de fundamenteel.