Strengere beveiligingseisen op komst voor soft-en hardware

Europa bereid strengere regels voor, op vlak van cyberveiligheid van software én hardware. Denk maar aan laptops en smartphones, smart watches, slimme camera’s en sensoren,… Kortom: alle slimme apparaten die direct of indirect verbonden zijn met andere apparaten of netwerken. Je leest in deze blog meer over die nieuwe regels en de potentiële impact.

 Wat is de Cyber Resilience Act?

De Europese Cyber Resilience Act is een wettelijk kader dat de cyberbeveiligingseisen beschrijft voor hardware- en softwareproducten met digitale elementen in de Europese Unie. Het vereist dat fabrikanten rekening houden met cyberbeveiliging bij het ontwerp en de ontwikkeling van producten met digitale elementen.

Fabrikanten zullen in de toekomst verplicht zijn om de beveiliging van hardware en software serieus te nemen gedurende de volledige levenscyclus van het product.

Deze nieuwe wet zal een “verordening” zijn, dit betekent dat ze vanaf de inwerkintreding onmiddellijk van toepassing is alle EU-lidstaten. Er hoeft dus geen omzetting meer te gebeuren naar een Belgische wet. De inwerkingtreding is voorzien 36 maanden na publicatie en die publicatie zal vermoedelijk in 2024 gebeuren.

Op welke producten?

De nieuwe wetgeving is zowel van toepassing op elk software- of hardwareproduct en de oplossingen voor gegevensverwerking op afstand, met inbegrip van software- of hardwarecomponenten die afzonderlijk in de handel worden gebracht. 

Denk maar aan smartphones en laptops, smart watches, slimme camera’s,… maar ook software (bv. photo editing, firewall,…)  

Wat met SaaS?

Software die als een dienst wordt aangeboden (“SaaS”) valt niet onder de scope van deze nieuwe wetgeving, maar mogelijks wel onder de nieuwe NIS2-richtlijn. Op basis van de NIS2-richtlijn moeten de lidstaten ervoor zorgen dat bv. aanbieders van clouddiensten passende technische, operationele en organisatorische maatregelen op het gebied van cyberbeveiliging nemen.

De belangrijkste verplichtingen

Dit zijn de belangrijkste verplichtingen onder de nieuwe Cyber Resilience Act:

• fabrikanten zijn verplicht om cyberbeveiliging mee te nemen in het ontwerp en de ontwikkeling van producten met digitale elementen;
• fabrikanten moeten transparant zijn over cyberbeveiligingsaspecten en die ook bekend maken aan klanten;
• fabrikanten en ontwikkelaars moeten een support periode vaststellen die de verwachte gebruiksduur van het product weerspiegelt én moeten gedurende die periode beveiligingsupdates verstrekken;
• fabrikanten moeten een conformiteitsbeoordelingsproces doorlopen om aan te tonen dat aan de gespecificeerde eisen voor een product is voldaan.

Wat is de link met NIS2?

De Cyber Resilience Act is een aanvulling vormen op de NIS2-richtlijn, waarover het Europees Parlement en de Raad onlangs overeenstemming hebben bereikt. De NIS2-richtlijn voert cyberbeveiligingseisen in, waaronder maatregelen voor de beveiliging van de toeleveringsketen en verplichtingen voor het melden van incidenten voor bepaalde onderneming die als “essentieel” of “belangrijk” worden beschouwd

Het verbeterde cyberbeveiligingsniveau van producten met digitale elementen zou de naleving van de NIS2-richtlijn door entiteiten vergemakkelijken en de beveiliging van de hele toeleveringsketen versterken.

Lees verder over NIS2 in onze blogs NIS2 welke impact op je onderneming, Op wie is NIS2 van toepassing?. 

Tijdslijn

Zodra het voorstel formeel is aangenomen en in 2024 in werking treedt, hebben de betrokken bedrijven 36 maanden de tijd om zich aan de nieuwe eisen aan te passen.

Een uitzondering op deze regel is de rapportageverplichting voor fabrikanten met betrekking tot actively exploited vulnerabilities and incidents, die 21 maanden na de inwerkingtreding van toepassing wordt.

Meer weten?