De Cyber Resilience Act (“CRA”) reguleert cyberbeveiliging op productniveau en stelt in het kort beveiligingseisen aan producten met digitale elementen. Met de CRA introduceert de EU als eerste wereldwijd wetgeving die een minimaal beveiligingsniveau voor dergelijke producten verplicht stelt.
Al eerder schreven wij een overzichtsblog over de CRA, waarin wij ingaan op het doel, de aard, de reikwijdte en de verplichtingen voor marktdeelnemers onder de CRA. In dit blog gaan wij dieper in op de bepalingen rondom software en de verplichtingen voor softwarefabrikanten.
Centraal in het toepassingsgebied van de CRA staan producten met digitale elementen. Zo’n product wordt gedefinieerd als “een software- of hardwareproduct en zijn oplossingen voor gegevensverwerking op afstand, met inbegrip van software- of hardwarecomponenten die afzonderlijk in de handel worden gebracht” (art. 3 lid 1 CRA). Hieronder vallen (i) in de handel gebrachte producten waarvan het doel of het voorzienbaar gebruik een directe of indirecte logische of fysieke verbinding met een apparaat of netwerk omvat en (ii) los in de handel gebrachte componenten.
Software, die als product commercieel in de handel wordt gebracht, is ook een product met digitale elementen. Voorbeelden zijn mobiele apps, een Enterprise Resource Planning (ERP)-softwarepakket waarmee bedrijven bedrijfsprocessen kunnen beheren, en Internet-of-Things-toepassingen, waarbij fysieke apparaten via een internet- of netwerkverbinding gegevens ontvangen, verzamelen en delen. Het vereiste dat een product in de handel moet worden gebracht, betekent dat softwaretoepassingen die enkel voor interne doeleinden worden ontwikkeld, zoals een unieke eigen Customer Relationship Management (CRM)-toepassing, niet onder de CRA vallen.
Software-as-a-Service (“SaaS”) valt op zichzelf evenmin onder de reikwijdte van de CRA, aangezien dit een dienst is en de CRA ziet op producten. De CRA verwijst voor afzonderlijke SaaS-toepassingen specifiek naar de NIS2-richtlijn. Een SaaS-toepassing die essentieel is voor de functionaliteit van een product met digitale elementen, bijvoorbeeld om op afstand een industriële machine bij te regelen, valt wel binnen het toepassingsgebied van de CRA (overweging 12 CRA). Er is dus steeds een link met een product vereist voordat de CRA van toepassing is op SaaS.
Aangezien de afhankelijkheid van producten met digitale elementen wereldwijd blijft groeien, nemen de risico’s die gepaard gaan met de software die deze producten aandrijft, eveneens toe. Kwetsbaarheden in software kunnen leiden tot datalekken, cyberaanvallen en zelfs verstoringen van essentiële infrastructuur. De CRA introduceert daarom geharmoniseerde beveiligingseisen voor en stelt strikte regels aan fabrikanten, ontwikkelaars en distributeurs van producten met digitale elementen. Hoewel geharmoniseerde normen al bestaan binnen andere sectoren zoals speelgoed, cosmetica en medische apparaten, is dit nieuw voor de software-industrie.
Deze blog richt zich enkel op de fabrikant, dat wil zeggen de (rechts)persoon die producten met digitale elementen ontwerpt, ontwikkelt of vervaardigt, of dergelijke producten laat ontwerpen, ontwikkelen of vervaardigen, en deze onder diens eigen naam of merk tegen betaling, met een verdienmodel of gratis, in de handel brengt (art. 3 lid 13 CRA). Softwareleveranciers kunnen als fabrikanten onder de CRA vallen wanneer zij software (laten) ontwikkelen en distribueren als een zelfstandig product en deze onder hun eigen naam of merk commercieel in de handel brengen.
De verplichtingen voor marktdeelnemers, waarbij de strengste en meest veelomvattende verplichtingen gelden voor fabrikanten, bespraken we al kort in ons eerdere blog. Kort gezegd houden de verplichtingen in dat fabrikanten niet langer een product kunnen lanceren (zonder oog voor beveiliging) en de beveiliging daarvan overlaten aan latere updates (launch-and-forget). In plaats daarvan moeten ze vooraf (ex ante) al aan beveiligingseisen voldoen vóórdat een product in de handel mag worden en ook gedurende de hele levenscyclus van een digitaal product beveiligingsmaatregelen blijven nemen (ex post).
Fabrikanten mogen een product met digitale elementen enkel op de markt brengen indien dit product voldoet aan de essentiële beveiligingseisen zoals opgesomd in Bijlage I van de CRA. Producten, waaronder bepaalde typen software, moeten zodanig worden ontworpen, ontwikkeld en geproduceerd zodat een passend cyberbeveiligingsniveau wordt gewaarborgd (security by design). Zo dient software te worden geleverd met de hoogst mogelijke beveiligingsinstellingen als standaardinstellingen, zonder dat de gebruiker zelf (extra) stappen moet ondernemen om deze in te schakelen (security by default), en automatische beveiligingsupdates moeten altijd aanstaan. De CRA dwingt fabrikanten dus om cyberbeveiliging vanaf de ontwerpfase mee te nemen in digitale producten, cyberrisico’s te beperken en enkel software op de markt te brengen zonder bekende, uitbuitbare kwetsbaarheden (art. 13 lid 1 en 2 CRA).
Producten met digitale elementen moeten verder afdoende veilige authenticatie en autorisatie bevatten, vooral zodat ongeoorloofde toegang wordt beperkt. Daarnaast moet de beschikbaarheid van essentiële- en basisfuncties goed gewaarborgd zijn, vooral tegen DDoS aanvallen waarbij een server, netwerk of website wordt overspoeld met verkeer zodat deze voor gebruikers ontoegankelijk wordt. (Persoons)gegevens moeten goed zijn beschermd door bijvoorbeeld gebruik van encryptie en er wordt gegevensminimalisatie toegepast voor gevoelige (persoons)gegevens. Verder moeten gebruikers de mogelijkheid hebben om bepaalde (persoons)gegevens en instellingen veilig en gemakkelijk te verwijderen en over te dragen naar andere producten of systemen.
De verplichtingen van een fabrikant stoppen niet zodra een product met digitale elementen conform de beveiligingseisen op de markt is gebracht. De fabrikant moet gedurende de verwachte gebruiksduur van een product (de ‘ondersteuningsperiode’) (art. 13 lid 8 en 19 CRA) cyberrisico’s beoordelen, de beveiliging van producten testen en evalueren, veiligheidsupdates verstrekken en kwetsbaarheden aanpakken.
Voor fabrikanten die componenten van derden integreren in hun software geldt deze zorgplicht eveneens (art. 13 lid 5 en 6 CRA). Zo dient een fabrikant bijvoorbeeld te controleren of een component (i) reeds is voorzien van een CE-markering, (ii) regelmatig beveiligingsupdates ontvangt, (iii) op basis van publieke databanken vrij is van kwetsbaarheden en (iv) aanvullende veiligheidstests nodig heeft. De zorgplicht geldt ook ten aanzien van opensourcesoftwarecomponenten, waarvan de broncode openbaar beschikbaar is voor aanpassingen door derden (art. 13 lid 5 CRA). Fabrikanten die dergelijke componenten in hun software integreren zijn verantwoordelijk voor de veiligheid van deze componenten en voor het doorvoeren van beveiligingsupdates.
Fabrikanten moeten verder documentatie over cyberbeveiligingsrisico’s ten minste tien jaar bewaren om naleving met de CRA aan te tonen (art. 13 lid 3, 7 en 13 CRA). Daarnaast moeten contactgegevens worden vermeld op producten (art. 13 lid 16 CRA) en in de gebruikersinstructies, die informatie voor veilige installatie bevatten (art. 13 lid 18 CRA). Naleving aan de CRA moet worden aangetoond door middel van een CE-markering (art. 13 lid 12 CRA). Importeurs en distributeurs mogen uitsluitend producten met digitale elementen in de handel brengen die de CE-markering bevatten en indien de fabrikant overige verplichtingen uit de CRA heeft nageleefd.
Software mag niet worden vrijgegeven met bekende geëxploiteerde kwetsbaarheden (art. 13 lid 6 CRA). Een kwetsbaarheid is in de CRA gedefinieerd als “een zwakheid, vatbaarheid of gebrek van een product met digitale elementen die/dat door een cyberdreiging kan worden uitgebuit’’ (art. 13 lid 40 CRA).
Fabrikanten dienen over een beleid inzake de openbaarmaking van (potentiële) kwetsbaarheden in het product met digitale elementen te beschikken, zodat kwetsbaarheden kunnen worden behandeld en verholpen. Voor zowel kwetsbaarheden als voor ernstige incidenten geldt bovendien een strikte meldplicht. Fabrikanten moeten elke actief uitgebuite kwetsbaarheid in een product met digitale elementen en elk ernstig incident melden aan het Cyber Security Incident Response Team (CSIRT) en aan het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA). Een vroegtijdige waarschuwing moet binnen 24 uur na kennisneming volgen, een gedetailleerd rapport binnen 72 uur, en een definitief rapport binnen 14 dagen tot een maand (art. 14 lid 2, 3 en 4 CRA).
De CRA vereist een langdurige verantwoordelijkheid voor de cybersecurity van producten met digitale elementen, waaronder commercieel in de handel gebrachte software. Het verhandelen van software “as is”, zonder enige vorm van onderhoudsverplichtingen, is voor softwareleveranciers niet meer mogelijk. De verantwoordelijkheid voor de veiligheid van producten met digitale elementen geldt gedurende de volledige levenscyclus, met strikte eisen voor onderhoud en updates.
Het is duidelijk dat softwareleveranciers, ongeacht hun grootte, aanzienlijke verplichtingen zullen moeten naleven om te voldoen aan de nieuwe regelgeving. Bij niet-naleving kunnen fabrikanten boetes opgelegd krijgen tot € 15 miljoen of 2,5% van hun totale wereldwijde jaarlijkse omzet, zoals we in ons eerdere blog al benoemden. Heeft u vragen of heeft u ondersteuning nodig bij het navigeren door deze complexe regelgeving? Neem dan contact met ons op.
