image

"Cyber Resilience Act kan Europese toeleverketens ernstig verstoren"

dinsdag 7 november 2023, 13:22 door Redactie, 21 reacties

De Europese Cyber Resilience Act kan tot grootschalige verstoringen in toeleverketens zorgen, waarschuwen diverse grote elektronicabedrijven. De verstoringen kunnen zelfs vergelijkbaar zijn met de problemen die we de COVID-19 pandemie zagen.

Deze waarschuwing is afkomstig van de European Information, Communications and Consumer Electronics Technology Industry Associations (DIGITALEUROPE), een branchevereniging van bedrijven in de elektronica- en telecommiunicatiesector. Onder meer Ericsson, ESET, Nokia, Robert Bosch, Schneider Electric en Siemens zijn hierbij aangesloten.

Securityrisico's beoordelen en aanpakken

In een brief (pdf) uiten de partijen hun zorgen over de aanstormende Cyber Resilience Act. Deze wet verplicht fabrikanten securityrisico's verbonden aan hun producten te beoordelen en problemen op te lossen gedurende een periode van vijf jaar, of de verwachte levensduur van producten.

DIGITALEUROPE schrijft in de brief gericht aan Eurocommissaris voor de Digitale Interne Markt Thierry Breton en vice-president van de Europese Commissie Vera Jourova dat de Cyber Resilience Act tot bottlenecks in toeleverketens kan leiden. Onder meer door een groot tekort aan onafhankelijke experts voor het uitvoeren van de beoordelingen die de Cyber Resilience Act vereist.

Kan Europese interne markt schaden

De bottlenecks kunnen volgens DIGITALEUROPE de Europese interne markt schaden. De problemen kunnen uiteenlopende producten raken, variërend van wasmachine tot speelgoed, cybersecurityproducten, onderdelen voor warmtepompen en high tech productiesystemen. "We riskeren een COVID-achtige blokkade in Europese toeleverketens te veroorzaken, de interne markt te verstoren en ons concurrentievermogen te beschadigen", aldus DIGITALEUROPE.

Reacties (21)
07-11-2023, 13:32 door Anoniem
Niet nadenken en vervolgens toch ten uitvoer leggen.
Net als met de windmolens en de waterpomp drang.

EU langzamerhand een zich totalitair ontwikkelende ramp.
Dat voor veel gewone eindgebruikers/burgers.

Wie redden nog onze overgebleven autonomie?
07-11-2023, 13:33 door Anoniem
Hang het niet aan internet. 80% van het probleem opgelost. Stop er niks draadloos in. Nog eens 19% opgelost. Blijft over: 1% van het probleem. Klinkt niet ernstig.
07-11-2023, 13:37 door Anoniem
Ransomeware schaadt de interne markt ook.

Als je wat verkoopt dan hoort het vanaf dag één al goed te werken. Is dat het geval, dan hoef je helemaal niks te updaten gedurende vijf jaar, en wellicht nog langer.

Wel handig dat bedrijven die ongeteste spullen vol met zerodays ongehinderd willen blijven verkopen zich in elk geval kenbaar hebben gemaakt. Zoals Ericsson, ESET, Nokia, Robert Bosch, Schneider Electric en Siemens. Verplicht daar dan maar vieze foto's op alle doosjes bij, net als op mijn pakje Marlboro.
07-11-2023, 13:41 door Anoniem
Tja, als je de economie compleet inricht op de inkoop van producten uit China, dan moet je niet verbaasd zijn als dat een probleem oplevert waneer je kwaliteitseisen gaat stellen waar die producenten vanwege hun eigen belangen niet aan kunnen, of eigenlijk mogen, voldoen.
07-11-2023, 14:33 door johanw
De EU is bezig zichzelf kapot te reguleren. Na de sancties tegen Rusland die de EU veel meer pijn doen dan Rusland nu dit weer.
07-11-2023, 15:17 door Anoniem
Door Anoniem: Niet nadenken en vervolgens toch ten uitvoer leggen.
Net als met de windmolens en de waterpomp drang.

EU langzamerhand een zich totalitair ontwikkelende ramp.
Dat voor veel gewone eindgebruikers/burgers.

Wie redden nog onze overgebleven autonomie?

Onze autonomie is prima. Niemand dwingt NL om voor dit voorstel te stemmen. Deze wetgeving is vooral bedoeld om de kwaliteit van producten te verhogen (lees: veiliger ipv lekke prutmeuk uit China). Dat producenten zich nu gaan zorgen maken of dat allemaal goed gaat komen zegt eigenlijk veel meer over de barre kwaliteit van die organisaties en hun producten dan over het feit dat EU (met een lange aanloop) deze eisen voor de interne markt gaat stellen en dat lidstaten dat vervolgens gaan implementeren.
07-11-2023, 15:20 door Anoniem
Door Anoniem: Niet nadenken en vervolgens toch ten uitvoer leggen.
Net als met de windmolens en de waterpomp drang.

EU langzamerhand een zich totalitair ontwikkelende ramp.
Dat voor veel gewone eindgebruikers/burgers.

Wie redden nog onze overgebleven autonomie?

Integendeel. Er wordt goed over nagedacht. Uw reactie getuigd daarentegen van minder nadenkendheid: deze partij heeft er zeker ook een belang bij om dit te roepen. En de wetgevers hebben zeker dit risico ook overwogen, alleen als minder erg ingeschat dan deze partij doet. Mogelijk mede commercieel gemotiveerd.
07-11-2023, 16:22 door Sofie753
Het verbaast me niks dat de industrie wat tegenstribbelt en argumenten probeert te verzinnen om het extra werk dat ze hierdoor moet verrichten niet te hoeven doen. Het wordt de hoogste tijd dat fabrikanten een keer de verantwoordelijkheid nemen voor alle apparatuur die ze op de markt brengen. Door jarenlang onveilige apparaat op de markt te brengen hebben ze bijdragen aan de ontwikkeling van grote botnets die fiks schade toebrengen aan de economie en bestaanszekerheid. Juist om toekomstige COVID-19 achtige situaties te voorkomen waarbij de toeleveringsketen tot stilstand komt is het zaak dat fabrikanten veilige apparuur gaan leveren. En als ze zelf geen verantwoordelijkheid voelen, dan maar via een wet.
07-11-2023, 16:27 door Anoniem
Is bangmakerij door de grote tech bedrijven.
Ik ben in verleden ook software/hardware/product ontwikkelaar geweest en de bedrijven kunnen nu gewoon dit meenemen in de nieuw te maken producten, zodat dit stap voor stap kan worden verbeterd.
En van de meeste apparaten mag je ook verwachten dat deze veel langer meegaan, dan tegenwoordig verkocht wordt. En dat deze ook veilig moeten zijn en blijven is meer dan logisch.
07-11-2023, 17:00 door Chase
De industriële automatisering loopt qua digitale veiligheid al tijden stevig achter op de reguliere automatisering. Ik snap best dat nu versneld een poot bijtrekken niet 1.2.3. geregeld is. Maar dat mag toch geen excuus zijn om digitaal brakke apparatuur te blijven uitleveren? Wat heb ik aan een een ontzettend betrouwbaar en stabiel apparaat als de eerste de beste script-kiddie met een Rubberducky binnen 5 minuten de hele boel ontregelt?

Kunnen we allemaal wel zeggen: Gooi het niet aan het Internet en stop er niets draadloos in. Maar als ik mij eenvoudig fysiek toegang tot een dergelijk stukje automatisering kan verschaffen (en dat kan vaak, want het staat open en bloot in het veld) en ik kan er wat code injecteren, zonder dat er ook maar een mechanisme aanwezig is om dit te detecteren, dan helpen ook die maatregelen niet. En als dan leveranciers zelf draadloze opties in die apparaten stoppen, zonder dat deze goed beveiligd zijn, dan is het hek van de dam.

Helaas hebben we te maken met vergrijzing en moeten we steeds meer objecten centraal gaan bedienen. Niet omdat me n dat
wil, maar vaak omdat men niet ander kan. Een beetje balans in mogelijkheden, capaciteit en regelgeving is zeker noodzakelijk, maar er zijn nu al meer dan voldoende leveranciers (Waarvan er enkele in de brief genoemd staan) die het nu al voor elkaar hebben op veel punten. Dus het voelt een beetje als een smoesje.
Dat krijg je omdat ze alles zo nodig "smart" moeten maken en het ook nog allemaal aan internet hangen via hun eigen cloud speeltjes.
Helemaal nergens voor nodig, vooral het laatste niet.
Kijk bijvoorbeeld maar naar hoe Jura dat voor zijn koffiemachines oplost, prima bruikbaar en zelfs met een app op de smartphone,, maar zonder cloud rommel erachter.
Miele doet precies wat je niet wil en waar dus veel security en privacy risico's aan zitten, tot je locatie gegevens aan toe (geen idee waarom ze die nodig hebben).
Door Sofie753: Het verbaast me niks dat de industrie wat tegenstribbelt en argumenten probeert te verzinnen om het extra werk dat ze hierdoor moet verrichten niet te hoeven doen. Het wordt de hoogste tijd dat fabrikanten een keer de verantwoordelijkheid nemen voor alle apparatuur die ze op de markt brengen. Door jarenlang onveilige apparaat op de markt te brengen hebben ze bijdragen aan de ontwikkeling van grote botnets die fiks schade toebrengen aan de economie en bestaanszekerheid. Juist om toekomstige COVID-19 achtige situaties te voorkomen waarbij de toeleveringsketen tot stilstand komt is het zaak dat fabrikanten veilige apparuur gaan leveren. En als ze zelf geen verantwoordelijkheid voelen, dan maar via een wet.
Volledig mee eens. Het is juist al die internet connected rotzooi die de problemen oplevert.
Nu dit, straks ook alle software (of wacht zat dat hier ook niet al in en is met name de opensource community daar flink over aan het klagen?). Het excuus "het is te lastig" en in software hoek "het is te duur en mijn concurrent doet het ook niet" moet maar eens afgelopen zijn.
Enigste probleem dat over blijft en waar wij in europa erg slecht in zijn is: handhaving.
Door Chase: De industriële automatisering loopt qua digitale veiligheid al tijden stevig achter op de reguliere automatisering. Ik snap best dat nu versneld een poot bijtrekken niet 1.2.3. geregeld is. Maar dat mag toch geen excuus zijn om digitaal brakke apparatuur te blijven uitleveren? Wat heb ik aan een een ontzettend betrouwbaar en stabiel apparaat als de eerste de beste script-kiddie met een Rubberducky binnen 5 minuten de hele boel ontregelt?

Kunnen we allemaal wel zeggen: Gooi het niet aan het Internet en stop er niets draadloos in. Maar als ik mij eenvoudig fysiek toegang tot een dergelijk stukje automatisering kan verschaffen (en dat kan vaak, want het staat open en bloot in het veld) en ik kan er wat code injecteren, zonder dat er ook maar een mechanisme aanwezig is om dit te detecteren, dan helpen ook die maatregelen niet. En als dan leveranciers zelf draadloze opties in die apparaten stoppen, zonder dat deze goed beveiligd zijn, dan is het hek van de dam.

Helaas hebben we te maken met vergrijzing en moeten we steeds meer objecten centraal gaan bedienen. Niet omdat me n dat
wil, maar vaak omdat men niet ander kan. Een beetje balans in mogelijkheden, capaciteit en regelgeving is zeker noodzakelijk, maar er zijn nu al meer dan voldoende leveranciers (Waarvan er enkele in de brief genoemd staan) die het nu al voor elkaar hebben op veel punten. Dus het voelt een beetje als een smoesje.
En warm is dat? Omdat de industriële automatisering zo dom is geweest iets meer dan 10 jaar terug om de rommel uit de office omgevingen, Microsoft Windows enzo, over te nemen want off-the-shelf was veel beter dan custom spul.
prlbeelm probleem: meeste industriële systemen draaien 20-30 jaar, patchen is vaak lastig of onmogelijk (leveranciers, support, benodigde certificeringen van installaties etc.).
Fysiek kun je prima dingen beschermen als het nodig is. Maar waarom zou je er fysiek moeite voor doen als je er remote ook prima bij kan?
07-11-2023, 22:00 door Anoniem
Door johanw: Na de sancties tegen Rusland die de EU veel meer pijn doen dan Rusland nu dit weer.
Als je een zaak niet tot in detail de afgelopen anderhalf jaar hebt gevolgd, dan moet je helemaal voorzichtig zijn om iets stellig te beweren.
08-11-2023, 08:35 door Anoniem
Door Anoniem: Hang het niet aan internet. 80% van het probleem opgelost. Stop er niks draadloos in. Nog eens 19% opgelost. Blijft over: 1% van het probleem. Klinkt niet ernstig.
super goed man, 35 keer de bocht afsnijden, grammetje bagataliseren er bij en je hebt europese problematiek opgelost
08-11-2023, 09:05 door Anoniem
Voor open source projecten (vaak door 1 of 2 paardekoppen bijgehouden, maar door velen gebruikt) word dit wel een dingetje. Als zo'n project niet aan de security-eisen voldoet, loop je het risico dat de EU zomaar toegang tot het hele platform afsluit. Dan zijn Github, NPM, Maven Central, PyPi etc opeens niet meer bereikbaar. De hele keten staat dan direct stil.
08-11-2023, 09:32 door Anoniem
Door Anoniem: Hang het niet aan internet. 80% van het probleem opgelost. Stop er niks draadloos in. Nog eens 19% opgelost. Blijft over: 1% van het probleem. Klinkt niet ernstig.
Je vergeet het probleem dat er mensen zijn die niet weten dat je bijvoorbeeld een lamp ook met een schakelaar
aan en uit kunt zetten, dat je zelf moet nadenken wat er bij gekocht moet worden want die Samsung doet dat niet
meer voor jou. Vergeet vooral de verwarming niet die je zelf wat hoger moet zetten als je thuiskomt, kun je je
voorstellen dat als je thuiskomt het maar zeventien graden is.
08-11-2023, 10:19 door Anoniem
Door een tekort te creëren, wordt het spul extra duur.
Meer BTW en meer productie hier.
Echt een win-win situatie, behalve voor China dan, die hebben dus pech gehad, maar ja dat zijn chinezen....
Hier zit een vreemd luchtje aan!
09-11-2023, 12:32 door Anoniem
Als gevolg van de CRA act worden producten ook minimaal 10 procent duurder.
Maar dan ben je wel veel veiliger hoop je.
09-11-2023, 14:27 door Anoniem
Door Anoniem: Voor open source projecten (vaak door 1 of 2 paardekoppen bijgehouden, maar door velen gebruikt) word dit wel een dingetje. Als zo'n project niet aan de security-eisen voldoet, loop je het risico dat de EU zomaar toegang tot het hele platform afsluit. Dan zijn Github, NPM, Maven Central, PyPi etc opeens niet meer bereikbaar. De hele keten staat dan direct stil.
dan heb je het verkeerd ingericht.c.
11-11-2023, 23:53 door Anoniem
De heer Breton boezemt nou niet bepaald vertrouwen in met z'n EU-plannetjes.

Het afgedwongen overdragen van nationale soevereiniteit naar een federale staat in wording,
kan een gevaarlijk proces zijn.

Denk aan desinfo-bestrijding en beperkingen van de vrijheid van mening, het monitoren
en de opbouw van een surveillancestaat in de steigers.

Al is het nationale parlement tegen worden maatregelen ondanks afkeuringsmoties toch ten uitvoer gelegd
en tekenen de betreffende bewindslieden bij het bekende kruisje.

Veel mensen zijn zowel het vertrouwen in grootcommercie als de komende VS van Europa verloren.

Laat men maar eerst eens iets anders bewijzen, door een eind te maken aan de rondgierende cybercriminaliteit,
maar men sluit liever de anti-corruptie onderzoeksdiensten. Aan de andere kant regelzucht ten over.

Echt, too little and too late.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.