Brussel publiceert CRA-wet: minimaal 5 jaar updates, meldplicht kwetsbaarheden
De Europese Commissie heeft vandaag in het Publicatieblad van de Europese Unie de Cyber Resilience Act (CRA) gepubliceerd, die onder andere ervoor moet zorgen dat producten minimaal vijf jaar beveiligingsupdates ontvangen. Ook komt er een meldplicht voor actief misbruikte kwetsbaarheden. De CRA treedt op 10 december dit jaar in werking. Vanaf 10 december 2027 moeten alle producten met digitale elementen aan de CRA voldoen.
De Cyber Resilience Act stelt onder andere 'essentiële cyberbeveiligingsvereisten' aan producten met digitale elementen. Het gaat hierbij niet alleen om fysieke, digitale apparaten, zoals IoT-apparatuur, firewalls of netwerkapparatuur, maar ook software zoals videogames, mobiele apps of besturingssystemen en componenten zoals videokaarten en software libraries.
"Twee grote problemen die kosten voor gebruikers en de samenleving met zich meebrengen, moeten worden aangepakt: een laag niveau van cyberbeveiliging van producten met digitale elementen, dat tot uiting komt in wijdverbreide kwetsbaarheden en de ontoereikende en inconsistente verstrekking van beveiligingsupdates om die aan te pakken, en onvoldoende inzicht in en toegang tot informatie door gebruikers, waardoor zij niet in staat zijn producten met passende cyberbeveiligingskenmerken te kiezen of die op een veilige manier te gebruiken", zo staat in de tekst van de CRA.
De eisen die de CRA stelt moeten ervoor zorgen dat. fabrikanten op een veilige manier producten ontwerpen, ontwikkelen en onderhouden. Zo moeten fabrikanten hun product minimaal vijf jaar van beveiligingsupdates voorzien. Ook vereist de wet dat feabrikanten een proces inrichten om te reageren op kwetsbaarheden en om deze direct te kunnen verhelpen, bijvoorbeeld door een beveiligingsupdate te verstrekken.
Meldplicht
Een ander punt is een meldplicht voor actief misbruikte kwetsbaarheden en incidenten. Deze verplichting gaat op 10 september 2026 in. Fabrikanten moeten dergelijke beveiligingslekken binnen 24 uur bij een centraal meldingsplatform rapporteren. In Nederland zou dit het Nationaal Cyber Security Centrum (NCSC) zijn. Verdere informatie zou binnen 72 uur moeten volgen, zoals te nemen mitigatiemaatregelen.Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, waarschuwden eerder nog voor deze meldplicht. De verstrekte informatie zou voor surveillance en inlichtingendoeleinden zijn te misbruiken. Ondanks de zorgen wordt de meldplicht toch ingevoerd.
"De CRA gaat gefaseerd van kracht, zodat fabrikanten de tijd krijgen om aan de nieuwe eisen te voldoen", zo laat de Rijksinspectie Digitale Infrastructuur (RDI) weten. "De eerste achttien maanden staan in het teken van voorbereiding, waarin onder andere geharmoniseerde standaarden ontwikkeld worden." De RDI gaat toezicht op het naleven van de CRA houden.
Bij elke beveiligingsupdate moet je tien jaar kunnen kiezen. Of je geld terug. Of zelf besluiten om te updaten. Bij elke update kan ik namelijk het apparaat niet gebruiken waar ik het voor gekocht heb. En dan volgt de volgende upate weer want ze kunnen gewoon geen goeie spullen leveren. Dan moet jue gewoon recht hebben om je geld terug te krijgen. Net als voor een wasmachine.
Bij elke beveiligingsupdate moet je tien jaar kunnen kiezen. Of je geld terug. Of zelf besluiten om te updaten. Bij elke update kan ik namelijk het apparaat niet gebruiken waar ik het voor gekocht heb. En dan volgt de volgende upate weer want ze kunnen gewoon geen goeie spullen leveren. Dan moet jue gewoon recht hebben om je geld terug te krijgen. Net als voor een wasmachine.
De wet eist MINIMAAL 5 jaar. u kunt natuurlijk altijd met de voeten/beurs stemmen en voor merken kiezen die meerdere jaren support geven. Wat ik mis in het verhaal en de publicatie van de Rijksoverheid is wanneer gaan die 5 jaar in. Is dat na eerste introductie van een product/dienst of na aanschaf van het product/dienst?
In een betere wereld zouden de noodzakelijke beveiligingsupdates minimaal zeven jaar worden gegeven. Dat zou echt wat uitmaken tegen de verspilliing van grondstoffen en de voor de vermindering van de elektronische afvalberg. Uiteraard zou de garantie pas moeten ingaan na aanschaf, maar de fabrikanten zullen zodanig lobbyen dat dat pas na introductie (van het hardware ontwerp) zal zijn. Helaas verouderen de schema's, de chips en de firmware al bij het ontwerp van het ding, en zal de meer privacybewuste consument veiligheidshalve het ding al na drie jaar gebruik moeten vervangen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
