De 13 essentiële beveiligingsvereisten onder de Cyber Resilience Act: waar moet je als fabrikant aan voldoen?

In een steeds meer verbonden digitale samenleving neemt de afhankelijkheid van veilige producten met een digitale component sterk toe. Om de weerbaarheid van deze producten te vergroten introduceerde de Europese Commissie de Cyber Resilience Act (CRA). Deze verordening legt uitgebreide verplichtingen op aan fabrikanten, distributeurs en importeurs van hardware en software.

In onze eerdere blog "Inleiding tot de Cyber Resilience Act" beschrijven wij de hoofdlijnen van deze wetgeving. In deze blog zoomen we in op één specifiek onderdeel, namelijk de essentiële beveiligingsvereisten uit bijlage 1 van de CRA, waarin is vastgelegd aan welke eisen producten met digitale elementen moeten voldoen. Wat betekent dat precies, en hoe geef je daar concreet invulling aan in productontwikkeling? Dat leggen we uit aan de hand van een praktijkvoorbeeld.

Cyberveiligheid geen optie meer

De CRA stelt een nieuwe standaard voor het beveiligen van digitale producten en vereist dat organisaties beveiliging integreren gedurende de gehele productlevenscyclus. In de praktijk betekent dit dat beveiliging niet achteraf wordt toegevoegd, maar vanaf het begin een integraal onderdeel is van het productontwikkelingsproces ook wel Security by Design genoemd. Het niet naleven van deze cyberbeveilingsvereisten, of de bijbehorende verplichtingen rond risicobeoordeling en conformiteitsprocedures (Artikel 64 van de CRA), kan leiden tot fikse boetes tot 15 miljoen euro, of 2,5% van de wereldwijde jaaromzet van het voorgaande boekjaar (afhankelijk van welk bedrag hoger is). De EU wil hiermee afdwingen dat organisaties cyberveiligheid serieus nemen en beveiliging niet langer als optioneel behandelen.

Voorbeeld: Een slimme deurbel

Stel je voor: je ontwikkelt een slimme deurbel met beeld, geluid(detectie), WiFi-verbinding, een app waarmee gebruikers op afstand kunnen zien/horen en communiceren. Een product dat privacygevoelige gegevens verwerkt en voortdurend met het internet is verbonden, brengt aanzienlijke beveiligingsrisico’s met zich mee. Om dergelijke risico’s structureel te beheersen, zijn fabrikanten verplicht te voldoen aan de volgende beveiligingseisen:

  1. Geen bekende kwetsbaarheden: Je mag geen producten op de markt brengen waarvan je weet dat ze makkelijk gehackt kunnen worden. Dit vereist dus een actieve inspanning om voorafgaand aan de release van het product systematisch te controleren op kwetsbaarheden. Bijvoorbeeld door softwarecomponenten te updaten, dependency-scanners in te zetten en penetratietests uit te voeren.
  2. Standaard beveiligde configuratie: De slimme deurbel moet standaard zo zijn ingesteld dat de beveiliging optimaal is. Bij eerste gebruik moet de gebruiker een wachtwoord instellen en externe functies zoals het live streamen van videobeelden via internet moeten standaard uitgeschakeld zijn, tenzij de gebruiker deze expliciet activeert.
  3. Beveiligingsupdates: Het product moet zo worden ontworpen dat beveiligingsupdates mogelijk zijn en dat deze standaard automatisch worden geïnstalleerd binnen een redelijke termijn, tenzij de gebruiker daar expliciet voor kiest (opt-out). Voor de slimme deurbel betekent dit dat de firmware automatisch moet kunnen worden geüpdatet. Gebruikers moeten hierover worden geïnformeerd en updates moeten standaard worden geïnstalleerd, tenzij de gebruiker actief anders kiest.
  4. Bescherming tegen ongeoorloofde toegang: De toegang tot de app en het apparaat moet worden beschermd via authenticatie zoals multifactorauthenticatie (MFA). De gebruikerssessie moet veilig zijn vanaf het moment van inloggen tot aan afmelden of automatische afmelding. Bij verdachte inlogpogingen moet er bovendien een waarschuwing volgen.
  5. Beschermen van vertrouwelijkheid van gegevens: Beelden, geluidsopnamen en gebruikersgegevens moeten versleuteld worden opgeslagen en verzonden. End-to-end encryptie is hierbij aan te raden.
  6. Bescherming van gegevensintegriteit: De slimme deurbel moet zo ontworpen zijn dat het voorkomt dat gegevens, instellingen, commando’s of software ongemerkt gemanipuleerd of gewijzigd kunnen worden. De slimme deurbel moet tevens kunnen detecteren of een bestand of configuratie is gewijzigd en dit melden aan de gebruiker.
  7. Minimale gegevensverwerking: De slimme deurbel mag alleen gegevens verzamelen die noodzakelijk zijn. Geen onnodige tracking, profiling of opslag van metadata zonder duidelijke functionele reden.
  8. Waarborging van beschikbaarheid: De basisfunctionaliteiten van de slimme deurbel moeten ook bij een storing beschikbaar blijven, of automatisch herstellen na een herstart. Denk aan lokale opslag of buffering van videobeelden als de internetverbinding tijdelijk wegvalt.
  9. Beperking van negatieve impact op andere systemen: De deurbel mag het netwerk niet overbelasten of andere apparaten storen. Bijvoorbeeld door het gebruik van bandbreedte te beperken of onnodig achtergrondverkeer te reduceren.
  10. Beperken van aanvalsvlak: De deurbel moet zodanig ontworpen, ontwikkeld en geproduceerd zijn dat de aanvalsoppervlakte, de plek waar een hacker het systeem binnen kan komen, zo klein mogelijk blijft. Elk extern contactpunt, zoals WiFi, Bluetooth, API, moet daarom worden beoordeeld op risico’s. Beperk het aantal openstaande poorten tot wat strikt noodzakelijk is en voorkom toegangsmogelijkheden die geen functioneel doel dienen.
  11. Beperken van gevolgen van incidenten: De slimme deurbel moet zo worden ontworpen, ontwikkeld en geproduceerd, dat mocht er een incident plaatsvinden (denk aan een hack), de schade beperkt blijft. Dit kan bijvoorbeeld door het implementeren van fallback-mechanismen, logging en automatische resets bij aanvalssignalen.
  12. Logging en monitoring: De slimme deurbel moet bijhouden wie wanneer inlogt, wat er wordt gewijzigd en of er afwijkingen plaatsvinden. Deze logs moeten beschikbaar zijn voor audits en forensisch onderzoek.
  13. Veilige verwijdering van gegevens: Als een gebruiker zijn slimme deurbel verkoopt of wegdoet, moeten alle gegevens permanent gewist kunnen worden. Eventuele overdracht van gegevens naar een nieuwe gebruiker moet veilig en controleerbaar zijn.

Meer dan compliance: bouwen aan vertrouwen

Het zou vanzelfsprekend moeten zijn dat een goed digitaal product ingebouwde beveiliging heeft, maar in de praktijk zien we vaak dat het pas achteraf wordt toegevoegd. De Cyber Resilience Act maakt een einde aan vrijblijvendheid in productbeveiliging. Met Bijlage I lid 2 sub a t/m m worden ontwikkelteams niet alleen aangespoord, maar verplicht om beveiliging vanaf de tekentafel mee te nemen, als structureel onderdeel van ontwerp, ontwikkeling en onderhoud. Niet als een last, maar als een kans om duurzame, betrouwbare en wettelijk conforme producten te leveren. Wie nu bewust investeert in een risico gestuurd ontwikkelproces met ingebouwde beveiliging, ontwikkelt niet alleen veiliger producten, maar ook een sterker concurrentievoordeel.

Heb je vragen? Wij helpen je graag!

Stel je vraag via het contactformulier of bel ons direct op 020 663 1941.

Terug naar overzicht