Timelex
Éminent cabinet belge d’avocats
Menu

De Europese Cyber Resilience Act in de schaduw van de AI Act

Author info
Pedro Demolder
Pedro Demolder
Bernd Fiten
Bernd Fiten
20/03/2024
Cybersecurity

In het midden van de opmerkelijke passage van de AI Act, ontvouwde zich een andere cruciale maar misschien minder bekende gebeurtenis. De European Cyber Resilience Act, beter bekend als de "CRA", werd onlangs aangenomen door het Europees Parlement. In deze blog wordt uitgelegd waarom de CRA naar verwachting van grote invloed zal zijn op veel organisaties.

Wat is het toepassingsgebied van de CRA?

De Europese Commissie wil met de Cyber Resilience Act een baseline vaststellen voor cyberbeveiliging in producten met digitale elementen, ook wel “PDE’s” genoemd. De CRA gebruikt een methodologie die al bekend is voor andere gereguleerde producten, zoals de Radio Equipment Directive (RED), Medical Device Regulation (MDR), maar ook de onlangs aangenomen AI Act. De methodologie is dat dergelijke wetgeving organisaties ook verplicht om conformiteitsbeoordelingen uit te voeren op basis van essentiële eisen en om processen en procedures te installeren om kwetsbaarheden en compliance kwesties te behandelen.

De CRA hanteert een horizontale aanpak, wat betekent dat het van toepassing is ongeacht het product en de sector waarin het product met digitale elementen ("PDE") zal worden gebruikt. Bepaalde producten die aanvullend worden gekwalificeerd als producten met digitale elementen en die al onder andere Europese regels vallen, zijn echter (gedeeltelijk) uitgesloten van het toepassingsgebied van de CRA.

Aangezien de CRA bedoeld is als baseline voor cyberbeveiliging, wordt verwacht dat deze een zeer grote impact zal hebben in bijna alle sectoren. Hoewel het er dus op lijkt dat de AI Act momenteel de hele show steelt, zal de CRA waarschijnlijk een directere impact hebben op veel organisaties dan de AI Act.

Categorieën van producten met digitale elementen

De CRA bestrijkt een breed scala aan producten, aangezien PDE's zowel hardware als software omvatten, en verdeelt producten in vier categorieën:

  1. Algemene producten met digitale elementen, die als restcategorie fungeren (d.w.z. producten die in geen enkele andere categorie vallen).
  2. Belangrijke producten met digitale elementen van klasse I, waaronder standalone browsers, wachtwoordmanagers, VPN's, etc.
  3. Belangrijke producten met digitale elementen van klasse II, waaronder firewalls, sabotagebestendige microprocessoren, enz.
  4. Kritische producten met digitale elementen, waaronder meer producten van meer technische aard, zoals smartcards, beveiligde elementen, hardware met beveiligingskastjes, enz.

Deze categorisering is vergelijkbaar met de categorisering onder de NIS2-richtlijn.

Wanneer worden de bepalingen van de CRA van kracht?

Het Europees Parlement heeft op 12 maart 2024 over de CRA gestemd. Naar verwachting gaat de CRA nu haar laatste wetgevende fase in. Als de Raad, zoals verwacht, de CRA in april goedkeurt, wordt deze gepubliceerd in het Publicatieblad van de Europese Unie en  treedt de CRA twintig dagen later in werking. Dit betekent dat de CRA waarschijnlijk in april of juni 2024 in werking zal treden.

De bepalingen van de CRA worden 36 maanden na de inwerkingtreding van de CRA van kracht. Er zijn echter twee uitzonderingen:

  • De meldingsplicht voor fabrikanten van PDE's met actieve kwetsbaarheden en ernstige incidenten wordt 21 maanden na de inwerkingtreding van de CRA van kracht.
  • De bepalingen over conformiteitsbeoordelingsinstanties worden 18 maanden na de inwerkingtreding van de CRA van kracht.

Acties die organisaties vandaag kunnen ondernemen om te voldoen aan de CRA

Het is cruciaal voor organisaties om vandaag te starten met zich voor te bereiden, aangezien compliance met de CRA onvermijdelijk tijd zal kosten.

Relevante acties die organisaties kunnen ondernemen, zijn onder andere de volgende:

  1. Producten en diensten (inclusief software) beoordelen en categoriseren als PDE's binnen hettoepassingsgebied van de CRA. Het uitgebreide toepassingsgebied van de CRA betekent dat veel producten en diensten onder het toepassingsgebied kunnen vallen.
  2. Het bepalen van de toepasselijke vereisten van de CRA. Gezien de brede reikwijdte van de CRA zullen de nalevingsvereisten ongetwijfeld op verschillende manieren worden geïnterpreteerd en toegepast, afhankelijk van de specifieke PDE's in kwestie.
  3. PDE's aanpassen om aan de vastgestelde criteria te voldoen. Dit kan aanzienlijke aanpassingen vereisen, vooral voor producten in een vergevorderde ontwikkelingsfase of producten met een gevestigde marktaanwezigheid.
  4. Samenstellen van de vereiste documentatie om te voldoen aan de CRA-standaarden. Dit omvat updates van technische dossiers, herzieningen van juridische documenten en het opstellen van procedures voor kwetsbaarheidsbeheer.
  5. Een conformiteitsbeoordeling uitvoeren, intern of via een verplichte externe partij, gebaseerd op de categorisatie van de PDE's. Voor organisaties met gereguleerde producten onder andere wetgevingen is dit proces wellicht beter beheersbaar.
  6. Procedures implementeren om de naleving te handhaven en adequaat te reageren op veranderingen en voorvallen, met voortdurende erkenning van de veranderende eisen op het gebied van cyberbeveiliging, aangezien dit gebied inherent dynamisch is.

Voor meer informatie kunt u contact opnemen met Pedro Demolder en Bernd Fiten.

Related posts