CRA (Cyber Resilience Act)

Definitie

De CRA is EU-wetgeving die producten met digitale elementen verplicht stelt te voldoen aan cybersecurityvereisten gedurende hun volledige levenscyclus. Het is de eerste EU-wetgeving die "secure by design" afdwingbaar maakt.

De Cyber Resilience Act (CRA) is een Europese verordening die verplichte cybersecurity-eisen stelt aan alle producten met digitale elementen die op de EU-markt worden verkocht. De CRA is in 2024 aangenomen en treedt gefaseerd in werking tot 2027, met impact op honderdduizenden hardware- en softwareproducten.

Hoe werkt de CRA?

De CRA introduceert security by design als wettelijke verplichting voor fabrikanten. Producten moeten aan essentieleise voldoen voordat ze op de Europese markt mogen worden gebracht: geen bekende exploiteerbare kwetsbaarheden bij release, standaard veilige configuraties, bescherming van opgeslagen en verzonden data, minimale functionaliteit en aanvalsoppervlak, en de mogelijkheid om beveiligingsupdates te installeren. Fabrikanten zijn verplicht gedurende de verwachte levensduur van het product beveiligingsupdates te leveren.

Productcategorieen

De CRA onderscheidt drie risicoklassen. Standaardproducten (klasse 0) mogen zelf-assessement uitvoeren. Belangrijke producten (klasse I) zoals wachtwoordmanagers, VPN-software en firewalls vereisen geharmoniseerde standaarden of third-party assessments. Kritieke producten (klasse II) zoals smartcards, hardware security modules en industriele automatiseringssystemen vereisen verplichte third-party certificering door een notified body.

Impact voor organisaties

De CRA raakt fabrikanten, importeurs en distributeurs van digitale producten. Fabrikanten moeten een vulnerability handling-proces implementeren, actief gevonden kwetsbaarheden melden bij ENISA binnen 24 uur, en een Software Bill of Materials (SBOM) bijhouden. Open-source software die niet commercieel wordt aangeboden is grotendeels uitgezonderd, maar open-source stewards hebben specifieke verplichtingen. De boetes kunnen oplopen tot 15 miljoen euro of 2,5% van de wereldwijde jaaromzet. Voor Nederlandse en Spaanse technologiebedrijven die producten op de EU-markt brengen is CRA-compliance essentieel.

Bescherming en compliance

Fabrikanten moeten security by design en secure development practices implementeren in hun ontwikkelproces. Dit omvat threat modeling, secure coding, code reviews, dependency scanning en geautomatiseerde beveiligingstests in de CI/CD-pipeline. Een vulnerability disclosure policy is verplicht. Regelmatige pentests valideren de beveiliging van producten. DevSecOps-methodologie integreert beveiliging in elke fase van de ontwikkelcyclus.

Hoe DEFION helpt

DEFION ondersteunt fabrikanten bij CRA-compliance via Code Security Reviews, Web Application Pentests en Secure Development Training. Het CRA Readiness Assessment evalueert de huidige beveiligingspraktijken tegen de CRA-vereisten en levert een concreet verbeterplan.

Gerelateerde termen

DEFION Security helpt organisaties hiermee: