Europese Raad neemt nieuwe wet aan over veiligheidseisen voor digitale producten
Nieuws

Europese Raad neemt nieuwe wet aan over veiligheidseisen voor digitale producten

De Raad heeft een wet goedgekeurd over cyberbeveiligings­vereisten voor producten die digitale elementen bevatten (verordening cyberweerbaarheid). De Verordening Cyberweerbaarheid of Cyber Resilience Act (CRA) moet ervoor zorgen dat producten zoals slimme beveiligings­camera's, koelkasten, tv's en speelgoed veilig zijn voordat ze in de handel worden gebracht.

  • 24 dec. 2024
  • Arbeidsveiligheid, Veiligheidscultuur, Wetgeving

De Verordening Cyberweerbaarheid of Cyber Resilience Act (CRA) is de eerste Europese verordening die minimale cyberbeveiligingseisen oplegt voor alle geconnecteerde producten die in de EU op de markt worden gebracht. De verordening moet de lacunes in de wetgeving dichten, de samenhang tussen wetten verduidelijken en het wetgevingskader voor cyberbeveiliging coherenter maken. Producten met digitale elementen, zoals producten die tot het internet der dingen (Internet of Things) behoren, moeten in de gehele toeleverings­keten en gedurende hun hele levenscyclus veilig kunnen worden gebruikt.

Voornaamste onderdelen

De tekst bevat Europese cyberbeveiligings­voorschriften voor het ontwerp, de ontwikkeling, de productie en het op de markt aanbieden van hardware en software. Een Europese wet moet ervoor zorgen dat er niet in elke EU-lidstaat andere regels gelden. Zo zullen software en hardware worden voorzien van de CE-markering, om aan te geven dat ze voldoen aan deze voorschriften. Op veel producten die in de Europese Economische Ruimte worden verhandeld op de uitgebreide eengemaakte markt, staan de letters "CE". Dat betekent dat ze voldoen aan strenge eisen op het gebied van veiligheid, gezondheid en milieubescherming.

De verordening zal gelden voor alle apparaten die direct of indirect verbonden zijn met een ander apparaat of een netwerk. Een uitzondering zijn producten waarvoor al cyberbeveiligings­vereisten zijn vastgelegd in andere EU-wetten, zoals medische hulpmiddelen, producten voor de luchtvaart en auto's.

Tot slot schept de nieuwe wet meer bewustzijn rond cyberveiligheid zodat consumenten een geïnformeerde keuze kunnen maken bij het kopen en gebruiken van deze hard- of softwareproducten. Het moet voor hen gemakkelijker worden om te zien welke producten goede bescherming bieden op dit vlak.

Voor wie?

Alle fabrikanten die producten op de EU-markt brengen, moeten aan de CRA voldoen, zelfs als ze buiten de EU gevestigd zijn. De CRA is bijvoorbeeld van toepassing op een Amerikaanse ontwikkelaar die een mobiele app verkoopt op Europese telefoons of op een Chinese fabrikant die zonnepanelen verkoopt in België. Bovendien zullen distributeurs en importeurs van aangesloten producten ook voor naleving moeten zorgen.

Wat zijn de nieuwe vereisten?

De belangrijkste nieuwigheid van de CRA is dat het een minimumniveau van cyberveiligheid definieert voor alle geconnecteerde producten die beschikbaar zijn op de EU-markt - iets wat voorheen niet bestond. Bijvoorbeeld:

  • In lijn met het principe van "cybersecurity by design” zullen geconnecteerde producten moeten worden ontworpen met cyberveiligheid in gedachten, bijvoorbeeld door ervoor te zorgen dat gegevens die worden opgeslagen of verzonden met (in) het product worden versleuteld, en dat het aanvalsoppervlak zo beperkt mogelijk is.
  • In overeenstemming met het principe van "cybersecurity by default" moeten de standaardinstellingen van aangesloten producten - waar mogelijk - bijdragen aan het verminderen van kwetsbaarheden, door bijvoorbeeld zwakke standaardwachtwoorden te verbieden en door te voorzien in een automatische installatie van beveiligingsupdates, enz.
  • Om gebruikers te helpen goed geïnformeerde aankoopbeslissingen te nemen, d.w.z. niet alleen op basis van prijs en functionaliteit, maar ook op basis van het niveau van cyberveiligheid, vergroot de CRA de transparantie voor de gebruiker. Ditoor onder meer te eisen dat op het product of de verpakking ervan duidelijk wordt vermeld wanneer de ondersteuning afloopt, d.w.z. de datum tot wanneer de fabrikant zich ertoe verbindt security updates te leveren.
  • Om het delen van informatie over kwetsbaarheden en snelle oplossingen door middel van patching te ondersteunen, zal de CRA vereisen dat alle actief misbruikte kwetsbaarheden en ernstige incidenten die de beveiliging van aangesloten producten beïnvloeden, binnen 72 uur (met een vroegtijdige waarschuwing binnen 24 uur) aan overheidsinstanties worden gemeld. Om het meldingsproces voor fabrikanten gemakkelijk te maken en een veilige en efficiënte uitwisseling van de gegevens tussen de Europese Computer Security Incident Response Teams (CSIRT's) en ENISA te garanderen, voorziet de CRA in de oprichting van één nieuw centraal meldingsplatform met verschillende nationale "eindpunten".

Wanneer treedt de CRA in werking?

Omdat de CRA een EU-verordening en geen richtlijn is, zal deze rechtstreeks van toepassing zijn in alle EU-landen zonder dat nationale omzetting nodig is. Er is echter een overgangsperiode voorzien om ervoor te zorgen dat marktdeelnemers voldoende tijd hebben om zich aan te passen aan de nieuwe vereisten. De verordening is van toepassing vanaf 11 december 2027.

Meer informatie

Bron: Europese Raad, Center for Cybersecurity Belgium

Gerelateerde opleidingen

Incidentanalyse

Incidentanalyse

  • Veiligheidscultuur, Arbeidsveiligheid, Kwaliteit
  • Ondernemerscentrum Roeselare
  • In Company
  • 2 dagen
  • 505
Oorzaken onderzoeken bij arbeidsongeval

Oorzaken onderzoeken bij arbeidsongeval

  • Arbeidsveiligheid
  • Officenter Aalst
  • In Company
  • Eén dag
  • 365
Soorten, beheer en inhoud van Werkvergunningen

Soorten, beheer en inhoud van Werkvergunningen

  • Arbeidsveiligheid
  • Link 21
  • In Company
  • Eén dag
  • 195
Plannen, voorbereiden en opvolgen van keuringen

Plannen, voorbereiden en opvolgen van keuringen

  • Veiligheidscultuur, Wetgeving, Arbeidsveiligheid
  • Link 21
  • In Company
  • Eén dag
  • 195

Veiligheidsnieuws

Veiligheidsnieuws is hét vakblad voor preventieadviseurs. Het bevat artikels, praktijkcases, nieuwe trends, onderzoeken … Het verschijnt 4 maal per jaar (72 pagina's) in maart, juni, september en december met een oplage van meer dan 8.000 exemplaren (6.500 print en 1.500 digitaal).

Gerelateerde artikels & podcasts

Nieuws

Hoe bereiden we ons voor op noodsituaties?

In België zijn verschillende risico’s aanwezig. Het Nationaal Crisiscentrum (NCCN) heeft als opdracht ons land en onze bevolking weerbaarder te maken tegen deze risico’s. Maar ook als burger kan je een belangrijke rol spelen voor je eigen veiligheid en die van je naasten.
  • Veiligheidscultuur, Psychosociaal, Vertrouwenspersoon
  • 23 dec. 2024
Nieuws

Duurzaamheidsrapportering: wetgevingsproces en wettelijke basis

Op 24 oktober 2024 werd in de Kamer het wetsontwerp betreffende de openbaarmaking van duurzaamheidsinformatie door bepaalde vennootschappen en groepen en de assurance van duurzaamheidsinformatie ingediend. Op 20 december 2024 werd de wet in het Belgisch Staatsblad gepubliceerd
  • Wetgeving, Milieu
  • 23 dec. 2024

Schrijf je in voor onze nieuwsbrief

Schrijf je hieronder in op één of meerdere van onze nieuwsbrieven of verken eerste even onze voorbeelden.

Nieuwsbrief

Het laatste nieuws in de preventiewereld, inclusief tips & tricks, ...

Tweewekelijks

Vacatureflash

Overzicht van de nieuwe vacatures in de preventiewereld

Elke donderdag

Opleidingen

Prenne, opleidingen, provinciale activiteiten, ...

Wekelijks

Starters

Infomail waar we starters wegwijs maken in de preventiewereld

Driemaandelijks