De impact van de Cyber Resilience Act wordt in de praktijk nog vaak onderschat. De vragen die wij vaak krijgen:
- Wie moet voldoen aan de CRA?
- Wat betekent dit als je geen fabrikant bent?
- Waarom is dit relevant zonder NIS2-verplichting?
- Hoe beoordeel je of een leverancier compliant is?
- Waarom hebben veel systemen dit nog niet op orde?
De kern:
De manier waarop een systeem is ontworpen bepaalt het risico, niet alleen of het functioneert. Dit geldt voor alle producten met digitale elementen, en in het bijzonder voor systemen die direct onderdeel zijn van fysieke beveiliging, zoals toegangscontrole.
Veel gestelde vragen over de Cyber Resilience Act (CRA)
Wie moet voldoen aan de CRA?
De Cyber Resilience Act richt zich primair op fabrikanten van producten met digitale elementen die op de EU-markt worden gebracht. Dat zijn producenten van hardware en software, waaronder ook leveranciers van toegangscontrolesystemen, controllers en embedded systemen. De formele nalevingsplicht ligt dus bij de fabrikant.
Wij produceren niets. Wat hebben wij hier dan mee te maken?
De CRA legt de nalevingsplicht bij fabrikanten. Voor uw organisatie betekent dit dat de cybersecuritykwaliteit van ingekochte producten niet langer vrijblijvend is. De manier waarop een product is ontworpen en onderhouden, bepaalt mede uw operationele en beveiligingsrisico.
Voor organisaties die onder NIS2 vallen is leveranciersrisico wettelijk onderdeel van de zorgplicht. Voor andere organisaties wordt dit steeds vaker onderdeel van governance, verzekeringseisen en contractuele afspraken.
Voor organisaties die onder NIS2 vallen is leveranciersrisico wettelijk onderdeel van de zorgplicht. Voor andere organisaties wordt dit steeds vaker onderdeel van governance, verzekeringseisen en contractuele afspraken.
Wij vallen niet onder NIS2. Waarom is dit dan relevant voor ons?
De cybersecuritykwaliteit van de producten die u inkoopt bepaalt direct uw operationele risico. Een toegangscontrolesysteem zonder structureel onderhoud, gecontroleerd updatebeleid of met onnodige netwerkblootstelling kan leiden tot verstoring van bedrijfsprocessen, dataverlies en reputatieschade. Bij verwerking van biometrische gegevens kan dit bovendien gevolgen hebben onder de AVG (GDPR).
Hoe kan ik beoordelen of een leverancier zijn CRA-verantwoordelijkheid serieus neemt?
Vraag om concrete technische onderbouwing: inzicht in productarchitectuur, updatebeleid en kwetsbaarheidsafhandeling.
De CRA-verantwoordelijkheid en bijbehorende documentatie vormen de basis om een product inhoudelijk te beoordelen.
Blijft dit vaag of volgt slechts een algemeen antwoord zonder technische onderbouwing, dan ontbreekt de noodzakelijke transparantie.
De CRA-verantwoordelijkheid en bijbehorende documentatie vormen de basis om een product inhoudelijk te beoordelen.
Blijft dit vaag of volgt slechts een algemeen antwoord zonder technische onderbouwing, dan ontbreekt de noodzakelijke transparantie.
Waarom heeft een producent dit mogelijk niet op orde?
Veel digitale producten zijn jaren geleden ontworpen vanuit een andere technische en regelgevende context. Architecturen met brede netwerktoegang, remote beheer of beperkte updatecontrole waren destijds gebruikelijk.
Wanneer dergelijke systemen niet vanaf het begin zijn ontworpen met lifecycle-security en gecontroleerd updatebeheer als uitgangspunt, kan aanpassing achteraf technisch complex of kostbaar zijn.
Wanneer dergelijke systemen niet vanaf het begin zijn ontworpen met lifecycle-security en gecontroleerd updatebeheer als uitgangspunt, kan aanpassing achteraf technisch complex of kostbaar zijn.
Wat betekent dit voor u als gebruiker?
Wanneer een bestaande architectuur moeilijk aanpasbaar is, kan dit gevolgen hebben voor updates, beveiligingsverbeteringen en toekomstige ondersteuning.
De technische basis van een systeem bepaalt direct hoe veilig en toekomstbestendig het is.
De technische basis van een systeem bepaalt direct hoe veilig en toekomstbestendig het is.