De EU Cyber Resilience Act (CRA) en biometrische toegangscontrole
Met de Cyber Resilience Act (Verordening (EU) 2024/2847) introduceert de Europese Unie bindende cybersecurity-eisen voor producten met digitale elementen die op de EU-markt worden gebracht.
De verordening richt zich rechtstreeks op fabrikanten. Cybersecurity moet aantoonbaar zijn geïntegreerd in het productontwerp, de update-architectuur en het beheer van kwetsbaarheden gedurende de volledige levenscyclus. Voor biometrische toegangscontrolesystemen betekent dit dat architectuurkeuzes bepalend worden. Netwerkconnectiviteit, remote beheer en cloudintegratie vergroten de technische en juridische complexiteit onder de CRA. Systemen met een beperkte aanvalsvector, lokale besluitvorming en gecontroleerde updateprocessen sluiten doorgaans beter aan bij de essentiële cybersecurity-eisen uit Bijlage I van de verordening.
Daarnaast beïnvloedt de CRA indirect aanbestedingen en leveranciersbeoordelingen. Organisaties die onder de NIS2-richtlijn vallen, moeten hun toeleveringsketen actief beoordelen op cyberrisico’s. Productarchitectuur en lifecycle-beheer worden daarmee expliciete beoordelingscriteria. Onder de CRA wordt cybersecurity een architectuurvraagstuk: keuzes in systeemontwerp, interfaces en updatecontrole bepalen het compliance-profiel van het product.
Statement of Compliance – Palm-ID Card
Voor organisaties die de technische onderbouwing wensen te beoordelen, is een formele Statement of Compliance beschikbaar met betrekking tot de Cyber Resilience Act. Dit document beschrijft onder meer de gesloten systeemarchitectuur van de Palm-ID Card, de minimale aanvalsvector en de onderbouwing van de productclassificatie onder de CRA. De Statement of Compliance wordt op verzoek verstrekt aan organisaties die het product in het kader van regelgeving of risicobeoordeling wensen te evalueren. Aanvragers wordt gevraagd hun organisatiegegevens te vermelden. De verstrekte informatie wordt uitsluitend gebruikt voor de toezending van het document.