Wet Cyber Weerbaarheid - Cyber Resilience Act (CRA)

De EU Cyber ​​Resilience Act (CRA) verbetert de cyberbeveiligingsnormen voor producten die een digitaal component bevatten, waardoor de cyberbeveiliging gedurende de hele levenscyclus van deze producten wordt gegarandeerd. Ook technische installaties en apparaten die een digitaal component bevatten, zijn alomtegenwoordig in ons dagelijks leven. Minder duidelijk voor veel gebruikers is het beveiligingsrisico dat dergelijke producten en software met zich mee kunnen brengen.

Cyberbeveiligingswet (NIS2-richtlijn)

In het licht van alle digitale ontwikkelingen is er al sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. In Nederland wordt de NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw).

Al in werking getreden is de NIS  ‘Network and Information Security’ en deze heeft ook betrekking op cybersecurity. Het is een Europese richtlijn waarvan de bestaat is dat veel installateurs er nog nooit van gehoord hebben. Dat is ook niet zo raar, want de huidige richtlijn geldt in Nederland slechts voor 60 bedrijven die werkzaamheden verrichten voor de vitale infrastructuur van ons land.

Met NIS2 komt daar verandering in en krijgen vele duizenden bedrijven er mee te maken.; al gauw meer dan 4.000 Nederlandse bedrijven , waaronder veel installateurs. In de EU gaat het in totaal om zeker 160.000 bedrijven. NIS is bedoeld om Europa op cybersecuritygebied veiliger te maken. NIS geldt al sinds 2018 en is in Nederland geïmplementeerd in de WBNI, de Wet Beveiliging Netwerk- en Informatiesystemen. Deze wet geldt voor een groep zogeheten ‘aanbieders essentiële diensten’ en ‘digital service providers’. Dit zijn bedrijven die tot de vitale infrastructuur van ons land behoren of daar aan werken. Voor deze bedrijven geldt vooral een meldingsplicht als zij cybersecurity-incidenten waarnemen en ze dienen hun zaken aantoonbaar op orde te hebben.

NIS2 moet Europa online een stuk veiliger maken. Ook installateurs moeten hiermee aan de slag. De nieuwe wet- en regelgeving zorgt ervoor dat installateurs nadrukkelijker betrokken worden bij de digitale weerbaarheid van hun klanten. Wat gaat er precies veranderen en waar zullen installateurs straks rekening mee moeten houden?

NIS2 gaat een stuk verder dan NIS en stelt veel steviger eisen. Zo wordt de zorgplicht die al deels in NIS zit, flink uitgebreid. Dat betekent bijvoorbeeld dat er ook een verplichting komt om installaties of netwerken structureel te monitoren. Daarbij komt ook ketenaansprakelijkheid om de hoek kijken.

Wat men met NIS2 beoogt, is dat de gehele keten van opdrachtgever tot opdrachtnemer en al diens onderaannemers, in elk project heel bewust gaat kijken naar de risico’s op het gebied van cybersecurity en deze voldoende vermindert. In deze gehele keten dient de kennis van cybersecurity dus flink opgeschroefd te worden. Daarbij voorziet de nieuwe richtlijn ook nog eens in de mogelijkheid dat de overheid in bepaalde gevallen, waar verplichtingen niet worden gevolgd, boetes kan opleggen.’

Bij NIS2 is de opdrachtgever heel duidelijk als eerste aan zet. De opdrachtgever van een installatie of een project dient in zijn opdracht of bestek duidelijk te specificeren aan welke eisen dit project moet voldoen. Naast eisen ten aanzien van bijvoorbeeld technische specificaties, prestaties of energiegebruik komen daar nu ook cybersecurity-eisen bij. Dat hoeft men niet zozeer te doen door heel specifiek technische security-eisen te beschrijven, maar wel door te verwijzen naar normen, zoals IEC 62443.’

IEC 62443 is een internationale reeks van normen die zich bezighoudt met cyberbeveiliging voor operationele technologie in automatiserings- en controlesystemen. De standaard is onderverdeeld in verschillende secties en beschrijft zowel technische als proces gerelateerde aspecten van cybersecurity van automatisering- en controlesystemen. Ook de manier waarop een bedrijf een installatie ontwerpt en daarin cybersecurity meeneemt wordt dus in deze norm beschreven.

De CRA

De CRA heeft tot doel consumenten en bedrijven die software- of hardware producten met een digitale component kopen, te beschermen. De CRA pakt het ontoereikende niveau van cyberbeveiliging in veel producten aan, en het gebrek aan tijdige beveiligingsupdates voor producten en software. Het pakt ook de uitdagingen aan waarmee consumenten en bedrijven momenteel worden geconfronteerd bij het bepalen welke producten cyberveilig zijn en bij het veilig opzetten ervan. De nieuwe eisen zullen het makkelijker maken om rekening te houden met cybersecurity bij het selecteren en gebruiken van producten die digitale elementen bevatten. Het zal eenvoudiger zijn om hardware- en softwareproducten met de juiste cyberbeveiligingsfuncties te identificeren.

De CRA introduceert verplichte cyberbeveiligingsvereisten voor fabrikanten en detailhandelaren, die de planning, het ontwerp, de ontwikkeling en het onderhoud van dergelijke producten regelen. Aan deze verplichtingen moet in elke fase van de waardeketen worden voldaan. De wet verplicht fabrikanten ook om zorg te verlenen tijdens de levenscyclus van hun producten. Sommige cruciale producten die van bijzonder belang zijn voor de cyberbeveiliging zullen ook een beoordeling door een derde partij door een bevoegde instantie moeten ondergaan voordat ze op de EU-markt worden verkocht.

De verordening is van toepassing op alle producten die direct of indirect zijn aangesloten op een ander apparaat of netwerk, met uitzondering van specifieke uitsluitingen, zoals bepaalde open-source software of dienstenproducten die al onder de bestaande regels vallen, wat het geval is voor medische apparatuur, de luchtvaart en auto's. Producten zullen de CE-markering dragen om aan te geven dat ze voldoen aan de CRA-eisen. De nieuwe regels zullen de verantwoordelijkheid ten opzichte van fabrikanten opnieuw in evenwicht brengen, die ervoor moeten zorgen dat hun producten met digitale elementen voldoen aan de cyberbeveiligingsnormen voor de EU-markt. Hierdoor kan men beter geïnformeerde beslissingen nemen en vertrouwen op de cyberbeveiliging van producten met CE-markering.

Op 10 december 2024 is de Cyberweerbaarheidswet in werking getreden. De belangrijkste door de CRA geïntroduceerde verplichtingen zijn vanaf 11 december 2027 van toepassing.

De ingenieurs van het team van de DIA Groep nemen bij hun onafhankelijk, duurzaam advies op het gebied van installatietechniek, exploitatie en brandveiligheid te allen tijde de cyberweerbaarheid van installaties en systemen en de daarmee samenhangende digitale connectie ten behoeve van monitoring, onderhoud en reparaties nauwlettend in ogenschouw.