Van https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act.
Wat is de European Cyber Resilience Act (CRA)?
De European Cyber Resilience Act is een wettelijk kader dat de cybersecurityvereisten beschrijft voor hardware- en softwareproducten die op de markt van de Europese Unie worden gebracht. Fabrikanten zijn nu verplicht om beveiliging serieus te nemen gedurende de hele levenscyclus van een product.
Vóór de European Cyber Resilience Act pakten de verschillende wetten en initiatieven die op Unie- en nationaal niveau werden genomen, de geïdentificeerde cybersecuritygerelateerde problemen en risico's slechts gedeeltelijk aan, waardoor er een wetgevend lappendeken binnen de interne markt ontstond.
Het verhoogde de rechtsonzekerheid voor zowel fabrikanten als gebruikers van die producten en voegde een onnodige last toe aan bedrijven om te voldoen aan een aantal vereisten voor vergelijkbare soorten producten.
De cybersecurity van deze producten heeft een bijzonder sterke grensoverschrijdende dimensie, aangezien producten die in één land worden geproduceerd, vaak door organisaties en consumenten in de hele interne markt worden gebruikt.
Er worden twee belangrijke problemen aangepakt:
1. Het lage niveau van cyberbeveiliging van producten met digitale elementen, weerspiegeld door wijdverbreide kwetsbaarheden en de ontoereikende en inconsistente levering van beveiligingsupdates om deze aan te pakken.
2. Het ontoereikende begrip en de toegang tot informatie door gebruikers, waardoor ze geen producten met adequate cyberbeveiligingseigenschappen kunnen kiezen of deze op een veilige manier kunnen gebruiken.
Onder bepaalde omstandigheden kunnen alle producten met digitale elementen die geïntegreerd zijn in of verbonden zijn met een groter elektronisch informatiesysteem dienen als aanvalsvector voor kwaadwillende actoren.
Als gevolg hiervan kunnen zelfs hardware en software die als minder kritisch worden beschouwd, de initiële inbreuk op een apparaat of netwerk vergemakkelijken, waardoor kwaadwillende actoren bevoorrechte toegang tot een systeem kunnen krijgen of zich lateraal tussen systemen kunnen verplaatsen.