EU raad neemt Cyber Resilience Act (CRA) aan

EU Commissie gebouw christian-lue-C241mbgtgys-unsplash

verordening bedoeld om de hiaten op te vullen en het bestaande wetgevingskader voor cyberbeveiliging coherenter te maken

 

 

De Cyber Resilience Act (CRA) is afgelopen vrijdag door de EU raad aangenomen. De verordening benoemt de cyberbeveiligingseisen voor producten met digitale elementen, om bepaalt dat producten, zoals thuiscamera's, koelkasten, tv's en speelgoed, veilig zijn voordat ze op de markt worden gebracht.

De nieuwe verordening is bedoeld om de hiaten op te vullen, de verbanden te verduidelijken en het bestaande wetgevingskader voor cyberbeveiliging coherenter te maken, zodat producten met digitale componenten, bijvoorbeeld “Internet of Things” (IoT)-producten, veilig worden gemaakt in de hele toeleveringsketen en gedurende hun hele levenscyclus.

Belangrijkste elementen van de nieuwe verordening

De nieuwe wet introduceert EU-brede cyberbeveiligingseisen voor het ontwerp, de ontwikkeling, de productie en het op de markt aanbieden van hardware- en softwareproducten, om overlappende eisen uit verschillende wetgevingen in EU-lidstaten te voorkomen. Software- en hardwareproducten worden bijvoorbeeld voorzien van een CE-markering om aan te geven dat ze voldoen aan de vereisten van de verordening. De letters 'CE' staan op veel producten die worden verhandeld op de uitgebreide interne markt in de Europese Economische Ruimte (EER). Ze geven aan dat producten die in de EER worden verkocht, voldoen aan hoge eisen op het gebied van veiligheid, gezondheid en milieubescherming. De verordening is van toepassing op alle producten die direct of indirect verbonden zijn met een ander apparaat of met een netwerk. Er zijn enkele uitzonderingen voor producten waarvoor de eisen op het gebied van cyberbeveiliging al zijn vastgelegd in bestaande EU-regels, bijvoorbeeld medische apparatuur, luchtvaartproducten en auto's. Ten slotte zal de nieuwe verordening consumenten in staat stellen rekening te houden met cyberbeveiliging bij het kiezen en gebruiken van producten die digitale elementen bevatten, zodat ze gemakkelijker hardware- en softwareproducten met de juiste cyberbeveiligingsfuncties kunnen identificeren.

Volgende stappen

Na de goedkeuring zal het wetgevingsbesluit in de komende weken worden ondertekend door de voorzitters van de Raad en het Europees Parlement en worden gepubliceerd in het Publicatieblad van de EU. De nieuwe verordening treedt twintig dagen na deze publicatie in werking en wordt 36 maanden na de inwerkingtreding van toepassing, waarbij sommige bepalingen eerder van kracht worden.

Achtergrond

De CRA “cyberweerbaarheidswet” is voor het eerst aangekondigd door Commissievoorzitter von der Leyen in haar State of the Union-toespraak in september 2021 en werd genoemd in de conclusies van de Raad van 23 mei 2022 over de ontwikkeling van de cyberhouding van de Europese Unie, waarin de Commissie werd opgeroepen haar voorstel uiterlijk eind 2022 in te dienen. Op 15 september 2022 heeft de Commissie het voorstel voor een CRA ingediend, die een aanvulling zal vormen op het bestaande EU-kader voor cyberbeveiliging: de richtlijn inzake de beveiliging van netwerk- en informatiesystemen (de NIS-richtlijn), de richtlijn inzake maatregelen voor een hoog niveau van cyberbeveiliging in de Unie (de NIS 2-richtlijn) en de EU-cyberbeveiligingswet. Na interinstitutionele onderhandelingen (“trialogen”) is op 30 november 2023 een voorlopig akkoord bereikt tussen de medewetgevers.

 (bron)

Lees ook
KnowBe4 introduceert alles-in-een human risk management platform HRM+

KnowBe4 introduceert alles-in-een human risk management platform HRM+

KnowBe4, het cybersecurityplatform op het gebied van human risk management, introduceert HRM+. Dit alles-in-één platform combineert de security awareness-trainingen van KnowBe4 met de AI-gedreven e-mailbeveiliging van Egress. Het platform zet in op persoonlijke relevantie en flexibiliteit en biedt daarmee uitgebreid beheer van cyberbeveiligingsris1

Voldemort threat update: het onderzoek dat niet genoemd mag worden

Voldemort threat update: het onderzoek dat niet genoemd mag worden

Naar aanleiding van het Voldemort malware threat research van 30 augustus delen analisten van Proofpoint nu nieuwe inzichten. De onderzoekers kunnen inmiddels de Voldemortcampagne toeschrijven aan een dreigingsgroep, namelijk de Chinese dreigingsgroep TA415. Deze groep is ook bekend als APT41 en Brass Typhoon.

Orange Cyberdefense: bedrijven te kwetsbaar bij Cyber Armageddon

Orange Cyberdefense: bedrijven te kwetsbaar bij Cyber Armageddon

Bedrijven zijn onvoldoende voorbereid op een grootschalige, wereldwijde cyberaanval. Een zogeheten ‘Cyber Armageddon’, waarbij veel grote organisaties tegelijkertijd getroffen worden, heeft daardoor ernstige gevolgen. Matthijs van der Wel-Ter Weel, strategisch adviseur bij Orange Cyberdefense, benadrukt het belang van goede voorbereidingen