EU verplicht minimaal vijf jaar beveiligingsupdates voor producten

[Captain Kirk]

De EU-lidstaten en het Europees Parlement hebben een voorlopig politiek akkoord bereikt over de Cyber Resilience Act (CRA), waardoor fabrikanten hun producten minimaal vijf jaar lang van beveiligingsupdates moeten voorzien. Daarnaast moeten digitale producten – zowel software, hardware als componenten – naar verwachting vanaf 2027 voldoen aan uitgebreide eisen en standaarden op het gebied van cyberveiligheid. Apparaten die als 'cyberonveilig' worden bestempeld mogen dan niet meer op de Europese markt worden aangeboden.

De CRA is een wettelijke uitbreiding op een eerder besluit om al per 2025 cybersecurityeisen te stellen aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen via de Radio Equipment Directive (RED). De CRA is straks breder dan de RED en geldt niet alleen voor draadloos verbonden apparaten, maar voor alle hard- en software. De veiligheidseisen gaan bijvoorbeeld over het automatisch installeren van beveiligingsupdates, het versleuteld opslaan van gebruikersgegevens en gebruikers de optie bieden om data permanent te verwijderen.

 

Minimaal vijf jaar updates

Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar. De minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden.

 

Verder moeten fabrikanten incidenten en actief misbruikte kwetsbaarheden binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid. Voor ontwikkelaars en aanbieders van niet-commercieel aangeboden opensourcesoftware geldt dat zij niet aan de eisen voor fabrikanten hoeven te voldoen.

Met de inwerkingtredingstermijn van drie jaar is volgens het ministerie van Economische Zaken voldoende tijd geboden voor de implementatie en het opstellen van technische normen waarin de cybersecurityeisen aan fabrikanten worden uitgewerkt. Er komen bovendien voorzieningen om micro- en kleine fabrikanten te ondersteunen bij de implementatie van de eisen. Het voorlopige EU-akkoord moet hierna nog voor instemming worden voorgelegd aan de EU-lidstaten en het Europees Parlement.

 

bron: https://www.security.nl