Nieuws

Cyber Resilience Act Projecten: Een Nieuwe Compliancy Uitdaging voor Projectmanagers

- door Nigel van Houten - Laat een reactie achter

De CRA, oftewel Cyber Resilience Act is de new kid on the block qua Europese wet- en regelgeving. In dit artikel geef ik een overzicht van de werking, doelstelling en scope van de wet en help ik je alvast wennen aan het idee dat je binnenkort mogelijk CRA-compliancy projecten moet gaan uitvoeren.

Wat verder belangrijker dan ooit is, is dat je de implementatie altijd laat toetsen – oftewel als je een IoT ontwikkelaar bent moet je pentests gaan inkopen. Toevallig kan onze sponsor dat heel goed, dus kijk even of je alvast een plekje wilt reserveren want voor je het weet is het 2027.

CRA – Cyber Resilience Act uitgelegd

De Europese Unie heeft de Cyber Resilience Act (CRA) aangenomen in het najaar van 2024. Deze wetgeving stelt nieuwe eisen aan de cyberveiligheid van digitale producten. Digitale producten klinkt inderdaad vaag: het draait hier namelijk om apparatuur die verbonden is of kan worden aan een netwerk en daarmee moet gaan voldoen aan een minimale set aan beveiligingsmaatregelen.

Nog steeds vaag. Oke: je robotstofzuiger, je IP-camera maar ook al je industriele IoT, oftewel Internet der Dingen, Internet of Things, moet voortaan beveiligd worden. Van productie tot uiteindelijk afvoeren – het is belangrijk dat je als leverancier je producten standaard beveiligd produceert en gedurende het gebruik ben je verplicht de beveiliging te blijven updaten. Net als updates voor je telefoon, moeten je trackers, camera’s, stofzuigers en inpakmachines onderhouden worden met security updates.

Wat is de Cyber Resilience Act (CRA)?

De Cyber Resilience Act is een EU-verordening die tot doel heeft de cyberveiligheid van digitale producten die in de EU verkocht worden te verbeteren. De CRA is van toepassing op fabrikanten, importeurs en distributeurs van hardware en software. Het doel is ervoor te zorgen dat digitale producten, zoals IoT-apparaten en software, gedurende hun hele levenscyclus veiliger zijn, van ontwerp tot gebruik.

De CRA trad in werking op 10 december 2024. De meeste bepalingen, zoals de CE-markering en de naleving van cyberveiligheidseisen, zijn van toepassing vanaf december 2027. De rapportageverplichtingen gaan al in september 2026 in.

Kernpunten van de CRA

De Cyber Resilience Act omvat een aantal belangrijke punten:

  • Verplichte cyberveiligheidseisen: Digitale producten moeten vanaf de ontwikkelingsfase aan bepaalde cyberveiligheidseisen voldoen.
  • Verantwoordelijkheid: Fabrikanten, importeurs en distributeurs zijn verantwoordelijk voor de veiligheid van hun producten.
  • Verplichte updates: Beveiligingsupdates moeten verplicht worden aangeboden en kwetsbaarheden moeten worden gemeld.
  • Boetes: Bedrijven die niet aan de regelgeving voldoen, kunnen boetes krijgen tot 2,5% van hun wereldwijde omzet.
  • Uitzonderingen: Niet-commerciële opensourcesoftware is vrijgesteld net als sommige medische producten.

CRA Compliancy als Project

Voor projectmanagers betekent de CRA een nieuwe uitdaging. Het implementeren van de vereisten van de CRA vraagt om een gestructureerde aanpak, vergelijkbaar met andere compliancy projecten. Hier zijn enkele aandachtspunten:

  • Scope bepalen: Identificeer welke producten en processen binnen de scope van de CRA vallen.
  • Risicobeoordeling: Voer een grondige risicobeoordeling uit om de belangrijkste cyberrisico’s te identificeren.
  • Beveiligingsprocessen: Implementeer beveiligingsprocessen in het ontwerp, de ontwikkeling en de productie van digitale producten.
  • Vulnerability management: Zet een proces op voor het melden en oplossen van kwetsbaarheden.
  • Documentatie: Zorg voor uitgebreide technische documentatie om aan te tonen dat aan de CRA-eisen wordt voldaan.
  • Conformiteit: Voer een conformiteitsbeoordeling uit om te verifiëren of het product aan de eisen voldoet.
  • Rapportage: Stel processen op voor het melden van incidenten en kwetsbaarheden aan de relevante instanties.

Aandachtsgebieden voor Projectmanagers

Bij het managen van CRA-compliancy projecten zijn er een aantal specifieke aandachtspunten waar projectmanagers op moeten letten:

  • Interne expertise: Zorg ervoor dat het projectteam over voldoende expertise beschikt op het gebied van cybersecurity en relevante normen.
  • Budget: Houd rekening met de kosten voor risicobeoordelingen, implementatie van beveiligingsmaatregelen, training en conformiteitsbeoordelingen.
  • Tijd: Plan voldoende tijd in voor het doorlopen van alle stappen, rekening houdend met de deadline van december 2027.
  • Stakeholders: Betrek alle relevante stakeholders, zoals ontwikkelaars, security officers, juridische afdelingen en het management.
  • Training: Bied training aan medewerkers om hen bewust te maken van de CRA-eisen en hun rol in het compliancy proces.

Door deze aandachtspunten in acht te nemen, kunnen projectmanagers de CRA-compliancy projecten succesvol aanpakken en ervoor zorgen dat hun organisaties voldoen aan de nieuwe Europese wetgeving.

Gerelateerde berichten

NIS2 projectgids voor projectmanagers

DeepSeek en andere AI’s veilig gebruiken – Risico management

Deepseek: De vraag die niemand stelt

Over Nigel van Houten

Mede-eigenaar van InTellegus; cybersecurity, strategie en IT-consultancy. Gastblogger op Projectsucces.nl, actief als bestuurder en adviseur, maar staat graag met z'n voeten in de klei. Vader, nerd, gamer, bootcamper en airsofter.

Bekijk alle berichten van Nigel van Houten →

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.