Nu verbonden producten steeds meer aanwezig zijn in ons dagelijks leven en in professionele infrastructuren, wordt hun cybersecurity een belangrijke uitdaging. Om hierop in te spelen hebben het Europees Parlement en de Raad van de Europese Unie de Cyber Resilience Act (CRA) aangenomen. Deze verordening zal binnenkort minimale cybersecurityvereisten opleggen voor alle producten met digitale elementen die op de Europese markt worden gebracht.
Ontdek de impact die de Cyber Resilience Act zal hebben op verbonden beveiligingsproducten in ANPI Magazine 43. Het volledige artikel is ook beschikbaar als PDF-download.
Waarom deze nieuwe regelgeving?
Verbonden objecten, controlesystemen, software, toepassingen of beveiligingsproducten: veel producten bevatten nog steeds kwetsbaarheden die door cyberaanvallers kunnen worden misbruikt. Zwakke wachtwoorden, het ontbreken van beveiligingsupdates of onvoldoende bescherming van gegevens kunnen ervoor zorgen dat een verbonden product een toegangspunt wordt voor bredere aanvallen op bedrijven, kritieke infrastructuren of particuliere gebruikers.
De Cyber Resilience Act heeft als doel de beveiliging van deze producten vanaf het ontwerp en gedurende hun volledige levenscyclus te versterken.
Wie valt onder deze regelgeving?
De regelgeving is van toepassing op alle fabrikanten die producten met digitale elementen op de Europese markt brengen, ongeacht of zij binnen of buiten de Europese Unie gevestigd zijn. De CRA legt onder meer volgende verplichtingen op:
- Het integreren van cybersecuritymaatregelen vanaf het ontwerp van het product;
- Het beheren en verhelpen van kwetsbaarheden gedurende de volledige levensduur van het product;
- Meer transparantie naar gebruikers toe;
- Het melden van bepaalde kwetsbaarheden en beveiligingsincidenten.
Ook importeurs, distributeurs, conformiteitsbeoordelingsinstanties en markttoezichthoudende autoriteiten vallen onder bepaalde bepalingen van de regelgeving.
Wanneer treedt de CRA in werking?
Verordening (EU) 2024/2847 werd op 20 november 2024 gepubliceerd in het Publicatieblad van de Europese Unie.
De algemene toepassing van de verordening start op 11 december 2027.
Sommige verplichtingen treden echter eerder in werking:
- 11 juni 2026: bepalingen met betrekking tot de melding van conformiteitsbeoordelingsinstanties;
- 11 september 2026: verplichtingen rond de melding van bepaalde kwetsbaarheden en incidenten.
Welke impact heeft de CRA op brand- en inbraakbeveiligingsproducten?
De CRA introduceert verschillende categorieën producten die onderworpen zijn aan conformiteitsbeoordelingsprocedures met verschillende niveaus van strengheid.
Volgens de analyse van Euralarm valt het merendeel van de elektronische producten voor brandbeveiliging en fysieke beveiliging onder de categorie “standaard”.
Bepaalde specifieke producten, zoals sommige toegangscontrolesystemen of slimme huishoudelijke producten met geïntegreerde beveiligingsfuncties, kunnen echter worden ingedeeld als belangrijke producten van klasse I. Hiervoor gelden bijkomende eisen op het vlak van conformiteitsbeoordeling.
ANPI volgt de evoluties binnen het Europese regelgevingskader
Door de opkomst van nieuwe cybersecurityvereisten volgt ANPI actief de Europese regelgevende ontwikkelingen om de sector van brandveiligheid en beveiliging te ondersteunen bij het begrijpen van deze nieuwe verplichtingen.
Dankzij zijn erkende expertise op het vlak van testen, certificatie en inspectie analyseert ANPI momenteel de impact van de Cyber Resilience Act op brand- en inbraakbeveiligingsproducten, evenals toekomstige mogelijkheden om fabrikanten hierin te begeleiden.
Bereid u vandaag al voor
Hoewel de volledige toepassing van de verordening pas in 2027 van kracht wordt, wordt fabrikanten aangeraden om nu al te anticiperen op deze nieuwe vereisten.
Cybersecurity wordt steeds meer een onmisbaar criterium voor kwaliteit en vertrouwen, naast functionele veiligheid en naleving van regelgeving.
Voor actoren binnen brandveiligheid en beveiliging vormt de CRA een belangrijke evolutie die de weerbaarheid van verbonden producten tegen cyberdreigingen zal versterken en zal bijdragen aan een betere globale veiligheid voor gebruikers.
Neem contact op met de ANPI-experts om van gedachten te wisselen over de evolutie van de regelgeving en op de hoogte te blijven van toekomstige initiatieven rond cybersecurity van verbonden producten.
Meer informatie
- Verordening (EU) 2024/2847 betreffende de Cyber Resilience Act
- Centrum voor Cybersecurity België (CCB)
- Euralarm – Elektronische producten voor brandveiligheid en beveiliging binnen het kader van de CRA
- Of neem contact met ons op via certification@anpi.be
