De 10 sleutelpunten om de nieuwe Cyberweerbaarheidswet te begrijpen

Het cybersecurity en cyberintelligence bedrijf S2 Grupo benadrukt dat een van de belangrijkste punten van de nieuwe EU Cyber Resilience Act de implementatie van het zogenaamde ‘security by design’ zal zijn. Dit is iets “absoluut noodzakelijk voor cyberbescherming”, maar het zal “een moeilijke context” vormen voor veel bedrijven.

In deze context heeft S2 Grupo, gespecialiseerd in cybersecurity en cyberintelligence, in een verklaring benadrukt dat met deze maatregel een van de grote problemen van de meeste apparaten zal worden bestreden, die niet waren ontworpen met cyberveiligheidspatronen in gedachten. Dit maakte, volgens de experts van het bedrijf, dat ze veel kwetsbare punten hadden vanwaar een aanvaller toegang kon krijgen tot lokale netwerken.

“Naast de noodzaak om vanaf de vroegste ontwerpfase cyberveilige producten te creëren, moeten bedrijven er rekening mee houden dat niet voldoen aan de vereisten van deze wet onderhevig is aan boetes tussen 10 en 15 miljoen euro of tot 2 of 2,5% van hun jaarlijkse omzet”, aldus José Rosell, mede-oprichter en CEO van S2 Grupo.

Deze wetgeving heeft een aanpassingsperiode van 3 jaar voorzien en zoals de experts van S2 Grupo hebben aangegeven zijn dit de 10 sleutels over de nieuwe Cyber Resilience Act:

  1. Het zal van toepassing zijn op alle apparaten die verbonden zijn met het netwerk of met andere apparaten.
  2. Er worden cybersecuritynormen vastgesteld voor het ontwerp, de ontwikkeling en de productie van producten met digitale elementen, verplichtingen voor economische operatoren en regels over markttoezicht en handhaving.
  3. Het stelt een reeks essentiële eisen vast voor de door fabrikanten ingestelde kwetsbaarheidsbeheerprocessen om de cyberveiligheid van digitale producten gedurende hun gehele levenscyclus te waarborgen. Fabrikanten moeten informatie verstrekken over kwetsbaarheden en incidenten.
  4. De lidstaten zullen een meldplichtige autoriteit aanwijzen die de nodige procedures zal vaststellen voor de beoordeling en kennisgeving van conformiteitsbeoordelingsorganen en het toezicht op de gemelde organen.
  5. Het heeft als belangrijkste doel ervoor te zorgen dat consumenten voldoende informatie hebben over de cyberveiligheid van de producten die ze kopen en gebruiken.
  6. Het verplicht fabrikanten om beveiligingsondersteuning en software-updates te bieden om geïdentificeerde kwetsbaarheden op te lossen.
  7. Fabrikanten, importeurs en distributeurs zijn verplicht om essentiële cybersecurityvereisten op te nemen in het ontwerp, de ontwikkeling, productie, levering en onderhoud van digitale apparaten. Ze moeten hun producten leveren zonder “bekende” kwetsbaarheden en met “veilige” bescherming standaard.
  8. Fabrikanten moeten actief informatie verstrekken over de kwetsbaarheden en incidenten van hun producten. Updates moeten worden ondersteund om kwetsbaarheden gedurende de nuttige levensduur van hun producten aan te pakken, met een minimum van 5 jaar, en deze moeten effectief worden beheerd en verzacht.
  9. Alle cybersecurityrisico’s moeten gedocumenteerd zijn.
  10. Producten met digitale elementen moeten duidelijke en begrijpelijke instructies bevatten en moeten een conformiteitsbeoordeling ondergaan.

“We zijn in een context van digitalisering waarin allerlei soorten bedrijven of organisaties specifieke cyberveiligheidsadviezen nodig hebben, niet alleen om te voldoen aan de wetgeving, maar ook om diensten en producten aan te bieden die de continuïteit van hun bedrijfsvoering of de cyberveiligheid van hun klanten niet in gevaar brengen, om de implicaties van de wet in hun activiteiten te begrijpen, om de maatregelen die ze moeten nemen om zich correct aan te passen aan de Cyber Resilience Act te ontwerpen en om deze efficiënt te implementeren”, legt José Rosell uit.

“Anderzijds garandeert het feit dat een product vandaag veilig is niet dat het in de toekomst veilig zal zijn, omdat de voortdurende vooruitgang van technologische capaciteiten en software-updates elke dag nieuwe kwetsbaarheden aan het licht brengen. Om deze reden moet de evaluatie van apparaten periodiek worden uitgevoerd als een proces van continue verbetering, als een essentiële schakel meer in het bedrijfsproces”, concludeert de CEO van S2 Grupo.