In-product cybersecurity en de CE-markering
Nieuwe regels komen sneller dan u denkt
Productleveranciers in de EU weten dat het CE-merk voor producten nodig is voordat het verkocht kan worden. Dat stelt eisen aan de leverancier, bijvoorbeeld het maken van het technisch dossier. Dat is geaccepteerd als onderdeel van het ontwikkelingsproces. Maar binnenkort komen er nieuwe eisen bij, op het gebied van cybersecurity. De eerste gaat in per augustus 2025.
De Europese Unie is zeer actief op het gebied van verbeteren van cybersecurity van producten en organisaties. Nog dit jaar wordt de “NIS2” wet actief voor organisaties die belangrijk zijn voor de Nederlandse maatschappij en economie. “DORA” is er voor financiële instellingen, er is een AI wet, etc. Maar cybersecurity achteraf toevoegen is altijd een verloren race. Daarom worden er ook cybersecurity-eisen aan producten (hardware en software) gesteld. Zo wordt per augustus 2025 een uitbreiding op de “RED” (Radio Equipment Directive) voor producten met een radio (draadloos netwerk) actief. En in 2027 volgt dan de “CRA” (Cyber Resilience Act) voor alles met een netwerkinterface. Dat lijkt allemaal nog ver weg, maar er is bepaald nog wel wat werk te verzetten!
Radio Equipment Directive
De RED (2014/53/EU) bestaat al enige tijd; het stelt eisen aan hoe een radio (draadloos netwerk) van een product moet werken. Denk bijvoorbeeld aan eisen rondom maximum zendvermogen, samenwerking met andere gebruikers, efficiënt gebruik van spectrum, EMC en gezondheid. De paragrafen over cybersecurity in artikel 3.3d/e/f waren echter nog niet geactiveerd. Dit gaat nu veranderen, en wel per 1 augustus 2025 ([1]).
De EU maakt onderscheid in 3 eisen:
3.3d Radio equipment does not harm the network or its functioning, nor misuse network resources, thereby causing an unacceptable degradation of service.
3.3e Radio equipment incorporates safeguards to ensure that the personal data and privacy of the user and the subscriber are guaranteed
3.3f Radio equipment supports certain features ensuring protection from fraud.
Zoals hieronder nog te bespreken, gelden andere eisen qua cybersecurity per soort product. Als met een product geen financiële gegevens verwerkt worden, dan geldt 3.3f niet. Als met een product ook geen persoonlijke data / privacygevoelige gegevens verwerkt kunnen worden, dan geldt 3.3e niet.
Delegated RED act
De RED zelf beschrijft maar in een paar zinnen (zie boven) wat van productleveranciers gevraagd wordt. Dat is niet genoeg om producten op te testen. Met een “delegated act” wordt dit verder uitgewerkt. Deze verwijst dan naar de nieuwe Europese norm EN 18031, die er sinds kort is. Nu moet de EU dit nog accepteren en dan publiceren, waarmee het officieel is. Leveranciers hebben dan nog 11 maanden om dit te implementeren.
Mocht de EN 18031 niet worden geaccepteerd (er zijn nog een paar bezwaren), dan bestaat de kans dat er geen delegated act is. Dan moeten alle producten worden gecertificeerd door een notified body (zoals KIWA).
De EN18031 bestaat ook uit 3 delen, conform de eisen van paragraaf 3.3d/e/f. De basiseisen volgens de 3.3d zijn altijd van toepassing, en additioneel nog de zwaardere eisen volgens sectie e en f. Bijvoorbeeld, in 3.3d is geëist dat met wachtwoorden gewerkt moet worden, maar voor 3.3e en f ligt de lat hoger: multifactor-authenticatie is nodig.
Uitdagingen
De korte implementatietermijn stelt wel eisen aan productleveranciers. In veel bedrijven zal cybersecurity vrij onbekend zijn, althans hoe dit te doen in productontwikkeling van hardware en software. Dit is echt wel iets anders dan bescherming van IT-netwerken. Kennis op dit gebied is nu al vrij schaars, en ook is niet elke cybersecurity-expert kundig op het gebied van productontwikkeling. Moeten producten gecertificeerd worden, dan kan het volgend jaar wel eens druk worden bij de “notified bodies”. Daarom het advies om eigenlijk vandaag al te beginnen met de aanpassingen aan de ontwikkelprocedures!
Cyber Resilience Act (CRA)
De CRA gaat nog een stapje verder: deze gaat gelden voor alle producten met “digitale elementen”. De CRA-tekst is nog niet definitief, maar dat wordt voor eind dit jaar (2024) verwacht. Dan is er een periode van 36 maanden voordat de CRA in 2027 van kracht wordt.
De CRA is van toepassing op alle “producten met digitale elementen” die (direct of indirect) een logische of fysieke verbinding hebben met een ander apparaat of netwerk. Er zijn enkele uitzonderingen, bijvoorbeeld voor medische producten of voertuigen (die hebben eigen regelgeving).
Net als de RED maakt ook de CRA een indeling in soorten producten waarvoor verschillende eisen gelden. Bedrijven moeten aan de volgende verplichtingen voldoen:
- De “essentiële eisen”: producten moeten bij marktintroductie vrij zijn van bekende kwetsbaarheden, veilige instellingen hebben, mogelijkheden voor toegangscontrole, maatregelen voor vertrouwelijkheid / integriteit / beschikbaarheid van data, beperking van aanvalsoppervlak, en het bijhouden van een logboek.
- Risico analyse: uitvoeren hiervan, en op basis hiervan voorkomen en mitigeren van cybersecurity incidenten, om de veiligheid en gezondheid van gebruikers gedurende levensduur van het product te garanderen Dit moet gedocumenteerd zijn.
- Documentatie: producten moeten voorzien zijn van technische documentatie en gebruiksinstructies in duidelijke vorm en in een voor de gebruiker te begrijpen taal.
- Ondersteuning: een product moet de ondersteuningsperiode voor een product bepalen (minimaal 5 jaar). Details hieronder.
- Conformiteit: voordat een product op de markt geplaatst wordt, moet een conformiteitsbeoordeling worden uitgevoerd (nodig voor CE). Details hieronder.
- Rapportage: voor een product dat actief door hackers/malware misbruikt wordt, moet binnen 24 uur een melding gedaan worden. Ook moeten de andere gebruikers van dit product geïnformeerd worden, en geadviseerd hoe de gevolgen van een aanval beperkt kunnen worden.
Conformiteit
Per categorie product (er zijn er 3) gelden bepaalde eisen. Geschat wordt dat 90% van alle producten in de lichtste categorie valt, dan is enkel een eigen verklaring nodig. De andere 10% valt in “Class I” or “Class II”. Voor Class I producten moet een bepaalde standaard gevolgd zijn, óf volstaat een assessment door een notified body. Voor class II producten is altijd een externe assessment nodig.
Welke standaard precies van toepassing is voor Class I producten, is op dit moment nog niet bekend. De EU heeft standaardisatieorganisaties gevraagd om 41 (!) nieuwe Europese normen op te stellen. Het grote aantal komt omdat elke productcategorie of toepassingsgebied een eigen norm krijgt. En al die normen moeten in 2 jaar geschreven worden. Leveranciers hebben dan nog een jaar de tijd om dit te implementeren. Een ambitieus programma dus, waarvan we nog maar zullen moeten zien of het waargemaakt kan worden (zo is de EN18031 een jaar vertraagd, en de ingangsdatum van de RED daarmee ook).
Actieve ondersteuning
Speciaal aan cybersecurity is dat de race nooit gelopen is. Een product dat vandaag 100% cyberveilig is, kan dat morgen al niet meer zijn, bijvoorbeeld omdat een bepaalde kwetsbaarheid in een deel van de software of hardware ontdekt is. Gebruikers van zo’n product zijn dus ook kwetsbaar (“te hacken”). Daarom moet de productleverancier continue in de gaten houden wat er wereldwijd ontdekt is, en daarop actie ondernemen, bijvoorbeeld een nieuwe softwareversie (“patch”) uitleveren waarin die kwetsbaarheid opgelost is. Dat geldt niet alleen voor de software die in-huis gemaakt is, maar ook voor alle open-source componenten, drivers, kernels, etc. die gebruikt zijn.
Klanten moeten hierover ook actief geïnformeerd worden. Er mag geen geld voor gevraagd worden. Ook moet de patch niet gekoppeld zijn aan beschikbaar komen van nieuwe functionaliteit (waarom vaak wel betaald moet worden). En de leverancier moet dit doen gedurende de verwachte levensduur van het product. Dat is soms aanzienlijk. Industriële producten kunnen gemakkelijk 10…20 jaar in bedrijf zijn. De minimale ondersteuningsperiode is 5 jaar. Persoonlijk ben ik benieuwd hoe haalbaar zulke lange periodes zijn.
Importeurs / distributeurs
Producten die buiten de EU ontwikkeld zijn en in de EU verkocht gaan worden, moeten ook aan de RED / CRA voldoen. Hiervoor is de importeur of distributeur verantwoordelijk. Dit is niet anders dan nu al gebruikelijk, alhoewel er voor de importeur / distributeur dus wel extra werk aan de winkel is m.b.t. rapportage. Ook aan hen kunnen boetes uitgedeeld worden.
Andere landen
De RED en CRA zijn geldig in de Europese Unie. In landen daarbuiten gelden soms weer andere cybersecurityregels. Bijvoorbeeld, in het VK is een wet aangenomen die eisen stelt aan hoe met wachtwoorden gewerkt moet worden. In Californië geldt iets gelijksoortigs. Wie zijn producten exporteert daar naar toe, moet dus ook nog aan die eisen voldoen. Dat is niet persé tegenstrijdig, maar wel lastig. De opinie is dat de strengste lokale wet uiteindelijk wereldwijd gevolgd gaat worden. Een leverancier zal immers niet aparte software willen leveren voor elk land.
Meer info
Alle wet- en regelgeving is terug te vinden op de EU-website. Maar dat is vaak wel stevige juridische kost. Advies over certificering is o.a. te krijgen bij notified bodies zoals TüV en KIWA, die hierover regelmatig seminars geven.
Voetnoot [1]
Bestaande producten hoeven niet aangepast te worden om te voldoen aan de RED. https://ec.europa.eu/commission/presscorner/detail/en/QANDA_21_5635
Auteur: Rob Hulsebos