De Europese Cyber Resilience Act, aangenomen op 10 oktober 2024 en van toepassing vanaf oktober 2027, stelt strenge veiligheidseisen aan digitale producten. Wat betekent dit voor jou en hoe zorg je ervoor dat je bedrijf op tijd ‘cyberproof’ is? We vroegen het aan Business Director Cybersecurity  Michiel van der Veen van TNO. Hij is keynote spreker tijdens het Design Automation & Embedded Systems event, op 15 april in Den Bosch.

Meld je aan voor de lezing en het event  

“Veel bedrijven worstelen met de CRA,” steekt Michiel van wal. “Vanaf oktober 2027 zijn de veiligheidseisen niet langer optioneel, maar wettelijk verplicht. Bedrijven die niet aan de CRA voldoen, mogen hun producten niet langer op de markt brengen en riskeren bovendien een boete tot 15 miljoen euro. Dat is de juridische kant van het verhaal. Waar ik tijdens mijn lezing de nadruk op wil leggen, zijn de kansen die de CRA biedt om meer omzet te genereren en innovatie te stimuleren.”

Beter, betrouwbaarder, veiliger
“Producten worden beter, betrouwbaarder en veiliger als je al in het ontwerpproces rekening houdt met cybersecurity. Ze gaan minder snel stuk, waardoor onderhoudskosten afnemen. Ook is het makkelijker om updates uit te voeren. Dit levert financieel voordeel op en het vergroot het vertrouwen van afnemers in jouw producten,” legt Michiel uit. “Als bedrijf ben je aantrekkelijker voor potentiële klanten en partners als je nu al aan de veiligheidseisen voldoet. Weerbaarheid staat hoog op de politieke agenda. Ondernemers die hun CRA-zaken tijdig op orde hebben, profiteren van concurrentievoordeel.”

Innovatief denken

Volgens Michiel werkt de CRA als een versneller op de markt. “Het inspireert bedrijven om innovatief na te denken over digitale weerbaarheid. Als ze dat niet doen, hebben ze over twee jaar geen bedrijf meer. In die zin is er een dwingend element, maar dat kan ook niet anders want de CRA is alleen praktisch uitvoerbaar als alle partners in de supply chain aanhaken. Uiteindelijk is iedereen gebaat bij een veilig en betrouwbaar product of halffabricaat. In de praktijk merk ik dat sommige ondernemers toch huiverig zijn om maatregelen te treffen. Ze zijn bang voor de financiële gevolgen op de korte termijn: wat als de concurrent het nemen van maatregelen uitstelt en zijn producten daardoor goedkoper zijn. Dan raak ik mijn klanten kwijt.”

Sterke keten
Daarom is het volgens Michiel belangrijk dat de hele keten tegelijk aan boord stapt. Michiel:  “Van leveranciers tot ontwikkelaars en van designers tot testers: iedere partij is een onmisbare schakel in het ontstaan van een succesvol en veilig product.  Steeds meer bedrijven beseffen dit en zoeken de samenwerking juist op. Er ontstaan door het hele land mooie initiatieven, zoals het Brabant House of Cyber. Overheidsinstellingen, universiteiten en commerciële bedrijven die samen nadenken over cybersecurity en die het niet langer als een ‘last’ zien maar als een kans om snel vooruitgang te boeken.”

Wisselend enthousiasme
Maar niet iedereen is enthousiast. Michiel: “Voor de een is cybersecurity relevanter en noodzakelijk dan voor de ander. Voor producenten van medische elektronica bijvoorbeeld is veiligheid van levensbelang, dus die juichen de komst van de CRA toe. Voor bedrijven die met kleine elektronica werken, geldt die noodzaak minder. Daar moeten we meer moeite doen om hen aan boord te krijgen.”

Proces
Michiel wil zijn plenaire lezing vooral praktisch insteken. “Welke concrete stappen moet je als bedrijf nemen om eind 2027 aan alle wettelijke eisen te voldoen. Het start bij de basis, het cybersecurity-by-design. Vervolgens kijken we naar het ontwikkelproces, van idee tot eindproduct, én de totale levenscyclus van een product. De CRA omvat het complete ecosysteem en is niet iets wat je er even bijdoet.”

Om de kosten in de hand te houden, bespreekt Michiel de inzet van AI bij het automatiseren van cybersecurityprocessen. “Slimme software herkent dreigingen en zorgt preventief voor de juiste patch. In plaats van achteraf een probleem te fixen, wat nu vaak gebeurt, beveiligen we het product aan de voorkant. Het aloude principe van ‘voorkomen is beter dan genezen’. Ook dat hoort bij de CRA.”

Meld je aan voor de presentatie
Ben je benieuwd naar de lezing van Michiel en wil je weten hoe jij kan profiteren van de CRA? Geef je dan op voor de presentatie en het event via de website.

Verder lezen

De CRA in een notendop
De CRA-wetgeving stelt strenge eisen aan digitale producten gedurende de complete levensduur. Enkele belangrijke kenmerken:

  • Cybersecurity-by-design
    Bedrijven integreren cybersecurity vanaf de eerste fase van het ontwerpproces in hun digitale producten.
  • Levenslang verantwoordelijk
    Fabrikanten, importeurs en distributeurs zijn verantwoordelijk voor de veiligheid van hun producten gedurende de hele levenscyclus.
  • Boete
    Bedrijven die niet aan de CRA-eisen voldoen, kunnen een boete krijgen tot 2,5 procent van de wereldwijde omzet.
  • Updates en meldingsplicht
    Er is een verplichting van minimaal 5 jaar tot het leveren van beveiligingsupdates en het melden van kwetsbaarheden.
  • Documentatie- en risicomanagement
    Het bijhouden van uitgebreide documentatie is verplicht, waaronder een Software Bill of Materials (SBOM).
FHI, federatie van technologiebranches
en_GBEnglish (UK)