Wat is de Cyber Resilience Act?
De Cyber Resilience Act (CRA) is een Europese verordening die eisen stelt aan Cybersecurity in hardware en softwareproducten die op de EU-markt worden gebracht. Het doel is om ervoor te zorgen dat digitale producten veilig ontworpen, ontwikkeld, verkocht en onderhouden worden gedurende hun hele levenscyclus.
Voor OT betekent dit dat leveranciers van bijvoorbeeld PLC’s, industriële routers, HMI’s of Industrial Internet of Things-devices verplicht worden om hun producten veilig te ontwikkelen én te onderhouden – inclusief updates en kwetsbaarhedenbeheer.
🧠 Wat regelt de Cyber Resilience Act?
- Security by Design – Beveiliging moet ingebouwd zijn vanaf het begin van de productontwikkeling
- Kwetsbaarhedenbeheer – Leveranciers moeten bekendgemaakte kwetsbaarheden opvolgen en verhelpen
- Meldplicht – Exploits of ernstige zwakke plekken moeten binnen 24 uur gemeld worden bij ENISA
- Updateverplichting – Beveiligingsupdates moeten tijdig en zonder extra kosten worden aangeboden
- Gebruikersinformatie – Producten moeten geleverd worden met duidelijke info over beveiliging en supportduur
📦 Toepassingsgebied in OT
| Voorbeeldcomponent | CRA-toepassing |
|---|---|
| PLC of RTU | Firmware moet veilig zijn, updates traceerbaar en geverifieerd |
| Industriële router | Moet standaard beveiligingsconfiguratie en updateproces bieden |
| SCADA-software | Leverancier moet kwetsbaarheden publiceren en patchen |
| Sensor met netwerkinterface | Behoort tot ‘connected device’, dus CRA-onderhevig |
| Engineering software | Onderhevig aan documentatie-, logging- en update-eisen |
De CRA geldt ook voor indirect gebruikte IT-componenten in OT, zoals embedded besturingssystemen, databases en update agents.
✅ Belangrijkste verplichtingen voor leveranciers
| Eis | Impact voor industriële leveranciers |
|---|---|
| Beveiligde standaardinstellingen | Producten mogen niet met onveilige standaardwachtwoorden geleverd worden |
| Minimale supportperiode | Leveranciers moeten een vaste tijd updates blijven leveren |
| Documentatie van kwetsbaarheden | Product moet geleverd worden met bekende beveiligingsrisico’s |
| Logging en audit trail | Voor bepaalde klassen moet het product basislogfuncties ondersteunen |
| Onderhouds- en patchproces | Updatemechanismen moeten veilig, gecontroleerd en transparant zijn |
🔁 Relatie tot andere regelgeving
| Regelgeving / norm | Relatie met CRA |
|---|---|
| NIS2 | CRA ondersteunt NIS2-doelstellingen voor veilige productieketens |
| IEC 62443 | IEC 62443 overlapt met de ontwerpprincipes uit de CRA |
| CE-markering | CRA wordt onderdeel van de CE-conformiteit voor digitale producten |
| ENISA-vulnerability database | Leveranciers moeten daar bekende kwetsbaarheden registreren |
De CRA gaat hand in hand met bestaande OT-veiligheidsnormen, maar stelt juridisch bindende eisen aan productbeveiliging.
📌 Samengevat
De Cyber Resilience Act verplicht leveranciers van digitale producten om Cybersecurity structureel te borgen. Voor OT betekent dit dat alle netwerkgekoppelde componenten – van veldsensor tot SCADA-server – moeten voldoen aan eisen voor veilige ontwikkeling, kwetsbaarhedenbeheer en langdurig onderhoud.