EU Cybersecurity Act 2.0 en CRA: certificering van de toeleveringsketen

De EU Cybersecurity Act (CSA) en de Cyber Resilience Act werken samen om een uitgebreid kader voor ICT-beveiliging te creëren. De CSA biedt vrijwillige certificeringsschema's; de CRA stelt verplichte beveiligingseisen. Voor kritische producten zijn beide verplicht.

Samenvatting

• EU Cybersecurity Act (CSA) biedt vrijwillige EUCC-certificering voor ICT-producten
• CRA verplicht EUCC-certificering voor kritische producten (Bijlage IV)
• EUCC-certificering ondersteunt CRA-conformiteitsbeoordeling
• Toeleveringsketenbeveiliging vereist coördinatie van beide kaders
• Combinatiestrategie reduceert dubbele complianceinspanning

EU Cybersecurity Act: achtergrond

Wat is de EU Cybersecurity Act?

De EU Cybersecurity Act (Verordening (EU) 2019/881) heeft twee hoofddoelen:

1. ENISA versterken — permanent mandaat en extra bevoegdheden
2. Europees cybersecuritycertificeringsraamwerk — gemeenschappelijke normen voor ICT-producten

Het certificeringsraamwerk is vrijwillig voor de meeste producten, maar:

• EUCC is verplicht voor kritische CRA-producten (Bijlage IV)
• Nationale overheden kunnen certificering vereisen voor overheidsinkoop
• Sectoriële regelgeving kan op EUCC verwijzen

EUCC — EU Common Criteria-based Certification

EUCC (EU Common Criteria-based Certification Scheme) is het eerste gecertificeerde schema onder de CSA:

EUCC-OVERZICHT

GEBASEERD OP: Common Criteria (ISO/IEC 15408)
NIVEAUS:
  - Substantieel (gebaseerd op EAL 2-4)
  - Hoog (gebaseerd op EAL 5-7)

PRODUCTTYPES DIE EUCC ONDERSTEUNEN:
- Hardware security modules
- Smartcards en beveiligde elementen
- Beveiligde cryptoverwerkers
- Biometrische systemen
- Netwerkapparatuur (toekomstig)

CERTIFICERENDE INSTANTIES:
- Nationale cybersecurityautoriteiten
- Geaccrediteerde conformiteitsbeoordelingsorganen

Hoe CRA en CSA samenwerken

Kritische producten: beide verplicht

Voor producten op de CRA Bijlage IV-lijst is EUCC-certificering verplicht naast de reguliere CRA-conformiteitsbeoordeling:

VEREISTEN KRITISCHE CRA-PRODUCTEN

MODULE B+C OF MODULE H:
→ Aangemelde instantie beoordeelt product
→ Certificaat afgegeven

PLUS EUCC:
→ Minimaal "substantieel" zekerheidsniveau
→ Aanvullende beveiligingseisen
→ Common Criteria-evaluatie

PRODUCTEN DIE DIT VEREISEN:
- Hardware Security Modules (HSM)
- Smartcard-lezers
- Beveiligde tokens (hardware)
- Smartcards/beveiligde elementen
- Beveiligde cryptoverwerkers

Bewijsoverdracht

EUCC-certificering genereert bewijs dat direct bruikbaar is voor de CRA-conformiteitsbeoordeling:

Toeleveringsketenbeveiliging onder CRA

Uw verplichtingen als fabrikant

De CRA vereist dat fabrikanten de beveiliging van hun toeleveringsketen beheren:

TOELEVERINGSKETEN VERPLICHTINGEN CRA

COMPONENTEN BEOORDELEN:
[ ] Alle software-afhankelijkheden in kaart brengen (SBOM)
[ ] Kwetsbaarheden in componenten monitoren
[ ] Componentleveranciers beoordelen op beveiligingspraktijken

LEVERANCIERSBEHEER:
[ ] CRA-nalevingsvereisten doorsluizen naar leveranciers
[ ] SBOM-levering vereisen van leveranciers
[ ] Kwetsbaarheidsnotificatiebepalingen in contracten

RISICOBEOORDELING:
[ ] Toeleveringsketen als dreigingsvector opnemen in risicobeoordeling
[ ] Kritieke componenten identificeren
[ ] Alternatieven voor kritieke leveranciers plannen

SBOM als toeleveringsketenhulpmiddel

SBOM-ROL IN TOELEVERINGSKETENBEVEILIGING

WAT EEN SBOM U GEEFT:
- Volledig overzicht van alle componenten
- Identificatie van kwetsbare componenten
- Leveranciersidentificatie
- Licentie-informatie

WAT U MET EEN SBOM DOET:
- Kwetsbaarheidsdatabases koppelen (NVD, OSV, CISA KEV)
- Getroffen componenten identificeren bij nieuwe CVE's
- Bewijs voor conformiteitsbeoordelaars
- Materiaal voor ENISA-rapporten

COMPONENTEN VAN TOELEVERINGSKETEN:
Tier 1 (uw product):
  → Uw SBOM verplicht

Tier 2 (directe leveranciers):
  → Vraag SBOM bij leveranciers
  → Integreer in uw SBOM

Tier 3 (subleveranciers):
  → Best-effort-opname
  → Documenteer bekende beperkingen

Praktische implementatiestrategie

Combinatiestrategie CSA + CRA

Voor producten die zowel EUCC als CRA vereisen:

GECOMBINEERDE COMPLIANCESTRATEGIE

FASE 1: SCOPEDEFINITIE
[ ] Bepaal of product Bijlage IV is (EUCC vereist)
[ ] Stel gecombineerd tijdlijn op voor EUCC + CRA
[ ] Identificeer overlap in documenten/bewijs

FASE 2: EUCC-VOORBEREIDING
[ ] Security Target (ST) opstellen
[ ] Beschermingsprofiel (PP) selecteren indien beschikbaar
[ ] Evaluatielaboratorium selecteren
[ ] Common Criteria-evaluatie starten

FASE 3: CRA-DOCUMENTATIE
[ ] Technisch dossier opzetten
[ ] SBOM genereren
[ ] Risicobeoordeling voltooien
[ ] EUCC-bewijs opnemen in technisch dossier

FASE 4: GECOMBINEERDE INDIENING
[ ] Aangemelde instantie selecteren (CRA)
[ ] EUCC-certificaat + CRA-technisch dossier indienen
[ ] Gezamenlijke beoordeling coördineren waar mogelijk

Tijdlijn planning

TIJDLIJN KRITISCH PRODUCT (Bijlage IV)

EUCC-EVALUATIE: 9-18 maanden
  - Security Target opstellen: 2-3 maanden
  - Evaluatielaboratoriumselectie: 1-2 maanden
  - Common Criteria-evaluatie: 6-12 maanden
  - Certificering: 1-2 maanden

CRA-CONFORMITEITSBEOORDELING: 6-12 maanden
  (Parallel aan EUCC-evaluatie)
  - Technisch dossier: 2-4 maanden
  - Aangemelde instantiebeoordeling: 3-6 maanden
  - Certificaat en DoC: 1-2 maanden

TOTAAL (met overlap): 12-24 maanden
AANBEVELING: Begin 2 jaar vóór marktlancering

Leveranciersovereenkomstbepalingen

Essentiële bepalingen voor CRA-toeleveringsketen

Neem deze clausules op in leverancierscontracten:

SBOM-levering:

Leverancier levert bij elke productrelease een SBOM
in [CycloneDX/SPDX]-formaat, uiterlijk [10] werkdagen
na de release.

Kwetsbaarheidsnotificatie:

Leverancier stelt Koper binnen [24/48] uur op de hoogte
van elke beveiligingskwetsbaarheid in de Producten met
een CVSS-score van ≥ 7.0 of bij actief misbruik.

CRA-nalevingsverklaring:

Leverancier verklaart en garandeert dat de Producten
voldoen aan Verordening (EU) 2024/2847 (Cyber Resilience Act)
en dat Leverancier de vereiste conformiteitsbeoordeling
heeft voltooid.

Certificeringsmatrix

Checklist toeleveringsketenbeveiliging

CHECKLIST CRA TOELEVERINGSKETENBEVEILIGING

PRODUCTBEOORDELING:
[ ] Alle componenten geïnventariseerd (SBOM)
[ ] Kritieke componenten geïdentificeerd
[ ] Leveranciers beveiligingspraktijken beoordeeld

LEVERANCIERSCONTRACTEN:
[ ] CRA-nalevingsclausule opgenomen
[ ] SBOM-leveringseis vastgelegd
[ ] Kwetsbaarheidsnotificatieverplichting vastgelegd
[ ] Supportperiodeverbintenis vastgelegd
[ ] Auditrechten opgenomen

MONITORING:
[ ] Leveranciers SBOM's ontvangen
[ ] Kwetsbaarheidsscan op alle componenten actief
[ ] Leveranciersbeveiligingsadviezen gemonitord
[ ] Periodieke leveranciersbeoordeling gepland

DOCUMENTATIE:
[ ] Toeleveringsketen gedocumenteerd in technisch dossier
[ ] Leveranciersbeoordelingen gearchiveerd
[ ] Risicobeoordeling inclusief toeleveringsketen

Belangrijk: EUCC-certificering is alleen verplicht voor Bijlage IV (Kritische) producten. Voor de meeste producten is EUCC vrijwillig maar kan het het conformiteitsbeoordelingsproces versnellen.

Gerelateerde gidsen:

• CRA-leveranciers due diligence: vragenlijstsjabloon en verificatieproces
• SBOM-vereisten onder de EU Cyber Resilience Act (CRA)

Hoe CRA Evidence helpt

CRA Evidence ondersteunt toeleveringsketenbeveiliging:

• SBOM-aggregatie: Combineer leveranciers-SBOMs in uw product-SBOM
• Leveranciersbeheer: Bijhouden van leverancierscompliancestatus
• Kwetsbaarheidsmonitoring: Automatische scanning op alle componenten
• Documentatie: Centraal bewaarplaats voor leveranciersbewijzen

Start uw CRA-compliance op app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding een gekwalificeerde juridisch adviseur.