Verordening cyberweerbaarheid (CRA) – Meldingsplicht voor fabrikanten bijna van kracht, voor wie is dit relevant? (Timelex)

Auteurs: Pedro Demolder & Charlotte Gerbehaye (Timelex)

De Verordening cyberweerbaarheid (Cyber Resilience Act – CRA) heeft tot doel ervoor te zorgen dat fabrikanten cyberveiliger producten ontwerpen en het voor gebruikers gemakkelijker maken om die producten gedurende hun hele levenscyclus in een veilige staat te houden. De verordering pakt het groeiende aantal cyberdreigingen aan en streeft naar een veiliger Internet of Things (IoT). Dit gebeurt door het opleggen van minimale cyberbeveiligingseisen aan alle producten met digitale elementen (PDEs) die op de EU-markt worden aangeboden. Het beoogde doel of redelijkerwijs voorzienbaar gebruik van een PDE omvat een directe of indirecte logische of fysieke gegevensverbinding met een ander apparaat of netwerk. Voor meer achtergrond over de CRA verwijzen wij naar onze eerdere blogpost over de CRA en naar deze bloppost over de eerste FAQ van de Europese Commissie.

De regels zullen in fasen worden geïmplementeerd. De meeste verplichtingen voor fabrikanten zullen van toepassing zijn vanaf 11 december 2027, terwijl bepaalde verplichtingen al vanaf 11 september 2026 van toepassing zullen zijn.

Krachtens de CRA hebben fabrikanten van PDEs specifieke verplichtingen om de cyberbeveiliging van die producten te waarborgen. Als er een kwetsbaarheid bestaat of zich een incident voordoet, moeten fabrikanten de bekende kwetsbaarheid of het cyberincident verhelpen. Bovendien hebben zij in bepaalde omstandigheden ook rapportage- of kennisgevingsverplichtingen, die hierna worden besproken.

Vanaf 11 september 2026 hebben fabrikanten die PDEs op de EU-markt brengen, meldingsverplichtingen onder de CRA. Het is daarom van essentieel belang dat een entiteit bepaalt, vóór deze datum, of zij onder de CRA als fabrikant kwalificeert om te voldoen aan deze meldingsvereisten. Opgemerkt moet worden dat fabrikanten en iedere derde partij naast deze verplichte rapportageverplichting vrijwillig melding kunnen maken van:

(1) elke bekende kwetsbaarheid;

(2) cyberdreiging die van invloed kunnen zijn op het risicoprofiel van een PDE of van een incident dat gevolgen heeft voor de beveiliging van het PDE; en

(3) elk bijna-incident die tot een dergelijk incident had kunnen leiden.

Dit artikel heeft tot doel een eerste inzicht te geven in hoe kan worden bepaald of een entiteit als “fabrikant” kwalificeert, en welke verplichte meldingsverplichtingen zij vanaf 11 september 2026 heeft, om voor te bereiden op de naleving van deze verordening.

Wie kwalificeert als fabrikant?

Een fabrikant wordt gedefinieerd als een natuurlijke of rechtspersoon die

(1) producten met digitale elementen ontwikkelt of vervaardigt of die producten met digitale elementen laat ontwerpen, ontwikkelen of vervaardigen; en

(2) die onder zijn naam of merk tegen betaling, met een verdienmodel of gratis in de handel brengt.

Een importeur, distributeur of natuurlijke persoon kan echter nog steeds als fabrikant in de zin van de CRA worden aangemerkt indien hij een wezenlijke wijziging aanbrengt in een PDE die door de fabrikant in de handel is gebracht en die gewijzigde PDE vervolgens op de markt aanbiedt, of indien een importeur of distributeur de PDE onder zijn eigen naam of handelsmerk in de handel brengt. Dit zijn alternatieve criteria.

Wat moet worden gemeld?

Fabrikanten hebben in de volgende twee situaties een meldingsplicht.

Ten eerste moeten zij elk incident melden dat aan twee cumulatieve voorwaarden voldoet, namelijk dat het ernstig is en dat het gevolgen heeft voor de beveiliging van het product. Een ernstig incident is een incident dat negatieve gevolgen heeft of kan hebben voor het vermogen van een PDE om de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gevoelige of belangrijke gegevens of functies te beschermen, of dat heeft geleid of kan leiden tot de invoering of uitvoering van kwaadwillige code in het product of in de netwerk- en informatiesystemen van een gebruiker van het PDE.

Ten tweede moeten zij elke actief uitgebuite kwetsbaarheid melden, dat wil zeggen een kwetsbaarheid waarvoor betrouwbare bewijzen bestaan dat een kwaadwillige persoon deze heeft uitgebuit zonder toestemming van de systeemeigenaar.

Hoe en wanneer moet deze melding worden gedaan?

Deze meldingsplicht moet worden vervuld aan het Computer Security Incident Response Team (CSIRT) dat is aangewezen als coördinator voor de lidstaat, en het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA). Dit moet ook worden gemeld aan de getroffen gebruikers van het betrokken PDE en indien passend, aan alle gebruikers.

• Om aan gebruikers incidenten of kwetsbaarheden te melden, naar analogie met de melding aan gebruikers onder NIS2, kan de fabrikant gebruikmaken van alle beschikbare (communicatie)middelen, zoals het publiceren van informatie op zijn website, het gebruik van een mailinglijst, het verzenden van een bericht via een applicatie of communicatie via gedrukt materiaal.

• Voor de rapportage aan CSIRT en ENISA is één centraal meldingsplatform gecreëerd. Fabrikanten zullen moeten rapporteren via het elektronische eindpoint voor melding van het CSIRT dat is aangewezen als coördinator van hun hoofdvestiging. Een via dit platform ingediende melding komt automatisch terecht bij de relevante, als coördinator aangewezen CSIRT en is tegelijkertijd toegankelijk voor ENISA.

Zodra het platform operationeel is, zal ENISA waarschijnlijk richtsnoeren publiceren over de wijze van rapporteren. De lidstaten zullen dan hun eigen elektronische endpoint voor melding kunnen opzetten.

Waar melden?

Om aan de juiste nationale CSIRT te kunnen rapporteren, moet een fabrikant bepalen waar zijn hoofdvestiging zich bevindt in het kader van de CRA. Een fabrikant wordt geacht zijn hoofdvestiging in de Europese Unie te hebben in de lidstaat waar de beslissingen met betrekking tot de cyberbeveiliging van zijn PDE’s voornamelijk worden genomen.

Wanneer dit niet kan worden bepaald, wordt de fabrikant geacht zijn hoofdvestiging te hebben in de lidstaat waar hij de vestiging heeft met het grootste aantal werknemers in de Europese Unie.

Indien de fabrikant geen hoofdvestiging in de Unie heeft, moet hij de kennisgevingen indienen in de lidstaat die is bepaald volgens de volgende volgorde:

(1) De lidstaat waar de gemachtigde vertegenwoordiger die namens de fabrikant optreedt voor het grootste aantal van zijn PDE’s, is gevestigd;

(2) de lidstaat waar de importeur die het grootste aantal van zijn PDE’s in de handel brengt, is gevestigd;

(3) de lidstaat waar de distributeur die het grootste aantal van zijn PDE’s op de markt aanbiedt, is gevestigd;

(4) de lidstaat waar het grootste aantal gebruikers van zijn PDE’s is gevestigd.

Termijnen voor melding

De meldingsverplichtingen op het platform zijn drieledig. Ten eerste moet de fabrikant zonder onnodige vertraging, en in elk geval binnen 24 uur nadat hij kennis heeft genomen van het ernstige incident dat gevolgen heeft voor de beveiliging van het product of van een actief uitgebuite kwetsbaarheid, een vroegtijdige waarschuwing geven. In deze melding moet worden vermeld om welke PDE het gaat en, indien van toepassing, in welke lidstaat dit product volgens zijn kennis beschikbaar is gesteld.

De FAQ geeft voorbeelden van situaties waarin een fabrikant geacht wordt kennis te hebben genomen van een dergelijke kwetsbaarheid of incident. Dit omvat met name gevallen waarin een klant of partnerorganisatie de fabrikant informeert over ongebruikelijke activiteiten of een compromittering, en daarbij betrouwbaar bewijs levert dat er een actief uitgebuite kwetsbaarheid aanwezig is in het PDE. Andere mogelijkheden zijn onder meer dreigingsinformatie-rapporten; meldingen van overheidsinstanties voor cyberbeveiliging die via hun monitoringsystemen de exploitatie van een kwetsbaarheid hebben vastgesteld; meldingen van ethische hackers over een kwetsbaarheid die reeds wordt misbruikt; of detectie via de eigen interne monitoring-, scanactiviteiten of telemetrie van de fabrikant.

Ten tweede moet de fabrikant zonder onnodige vertraging en binnen maximaal 72 uur nadat hij kennis heeft genomen van deze kwetsbaarheid of dit incident, een kwetsbaarheidsmelding of incidentmelding doen. Deze melding moet algemene informatie bevatten over de betrokken PDE, de aard van de kwetsbaarheid of het incident, de mitigerende of corrigerende maatregelen die zijn genomen en die gebruikers kunnen nemen, hoe gevoelig zij de gemelde informatie achten, en in geval van een incident, een eerste beoordeling daarvan.

Het huidige voorstel voor de Digital Omnibus zou de termijn voor het melden van een inbreuk op persoonsgegevens onder de Algemene Vordering Gegevensbescherming (AVG) van 72 uur naar 96 uur na kennisname van de inbreuk. Het is daarom mogelijk dat de termijn van 72 uur onder de CRA eveneens zal verlengd worden tot 96 uur.

Ten slotte moet de fabrikant een eindverslag indienen, hetzij binnen 14 dagen nadat corrigerende of beperkende maatregelen beschikbaar zijn in geval van een kwetsbaarheid, hetzij binnen één (1) maand na de indiening van de incidentmelding. Dit rapport moet een beschrijving van het incident of de kwetsbaarheid bevatten, met inbegrip van de ernst en de gevolgen ervan. In geval van een kwetsbaarheid moet het rapport, indien beschikbaar, informatie bevatten over de kwaadwillige actor die de kwetsbaarheid heeft uitgebuit of aan het uitbuiten is, en details geven over beveiligingsupdates en corrigerende maatregelen die beschikbaar zijn gesteld om deze kwetsbaarheid te verhelpen. In geval van een incident moet dit rapport informatie bevatten over het type bedreiging of de hoofdoorzaak die het incident waarschijnlijk heeft veroorzaakt, en de toegepaste en lopende risicobeperkende maatregelen vermelden.

Daarnaast kan het CSIRT altijd om een tussentijds rapport over relevante statusupdates vragen. De term “zonder onnodige vertraging” betekent waarschijnlijk dat zo snel mogelijk moet worden gemeld, zonder te wachten tot de uiterste termijn is verstreken, naar analogie met de CCB Notification Guide voor NIS2. Wachten tot het einde van de periode van 24 of 72 uur is alleen gerechtvaardigd in uitzonderlijke omstandigheden.

Bron: Timelex