Auteurs: Bernd Fiten en Elien Voortmans (Cranium)
Key-takeaways
De CRA heeft belangrijke gevolgen voor producten met digitale elementen (PDE’s).
PDE’s kunnen niet zomaar “as is” op de markt worden gebracht. Op basis van de CRA moeten PDE’s voortaan immers voldoen aan essentiële minimale cybersecurityvereisten. Fabrikanten, importeurs en distributeurs zullen verplicht zijn om de beveiliging, het onderhoud en de ondersteuning van de PDE te waarborgen vóór en na het op de markt brengen ervan. Elke actor moet analyseren welke impact de CRA op hem en zijn contracten heeft.
Upstreamcontracten (met leveranciers) en downstreamcontracten (met klanten) moeten herzien worden.
Contracten met leveranciers en klanten bevatten best specifieke bepalingen omtrent, onder andere, auditrechten, meldplichten, medewerkingsplichten, informatieplichten, aansprakelijkheidsbepalingen en patch- en updategaranties.
Leverancierselectieprocessen moeten ook herzien worden.
Als je reeds in het proces van het selecteren van een leverancier rekeninghoudt met CRA-compliance, dan vermijd je tijdrovende onderhandelingen te voeren met een leverancier die nooit CRA-compliant was. Of erger: je vermijdt te ontdekken dat de leverancier niet CRA-compliant is nadat het contract is ondertekend.
Back-to-back-contracten zijn nodig voor een correcte verdeling van de risico’s.
Het is belangrijk dat clausules in de leverancierscontracten en klantencontracten in de volledige keten worden afgestemd op elkaar. Zo wordt vermeden dat bijvoorbeeld een distributeur bepaalde verantwoordelijkheden draagt die hij niet dient te dragen, maar wel zijn leverancier of klant.
Wacht niet met het implementeren van de CRA!
De CRA-verplichtingen treden gefaseerd in werking tussen december 2024 en december 2027. Om compliant te zijn en operationele en juridische risico’s te vermijden, is het essentieel om nu al te beginnen met het analyseren van de impact van CRA op je organisatie en je contracten op te stellen of te herzien.
Gevolgen voor upstreamcontracten (met leveranciers)
De CRA creëert voor zowel fabrikanten, importeurs als distributeurs een duidelijke noodzaak om contractuele waarborgen te verkrijgen van hun leveranciers, want de medewerking van die leverancier is nodig om te kunnen voldoen aan de eigen CRA-verplichtingen.
Hieronder sommen we enkele voorbeelden van clausules op die deze actoren best opnemen in hun contracten met leveranciers:
Auditrechten en informatieplicht
Voor fabrikanten is het belangrijk dat zij een passende “due diligence” uitvoeren en de nodige (technische) informatie (en eventuele updates) tijdig verkrijgen bij het bij derden aankopen van componenten. Dit is nodig om te voldoen aan hun eigen CRA-verplichtingen zoals:
- het opstellen van de Software Bill of Materials (SBOM),
- het verstrekken van informatie en instructies aan gebruikers,
- het beantwoorden van vragen van toezichthoudende autoriteiten,
- het bekomen van de conformiteitsbeoordeling.
Voor importeurs en distributeurs is het ook belangrijk dat zij de nodige (technische) informatie (en eventuele wijzigingen aan deze informatie) krijgen van hun leveranciers (of die informatie kunnen controleren). Dit is nodig om te voldoen aan hun eigen CRA-verplichtingen zoals:
- het verstrekken van informatie op verzoek van bevoegde autoriteiten,
- het verstrekken van informatie naar hun klanten toe (bv. in verband met updates van de PDE),
- het controleren dat PDE’s voldoen aan de essentiële cyberbeveiligingsvereisten,
- het controleren dat alle vereiste vermeldingen op de PDE aanwezig zijn of
- het verkrijgen van de vereiste documentatie om PDE’s op de markt aan te bieden.
Medewerkingsplicht
Het is aangewezen contractueel vast te leggen dat de leverancier moet voorzien in de nodige corrigerende maatregelen zoals het voorzien in patches, het uit de handel nemen van niet-conforme PDE’s, het terugroepen of het niet langer distribueren van PDE’s.
Meldplicht voor kwetsbaarheden en incidenten
Fabrikanten zijn verplicht om kwetsbaarheden die ze ontdekken in bij derden ingekochte componenten te melden aan hun leverancier en deze onverwijld aan te pakken en te verhelpen. Voor importeurs en distributeurs kan het nuttig zijn om de fabrikant te verplichten de gekende kwetsbaarheden en incidenten te onderzoeken en patches of updates te ontwikkelen om deze nadien onmiddellijke kosteloos ter beschikking te stellen (eventueel gekoppeld de nodige servicelevels).
Kennisgeving bij het stopzetten van activiteiten of ondersteuning
Het is belangrijk om ook een bepaling op te nemen die de leverancier ertoe verbindt om de fabrikant tijdig te informeren over elke voorgenomen stopzetting van de activiteiten of de stopzetting van ondersteuning, productie of beschikbaarheid van (een component essentieel voor de werking of beveiliging van) de PDE zodat de fabrikant zijn verplichtingen inzake productondersteuning, beveiligingsupdates en meldingen aan gebruikers en autoriteiten kan nakomen en zodat importeurs en distributeurs de autoriteiten en gebruikers van de betrokken PDE tijdig kunnen informeren.
In de situatie van stopzetting van activiteiten of het einde van ondersteuning, productie of beschikbaarheid kan het ook aangewezen zijn om afspraken te maken over de toegang tot broncode, firmware en technische documentatie, desgevallend onder een escrowovereenkomst. Je kan ook afspreken dat de leverancier valabele alternatieven of vervangende componenten moet voorstellen of moet ondersteunen bij migratie of redesign van de PDE. Dit kan gekoppeld worden aan servicelevels en sancties.
Patch- en updategaranties
Zowel voor fabrikanten, importeurs als distributeurs is het belangrijk om bepalingen op te nemen die hun leverancier, tijdens de ondersteuningsperiode van de PDE, verplichten om bij kwetsbaarheden deze onverwijld te melden, te onderzoeken en patches of updates te ontwikkelen om deze nadien onmiddellijke kosteloos ter beschikking te stellen. Dit kan gekoppeld worden aan servicelevels en sancties.
De fabrikant moet contractueel afspreken dat leveranciers een gedetailleerde lijst aanleveren van alle componenten (inclusief opensourcecomponenten). Als de leverancier dit zou weigeren, dan kan de fabrikant zelf niet aan de eigen CRA-verplichtingen voldoen.
Aansprakelijkheid en vrijwaring
De fabrikant moet de leverancier aansprakelijk kunnen stellen of in vrijwaring kunnen roepen voor boetes of schade als de component niet aan de afgesproken CRA-eisen voldoet of als de leverancier verzuimt updates te leveren. Ook importeurs en distributeurs moeten hun leverancier aansprakelijk kunnen stellen of in vrijwaring kunnen roepen ingeval deze niet aan de CRA voldoet. Bestaande aansprakelijkheidsregelingen of -beperkingen moeten daarbij mogelijks worden herzien.
Beëindiging
De mogelijkheid om huidige contracten op te zeggen moet mogelijks ook herzien, verduidelijkt of uitgebreid worden in het kader van de CRA, bijvoorbeeld als een partij niet (tijdig) in een patch voorziet of deze patch niet voldoende blijkt om de kwetsbaarheid aan te pakken. Het opnemen van eventuele exit- of migratieregelingen kunnen ook nuttig zijn voor de continuïteit van de PDE tijdens de ondersteuningsperiode.
Servicelevels en Service Level Agreement (SLA)
In het algemeen kan het nuttig zijn om servicelevels of een aparte SLA af te spreken.
Gevolgen voor downstreamcontracten (met klanten of resellers)
Naast de upstreamrisico’s moeten de vermelde actoren ook rekening houden met downstreamverplichtingen tegenover klanten. Dit kunnen bijvoorbeeld eindgebruikers, importeurs of distributeurs zijn.
Hieronder sommen we enkele voorbeelden van clausules op om rekening mee te houden in algemene (verkoop)voorwaarden, licentieovereenkomsten, gebruiksvoorwaarden of andere juridische documenten met klanten.
Ondersteuningsperiode
De fabrikant moet de verwachte levensduur of een vaste periode aangeven waarin hij beveiligingsupdates zal leveren.
Aansprakelijkheidsbeperking
De fabrikant kan zijn aansprakelijkheid voor cyberbeveiliging niet meer zomaar volledig uitsluiten. Omdat de CRA wettelijke essentiële cybersecurityvereisten stelt, zal een rechter “as is” clausules mogelijks sneller herkwalificeren of kritischer bekijken. Bestaande aansprakelijkheidsregelingen of -beperkingen moeten daarbij mogelijks worden herzien.
Updateplicht
De leverancier kan klanten verplichten om updates te installeren binnen een bepaalde termijn. Als klanten updates weigeren of niet tijdig installeren, kan de leverancier zijn aansprakelijkheid voor incidenten die door die update voorkomen hadden kunnen worden, beperken. Daarnaast kan het contract ook bepalen hoe updates geleverd zullen worden.
Informatie en instructies voor de gebruiker
De CRA vereist dat PDE’s vergezeld gaan van duidelijke informatie en instructies voor de gebruiker, onder meer over het veilig gebruik van de PDE, de beveiligingsfunctionaliteiten en de wijze waarop beveiligingsupdates kunnen worden geïnstalleerd. Deze verplichting rust in de eerste plaats op de fabrikant. Importeurs en distributeurs moeten erop toezien dat deze informatie aanwezig is wanneer zij de PDE op de markt brengen of verder distribueren. In contracten met klanten kan het daarom aangewezen zijn te verwijzen naar deze gebruiksinformatie en instructies, zodat de klant bevestigt deze gelezen en begrepen te hebben, of minstens dat het duidelijk is waar de klant deze kan vinden en raadplegen.
Meldplicht voor kwetsbaarheden en incidenten
Het is belangrijk dat kwetsbaarheden en incidenten worden gemeld aan de fabrikant omdat de fabrikant een eigen meldplicht heeft of corrigerende maatregelen moet nemen. Deze meldplicht wordt best ook contractueel voorzien.
Medewerkingsplicht
In bepaalde gevallen kan een incident ook samenwerking vereisen tussen leverancier en klant. Contracten kunnen daarom afspraken en procedures bevatten voor de samenwerking bij het onderzoeken van een incident en het verstrekken van bepaalde informatie over het incident.