EU CRA en SBOM

Het Europees Parlement heeft de Cyber Resilience Act (CRA) van de EU goedgekeurd op 12 maart.

‍De Raad wordt verwacht zijn goedkeuring in april te formaliseren. Daarom staat CRA op het punt om van kracht te worden in een gefaseerde overgang die begin 2025 begint.

‍CRA is bedoeld om consumenten en bedrijven te beschermen tegen producten met onvoldoende beveiliging. Om dit te bereiken, legt CRA cybersecurityverplichtingen op aan alle producten met digitale elementen (‘PDE’) die commercieel op de EU-markten worden verkocht.

‍De PDE verwijst in brede zin naar software en verbonden apparaten.

‍CRA stelt eisen aan deze producten om -

• Beveiliging gedurende de levenscyclus van het product prioriteit te geven

• Te voldoen aan specifieke essentiële cybersecurity-eisen

• Een planning te maken voor kwetsbaarheidsbeheer

• Beveiligingsupdates te bieden gedurende de Productcyclus

• Gebruiksexploitaties binnen 24 uur aan CISRT te melden

• Een SBOM op te bouwen, onderhouden en gebruiken voor interne en wettelijke indiening