4 min Security

Cyber Resilience Act: fabrikanten aansprakelijk voor opensource-code

Cyber Resilience Act: fabrikanten aansprakelijk voor opensource-code

Nieuwe verplichtingen moeten laptops, mobiele applicaties en slimme toestellen beschermen van online dreigingen. Door een herziening van de wettekst komen de verplichtingen op de schouders van de fabrikanten terecht. Aan de financiële zijde lijken ook de fabrikanten te verliezen.

De Cyber Resilience Act (CRA) is een idee vanuit de Europese Commissie dat in 2022 werd voorgesteld. Het idee was een set van regels te ontwerpen om alle producten die rechtstreeks of onrechtstreeks met het internet verbonden zijn, beter te beschermen. Dit product kan zowel hardware als software omvatten.

Langere ondersteuning, meer transparantie

Recent zijn Commissie en Parlement tot een akkoord gekomen over de inhoud van de wet. Weet de Europese Commissie toestellen inderdaad veiliger te krijgen?

Het is alvast niet zo dat de volledige wetgeving zich concentreert op de productie van het product. Er is wel controle op zowel de hardware als software. Na dit proces krijgt het toestel een CE-markering. Na verkoop dient de fabrikant voldoende security-updates uit te geven. De periode moet overeenstemmen met de verwachtte levensduur van het toestel of minstens vijf jaar lang zijn. Tot slot verplicht de wet om beveiligingsincidenten steeds te melden.

Opensource niet belast

De inhoud is tevens een geruststelling voor de opensource-gemeenschap. Om producten veiliger te krijgen, stelt Europa in deze versie alleen de fabrikant verantwoordelijk. Als deze fabrikant aan de slag gaat met een opensource-code in een product, wordt deze code onderdeel van het product waarvan de fabrikant verantwoordelijk is. Dit verloopt via een belangrijke specificatie over wie aan de wet moet voldoen. Alle ontwikkeling die plaatsvindt buiten het doel van commercialisering om, zal nu de regels links mogen laten liggen. Opensource-ontwikkelaars kunnen dan ook vaak niet zo snel reageren op een beveiligiginsincident als een bedrijf dat handelt vanuit commerciële belangen.

Fabrikanten kunnen dus wel blijven shoppen bij de opensource-gemeenschap naar software. Dat komt overigens vaak voor: “Opensource-software vertegenwoordigt meer dan 70 procent van de software die aanwezig is in producten met digitale elementen in Europa.” Deze uitspraak komt uit een open brief die verschillende opensource-organisaties eerder dit jaar stuurde naar de Commissie om hun zorgen te uiten. Maar waar fabrikanten vroeger konden kiezen om de code integraal over te nemen, zullen er nu controles op security-vlak nodig zijn.

Worden toestellen duurder binnen de EU?

Na het overeenstemmen van de inhoud van de wettekst, is de Commissie onmiddellijk aan het rekenen gegaan. Daar presenteert het mooie cijfers. Zo besparen we met de hele EU jaarlijks 290 miljard euro. Dat beloven de berekeningen.

Voor de fabrikanten verhogen de kosten jaarlijks met 29 miljard euro, doordat zij onder andere moeten invsteren in problemen bij oudere toestellen. Er is weinig kans dat de fabrikanten deze kosten zelf opnemen. Producten die verbonden zijn met het internet kunnen daardoor net een hoger prijskaartje dragen binnen de Europese Unie dan erbuiten. Afgaande op de berekeningen van de Commissie zal de meerprijs natuurlijk in het niets vallen ten opzichte van de besparingen die er op lange termijn zijn doordat toestellen onder andere een langere levensduur krijgen.

Ransomware-aanvallen zijn een ander punt dat de Commissie hoopt aan te pakken met de CRA. Alleen door deze aanvallen terug te dringen, zijn grote besparingen al mogelijk: “Elke 11 seconden wordt een organisatie getroffen door een ransomware-aanval, die naar schatting jaarlijks 20 miljard euro kost.”

Voor de Commissie en het Parlement duidt de overeenstemming over de inhoud erop dat de regels als voldoende worden beschouwd om producten veiliger te maken. De wettekst zit hiermee in de laatste rechte lijn naar publicatie. Voor fabrikanten voorziet Europa een overgangperiode van 36 maanden dat begint te tellen vanaf de publicatie.

Lees ook: Siemens, Ericsson en Nokia vrezen supply chain-problemen door Cyber Resilience Act