Siemens, Ericsson en Nokia vrezen supply chain-problemen door Cyber Resilience Act

Siemens, Ericsson en Nokia vrezen supply chain-problemen door Cyber Resilience Act

De Cyber Resilience Act van de Europese Commissie kan mogelijks problemen opleveren voor de supply chains. Dit stellen CEO’s van diverse techbedrijven in een recente brandbrief van belangenorganisatie DigitalEurope.

Volgens de brandbrief van de belangenorganisatie is de voorgestelde Cyber Resilience Act (CRA) van de EC mogelijk een probleem voor de enkele digitale markt die de EU wil bewerkstelligen. De brief werd ondertekend door de CEO’s van onder meer Siemens, Ericsson, Schneider Electric, maar ook Nokia en ESET. Onderdelen van het Europese wetsvoorstel zouden ervoor zorgen dat er mogelijke ‘opstoppingen’ in de keten ontstaan die uiteindelijk leveringsproblemen gaan opleveren.

DigitalEurope schrijft verder dat deze opstoppingen de levering van duizenden producten, van wasmachines tot speelgoed, maar ook belangrijke onderdelen als warmtepompen, koelapparatuur en hoogwaardige maakapparatuur kunnen treffen. Hierbij spreekt de belangenhartiger zelfs van een schaal van supply chain-problemen die gelijkwaardig zijn aan die tijdens de pandemie.

Wat is de CRA?

In de CRA zijn de vereisten vastgelegd waaraan fabrikanten moeten voldoen op het gebied van cybersecurity. Bedrijven moeten voor al hun producten deze risico’s vaststellen en oplossen, bijvoorbeeld door gedurende vijf jaar na aankoop of gedurende de hele levenstermijn van de apparatuur security-updates uit te brengen en te implementeren.

Mogelijke oplossingen

De opstellers van de brandbrief komen daarom met een aantal mogelijke oplossingen die in de verdere versies van de EU-wet kunnen worden opgenomen. Onder meer moet de lijst van producten die een cybersecurity-gevaar loopt drastisch naar beneden worden bijgesteld.

Daarnaast moeten fabrikanten in staat worden gesteld om bekende kwetsbaarheden op te lossen, in plaats van dat zij hiervoor eerst onderzoek moeten doen. Het liefst gaat het hierbij om kwetsbaarheden die op dat moment actief worden misbruikt. Ook zouden zij zelf graag deze onderzoeken naar mogelijke cybersecurity-risico’s van hun producten willen uitvoeren.

Binnenkort gaan de Europese lidstaten en de EU-wetgevers verder praten over wat de CRA precies op het gebied van cybersecurity voor (industriële) producten moet gaan regelen. Eerder waarschuwde de Europese open-source-wereld al voor mogelijke problemen rondom de nieuwe wetgeving.

Lees ook: ‘Zet je securityleverancier onder druk over de productveiligheid’