Europese Cyber Resilience Act doorgelicht: een doorbraak voor cybersecurity?

eu cyber resilience act

De Europese Unie zet in de Cyber Resilience Act beveiligingsrichtlijnen op papier die fabrikanten van hardware en software moeten volgen. Kan een nieuwe wet leiden tot minder cyberaanvallen in Europa? We leggen samen met een expert in cybersecurity het voorstel op de rooster.

2022 was een vruchtbaar jaar voor de cybercriminaliteit. Het toonaangevende onderzoekbureau Cybersecurity Ventures omschrijft cybercrime als een ‘probleem van zes biljoen dollar’. Daarmee bedoelt het dat cyberaanvallen jaarlijks voor zes biljoen dollar aan schade aanrichten; een cijfer dat tegen 2025 kan oplopen tot meer dan tien biljoen.

De strijd tegen cybercriminaliteit zal het zwaarste geschut vergen. Daarom legde de Europese Unie op 15 september 2022 een nieuw voorstel neer: de Cyber Resilience Act. Het wetsontwerp pleit voor een horizontale Europese aanpak rond cybersecurity die met een opvallende vinger naar fabrikanten van hardware en software wijst. Zij dragen de hoogste verantwoordelijkheid voor het ontwikkelen van veilige(re) technologische middelen, klinkt het.

De Europese Unie heeft hoge ambities met de wet. Zo meent de Unie door duidelijkere voorschriften op te leggen aan technologiefabrikanten het aantal cyberaanvallen terug te dringen en bijgevolg het totale kostenplaatje van cybercriminaliteit jaarlijks met 290 miljard euro te verminderen. Maar hoe realistisch zijn die ambities?

Cybersecurity: een dure kost

De belangrijkste krijtlijnen voor het wetsontwerp werden in een Europe studie, gepubliceerd op 15 december 2021, uitgezet. Het doel van de studie was om de voornaamste knelpunten rond cyberveiligheid op de Europese markt te identificeren. Een eerste structureel probleem dat aan de oppervlakte kwam, was de algemene beveiligingsgraad van technologie. De studie concludeerde dat één op vier ICT-producten op de markt slecht tot zeer slecht beveiligd zijn.

Om producten zo snel mogelijk op de markt te brengen, durven fabrikanten wel eens besparen op de beveiliging. Dat stelt men nadien wel bij aan de hand van updates. Maar die updates volgen meestal pas eens een kwetsbaarheid al ontdekt is, waardoor beveiliging nu altijd achter de feiten aanholt.

lees ook

Beveiligingstip: geef patchen de hoogste prioriteit

“Security moet vanaf de eerste fase in het design ingebakken worden”, zegt Chester Wisniewski, Principal Research Scientist voor Sophos. “Maar dit is voor bedrijven een dure investering die ze ook constant moeten blijven maken. Je moet bedrijven voldoende stimulans geven om te investeren in de beveiliging van hun producten.” Hiermee schetst Wisniewski meteen één van de grote uitdagingen die de Cyber Resilience Act het hoofd moet bieden.

Asymmetrie in kennis

Veiligere technologie alleen is niet voldoende. De eindgebruiker moet ook weten hoe op een verantwoorde manier met ICT-producten om te gaan. En ook hier knelt het schoentje, concludeerde de voorbereidende studie. Zeven op de tien Europese ICT-gebruikers zou onvoldoende bewust zijn van de risico’s op cyberaanvallen; vooral voor software lijkt de doorsnee gebruiker niet goed te kunnen inschatten of het product goed beveiligd is.

Bij de aankoop van producten is beveiliging totaal geen hoofdcriterium. Eindgebruikers gaan er te gemakkelijk vanuit dat security in het design van het product zit, wat we hebben vastgesteld dat dit niet altijd zo is, en doen dus niet veel inspanning zich hierover te informeren.

Maar een gebrek aan kennis en informatie kan ook het omgekeerde effect hebben en burgers wantrouwig maken. Dit kan de adoptie van baanbrekende technologieën vertragen. Daar dragen de fabrikanten ook verantwoordelijkheid in, want beveiligingsinformatie over producten is vaak schaars.

Onvoldoende kennis en informatie over cybersecurity maakt burgers wantrouwig tegenover nieuwe, baanbrekende technologieën.

Een complex juridisch web

Wie er het Europese wetboek op zou naslaan, botst op 33 wetteksten die zich op een of andere manier op het gebied van cybersecurity begeven, met nog vier wetten in de aantocht. Waarom hebben we dan nood aan nog eens een extra wet? We hebben nu al medelijden met studenten Europees recht.

De Cyber Resilience Act bouwt verder op de Cybersecurity Act die van kracht ging in 2019. Daarmee willen we zeggen dat de nieuwe wet de achterpoortjes van de vorige moet toedoen. De Cybersecurity Act was een eerste poging om overkoepelende regels op te leggen voor de Europese ICT-markt.

Dat moest een einde maken aan fragmentatie in de markt waar elk land zijn eigen regels rond cybersecurity heeft. Maar de opgestelde regels waren te vaag en bovendien was er maar weinig controle op producten eens ze op de markt zijn verschenen. De wet kon wel blaffen, maar om iedereen mee aan boord te krijgen moet je soms ook bijten.

Bovendien is de ICT-wereld sterk veranderd sinds 2019. Door de doorbraak van IoT en geconnecteerde apparaten is cybersecurity nog meer uitgegroeid tot een grenzeloze discipline. Een kwetsbaarheid in één lokaal apparaat kan een domino-effect in gang zetten dat een internationaal informaticanetwerk ten val brengt.

In een geconnecteerde wereld dient elke schakel in het netwerk voldoende beveiligd te zijn. Ook de commercialisering van AI zal nieuwe spelregels in het cybersecurityveld eisen, maar hiervoor werkt de Europese Unie aan een aparte wet.

lees ook

ChatGPT haalt onderscheiding aan Amerikaanse universiteit: is dat problematisch?

Verantwoordelijkheid bij fabrikanten

De Cyber Resilience Act legt de verantwoordelijkheid voor meer cyberveiligheid in de eerste plaats bij de fabrikanten. De wet is van toepassing op, en we citeren hier letterlijk de wettekst, fabrikanten van ‘alle producten waarvan het bedoelde gebruik een directe of indirecte digitale of fysieke verbinding met een apparaat of netwerk vereist’. Hardware en software worden in deze definitie dus over dezelfde kam geschoren.

Concreet bestaat die verantwoordelijkheid uit drie luiken. Ten eerste moeten producten ontwikkeld, ontworpen en geproduceerd worden volgens een lange lijst ‘essentiële beveiligingsvoorschriften’ voor het beschermen tegen ongeautoriseerde toegang, veilige opslag van gevoelige data, uitrollen van updates, en meer. Daarbovenop moeten fabrikanten voldoende documentatie over veilig gebruik en installatie bij de producten leveren.

Voor Wisniewski is de derde verplichting de belangrijkste. Fabrikanten dienen onafhankelijke veiligheidstests te laten uitvoeren en krijgen vanaf nu ook een rapporteringsplicht opgelegd voor kwetsbaarheden die in een product ontdekt worden nadat het op de markt verschenen is. Bedrijven worden zo verplicht om transparanter te zijn naar hun cliënteel.

“Wanneer we IT-leveranciers op de hoogte brengen van kwetsbaarheden die we ontdekt hebben in hun producten, wordt die waarschuwing nog vaak genegeerd. Het zal nu niet meer mogelijk zijn om kwetsbaarheden onder tafel te vegen. Als je moet rapporteren over de veiligheid van je producten, ben je ook meer geneigd om erin te investeren”, aldus Wisniewski.

En als dat niet werkt, dreigt de wet met sancties. Producten die niet voldoen aan de beveiligingsvoorschriften, mogen in principe niet meer verkocht worden op de markt. De fabrikant riskeert ook boetes als die zich niet geneigd toont om verbeteringen aan te brengen.

Een uitzondering wordt voorzien voor pure opensourcetechnologie. “Ik vind dat het wetsvoorstel hier wel een correcte grens in trekt”, vindt Wisniewski. “Het opensourcemodel houdt per definitie in dat niemand eigendom is van de technologie. Pas van zodra een bedrijf een technologie gebruikt voor commerciële doeleinden, eist het eigendomsrecht op en dan is het veroorloofd om bedrijven ter verantwoording te roepen voor hoe ze met die technologie omgaan.”

Mensen constant waarschuwen voor een gevaar, maakt hen er net onverschillig voor.

Chester Wisniewski, Principal Research Scientist Sophos

‘GDPR-effect’

Bij andere beslissingen in het wetsontwerp heeft Wisniewski bedenkingen over de effectiviteit. Zo is hij ervan overtuigd dat de verplichting om gebruikers te waarschuwen voor beveiligingsrisico’s gemengde resultaten kan hebben. Hij waarschuwt voor een ‘GDPR-effect’.

“Kijk naar de GDPR: de wet bestaat inmiddels al vijf jaar, maar we weten nog altijd niet goed hoe we ze correct moeten uitvoeren. Mensen geraken nu vooral geïrriteerd van al die cookiemenu’s waar ze zich op elke website die ze bezoeken door moeten worstelen. Europa wil mensen aansporen om slim om te gaan met technologie en data. Dat is een positieve gedachte, maar mensen constant waarschuwen voor het gevaar creëert net verwarring en onverschilligheid. Het gedrag van mensen blijft moeilijk te voorspellen”, aldus Wisnieski.

lees ook

‘EU doet een toegeving aan de VS met het trans-Atlantisch kader voor gegevensbescherming’

De Cyber Resilience Act heeft nog een lange weg te gaan. Wisnieski voorspelt dat het huidige wetsontwerp niet ongeschonden uit de juridische strijd zal komen. “Het is een heel ambitieus voorstel, misschien wel te ambitieus omdat het miljoenen apparaten aangaat. De voorgestelde regels kosten fabrikanten heel veel geld, dus ik voorspel dat lobbygroepen nog wel aanpassingen zullen proberen forceren.”

Of de wet daadwerkelijk voor een kentering kan zorgen in cybersecurity, zullen we over enkele jaren pas kunnen zeggen. “Toch kijk ik met veel interesse hoe de ICT-sector zal reageren op het voorstel. Ik hoop dat fabrikanten nu al proactief investeren in security om de wet voor te zijn”, kijkt Wisniewski vooruit. De doelstellingen die de Europese Unie beoogt klinken mooi op papier, maar om die te realiseren zal de wet een pitbull mét tanden moeten zijn.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.