Naar de inhoud
Avanet
Cyber Resilience Act: Nieuwe verplichtingen voor fabrikanten en impact op Sophos Firewall

Cyber Resilience Act: Nieuwe verplichtingen voor fabrikanten en impact op Sophos Firewall

4. AUGUSTUS 2025

De Cyber Resilience Act zal vanaf 2027 de regels voor fabrikanten van digitale producten veranderen. Beveiligingsupdates moeten gratis worden aangeboden, ondersteuningsperiodes duidelijk worden gedefinieerd en beveiliging moet al bij het ontwerp worden aangetoond. Voor IT-beheerders brengt dit meer transparantie; voor aanbieders zoals Sophos aanpassingen in hun updatestrategie.

Kort overzicht

  • EU-verordening is van toepassing vanaf 11.12.2027
  • Minimaal vijf jaar gratis beveiligingsupdates vereist
  • Verplichting tot veilig ontwerp, documentatie en meldingsprocessen
  • Sophos moet zijn updatebeleid aanpassen
  • IT-beheerders krijgen meer planningszekerheid

Waarom het onderwerp nu relevant is

De Cyber Resilience Act is sinds eind 2024 van kracht. Fabrikanten en klanten hebben tot december 2027 de tijd om hun processen aan te passen. Voor IT-beveiliging in Europa betekent dit een bindende standaard: producten zonder beveiligingsupdates en onduidelijke levenscyclusinformatie moeten verdwijnen.

Wat er verandert of wat nieuw is

  • Gratis beveiligingsupdates: Fabrikanten mogen kritieke patches niet langer achter een betaalmuur plaatsen.
  • Transparante ondersteuningsperiodes: Minimaal vijf jaar updates of expliciete vermelding van kortere looptijden.
  • CE-markering: Vanaf 2027 bevestigt het CE-keurmerk ook de conformiteit met cybersecurity.
  • Meldingsplichten: Beveiligingsincidenten moeten binnen 24 uur aan autoriteiten worden gemeld. Om precies te zijn: vroegtijdige waarschuwing binnen 24 uur, verdere melding binnen 72 uur; geadresseerden zijn de aangewezen CSIRT (coördinator) en ENISA via het centrale platform.
  • Hoge boetes: Tot 15 miljoen euro of 2,5 % van de omzet bij overtredingen.

Technisch overzicht

De Cyber Resilience Act richt zich op alle “producten met digitale elementen”. Hieronder vallen klassieke bedrijfssystemen zoals firewalls, routers en besturingssystemen, maar ook IoT-apparaten in de consumentensector en beveiligingskritieke software. De eisen hebben dus praktisch betrekking op het hele ecosysteem van verbonden producten. Fabrikanten moeten in het kader van de Cyber Resilience Act aan de volgende verplichtingen voldoen:

  • Security by Design aantonen (bijv. veilige standaardinstellingen, versleuteling, geteste protocollen, verharding tegen DoS-aanvallen).
  • Een Software Bill of Materials (SBOM) bijhouden die alle relevante componenten, bibliotheken en afhankelijkheden gedetailleerd vermeldt, om transparantie te creëren voor updates en kwetsbaarheidsbeheer.
  • Auto-update-opties aanbieden, althans voor beveiligingskritieke fixes, en daarbij garanderen dat deze updates zonder noemenswaardige onderbreking of aantasting kunnen worden geïnstalleerd. Voor professionele omgevingen moet bovendien een optie voor gecontroleerde, tijdgestuurde installatie bestaan.
  • Documentatie tien jaar lang bewaren, inclusief risicobeoordelingen, testrapporten en conformiteitsverklaringen, zodat bij een controle altijd kan worden nagegaan hoe de beveiliging is gewaarborgd.
  • Een proces voor kwetsbaarheidsbeheer en een meldpunt voor beveiligingsproblemen inrichten, zodat externe onderzoekers of klanten ontdekte kwetsbaarheden onmiddellijk kunnen melden.
  • Mechanismen voor veilige updates (bijv. ondertekening, verificatie) implementeren, zodat manipulaties tijdens de distributie worden uitgesloten.

Door deze gedetailleerde eisen wordt duidelijk dat de Cyber Resilience Act niet alleen minimumnormen stelt, maar een uitgebreid beveiligingsbeheer van ontwikkeling via exploitatie tot de ondersteuningsperiode vereist.

Praktijkgids voor IT-beheerders

Voorbereiding:

  • Inkoopprocessen controleren: in de toekomst alleen nog CRA-conforme producten aanschaffen.
  • Levenscyclusinformatie documenteren en aanvullen in assetmanagement.
  • Verantwoordelijkheden binnen het IT-team verduidelijken en rollen voor updatebeheer definiëren.
  • Interne beleidsregels afstemmen op CRA-eisen en ontbrekende processen aanvullen.

Implementatie:

  • Plan beveiligingsupdates regelmatig, zelfs als automatische updates beschikbaar zijn.
  • Abonneer u op meldingen van de fabrikant en integreer deze in interne processen.
  • Gebruik testomgevingen om updates te controleren voordat ze op kritieke systemen worden uitgerold.
  • Gebruik interfaces met ticketing- of monitoringtools om updateprocessen automatisch te documenteren.

Validatie:

  • Test patches na installatie.
  • Controleer logs op afwijkingen na de update.
  • Voer netwerk- en beveiligingsscans uit om te controleren of bekende kwetsbaarheden zijn gedicht.
  • Genereer compliance-rapporten die voldoen aan de CRA-eisen.

Rollback & Monitoring:

  • Houd rollback-plannen voor kritieke systemen bij de hand.
  • Gebruik monitoring om storingen na updates snel te detecteren.
  • Definieer alarmen, zodat kritieke fouten direct zichtbaar zijn.
  • Lever nood-checklists aan om in geval van nood de bedrijfsvoering snel te herstellen.

Aanbevelingen en Best Practices

Onderwerp Aanbeveling
Productkeuze Geef voorkeur aan CRA-conforme fabrikanten
Ondersteuningsduur Kies apparaten met min. 5 jaar update-toezeggingen
Patchbeheer Centraal updatebeheer opzetten
Documentatie SBOM en levenscyclusgegevens opnemen in inventaris
Communicatie Beveiligingsmeldingen van fabrikanten automatiseren

Impact op Sophos en andere platforms

Sophos heeft in 2022 zijn firmware-updatebeleid gewijzigd: updates zijn sindsdien alleen nog verkrijgbaar met een geldige supportlicentie. Beveiligingsfixes en signature-updates bleven gratis, maar reguliere firmware niet. De Cyber Resilience Act dwingt fabrikanten zoals Sophos om deze scheiding opnieuw te overwegen. Waarschijnlijk zal men in de toekomst onderscheid moeten maken tussen “feature-updates” (betaald) en “beveiligingsfixes” (gratis).

Voor IT-beheerders betekent dit:

  • Meer duidelijkheid over ondersteuningsperiodes van appliances.
  • Betrouwbare toegang tot beveiligingskritische patches, ook zonder licentie.
  • Grotere transparantie over levenscyclus en End-of-Life-data.

Veelgestelde vragen

Is de Cyber Resilience Act ook van toepassing op bestaande producten?

Nee, het is van toepassing op producten die vanaf 11.12.2027 nieuw op de markt worden gebracht.

Wat gebeurt er met oude apparaten zonder updates?

Apparaten zonder beveiligingsondersteuning zullen na het verstrijken van de ondersteuningsperiode niet langer CRA-conform zijn en risico’s met zich meebrengen.

Moeten updates automatisch worden geïnstalleerd?

Voor veel consumentenapparaten, ja. Voor firewalls of kritieke systemen volstaat een handmatige optie met melding.

Welke boetes dreigen fabrikanten?

Tot 15 miljoen euro of 2,5 % van de wereldwijde jaaromzet.

Welke rol speelt Avanet?

Avanet ondersteunt bij levenscyclusplanning, updatestrategieën en selectie van Cyber Resilience Act-conforme producten.

Welke gegevens zijn relevant voor de Cyber Resilience Act?

De verordening is sinds 10.12.2024 van kracht; de meeste verplichtingen gelden vanaf 11.12.2027. Meldingsplichten beginnen al op 11.09.2026. Bronnen: EUR-Lex en diverse advocatenkantoren.

Conclusie

De Cyber Resilience Act creëert vanaf 2027 een bindend kader voor IT-beveiliging. Voor Sophos en andere fabrikanten betekent het aanpassingen in updatestrategieën en ondersteuningsperiodes. Voor beheerders brengt het meer betrouwbaarheid in updates en levenscyclusplanning. Nu is het juiste moment om inkoopprocessen en updatestrategieën af te stemmen op CRA-eisen.

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.