Naar de inhoud
Avanet
Cyber Resilience Act: nieuwe verplichtingen voor fabrikanten en impact op Sophos Firewall

Cyber Resilience Act: nieuwe verplichtingen voor fabrikanten en impact op Sophos Firewall

De Cyber Resilience Act verandert vanaf 2027 de regels voor fabrikanten van digitale producten. Zij moeten beveiligingsupdates gratis aanbieden, supportperiodes duidelijk definiëren en security al in het ontwerp aantonen. Voor IT-beheerders betekent dit meer transparantie; voor aanbieders zoals Sophos vraagt het om aanpassingen in de updatestrategie.

Kort overzicht

  • EU-verordening is van toepassing vanaf 11.12.2027
  • Minimaal vijf jaar gratis beveiligingsupdates vereist
  • Verplichting tot secure design, documentatie en meldprocessen
  • Sophos moet zijn updatebeleid aanpassen
  • IT-beheerders krijgen meer planningszekerheid

Waarom het onderwerp nu relevant is

De Cyber Resilience Act is sinds eind 2024 van kracht. Fabrikanten en klanten hebben tot december 2027 de tijd om hun processen aan te passen. Voor IT-security in Europa betekent dit een bindende standaard: producten zonder security-updates en met onduidelijke lifecycle-informatie moeten verdwijnen.

Wat er verandert of wat nieuw is

  • Beveiligingsupdates gratis: Fabrikanten mogen kritieke patches niet langer achter een betaalmuur plaatsen.
  • Supportperiodes transparant: Minimaal vijf jaar updates of expliciete vermelding van kortere looptijden.
  • CE-markering: Vanaf 2027 bevestigt het CE-keurmerk ook cybersecurity-conformiteit.
  • Meldplichten: Beveiligingsincidenten moeten binnen 24 uur aan autoriteiten worden gemeld. Preciezer: een vroegtijdige waarschuwing binnen 24 uur, een verdere melding binnen 72 uur; geadresseerden zijn het aangewezen CSIRT (coördinator) en ENISA via het centrale platform.
  • Hoge boetes: Tot 15 miljoen euro of 2,5 % van de omzet bij overtredingen.

Technisch overzicht

De Cyber Resilience Act richt zich op alle “producten met digitale elementen”. Daaronder vallen klassieke bedrijfssystemen zoals firewalls, routers en besturingssystemen, maar ook IoT-apparaten voor consumenten en security-kritische software. De eisen raken dus praktisch het hele ecosysteem van verbonden producten. Fabrikanten moeten in het kader van de Cyber Resilience Act aan de volgende verplichtingen voldoen:

  • Security by Design aantonen (bijv. veilige standaardinstellingen, versleuteling, geteste protocollen, hardening tegen DoS-aanvallen).
  • Een Software Bill of Materials (SBOM) bijhouden die alle relevante componenten, bibliotheken en afhankelijkheden gedetailleerd vermeldt, om transparantie te creëren voor updates en kwetsbaarheidsbeheer.
  • Auto-update-opties aanbieden, ten minste voor security-kritieke fixes, en daarbij garanderen dat deze updates zonder noemenswaardige onderbreking of impact kunnen worden geïnstalleerd. Voor professionele omgevingen moet bovendien een optie voor gecontroleerde, geplande installatie bestaan.
  • Documentatie tien jaar lang bewaren, inclusief risicobeoordelingen, testrapporten en conformiteitsverklaringen, zodat bij een controle altijd kan worden nagegaan hoe de beveiliging is gewaarborgd.
  • Een proces voor kwetsbaarheidsbeheer en een meldpunt voor beveiligingsproblemen inrichten, zodat externe onderzoekers of klanten ontdekte kwetsbaarheden onmiddellijk kunnen melden.
  • Mechanismen voor veilige updates (bijv. ondertekening, verificatie) implementeren, zodat manipulaties tijdens de distributie worden uitgesloten.

Deze gedetailleerde eisen maken duidelijk dat de Cyber Resilience Act niet alleen minimumnormen stelt, maar uitgebreid security-management vereist: van ontwikkeling en operatie tot en met de supportperiode.

Praktijkgids voor IT-beheerders

Voorbereiding:

  • Inkoopprocessen controleren: in de toekomst alleen nog CRA-conforme producten inkopen.
  • Lifecycle-informatie documenteren en aanvullen in assetmanagement.
  • Verantwoordelijkheden binnen het IT-team verduidelijken en rollen voor updatebeheer definiëren.
  • Interne beleidsregels afstemmen op CRA-eisen en ontbrekende processen aanvullen.

Implementatie:

  • Beveiligingsupdates regelmatig inplannen, ook wanneer automatische updates beschikbaar zijn.
  • Abonneren op fabrikantmeldingen en deze in interne processen integreren.
  • Testomgevingen gebruiken om updates vóór de uitrol op kritieke systemen te controleren.
  • Koppelingen met ticketing- of monitoringtools gebruiken om updateprocessen automatisch te documenteren.

Validatie:

  • Patches na installatie testen.
  • Logs na de update op anomalieën controleren.
  • Netwerk- en security-scans uitvoeren om te controleren of bekende kwetsbaarheden zijn gesloten.
  • Compliance-rapporten genereren die aan de CRA-eisen voldoen.

Rollback & monitoring:

  • Rollback-plannen voor kritieke systemen beschikbaar houden.
  • Monitoring inzetten om storingen na updates snel te herkennen.
  • Alarmeringen definiëren, zodat kritieke fouten direct zichtbaar zijn.
  • Noodchecklists klaarzetten om de operatie in een incident snel te herstellen.

Aanbevelingen en best practices

OnderwerpAanbeveling
ProductkeuzeGeef voorkeur aan CRA-conforme fabrikanten
SupportduurKies apparaten met min. 5 jaar updategarantie
PatchbeheerCentraal updatebeheer opzetten
DocumentatieSBOM en lifecycle-data opnemen in inventaris
CommunicatieBeveiligingsmeldingen van fabrikanten automatiseren

Impact op Sophos en andere platforms

Sophos heeft in 2022 zijn firmware-updatebeleid gewijzigd: updates zijn sindsdien alleen nog verkrijgbaar met een geldige supportlicentie. Security-fixes en signature-updates bleven gratis, reguliere firmware niet. De Cyber Resilience Act dwingt fabrikanten zoals Sophos om deze scheiding opnieuw te overwegen. Waarschijnlijk zal men in de toekomst onderscheid moeten maken tussen “feature-updates” (betaald) en “security-fixes” (gratis).

Voor IT-beheerders betekent dit:

  • Meer duidelijkheid over supportperiodes van appliances.
  • Betrouwbare toegang tot security-kritische patches, ook zonder licentie.
  • Meer transparantie over lifecycle en End-of-Life-data.

Veelgestelde vragen

Is de Cyber Resilience Act ook van toepassing op bestaande producten?

Nee, hij geldt voor producten die vanaf 11.12.2027 nieuw op de markt worden gebracht.

Wat gebeurt er met oude apparaten zonder updates?

Apparaten zonder security-ondersteuning zijn na afloop van de supportperiode niet langer CRA-conform en brengen risico’s met zich mee.

Moeten updates automatisch worden geïnstalleerd?

Voor veel consumentenapparaten wel. Voor firewalls of kritieke systemen volstaat een handmatige optie met melding.

Welke boetes dreigen fabrikanten?

Tot 15 miljoen euro of 2,5 % van de wereldwijde jaaromzet.

Welke rol speelt Avanet?

Avanet ondersteunt bij lifecycle-planning, updatestrategieën en de selectie van Cyber Resilience Act-conforme producten.

Welke gegevens zijn relevant voor de Cyber Resilience Act?

De verordening is sinds 10.12.2024 van kracht; de meeste verplichtingen gelden vanaf 11.12.2027. Meldingsplichten beginnen al op 11.09.2026. Bronnen: EUR-Lex en diverse advocatenkantoren.

Conclusie

De Cyber Resilience Act creëert vanaf 2027 een bindend kader voor IT-security. Voor Sophos en andere fabrikanten betekent dit aanpassingen in updatestrategieën en supportperiodes. Voor beheerders brengt het meer betrouwbaarheid rond updates en lifecycle-planning. Nu is het juiste moment om inkoopprocessen en updatestrategieën af te stemmen op CRA-eisen.

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.