Succesvolle cyberaanvallen tegen zowel hardware- als softwareproducten komen verontrustend vaak voor. Volgens Cybersecurity Ventures heeft cybercriminaliteit de wereld in 7 naar schatting 2022 biljoen dollar gekost. Met zo’n hoog prijskaartje is het geen wonder dat zowel bedrijven als overheden dit opmerken. De VS liepen voorop met de presidentieel uitvoeringsbesluit over het verbeteren van de cyberbeveiliging van de natie, uitgevaardigd op 12 mei 2021. Dit werd gevolgd door het veilige softwareontwikkelingsframework (SSDF) van NIST dat wordt langzaamaan een gevestigde nieuwe best practice, die vanzelfsprekend vereist is in elk softwareproduct. De Europese Unie staat niet werkeloos toe – De Europese Cyberweerbaarheidswet is een voorgesteld stuk wetgeving dat is ontworpen om de cyberbeveiliging van kritieke infrastructuren in de hele EU te versterken.
De fase van het verzamelen van feedback voor het wetsvoorstel begon in december 2020, maar het eerste ontwerp van het wetsvoorstel werd pas op 14 september 2022 gepubliceerd. Omdat dergelijke grootschalige wetgeving mogelijk verstrekkende gevolgen zou kunnen hebben, dachten we dat we de duik en probeer uit te leggen waar dit wetsvoorstel over gaat en op wie het gevolgen zal hebben. Laten we beginnen met een kort overzicht van de voorgestelde wetgeving.
Het wetsvoorstel opsplitsen: wat u moet weten
De ECRA heeft tot doel de cyberbeveiliging van kritieke infrastructuren in de hele Europese Unie (EU) te versterken. De wet heeft vooral gevolgen voor aanbieders van essentiële diensten en aanbieders van digitale diensten. Deze zijn gedefinieerd in de bestaande EU-richtlijn inzake de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn) en omvatten onder meer de sectoren energie, transport, bankwezen, gezondheidszorg en digitale infrastructuur.
De voorgestelde wet zou ook van toepassing zijn op digitale dienstverleners die niet onder de NIS-richtlijn vallen, maar die onlinediensten aanbieden aan consumenten in de EU. Deze omvatten online marktplaatsen, cloud computing-diensten en zoekmachines.
Omdat het tot doel heeft alle verbonden apparaten te bestrijken die nog niet onder andere EU-wetgeving vallen, is het waarschijnlijk dat dit gevolgen zal hebben voor het IoT en andere verbonden apparaten, met name de apparaten die al op de markt zijn.
De voorgestelde wet omvat een aantal maatregelen, zoals:
- Het opzetten van een cyberbeveiligingscertificeringsregeling voor exploitanten van essentiële diensten en aanbieders van digitale diensten.
- De oprichting van een platform voor het delen van cyberbeveiligingsinformatie om organisaties te helpen informatie over cyberdreigingen en -incidenten te delen. Het voorgestelde wetsvoorstel omvat een rapportageverplichting voor elke cyberbeveiligingsgebeurtenis binnen 24 uur aan het Agentschap van de Europese Unie voor Cybersecurity (ENISA).
- De goedkeuring van een gemeenschappelijke methodologie voor het beoordelen van cyberveiligheidsrisico's en de ontwikkeling van richtlijnen voor risicobeheer.
- De oprichting van een European Cyber Resilience Centre om lidstaten te ondersteunen bij een cyberaanval.
Belangrijk is dat de voorgestelde wetgeving een certificeringsprogramma omvat voor ICT-producten, -diensten en -processen. Het certificeringsproces omvat een conformiteitsbeoordeling door een aangewezen conformiteitsbeoordelingsinstantie (CAB) om te bepalen of het product, de dienst of het proces voldoet aan de eisen die in de wet zijn vastgelegd. Bij de wet wordt een European Cyber Resilience Certification Board opgericht, die verantwoordelijk is voor het in stand houden van het certificeringssysteem en het waarborgen van de consistentie ervan in de hele EU. Het is de bedoeling dat het regelmatig testen en auditen doorgaat, zelfs nadat het nieuwe bestuur een conformiteitscertificaat heeft afgegeven aan de leverancier van het product, de dienst of het proces in kwestie. Voortdurend toezicht zou ervoor zorgen dat de naleving van de vereisten van het wetsvoorstel niet verslapt zodra een certificaat is verleend; het is de bedoeling dat de naleving continu blijft.
Daarnaast stelt de ECRA een aantal maatregelen voor om de samenwerking en informatie-uitwisseling tussen de EU-lidstaten te verbeteren en de cyberveiligheidscapaciteiten van de EU te versterken. Deze omvatten de oprichting van een Europees kenniscentrum voor cyberbeveiliging en een netwerk van nationale coördinatiecentra voor cyberbeveiliging, evenals de ontwikkeling van een gemeenschappelijk kader voor het melden en reageren op cyberbeveiligingsincidenten. Het wetsvoorstel stelt ook de oprichting voor van een Europese kwetsbaarheidsdatabase, zodat deze niet uitsluitend op die van de VS hoeft te vertrouwen NVD.
Het wetsvoorstel heeft ook betrekking op markttoezicht en handhaving om ervoor te zorgen dat de nieuwe normen op de juiste manier worden nageleefd in alle lidstaten en voor alle gedekte apparaten en diensten die op de EU-markt worden aangeboden, ongeacht waar ze zijn vervaardigd.
Hoe verhoudt dit zich tot recente Amerikaanse best practices?
Zoals hierboven vermeld, hebben zowel de VS als de EU zich voorgenomen de cyberveiligheidsbescherming van hun respectieve markten te verbeteren. Als zodanig is het zinvol om te kijken of de nieuwe Amerikaanse beste praktijken hun weg naar de ECRA hebben gevonden.
Voor degenen die bekend zijn met de SSDF (NIST 800-218) een deel van het taalgebruik van de ECRA lijkt misschien bekend. Het wetsvoorstel vereist dat beveiliging vanaf het begin in producten wordt opgenomen en niet later wordt 'toegevoegd'. De ECRA bevat eisen voor de identificatie en het beheer van supply chain risico's, en het voorgestelde Europese cyberbeveiligingscertificeringssysteem zou, hoewel nog steeds niet goed gedefinieerd, waarschijnlijk het gebruik ervan vereisen Software Stuklijst (SBOM) en veilige softwareontwikkelingspraktijken.
Het voorstel roept ook op tot de implementatie van technische en organisatorische maatregelen om informatiesystemen en gegevens te beveiligen, waaronder het gebruik van sterke authenticatie en encryptie, monitoring- en detectiemogelijkheden, planning van incidentrespons en regelmatige beveiligingstests en -audits – allemaal elementen die duidelijk zijn gedefinieerd in het voorstel. SSDF.
Een van de nieuwe best practices die in de VS wordt gepromoot, is het gebruik van de SBOM om afhankelijkheden, kwetsbaarheden en softwarelicenties op te sporen. Het is bedoeld om de producttransparantie te vergroten en fabrikanten en gebruikers een duidelijker beeld te geven van wat er precies in het product verborgen zit. Hoewel de ECRA de SBOM niet expliciet vermeldt, is het vermeldenswaard dat de kwestie van softwaretransparantie, waartoe ook het concept van SBOM's behoort, lange tijd een onderwerp van discussie is geweest in de context van de cyberveiligheidsstrategie van de Europese Unie. In juni 2021 bracht de Europese Commissie een voorstel uit voor een Verordening digitale operationele veerkracht voor de financiële sector, waarin een vereiste voor financiële entiteiten is opgenomen om een “uitgebreide en actuele inventaris van hun ICT-systemen en activa” te gebruiken en bij te houden. Deze inventaris moet “een actuele kaart bevatten van de onderlinge verbindingen en afhankelijkheden van de ICT-systemen en -middelen en, waar relevant, van de respectieve software- en hardwarecomponenten.”
Hoewel deze vereiste specifiek is voor de financiële sector, suggereert het wel dat de Europese Unie het belang van softwaretransparantie in overweging neemt bij het waarborgen van de veerkracht op het gebied van cyberbeveiliging. Het valt nog te bezien of de European Cyber Resilience Act of andere wetgevingsinitiatieven in de toekomst explicietere eisen voor SBOM’s zullen bevatten.
Welke gevolgen zal dit wetsvoorstel voor u hebben?
Omdat de ECRA nog niet definitief is, is het moeilijk om hier definitief te zijn. Wat we wel kunnen doen is parallellen trekken met een andere veelomvattende EU-wetgeving: de AVG.
De Algemene Verordening Gegevensbescherming (AVG) is een uitgebreide verordening inzake privacy en gegevensbescherming die de Europese Unie in april 2016 heeft aangenomen en op 25 mei 2018 in werking is getreden. Het wetsvoorstel is van toepassing op alle organisaties die gegevens verzamelen, verwerken of opslaan de persoonsgegevens van personen gevestigd in de EU, ongeacht de locatie van de organisatie of de locatie van de opgeslagen gegevens. Het legt organisaties verplichtingen op om de veiligheid en privacy van persoonlijke gegevens te waarborgen, inclusief vereisten voor het melden van datalekken, gegevensbeschermingseffectbeoordelingen en privacy by design en default. Organisaties die de AVG niet naleven, kunnen te maken krijgen met aanzienlijke boetes en andere straffen.
In de jaren sinds we de AVG-wet in werking zagen treden, merkten we een ‘trickle-down’-effect van deze regelgeving. Aanvankelijk vonden alleen organisaties die zaken deden in de EU dat zij hieraan moesten voldoen. Amerikaanse bedrijven kregen te maken met verschillende hoge boetes omdat ze de vereisten van de wet negeerden. Tegenwoordig volgen zelfs bedrijven die niets met EU-burgers te maken hebben de verordening. Het heeft alleen maar zin om hieraan te voldoen, zodat als en wanneer u aan Europa wilt verkopen, u zich niet hoeft te haasten voor naleving.
Over het algemeen denkt de ECRA er ongeveer hetzelfde over. Nu een groot deel van de wereld nog steeds moeite heeft om te reageren op de piek in cyberveiligheidsincidenten, heeft elke alomvattende en duidelijke wetgeving die bedoeld is om de veiligheidstekortkomingen van softwareproducenten te verzachten een goede kans om aangenomen te worden. Nogmaals: het is zinvol om vooraf hieraan te voldoen, zodat u al gedekt bent als en wanneer u klaar bent om aan de EU te verkopen.
Dat betekent dat het antwoord op de vraag 'Gaat dit wetsvoorstel mij aan?' is een volmondig ja als je iets te maken hebt met softwareproductie. Het heeft misschien geen gevolgen voor u vanaf het begin, maar op een gegeven moment zult u hieraan moeten voldoen, ook al wordt dit slechts erkend als een nieuwe, veel voorkomende best practice.
Gelukkig kan een op bewijzen gebaseerde beveiligingshub helpen
We zijn momenteel getuige van het overwinnen van de zich ontwikkelende veiligheidsuitdagingen de evolutie van applicatiebeveiliging naar software supply chain-beveiliging. Het omvat een nieuwe generatie technologieën en nieuwe hulpmiddelen die deze uitdagingen proberen aan te pakken. Geautomatiseerde tools en oplossingen helpen organisaties een nieuw beveiligingsniveau te bereiken door een op bewijs gebaseerd platform voor continue codebeveiligingsgarantie te bieden dat kan getuigen van de betrouwbaarheid van de softwareontwikkelingslevenscyclus en softwarecomponenten.
Schriftgeleerde is een Software Supply Chain Security-hub. Het verzamelt bewijsmateriaal en presenteert dit voor elke build die via uw CI/CD-pijplijn wordt uitgevoerd. De oplossing van Scribe is gebouwd om de naleving van Amerikaanse en Europese regelgeving en best practices te vergemakkelijken in termen van het vergroten van de transparantie van software en het vertrouwen tussen softwareleveranciers en softwaregebruikers. Het platform maakt het gedetailleerd maken en delen van SBOM's mogelijk, evenals andere beveiligingsinzichten. Bovendien kan het platform verifiëren dat de build waarnaar u kijkt compatibel is met SLSA niveau 3 en met het SSDF-framework van NIST. Gezien de voor de hand liggende relaties en overeenkomsten tussen de ECRA en de SSDF, zou het kunnen bevestigen dat uw software SSDF-compatibel is, een grote bijdrage kunnen leveren aan het vaststellen van uw ECRA-compliance.
Een laatste woord: laat u niet onvoorbereid betrappen
De European Cyber Resilience Act is momenteel slechts een voorstel en is nog niet door de EU aangenomen. De voorgestelde wet bevindt zich momenteel in het wetgevingsproces en wordt beoordeeld door het Europees Parlement en de Raad van de EU. Het wetsvoorstel zal naar verwachting verschillende onderhandelingsrondes en herzieningen ondergaan voordat het als wet wordt aangenomen. De kans is groot dat de definitieve versie van de wet verandert, inclusief de bepalingen met betrekking tot productveiligheid, certificering en de producten en sectoren waarop het wetsvoorstel betrekking heeft.
Het is vermeldenswaard dat de details van de manier waarop de wet voorstelt om te verifiëren dat producten voldoen aan de cyberbeveiligingsnormen nog niet volledig zijn behandeld in het gepubliceerde ontwerp. De definitieve versie van de wet kan meer specifieke vereisten bevatten voor productcertificering en -verificatie, naast vele andere gebieden die verduidelijking behoeven. Omdat de wetgeving nog niet volledig is gerealiseerd, hebben belanghebbenden uit de sector voorgesteld dat de wetgeving nauwkeurigere definities zou moeten bevatten, waarbij rekening zou worden gehouden met variaties in de creatie, functionaliteit en het gebruik van digitale producten. Ze maakten duidelijk dat te strenge eisen op het gebied van cyberbeveiliging het risico met zich meebrengen dat het MKB uit de markt wordt gehouden. Om precies te laten zien hoe onzeker de zaken zijn, een nieuwe -update vanaf december 2022 heeft SAAS-producten al duidelijk buiten het toepassingsgebied van de verordening geplaatst.
Om zowel de EU-landen als de relevante productontwikkelaars de tijd te geven zich aan te passen, zal de voorgestelde verordening 24 maanden na de inwerkingtreding van kracht worden, met uitzondering van de rapportageverplichting voor fabrikanten, die 12 maanden na de datum van inwerkingtreding van kracht wordt. wetsvoorstel wordt wet. Twee jaar lijkt misschien lang, maar als u een klein of middelgroot bedrijf leidt en plotseling aan een hele reeks nieuwe cyberbeveiligingsregels moet voldoen, kan dat tijdsbestek veel te kort lijken.
Ongeacht de exacte details vertegenwoordigt de ECRA een aanzienlijke stap voorwaarts in de inspanningen van de EU om de cyberveiligheid te verbeteren en kritieke infrastructuur te beschermen, en we kunnen allemaal uitkijken naar een wereld waarin de meeste bedrijven de ECRA net zo vanzelfsprekend naleven als zij klanten informeren over hun cookieverzameling. beleid.
Deze inhoud wordt u aangeboden door Scribe Security, een toonaangevende aanbieder van end-to-end software supply chain-beveiligingsoplossingen die state-of-the-art beveiliging levert voor codeartefacten en codeontwikkelings- en leveringsprocessen in de software supply chain. Meer informatie.
Gerelateerde berichten
