Evolutie in cyber resilience: een nieuw tijdperk in cyberbeveiliging

De nieuwe definitie van open source software

Het landschap van open source software ondergaat een significante verandering. Er is nu een helder onderscheid gemaakt tussen open source software voor commercieel gebruik en die voor niet-commercieel gebruik.

Dit onderscheid heeft directe implicaties op de toepassing van de Cyber Resilience Act (CRA). Voor open source software die commercieel wordt ingezet, valt deze onder de CRA, terwijl software zonder commerciële doeleinden hiervan is vrijgesteld. Deze verandering markeert een belangrijke stap in de regulering van softwaregebruik, door onder andere software developers, binnen de Europese Unie en heeft potentieel verstrekkende gevolgen voor de software-industrie en dus ook voor de wereld van cyber security.

Cybersecurity niveau: Een branche specifieke aanpak

Een ander cruciaal aspect van de recente ontwikkelingen is de nadruk op het ontwerpen, ontwikkelen en produceren van digital products met een passend niveau van cybersecurity, gebaseerd op een gedegen risicobeoordeling. Dit onderstreept het belang voor de softwareontwikkelaars om een standpunt in te nemen over wat precies een 'passend cybersecurityniveau' inhoudt.

Deze benadering duidt op een verschuiving naar meer op maat gemaakte cybersecuritymaatregelen, afgestemd op de specifieke behoeften en risico's van verschillende producten en diensten.

Aanpassing van de ondersteuningstermijn

Verder is de termijn voor ondersteuning aangepast om beter aan te sluiten bij de verwachtingen van de gebruikers, de aard van het product, en de beoogde doeleinden, in lijn met de EU-regelgeving. Deze termijn is nu vastgesteld op minimaal vijf jaar, tenzij de verwachte gebruiksperiode korter is. Dit lijkt met name gunstig nieuws voor apparaten in de operationele technologie (OT), waar de levensduur en ondersteuning van cruciaal belang zijn.

Veranderingen in de meldplicht

De meldplicht is eveneens aangepast. Fabrikanten zijn nu verplicht om actief uitgebuite kwetsbaarheden die een ernstig incident kunnen veroorzaken, te melden. Deze melding moet tegelijkertijd worden gedaan bij de CSIRT (van het land waar de fabrikant zijn hoofdkantoor heeft) en bij ENISA.

Dit benadrukt de toenemende focus op snelle en efficiënte communicatie bij cybersecurity-incidenten. In uitzonderlijke gevallen mag de CSIRT de melding aan ENISA uitstellen op basis van cybersecuritygronden. Dit biedt enige flexibiliteit in situaties waarin onmiddellijke openbaarmaking niet in het belang van cybersecurity is.

Tijdschema voor implementatie

Er is een tijdschema vastgesteld voor de implementatie van de nieuwe regelgeving. De meldplicht wordt 21 maanden na inwerkingtreding van toepassing, wat betekent dat deze waarschijnlijk rond januari 2026 in werking zal treden. Dit geeft bedrijven en organisaties de tijd om zich voor te bereiden op de nieuwe eisen en hun processen dienovereenkomstig aan te passen.

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en biedt hulp door middel van de flexibele inzet van cybersecurityspecialisten. Hiermee kan voor elk type organisatie het risico op gijzeling van bedrijfssystemen, bedrijfsgegevens en het onrechtmatig toegang verkrijgen tot data door onbevoegde derden aanmerkelijk worden verkleind en daarmee de digitale weerbaarheid worden vergroot. Vergroot uw cyberweerbaarheid, download onze brochures of neem contact met ons op via telefoon of e mail voor vragen.