Aflevering S01e05 - Secure-By-Design Of Niet Op De Markt: De Cyber Resilience Act Uitgelegd

De Cyber Resilience Act — Verordening EU 2024/2847 — is op 10 december 2024 in werking getreden en verandert de spelregels voor iedereen die software of hardware op de EU-markt brengt. Van slimme thermostaten tot industriële firewalls: alle producten met digitale elementen moeten voortaan voldoen aan verplichte cybersecurity-eisen. Wie dat niet kan aantonen, mag zijn product niet meer verkopen in Europa. Boetes lopen op tot €15 miljoen of 2,5% van de wereldwijde jaaromzet. Michael en Nadine leggen de vier risicocategorieën uit — van de standaardcategorie (circa 90% van alle producten, zelfbeoordeling toegestaan) tot Belangrijk Klasse I en II (identiteitsbeheersystemen, firewalls, intrusion detection — verplichte derde-partijbeoordeling) en Kritiek (Annex IV). Ze gaan diep in op de kernverplichtingen uit Annex I: secure-by-design, kwetsbaarhedenbeheer over de volledige levenscyclus, verplichte SBOM-documentatie, minimaal 5 jaar beveiligingsupdates, en meldingsdeadlines van 24 uur (vroegwaarschuwing) en 72 uur (volledig rapport) via het ENISA Single Reporting Platform. Twee CRA-verplichtingen gelden al vóór de einddatum van 11 december 2027: vanaf 11 juni 2026 moeten conformiteitsbeoordelingsinstanties aangemeld zijn, en vanaf 11 september 2026 is de meldingsplicht actief. Het centrale inzicht van deze aflevering: de CRA eist geen momentopname, maar doorlopend aantoonbaar bewijs van beveiliging over de volledige productlevenscyclus. Attesto levert die bewijslaag — via tamper-evidente logging voor alle Annex I-verplichtingen en via het Proof of Evolution-systeem voor aantoonbare evolutie van kwetsbaarhedenbeheer en beveiligingsupdates over tijd. De Nova/IVC cryptografische laag draait al live in productie.