Key-takeaways
De CRA heeft belangrijke gevolgen voor producten met digitale elementen (PDE’s).
PDE’s kunnen niet zomaar “as is” op de markt worden gebracht. Op basis van de CRA moeten PDE’s voortaan immers voldoen aan essentiële minimale cybersecurityvereisten. Fabrikanten, importeurs en distributeurs zullen verplicht zijn om de beveiliging, het onderhoud en de ondersteuning van de PDE te waarborgen vóór en na het op de markt brengen ervan. Elke actor moet analyseren welke impact de CRA op hem en zijn contracten heeft.
Upstreamcontracten (met leveranciers) en downstreamcontracten (met klanten) moeten herzien worden.
Contracten met leveranciers en klanten bevatten best specifieke bepalingen omtrent, onder andere, auditrechten, meldplichten, medewerkingsplichten, informatieplichten, aansprakelijkheidsbepalingen en patch- en updategaranties.
Leverancierselectieprocessen moeten ook herzien worden.
Als je reeds in het proces van het selecteren van een leverancier rekeninghoudt met CRA-compliance, dan vermijd je tijdrovende onderhandelingen te voeren met een leverancier die nooit CRA-compliant was. Of erger: je vermijdt te ontdekken dat de leverancier niet CRA-compliant is nadat het contract is ondertekend.
Back-to-back-contracten zijn nodig voor een correcte verdeling van de risico’s.
Het is belangrijk dat clausules in de leverancierscontracten en klantencontracten in de volledige keten worden afgestemd op elkaar. Zo wordt vermeden dat bijvoorbeeld een distributeur bepaalde verantwoordelijkheden draagt die hij niet dient te dragen, maar wel zijn leverancier of klant.
Wacht niet met het implementeren van de CRA!
De CRA-verplichtingen treden gefaseerd in werking tussen december 2024 en december 2027. Om compliant te zijn en operationele en juridische risico’s te vermijden, is het essentieel om nu al te beginnen met het analyseren van de impact van CRA op je organisatie en je contracten op te stellen of te herzien.
Wat is de CRA en de impact op jouw contracten?
Waar de NIS2-richtlijn zich richt op cyberbeveiliging op het niveau van de organisatie, richt de Cyber Resilience Act (CRA) zich op cyberbeveiliging op productniveau.
Om het cyberbeveiligingsniveau van producten met digitale elementen (PDE’s) te verhogen, verhindert de CRA het op de markt aanbieden van PDE’s “as is”, dus zonder dat deze voldoen aan de essentiële cybersecurityvereisten.
Is CRA volledig nieuw voor jou? Of weet je nog niet wat een PDE is? Lees dan eerst onze eerdere blog: De Cyber Resilience Act (CRA) in 10 vragen en antwoorden.
Deze blog gaat verder in op de impact van de CRA op je contracten als fabrikant, importeur of distributeur. In de praktijk is CRA-compliance dus een multidisciplinair vraagstuk. Naast het technische aspect, mag ook het juridische aspect niet uit oog verloren worden.
De CRA-verplichtingen hebben immers belangrijke gevolgen voor contracten in de volledige keten. Organisaties zullen namelijk zowel hun contracten met leveranciers (upstream) als met klanten (downstream) moeten herbekijken om na te gaan of ze voldoen aan de CRA. Dit is niet enkel relevant voor contracten, maar ook voor andere juridische documenten zoals inkoopvoorwaarden, aankoopvoorwaarden, en service level overeenkomsten (SLA’s).
Hieronder maken we een onderscheid tussen gevolgen voor:
- Upstreamcontracten (met leveranciers)
- Downstreamcontracten (met klanten)
Wat zijn in het kort de CRA-verplichtingen voor fabrikanten, importeurs en distributeurs van PDE’s?
Om te weten welke impact de CRA op de contracten heeft, moeten we eerst een idee hebben van de CRA-verplichtingen.
De CRA bevat dus verschillende verplichtingen om ervoor te zorgen dat PDE’s ontworpen, ontwikkeld en geproduceerd worden in overeenstemming met de essentiële cybersecurityvereisten uit de CRA.
Daarom verplicht de CRA fabrikanten, wanneer zij bij derden ingekochte componenten (zoals computerprocessorunits, videokaarten of softwarebibliotheken) integreren in hun PDE om “due diligence” uit te voeren. Als de fabrikant dan op een kwetsbaarheid stoot, is hij verplicht om de derde die de component vervaardigt of onderhoudt op de hoogte te stellen, de kwetsbaarheid aan te pakken en te verhelpen en, indien van toepassing, de derde de toegepaste beveiliginsoplossing te bezorgen.
De CRA legt niet alleen verplichtingen op aan fabrikanten, maar ook aan importeurs en distributeurs van PDE’s. Zij moeten onder meer controleren dat PDE’s die zij op de markt brengen:
- voldoen aan de essentiële cybersecurityvereisten van de CRA
- voorzien zijn van de vereiste technische documentatie
- voorzien zijn van CE-markering en conformiteitsverklaringen
- vergezeld gaan van beveiligingsupdates en procedures in verband met kwetsbaarheden
Indien de importeur of distributeur weet (of zou moeten weten) dat een PDE niet CRA-compliant is, mag die het product niet op de markt brengen of verder distribueren.
Gevolgen voor upstreamcontracten (met leveranciers)
De CRA creëert voor zowel fabrikanten, importeurs als distributeurs een duidelijke noodzaak om contractuele waarborgen te verkrijgen van hun leveranciers, want de medewerking van die leverancier is nodig om te kunnen voldoen aan de eigen CRA-verplichtingen.
Hieronder sommen we enkele voorbeelden van clausules op die deze actoren best opnemen in hun contracten met leveranciers:
Auditrechten en informatieplicht
Voor fabrikanten is het belangrijk dat zij een passende “due diligence” uitvoeren en de nodige (technische) informatie (en eventuele updates) tijdig verkrijgen bij het bij derden aankopen van componenten. Dit is nodig om te voldoen aan hun eigen CRA-verplichtingen zoals:
- het opstellen van de Software Bill of Materials (SBOM),
- het verstrekken van informatie en instructies aan gebruikers,
- het beantwoorden van vragen van toezichthoudende autoriteiten,
- het bekomen van de conformiteitsbeoordeling.
Voor importeurs en distributeurs is het ook belangrijk dat zij de nodige (technische) informatie (en eventuele wijzigingen aan deze informatie) krijgen van hun leveranciers (of die informatie kunnen controleren). Dit is nodig om te voldoen aan hun eigen CRA-verplichtingen zoals:
- het verstrekken van informatie op verzoek van bevoegde autoriteiten,
- het verstrekken van informatie naar hun klanten toe (bv. in verband met updates van de PDE),
- het controleren dat PDE’s voldoen aan de essentiële cyberbeveiligingsvereisten,
- het controleren dat alle vereiste vermeldingen op de PDE aanwezig zijn of
- het verkrijgen van de vereiste documentatie om PDE’s op de markt aan te bieden.
Medewerkingsplicht
Het is aangewezen contractueel vast te leggen dat de leverancier moet voorzien in de nodige corrigerende maatregelen zoals het voorzien in patches, het uit de handel nemen van niet-conforme PDE’s, het terugroepen of het niet langer distribueren van PDE’s.
Meldplicht voor kwetsbaarheden en incidenten
Fabrikanten zijn verplicht om kwetsbaarheden die ze ontdekken in bij derden ingekochte componenten te melden aan hun leverancier en deze onverwijld aan te pakken en te verhelpen. Voor importeurs en distributeurs kan het nuttig zijn om de fabrikant te verplichten de gekende kwetsbaarheden en incidenten te onderzoeken en patches of updates te ontwikkelen om deze nadien onmiddellijke kosteloos ter beschikking te stellen (eventueel gekoppeld de nodige servicelevels).
Kennisgeving bij het stopzetten van activiteiten of ondersteuning
Het is belangrijk om ook een bepaling op te nemen die de leverancier ertoe verbindt om de fabrikant tijdig te informeren over elke voorgenomen stopzetting van de activiteiten of de stopzetting van ondersteuning, productie of beschikbaarheid van (een component essentieel voor de werking of beveiliging van) de PDE zodat de fabrikant zijn verplichtingen inzake productondersteuning, beveiligingsupdates en meldingen aan gebruikers en autoriteiten kan nakomen en zodat importeurs en distributeurs de autoriteiten en gebruikers van de betrokken PDE tijdig kunnen informeren.
In de situatie van stopzetting van activiteiten of het einde van ondersteuning, productie of beschikbaarheid kan het ook aangewezen zijn om afspraken te maken over de toegang tot broncode, firmware en technische documentatie, desgevallend onder een escrowovereenkomst. Je kan ook afspreken dat de leverancier valabele alternatieven of vervangende componenten moet voorstellen of moet ondersteunen bij migratie of redesign van de PDE. Dit kan gekoppeld worden aan servicelevels en sancties.
Patch- en updategaranties
Zowel voor fabrikanten, importeurs als distributeurs is het belangrijk om bepalingen op te nemen die hun leverancier, tijdens de ondersteuningsperiode van de PDE, verplichten om bij kwetsbaarheden deze onverwijld te melden, te onderzoeken en patches of updates te ontwikkelen om deze nadien onmiddellijke kosteloos ter beschikking te stellen. Dit kan gekoppeld worden aan servicelevels en sancties.
De fabrikant moet contractueel afspreken dat leveranciers een gedetailleerde lijst aanleveren van alle componenten (inclusief opensourcecomponenten). Als de leverancier dit zou weigeren, dan kan de fabrikant zelf niet aan de eigen CRA-verplichtingen voldoen.
Aansprakelijkheid en vrijwaring
De fabrikant moet de leverancier aansprakelijk kunnen stellen of in vrijwaring kunnen roepen voor boetes of schade als de component niet aan de afgesproken CRA-eisen voldoet of als de leverancier verzuimt updates te leveren. Ook importeurs en distributeurs moeten hun leverancier aansprakelijk kunnen stellen of in vrijwaring kunnen roepen ingeval deze niet aan de CRA voldoet. Bestaande aansprakelijkheidsregelingen of -beperkingen moeten daarbij mogelijks worden herzien.
Beëindiging
De mogelijkheid om huidige contracten op te zeggen moet mogelijks ook herzien, verduidelijkt of uitgebreid worden in het kader van de CRA, bijvoorbeeld als een partij niet (tijdig) in een patch voorziet of deze patch niet voldoende blijkt om de kwetsbaarheid aan te pakken. Het opnemen van eventuele exit- of migratieregelingen kunnen ook nuttig zijn voor de continuïteit van de PDE tijdens de ondersteuningsperiode.
Servicelevels en Service Level Agreement (SLA)
In het algemeen kan het nuttig zijn om servicelevels of een aparte SLA af te spreken.
Gevolgen voor downstreamcontracten (met klanten of resellers)
Naast de upstreamrisico’s moeten de vermelde actoren ook rekening houden met downstreamverplichtingen tegenover klanten. Dit kunnen bijvoorbeeld eindgebruikers, importeurs of distributeurs zijn.
Hieronder sommen we enkele voorbeelden van clausules op om rekening mee te houden in algemene (verkoop)voorwaarden, licentieovereenkomsten, gebruiksvoorwaarden of andere juridische documenten met klanten.
Ondersteuningsperiode
De fabrikant moet de verwachte levensduur of een vaste periode aangeven waarin hij beveiligingsupdates zal leveren.
Aansprakelijkheidsbeperking
De fabrikant kan zijn aansprakelijkheid voor cyberbeveiliging niet meer zomaar volledig uitsluiten. Omdat de CRA wettelijke essentiële cybersecurityvereisten stelt, zal een rechter “as is” clausules mogelijks sneller herkwalificeren of kritischer bekijken. Bestaande aansprakelijkheidsregelingen of -beperkingen moeten daarbij mogelijks worden herzien.
Updateplicht
De leverancier kan klanten verplichten om updates te installeren binnen een bepaalde termijn. Als klanten updates weigeren of niet tijdig installeren, kan de leverancier zijn aansprakelijkheid voor incidenten die door die update voorkomen hadden kunnen worden, beperken. Daarnaast kan het contract ook bepalen hoe updates geleverd zullen worden.
Informatie en instructies voor de gebruiker
De CRA vereist dat PDE’s vergezeld gaan van duidelijke informatie en instructies voor de gebruiker, onder meer over het veilig gebruik van de PDE, de beveiligingsfunctionaliteiten en de wijze waarop beveiligingsupdates kunnen worden geïnstalleerd. Deze verplichting rust in de eerste plaats op de fabrikant. Importeurs en distributeurs moeten erop toezien dat deze informatie aanwezig is wanneer zij de PDE op de markt brengen of verder distribueren. In contracten met klanten kan het daarom aangewezen zijn te verwijzen naar deze gebruiksinformatie en instructies, zodat de klant bevestigt deze gelezen en begrepen te hebben, of minstens dat het duidelijk is waar de klant deze kan vinden en raadplegen.
Meldplicht voor kwetsbaarheden en incidenten
Het is belangrijk dat kwetsbaarheden en incidenten worden gemeld aan de fabrikant omdat de fabrikant een eigen meldplicht heeft of corrigerende maatregelen moet nemen. Deze meldplicht wordt best ook contractueel voorzien.
Medewerkingsplicht
In bepaalde gevallen kan een incident ook samenwerking vereisen tussen leverancier en klant. Contracten kunnen daarom afspraken en procedures bevatten voor de samenwerking bij het onderzoeken van een incident en het verstrekken van bepaalde informatie over het incident.
Moet je het geheel van contracten bekijken (back-to-back-contracten)?
Ja, elk contract moet bekeken worden in het geheel van contracten in de keten, want het ene contract heeft gevolgen voor het andere contract. Deze moeten op elkaar worden afgestemd tot een coherent geheel van verplichtingen, zodat er geen contractuele leemten zijn.
Bijvoorbeeld, een distributeur die producten met digitale elementen aankoopt van een fabrikant om ze nadien op de markt aan te bieden en te verkopen zal bijzondere aandacht moeten schenken aan het afstemmen van de clausules in het contract met de fabrikant met de clausules in het contract met de klant om te vermijden dat er contratuele leemten zijn waardoor de distributeur onnodige risico’s op zich neemt als verkoper.
Moet je een onderscheid maken tussen templates en bestaande contracten?
Ja, je maakt best een onderscheid tussen je templatecontracten en bestaande (ondertekende) contracten:
- Templatecontracten: deze kan je best zo snel mogelijk herzien, zodat de toekomstige contracten die je sluit in overeenstemming zijn met de CRA
- Bestaande contracten: deze kan je nu reeds herzien door middel van een addendum ofvan zodra het contract zijn einde nadert of zijn datum van verlenging afhankelijk van het type overeenkomst. Hiervoor is vereist dat je een goed zicht hebt op de bestaande contracten die je hebt . Als je dat niet weet, breng je dat best eerst in kaart.
Wanneer moet je je contracten herzien?
Als fabrikant pas je best je contracten aan voor 11 september 2026, in lijn met de gefaseerde inwerkingreding van de CRA. Verderop bespreken we de gefaseerde inwerkingtreding van de CRA.
In ieder geval, wacht best niet tot het laatste moment om je contracten aan te passen. Misschien moet je onderhandelen over het contract met je leverancier of klant. Dat kan tijd nemen. Door op tijd het gesprek te openen, vermijd je onder druk te moeten onderhandelen.
Moet je ook andere processen herzien?
Ja, de CRA heeft niet enkel impact op je contracten (upstream en downstream) maar kan ook impact hebben op andere processen zoals het leveranciersselectieproces.
Onderhandelingen met een mature CRA-compliant leverancier, zullen altijd makkelijker en vlotter verlopen dan onderhandelingen met een leverancier die nog nooit van de CRA heeft gehoord. Eventueel moeten ook bestaande questionnaires voor leveranciers aangepast worden.
Wat met producten die reeds in de handel zijn?
Voor producten met digitale elementen die momenteel in de handel zijn of die nog voor 11 december 2027 in de handel worden gebracht, gelden de bepalingen van de CRA pas van zodra die PDE’s ingrijpend worden gewijzigd.
Dat betekent echter niet dat er voor deze bestaande PDE’s geen contractuele impact is, want op deze regel geldt een uitzondering: de meldingsplicht van de fabrikant bij bepaalde kwetsbaarheden en incidenten geldt wel voor alle PDE’s, dus ook als die vóór 11 december 2027 in de handel zijn gebracht.
Waar geldt de CRA en wat is de contractuele impact?
De CRA is een Europese verordening en geldt dus in alle lidstaten van de Europese Unie zonder dat deze moet worden omgezet in nationale wetten (in tegenstelling tot de NIS2-richtlijn).
Dat neemt niet weg dat de CRA wel gevolgen kan hebben op contracten met niet-Europese partijen, bijvoorbeeld als je leverancier niet-Europees is. Onderhandelen met, bijvoorbeeld, een Amerikaanse leverancier, om het contract CRA-compliant te maken, wordt een kwestie van onderhandelingspositie. Dit pak je best strategisch aan.
Vanaf wanneer is de CRA van toepassing?
De CRA-verplichtingen worden gefaseeerd van toepassing. Hier zijn enkele belangrijke data in de overgangsperiode:
- Op 11 december 2024 trad de CRA in werking.
- Op 11 juni 2026 worden conformiteitsbeoordelingsinstanties (CAB’s) gemachtigd om de conformiteit van producten met de vereisten van de CRA te beoordelen.
- Op 11 september 2026 worden fabrikanten van verbonden producten onderworpen aan verplichte meldingsverplichtingen voor kwetsbaarheden en incidenten. Fabrikanten hebben best tegen deze datum reeds contractuele afspraken gemaakt met hun leveranciers en klanten.
- Op 11 december 2027 worden uiteindelijk alle resterende bepalingen van de CRA van toepassing, waaronder de essentiële cybersecurityvereisten vóór het in de handel brengen van een PDE, het beheer van kwetsbaarheden gedurende de volledige levenscyclus van de PDE en transparantie tegenover gebruikers.
Hoe kan CRANIUM mij helpen?
De implementatie van de CRA vereist een multidisciplinaire aanpak, zowel juridsch als technisch. Binnen de CRANIUM Group hebben wij alle nodige expertise in huis om u volledig te kunnen ontzorgen:
- CRANIUM’s Digital Law team neemt de juridische aspecten voor u op (bv. het beoordelen van de toepasselijkheid van de CRA op uw organisatie, het opstellen en herzien van uw contracten, juridische bijstand bij het voldoen aan de meldingsplicht, en bijstand in het kader van handhaving).
- Cingulum neemt de cybersecurityaspecten voor u op.
