Vorige week presenteerde de Europese Commissie het voorstel voor de Cyber Resilience Act. Deze wetgeving moet zorgen voor meer veiligheid van hardware en software. Niet alleen van tablets en computers, maar ook van slimme apparaten als auto’s, wasmachines en robotstofzuigers. Gedurende de hele lifecycle zijn producenten verantwoordelijk voor de veiligheid.
Wat wil Europa bereiken met de Cyber Resilience Act?
Consumenten en bedrijven moeten beter beschermd worden tegen de risico’s van cybersecurity dreigingen. Cybercriminaliteit heeft een vogelvlucht genomen en kost de maatschappij een fortuin.
Daarom wil Europa ervoor zorgen dat producten met digitale elementen die op de Europese markt worden gebracht, minder kwetsbaarheden bevatten. Er moet daarnaast meer transparantie komen over de beveiliging en mogelijke veiligheidsrisico’s van deze producten.
Tot slot blijven fabrikanten gedurende de hele levenscyclus van een product verantwoordelijk voor de cybersecurity.
Wat dat concreet inhoudt?
Onder meer dat er gegarandeerde veiligheidsupdates moeten komen en dat beveiligingslekken of andere problemen gemeld moeten worden aan gebruikers en ook worden opgelost.
Welke eisen stelt de Cyber Resilience Act aan fabrikanten?
In het wetsvoorstel worden een aantal eisen gesteld voor het op de Europese markt brengen van producten met digitale elementen.
Fabrikanten moeten er worden zorgen dat:
er rekening wordt gehouden met cybersecurity bij planning, ontwerp, ontwikkelings-, productie-, leverings- en onderhoudsfase van een product;
alle cybersecurity risico’s worden gedocumenteerd;
gebruikers actief geïnformeerd worden over kwetsbaarheiden en beveiligingsincidenten;
voor de verwachte levensduur van het product of voor een periode van vijf jaar (wat korter is) kwetsbaarheden effectief worden aangepakt;
er duidelijke en begrijpelijke instructies meegeleverd worden voor het gebruik van producten met digitale elementen;
er beveiligingsupdates beschikbaar gesteld worden voor een periode van tenminste vijf jaar.
Hoe wordt de Cyber Resilience Act in de praktijk uitgevoerd?
Als het wetsvoorstel wordt aangenomen, zal ongeveer 90% van alle producten met digitale elementen door middel van een eigen beoordeling van de fabrikant worden gecontroleerd op de eisen die de Cyber Resilience Act stelt.
Het gaat dan om minder impactvolle producten die in de standaardcategorie vallen, zoals hard drives, games, slimme speakers etc.
Ongeveer 10% van alle producten zal binnen de kritische klassen 1 en 2 vallen. Daaraan worden strengere eisen gesteld en deze moeten gecontroleerd worden door het toepassen van standaarden of door een beoordeling van een derde partij.
Denk binnen deze categorieën aan firewalls, password managers, CPU’s en operating systems.
Vervolgstappen
Het wetsvoorstel is gedaan door de Europese Commissie en wordt nu voorgelegd aan het Europese Parlement en de Europese Raad.
Wordt het voorstel aangenomen als wet?
Dan hebben lidstaten 2 jaar de tijd om de wetgeving in te voeren. Overigens gaat de eis voor fabrikanten om kwetsbaarheden en veiligheidsincidenten te rapporteren al binnen 1 jaar in.
Op de hoogte blijven?
Meldt u zich dan aan voor onze maandelijkse nieuwsbrief en u ontvangt onze blogs automatisch in uw mailbox.