Europese Commissie presenteert nieuwe EU-cyberbeveiligingsregels voor beter beveiligde hardware en software

Contentverzamelaar

Europese Commissie presenteert nieuwe EU-cyberbeveiligingsregels voor beter beveiligde hardware en software

Het wetgevingsvoorstel van de Commissie voorziet in vereisten op het gebied van cyberbeveiliging gedurende de hele levenscyclus van producten met digitale elementen. Fabrikanten moeten beveiligingsondersteuning en software-updates tegen vastgestelde kwetsbaarheden gaan aanbieden. Consumenten moeten voldoende informatie krijgen over de cyberbeveiliging van de producten die zij kopen.

Achtergrond

Hardware- en softwareproducten worden volgens de Commissie steeds vaker het slachtoffer van succesvolle cyberaanvallen. Deze producten kampen met twee grote problemen die de gebruikers en de samenleving op kosten jagen. In de eerste plaats een laag niveau van cyberbeveiliging, wat blijkt uit de wijdverspreide kwetsbaarheden en de ontoereikende en inconsistente verstrekking van beveiligingsupdates om deze te verhelpen. En in de tweede plaats onvoldoende inzicht in en toegang tot informatie voor gebruikers, waardoor zij geen producten met adequate cyberbeveiligingseigenschappen kunnen kiezen of deze niet op een veilige manier kunnen gebruiken.

De cyberveiligheid van producten met digitale elementen heeft een sterke grensoverschrijdende dimensie, aangezien producten die in één land worden vervaardigd, vaak in de hele interne markt worden gebruikt. Bovendien verspreiden incidenten die aanvankelijk slechts één entiteit of één lidstaat treffen, zich vaak binnen enkele minuten over de hele interne markt.

Hoewel de bestaande Europese interne-marktwetgeving van toepassing is op bepaalde producten met digitale elementen, vallen de meeste hardware- en softwareproducten momenteel niet onder EU-wetgeving die hun cyberbeveiliging aanpakt. Gezamenlijk optreden op EU-niveau is volgens de Commissie noodzakelijk om het vertrouwen van de gebruikers en de aantrekkelijkheid van EU-producten met digitale elementen te vergroten. Daarom heeft de Commissie op 15 september 2022 een voorstel gepresenteerd voor een wet inzake cyberweerbaarheid.

Inhoud van het wetgevingsvoorstel

Het wetgevingsvoorstel is gebaseerd op het nieuwe wetgevingskader voor de EU-productwetgeving, en omvat:

  • regels voor het op de markt brengen van producten met digitale elementen, om de cyberbeveiliging ervan te waarborgen;
  • essentiële vereisten voor het ontwerp, de ontwikkeling en de vervaardiging van producten met digitale elementen, en verplichtingen voor marktdeelnemers met betrekking tot deze producten;
  • essentiële vereisten voor de procedures die fabrikanten volgen om kwetsbare punten aan te pakken, om de cyberbeveiliging van producten met digitale elementen gedurende de hele levenscyclus te waarborgen, en verplichtingen voor marktdeelnemers met betrekking tot deze procedures. Fabrikanten zullen ook melding moeten maken van actief misbruikte kwetsbare punten en incidenten;
  • regels inzake markttoezicht en handhaving.

De nieuwe regels leggen de verantwoordelijkheid bij de fabrikanten, die ervoor moeten zorgen dat producten met digitale elementen die op de EU-markt worden aangeboden, aan de beveiligingsvereisten beantwoorden. Zo komen de regels ten goede aan consumenten, burgers en ondernemingen die digitale producten gebruiken, doordat de transparantie van de beveiligingskenmerken en het vertrouwen in producten met digitale elementen worden vergroot.

Het wetgevingsvoorstel is van toepassing op alle producten die direct of indirect met een ander apparaat of netwerk zijn geconnecteerd. Voor sommige producten, waarvoor reeds cyberbeveiligingsvereisten zijn opgenomen in bestaande EU-regels, zijn er een aantal uitzonderingen, bijvoorbeeld voor medische hulpmiddelen, producten voor de luchtvaart en auto's.

Volgende stappen

Het is nu aan het Europees Parlement en de Raad om het wetgevingsvoorstel te bespreken. Zodra de wet wordt aangenomen, krijgen marktdeelnemers en lidstaten twee jaar de tijd om zich aan de nieuwe voorschriften aan te passen. De verplichting dat fabrikanten actief misbruikte kwetsbaarheden en incidenten moeten melden, zal echter al één jaar na de datum van inwerkingtreding van toepassing worden, aangezien daarvoor minder organisatorische aanpassingen nodig zijn dan voor de andere nieuwe verplichtingen.

Meer informatie: