Eerste akkoord Cyber Resilience Act belangrijke stap naar veiligere omvormers zonnepanelen

De Cyber Resilience Act is wetgeving die ervoor zorgt dat digitale producten, waaronder alle hardware, software en componenten, aan essentiële cybersecurityeisen voldoen voordat ze op de Europese markt worden gebracht. Fabrikanten worden verplicht gratis veiligheidsupdates te leveren en digitale kwetsbaarheden en incidenten te melden. Dit betekent dat zowel consumenten als zakelijke gebruikers in de Europese Unie (EU) kunnen vertrouwen op veilige digitale producten.

Nationale wetgeving
De Cyber Resilience Act is een Europese verordening en hoeft in tegenstelling tot richtlijnen niet in nationale wetgeving vertaald te worden, waardoor deze verordening direct in alle EU-lidstaten gaat gelden.

De verordening bevat 2 soorten verplichtingen: verplichtingen waaraan aanbieders van producten moeten voldoen voordat producten op de markt worden gebracht en verplichtingen waaraan ze moeten voldoen nadat producten op de markt zijn gebracht. De verordening zorgt er dus ook voor dat importeurs en distributeurs aansprakelijk gesteld kunnen worden als een met het internet verbonden apparaat niet aan de cybersecurityeisen voldoet. Omdat boetes opgelegd kunnen worden tot enkele procenten van de wereldwijde omzet, gaat er een dreigende werking uit van deze verordening.

Van deurbellen tot omvormers
De nieuwe regels in de Cyber Resilience Act gelden voor alle met het internet verbonden communicerende apparaten: van routers tot beveiligingscamera’s, slimme thermostaten, koelkasten, verlichting en deurbellen, maar dus ook omvormers van zonnepanelen.

De apparaten mogen straks niet meer met zwakke, standaardpaswoorden zijn uitgerust: een gebruiker moet eerst zelf een sterk wachtwoord instellen voor ingebruikname. Ook moeten de producten onder meer software-updates ondersteunen, getest zijn op veiligheidslekken, opgeslagen persoonlijke en financiële gegevens afschermen en de consument de mogelijkheid geven om deze data te beheren en te verwijderen.

Wettekst verbeterd
Het Nederlandse kabinet heeft zich de afgelopen jaren actief ingezet voor deze komst van de verordening. De Cyber Resilience Act is namelijk een belangrijk onderdeel van de aanpak van het kabinet om digitale producten en diensten veiliger te maken voor iedereen. De aangepaste wettekst is volgens minister Adriaansens van Economische Zaken en Klimaat verder verbeterd ten opzichte van het oorspronkelijke voorstel van de Europese Commissie.

Zo is in de aangepaste wettekst de ondersteuningstermijn voor veiligheidsupdates gelijk aan de levensduur die consumenten en bedrijven redelijkerwijs mogen verwachten van het product, in plaats van de maximumtermijn van 5 jaar die de Europese Commissie had voorgesteld. Ook zijn maatregelen opgenomen om kleine en microbedrijven te ondersteunen bij het naleven van de wetgeving. Vereenvoudigde formats voor technische documentatie, trainingen en bewustwordingsinitiatieven zijn nu onderdeel van het voorstel.

Mandaat Nederland
Minister Adriaansens van Economische Zaken en Klimaat heeft de Tweede Kamer direct geïnformeerd dat het Nederlandse kabinet voornemens is om te stemmen met de compromistekst, en daarmee Spanje – dat momenteel het roulerende voorzitterschap van de Raad van de EU in handen heeft – mandaat te geven om te onderhandelen met het Europees Parlement. Het Europees Parlement heeft nog geen formele positie ingenomen, want de plenaire stemming vindt naar alle waarschijnlijkheid in september plaats. Spanje gaat vervolgens namens de EU-lidstaten onderhandelen met het Europees Parlement over de definitieve wettekst.

5 aandachtspunten
De nu overeengekomen compromistekst sluit volgens minister Adriaansens in ieder geval aan bij de Nederlandse Cybersecuritystrategie (NLCS) waarin staat dat Europese wetgeving nodig is waarin de verantwoordelijkheid voor de cybersecurity van digitale producten wordt neergelegd bij de fabrikant. ‘Nederland is dan ook een groot voorstander van horizontale wetgeving die de cybersecurity van producten regelt’, aldus Adriaansens.

De minister herhaalt daarbij de 5 aandachtspunten die meegenomen moeten worden in de onderhandelingen met het Europees Parlement. Ten eerste is dat een ondersteuningstermijn waarin de fabrikant verantwoordelijk blijft voor het effectief reageren op kwetsbaarheden – door het aanbieden van gratis veiligheidsupdates – die geldt voor de redelijk te verwachten levensduur van het product, in plaats van de door de Europese Commissie voorgestelde maximumtermijn van 5 jaar. Verder wil Nederland een duidelijke regeling voor de toepassing op open source-software, een voor zowel Computer Security Incident Response Teams (CSIRT’s) als fabrikanten goed uitvoerbare meldplicht bij kwetsbaarheden en incidenten. Verder wil Nederland dat het uitgangspunt is dat fabrikanten zelf de conformiteit beoordelen van hun product aan de eisen van de Cyber Resilience Act. Tot slot pleit Nederland voor een redelijke implementatietermijn, waarbij voldoende tijd is voor de ontwikkeling en implementatie van de technische normen aan de hand waarvan fabrikanten de conformiteit met de essentiële cybersecurityvereisten kunnen beoordelen.