Definitief groen licht EU voor nieuwe minimale regels cybersecurity

Vorig jaar zomer bereikte de EU-lidstaten een eerste akkoord over de Europese verordening die er onder meer voor moet zorgen dat omvormers voor zonnepanelen beter digitaal beveiligd worden.

Veiligheidsupdates
De Cyber Resilience Act is wetgeving die ervoor zorgt dat digitale producten, waaronder alle hardware, software en componenten, aan essentiële cybersecurityeisen voldoen voordat ze op de Europese markt worden gebracht. Fabrikanten worden verplicht gratis veiligheidsupdates te leveren en digitale kwetsbaarheden en incidenten te melden. Dit betekent dat zowel consumenten als zakelijke gebruikers in de Europese Unie (EU) kunnen vertrouwen op veilige digitale producten.

De nieuwe verordening is bedoeld om de gaten in bestaande wetgeving op te vullen, zodat producten met digitale componenten in de hele toeleveringsketen en gedurende hun hele levenscyclus veilig worden gemaakt.

Aansprakelijk gesteld
Doordat de Cyber Resilience Act een Europese verordening is, hoeft deze in tegenstelling tot Europese richtlijnen niet in nationale wetgeving vertaald te worden maar gaat de verordening direct in alle EU-lidstaten gelden.

De verordening bevat 2 soorten verplichtingen: verplichtingen waaraan aanbieders van producten moeten voldoen voordat producten op de markt worden gebracht en verplichtingen waaraan ze moeten voldoen nadat producten op de markt zijn gebracht. De verordening zorgt er dus ook voor dat importeurs en distributeurs aansprakelijk gesteld kunnen worden als een met het internet verbonden apparaat niet aan de cybersecurityeisen voldoet. Omdat boetes opgelegd kunnen worden tot enkele procenten van de wereldwijde omzet, gaat er een dreigende werking uit van deze verordening.

Inwerkingtreding
De Cyber Resilience Act zal in de komende weken worden ondertekend door de voorzitters van de Raad van de EU en het Europees Parlement en worden gepubliceerd in het officiële EU-blad. De nieuwe verordening treedt 20 dagen na deze publicatie in werking en wordt 36 maanden na de inwerkingtreding van toepassing, waarbij sommige bepalingen al eerder van kracht worden.

Minister Hermans van Klimaat en Groene Groei liet na Kamervragen afgelopen week nog weten de kans op een grootschalige aanval op het Nederlandse stroomnet via zonnepaneelomvormers klein te achten. Daarbij benoemde ze de Cyber Resilience Act als een stok achter de deur.