Digitale producten, zowel software, hardware als componenten, moeten vanaf 2027 voldoen aan uitgebreide veiligheidseisen en standaarden. Cyberonveilige apparaten zijn dan niet meer toegelaten voor verkoop via de EU-markt.
De EU-lidstaten en het Europees Parlement hebben hierover een voorlopig politiek akkoord bereikt. De nieuwe Cyber Resilience Act (CRA) is een wettelijke uitbreiding op een eerder besluit om al per 2025 cybersecurityeisen te stellen aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen. waar Nederland actief voor heeft gepleit. Nederland pleitte eerder al actief voor een uitbreiding via de Radio Equipment Directive (RED). De CRA is straks breder dan de RED en geldt niet alleen voor draadloze apparaten, maar voor alle hard- en software. Ook zet deze in op de aanpak en melding van kwetsbaarheden die opkomen, nadat een product op de markt is.
Het voorlopige EU-akkoord moet nog voor instemming naar de EU-lidstaten en het Europees Parlement. Eisen zijn onder meer verplicht en gratis leveren van veiligheidsupdates, zolang je mag verwachten dat een product bruikbaar is.
Ondersteuningstermijn
Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar. Deze minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden.
Standaarden voor cyberveiligheid
Fabrikanten zorgen ervoor dat producten voldoen aan de cybersecurityeisen, voordat een product op de markt wordt gebracht. Het gaat dan bijvoorbeeld om eisen dat producten veilig zijn ontworpen en getest zijn op veiligheidslekken. Ook moeten veiligheidsupdates in veel gevallen automatisch worden geïnstalleerd, opgeslagen persoonlijke- en financiële gegevens worden beschermd en krijgt de gebruiker de mogelijkheid geboden om deze data permanent te verwijderen.
Fabrikanten moeten bovendien incidenten en kwetsbaarheden, die worden misbruikt door kwaadwillenden, binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid. Voor ontwikkelaars en aanbieders van niet-commercieel aangeboden open-source software geldt, dat zij niet aan de eisen voor fabrikanten hoeven te voldoen.
Kleinere ondernemers
Met de inwerkingtredingstermijn van drie jaar is voldoende tijd geboden voor de implementatie en het opstellen van technische normen waarin de cybersecurityeisen aan fabrikanten worden uitgewerkt. Er komen bovendien voorzieningen om micro- en kleine fabrikanten te ondersteunen bij de implementatie van de eisen.
Minister Micky Adriaansens (Economische Zaken en Klimaat): “Fabrikanten en importeurs waren in de fysieke wereld al verantwoordelijk voor veilige producten. Voor digitale producten gaat dit straks ook gelden. Dat is nodig, want digitale producten en systemen zijn vaak een ideale toegangsdeur voor internetcriminelen voor diefstal van gegevens, geld of om als middel om te hacken. We willen dat voorkomen. De komst van de CRA is een volgende stap op weg hier naar toe. Veilige digitale apparaten werken beter, beschermen onze gegevens en zorgen er voor dat we vertrouwd digitaal zaken kunnen doen.”
Lees ook:
- AI is briljante kans, mits goed gemanaged
- 5 tips om te voorkomen dat jij het volgende slachtoffer van phishing wordt
