© European Union
Van babyfoons tot smartwatches, producten en software die een digitale component bevatten, zijn alomtegenwoordig in ons dagelijks leven. Minder duidelijk voor veel gebruikers is het beveiligingsrisico dat dergelijke producten en software kan opleveren.
De Cyber Resilience Act (CRA) heeft tot doel consumenten en bedrijven die producten of software met een digitale component kopen of gebruiken, veilig te stellen. De wet zou zien dat ontoereikende beveiligingskenmerken tot het verleden behoren met de invoering van verplichte cyberbeveiligingsvereisten voor fabrikanten en detailhandelaren van dergelijke producten, waarbij deze bescherming zich gedurende de gehele levenscyclus van het product uitstrekt.
Het probleem dat in de verordening wordt aangepakt, is tweeledig.
Ten eerste is het ontoereikende niveau van cyberbeveiliging inherent aan veel producten, of ontoereikende beveiligingsupdates van dergelijke producten en software.
Ten tweede is het onvermogen van consumenten en bedrijven om op dit moment te bepalen welke producten cyberveilig zijn, of om ze zo in te stellen dat hun cyberbeveiliging wordt beschermd.
De Cyber Resilience Act garandeert:
- geharmoniseerde regels bij het in de handel brengen van producten of software met een digitale component;
- een kader van cyberbeveiligingsvereisten voor de planning, het ontwerp, de ontwikkeling en het onderhoud van dergelijke producten, met verplichtingen waaraan in elke fase van de waardeketen moet worden voldaan;
- een verplichting om zorgplicht te verlenen voor de gehele levenscyclus van dergelijke producten.
Bij de inwerkingtreding van de verordening zouden software en met internet verbonden producten voorzien zijn van de CE-markering om aan te geven dat ze aan de nieuwe normen voldoen. Fabrikanten en retailers verplichten prioriteit te geven aan cyberbeveiliging, zouden klanten en bedrijven in staat worden gesteld beter geïnformeerde keuzes te maken, met vertrouwen in de cyberbeveiligingsreferenties van producten met CE-markering.
De verordening is aangekondigd in de EU-strategie voor cyberbeveiliging van 2020 en vormt een aanvulling op andere wetgeving op dit gebied, met name het NIS2-kader.
Zij is van toepassing op alle producten die direct of indirect op een ander apparaat of netwerk zijn aangesloten, met uitzondering van specifieke uitsluitingen zoals opensourcesoftware of diensten die reeds onder de bestaande regels vallen, wat het geval is voor medische hulpmiddelen, luchtvaart en auto’s.
De verordening zal naar verwachting begin 2024 in werking treden. Fabrikanten moeten de regels 36 maanden na hun inwerkingtreding toepassen. De Commissie zal de wet vervolgens periodiek herzien en verslag uitbrengen over de werking ervan.
Gerelateerde inhoud
Grote afbeelding
De Europese Unie werkt op verschillende fronten om cyberweerbaarheid te bevorderen, onze communicatie en gegevens te beschermen en de online samenleving en economie veilig te houden.
Zie ook
De EU-wet inzake cybersolidariteit zal de paraatheid en detectie van en de respons op cyberincidenten in de hele EU verbeteren.
Exploitanten van essentiële diensten (OES), nationale certificeringsinstanties voor cyberbeveiliging (NCCA’s) en nationale bevoegde autoriteiten (NCA’s) voor cyberbeveiliging behoren tot de geselecteerde aanvragers die 11 miljoen EUR aan financiering zullen ontvangen in het kader...
Het Europees cyberbeveiligingsnetwerk en het kenniscentrum voor cyberbeveiliging helpen de EU de technologische en industriële capaciteiten op het gebied van cyberbeveiliging te behouden en te ontwikkelen.
De Stakeholder Cybersecurity Certification Group is opgericht om advies te geven over strategische kwesties met betrekking tot cyberbeveiligingscertificering.
De cyberbeveiligingswet versterkt het Agentschap van de EU voor cyberbeveiliging (Enisa) en stelt een kader voor cyberbeveiligingscertificering voor producten en diensten vast.
Het EU-kader voor cyberbeveiligingscertificering voor ICT-producten maakt het mogelijk om op maat gesneden en op risico’s gebaseerde EU-certificeringsregelingen op te zetten.
De NIS2-richtlijn is de EU-brede wetgeving inzake cyberbeveiliging. Het voorziet in wettelijke maatregelen om het algemene niveau van cyberbeveiliging in de EU te verhogen.