Europese Cyberweerbaarheid: nieuwe EU-wet

20 september 2022

De wereldwijde jaarlijkse kosten van cybercriminaliteit voor 2021 worden geschat op zo’n 5,5 biljoen euro. Om de Europese digitale markt te beschermen, publiceerde de Europese Commissie op 15 september de wet inzake Europese Cyberweerbaarheid (European Cyber Resilience Act). Deze wetgeving is een aanvulling op NIS2 en de wet inzake Artificiële Intelligentie.

  • De EC wil een rechtskader invoeren om de cyberveiligheid van digitale producten, zowel hard- als software, gedurende hun gehele levenscyclus te waarborgen.

  • Fabrikanten zullen een "CE"-markering van overeenstemming moeten verkrijgen om software of elk ander product dat onder deze wetgeving valt, toe te laten tot de Europese interne markt.

  • De wet moet bedrijven en consumenten in staat stellen om producten met digitale elementen veilig te gebruiken.

Doelstellingen

De algemene doelstelling van het voorstel is een rechtskader invoeren om de cyberveiligheid van digitale producten, zowel hard- als software, gedurende hun gehele levenscyclus te waarborgen. De wetgeving moet het mogelijk maken gemeenschappelijke cyberbeveiligingsregels in te voeren voor fabrikanten en ontwikkelaars van alle producten met digitale én verbonden elementen.

In de tekst worden vier specifieke doelstellingen naar voor geschoven:

  1. Ervoor zorgen dat fabrikanten de beveiliging van producten met digitale elementen vanaf de ontwerp- en ontwikkelingsfase en gedurende de gehele levenscyclus verbeteren;

  2. zorgen voor een samenhangend kader voor cyberbeveiliging, waardoor producenten van hardware en software gemakkelijker aan de eisen kunnen voldoen;

  3. de transparantie van de beveiligingseigenschappen van producten met digitale elementen vergroten,

  4. en bedrijven en consumenten in staat stellen om producten met digitale elementen veilig te gebruiken.

Met deze wetgeving worden fabrikanten en ontwikkelaars verplicht om bij het ontwerp van het product na te denken over de cyberveiligheid. Concreet betekent dit dat fabrikanten een "CE"-markering van overeenstemming moeten verkrijgen om software of elk ander product dat onder deze wetgeving valt, toe te laten tot de Europese interne markt. Afhankelijk van het risiconiveau van het digitale product (Annex III) zal de conformiteitstest uitgevoerd moeten worden door de fabrikant zelf of door een derde partij. Producten die als ‘kritisch’ gezien worden, moeten verplicht door een derde partij beoordeeld worden.

Daarnaast wil de wetgeving ervoor zorgen dat de gebruikers over meer informatie beschikken wanneer zij een digitaal product kiezen en gebruiken. Ingeval van niet-naleving kunnen er verschillende mogelijke sancties opgelegd worden. 

Toepassingsgebied

In het eerste hoofdstuk wordt verduidelijkt wat er juist onder het toepassingsgebied van ‘digitale en verbonden elementen’ valt. Zo staat er dat ‘alle producten met digitale elementen waarvan het beoogde of redelijkerwijs te verwachten gebruik een directe of indirecte logische of fysieke gegevensverbinding met een apparaat of netwerk omvat’ onder het toepassingsgebied van de wetgeving valt. Hiervan zijn wel uitgesloten: medische apparaten, motorvoertuigen en burgerluchtvaart. 

Kritiek lidstaten

Nog voor het voorstel uitkwam, vroegen Denemarken, Duitsland en Nederland in een non-paper voor strengere beveiligingseisen voor alle digitale producten, processen en diensten met verschillende zekerheidsniveaus, die vervolgens de keuze van de klanten bepalen.

Lees hier de ontwerptekst.
Lees hier de effectbeoordeling.

Geef voor 15 november jouw mening over de ontwerptekst.