01 december 2023 - door Kristof Vlaeminck
Het Raadsvoorzitterschap en het Europees Parlement zijn tot een voorlopig akkoord gekomen over de voorgestelde Verordening Cyberweerbaarheid (Cyber Resilience Act).
De verordening bevat voorschriften inzake cyberbeveiliging om zeker te zijn dat producten met digitale elementen zoals slimme beveiligingscamera's en koelkasten, tv's en speelgoed,... veilig zijn.
Het volledige akkoord moet nog door Raad van de EU en het Europees Parlement formeel aangenomen worden in een latere fase, maar dit voorlopige akkoord is een belangrijke stap in die richting.
De tekst bevat Europese cyberbeveiligingsvoorschriften voor het ontwerp, de ontwikkeling, de productie en het op de markt aanbieden van hardware en software. Een Europese wet moet ervoor zorgen dat er niet in elke EU-lidstaat andere regels gelden.
De verordening zal gelden voor alle apparaten die direct of indirect verbonden zijn met een ander apparaat of een netwerk. Een uitzondering zijn producten waarvoor al cyberbeveiligingsvereisten zijn vastgelegd in andere EU-wetten, zoals medische hulpmiddelen, producten voor de luchtvaart en auto's.
De verordening moet de lacunes in de wetgeving dichten, de samenhang tussen wetten verduidelijken en de cyberbeveiligingswetgeving coherenter maken. Producten met digitale elementen, zoals producten die tot het internet der dingen (Internet of Things) behoren, moeten in de gehele toeleveringsketen en gedurende hun hele levenscyclus veilig kunnen worden gebruikt.
Tot slot creëert de verordening meer bewustzijn rond cyberveiligheid zodat consumenten een geïnformeerde keuze kunnen maken bij het kopen en gebruiken van deze hard- of softwareproducten. Het moet voor hen gemakkelijker worden om te zien welke producten goede bescherming bieden op dit vlak.
Het voorlopig akkoord komt met name op de volgende punten overeen met de algemene strekking van het Commissievoorstel:
regels om de verantwoordelijkheid voor de naleving van de verordening meer bij de fabrikanten te leggen. Zij moeten aan bepaalde verplichtingen voldoen, zoals een risicoanalyse uitvoeren, een conformiteitsverklaring opstellen en samenwerken met de bevoegde instanties;
essentiële eisen voor fabrikanten en verplichtingen voor marktdeelnemers, zoals importeurs of distributeurs, wat betreft de respons op kwetsbaarheden;
maatregelen voor meer transparantie over de beveiliging van hardware- en softwareproducten voor consumenten en zakelijke gebruikers;
markttoezicht om te controleren of de regels worden nageleefd.
De Raad en het Parlement zijn overeengekomen bepaalde aspecten van het Commissievoorstel te wijzigen, zoals:
het toepassingsgebied van de voorgestelde verordening, met een simpelere manier om te bepalen of digitale producten onder de nieuwe verordening vallen;
de vaststelling van de verwachte levensduur van producten door de fabrikant. Het uitgangspunt blijft dat de fabrikant gedurende de hele verwachte levensduur van het digitale product ondersteuning biedt en deze ondersteuningstermijn moet sowieso minstens 5 jaar bedragen, behalve voor producten met een kortere verwachte gebruiksduur;
de meldplicht bij actief uitgebuite kwetsbaarheden of incidenten. Dit moet in eerste instantie bij de bevoegde nationale instanties gebeuren, maar het EU-agentschap voor cyberbeveiliging (Enisa) krijgt ook een grotere rol;
de nieuwe regels gaan 3 jaar na de inwerkingtreding van de verordening in, zodat fabrikanten voldoende tijd hebben om zich aan te passen;
extra steunmaatregelen voor kleine en micro-ondernemingen, zoals specifieke bewustmakings- en opleidingsactiviteiten, naast ondersteuning voor test- en conformiteitsbeoordelingsprocedures.
Hier kan je meer informatie en achtergronddocumenten terugvinden.