Slimme apparaten zijn op steeds meer plekken te zien. Denk aan de babyfoon die is verbonden met een mobiele telefoon of de thermostaat die aan de hand van de weersverwachtingen de temperatuur in een kantoor regelt. Kwaadwillenden kunnen dit soort digitale producten hacken, waardoor bepaalde gegevens in verkeerde handen kunnen vallen. Het is daarom belangrijk dat dit soort producten ‘cyberveilig’ zijn; beter beschermd tegen cyberaanvallen.
De nieuwe Cyberweerbaarheidsverordening moet hiervoor zorgen. Op 30 november 2023 bereikten het Europees Parlement en de Raad van de EU een akkoord over de veiligheidseisen voor digitale producten.
Cyberweerbaarheidsverordening
De Cyberweerbaarheidsverordening heeft als doel om de beveiliging van digitale producten aan de hand van certificering te verbeteren. De nieuwe regels moeten ervoor zorgen dat producten met digitale functies veilig te gebruiken zijn, veerkrachtig zijn tegen cyberdreigingen en voldoende informatie geven over hun beveiligingseigenschappen. De verordening regelt dat op dit gebied voor alle EU-lidstaten dezelfde regels gaan gelden.
De nieuwe regels bevatten vereisten voor het ontwerp, de ontwikkeling en vervaardiging van producten met digitale elementen. Daarnaast komen er regels voor het handhaven van de nieuwe verordening. Hiervoor moeten de lidstaten één of meer autoriteiten aanwijzen. Ook het EU-agentschap voor cybersecurity (ENISA) krijgt een grotere rol. Dit agentschap moet worden betrokken als er sprake is van een incident of een andere soort cyberdreiging.
Vervolgstappen
De Raad en het Parlement zijn nu tot een informeel akkoord gekomen, waarbij enkele wijzigingen zijn aangebracht. Zo is de eerder genoemde grotere rol voor ENISA toegevoegd. Verder zijn er extra steunmaatregelen voor midden- en klein bedrijven (MKB) in de verordening opgenomen.
De overeengekomen tekst van de Cyberweerbaarheidsverordening zal nu formeel aangenomen moeten worden door zowel de Raad als het Parlement. Zodra de verordening is aangenomen, zal deze twintig dagen na publicatie ervan in het Publicatieblad in werking treden. Na de inwerkingtreding krijgen fabrikanten, importeurs en distributeurs van digitale producten 3 jaar de tijd om zich aan te passen aan de nieuwe regels.
Decentrale relevantie
Decentrale overheden in Nederland zijn druk bezig met de digitale transformatie. Bij het aanbieden van veilige digitale overheidsdiensten hoort een goede cyberbeveiliging. Het is dus belangrijk dat overheden bij het inzetten van digitale producten er zeker van kunnen zijn dat deze producten aan de veiligheidseisen van de EU voldoen. Met deze verordening wordt dat een stuk duidelijker door de certificering en andere veiligheidseisen.
Daarnaast hebben decentrale overheden een adviserende rol ten opzichte van het bedrijfsleven. Fabrikanten zijn onder de nieuwe regels verplicht om ervoor te zorgen dat producten met digitale elementen die op de EU-markt worden aangeboden aan de beveiligingsvereisten voldoen. Dit is gunstig voor burgers en ondernemingen die deze producten gebruiken. De transparantie van de beveiligingskenmerken vergroot, het vertrouwen in de producten neemt toe en gegevens worden beter beschermd.
Bronnen
Cyber Resilience Act: agreement with Council to boost digital products’ security, persbericht van het Europees Parlement
Verordening cyberweerbaarheid: Raad en Parlement akkoord over veiligheidseisen voor digitale producten, persbericht van de Raad van de EU
Meer informatie
Nieuwe verordening inzake cyberweerbaarheid voorgesteld, Kenniscentrum Europa Decentraal
Cybersecurity, Kenniscentrum Europa Decentraal