De Europese Commissie heeft haar Cyber Resilience Act gepubliceerd. De wetgeving stelt nieuwe eisen voor connected apparaten op het gebied van beveiliging, van elementaire ontwerpelementen tot klantenondersteuning in het geval van een cyberaanval of inbreuk op de beveiliging. Het duurt nog wel even voor de wet is ingevoerd en fabrikanten hun producten moeten aanpassen.
Hardware- en softwareproducten zijn in toenemende mate onderhevig aan succesvolle cyberaanvallen. De wereldwijde jaarlijkse kosten van cybercriminaliteit bedroegen naar schatting € 5,5 biljoen in 2021.
Dergelijke producten hebben te kampen met twee grote problemen die extra kosten voor de gebruikers en de samenleving met zich meebrengen:
- een laag niveau van cyberbeveiliging, in de vorm van wijdverbreide kwetsbaarheden en de onvoldoende en inconsistente levering van beveiligingsupdates om deze aan te pakken, en
- onvoldoende begrip van en toegang tot informatie door gebruikers, waardoor ze niet kunnen kiezen voor producten met adequate cyberbeveiligingseigenschappen of deze op een veilige manier gebruiken.
Rechtskader schiet tekort
Hoewel de bestaande interne marktwetten ook van toepassing zijn op producten met digitale elementen, vallen de meeste hardware- en softwareproducten momenteel niet onder EU-wetgeving die hun cyberbeveiliging aanpakt. Het huidige EU-rechtskader heeft geen betrekking op de cyberbeveiliging van non-embedded software. Dit terwijl cyber attacks steeds vaker de kwetsbaarheden in deze producten blootleggen en tot aanzienlijke maatschappelijke en economische kosten leiden.
Om de goede werking van de interne markt te waarborgen moet de Cyber Resilience Act voorwaarden scheppen voor de ontwikkeling van veilige producten met digitale elementen. Fabrikanten moeten ervoor zorgen dat hardware- en softwareproducten met minder kwetsbaarheden op de markt worden gebracht. Daarnaast moeten zij beveiliging serieus nemen gedurende de gehele levenscyclus van een product.
Op de tweede plaats moet de wet voorwaarden scheppen waardoor gebruikers rekening kunnen houden met cybersecurity bij het selecteren en gebruiken van producten met digitale elementen.
Vier doelstellingen
De Europese Commissie heeft dit uitgewerkt in vier specifieke doelstellingen:
- ervoor zorgen dat fabrikanten de beveiliging van producten verbeteren met digitale elementen sinds de ontwerp- en ontwikkelingsfase en gedurende de hele levenscyclus;
- zorgen voor een coherent cyberbeveiligingskader dat de naleving voor hardware- en softwareproducenten vergemakkelijkt;
- verbeteren van de transparantie van beveiligingseigenschappen van producten met digitale elementen, en
- bedrijven en consumenten in staat stellen producten met digitale elementen veilig te gebruiken.
Goedkeuring duurt nog even
De wet moet nog worden besproken en goedgekeurd door het Europees Parlement en de Raad, waarna fabrikanten en verkopers tot twee jaar de tijd hebben om de wijzigingen door te voeren.