Europese raad bereikt akkoord over Cyber Resilience Act
De lidstaten van de EU hebben op 19 juli overeenstemming bereikt over de Cyber Resilience Act (CRA). Het eerdere voorstel van de Europese Commissie is na kritiek op enkel punten door de Europese Raad aangepast. Zo is de implementatietermijn opgerekt van 24 naar 36 maanden en worden kleinere bedrijven geholpen bij de naleving van de CRA. Nederland heeft zich actief ingezet voor deze wet en de amendementen van de Europese Raad.
Actieve apparatuur
De CRA moet ervoor gaan zorgen dat digitale producten aan strenge cybersecurityeisen moeten voldoen voordat ze in Europa op de markt komen, met als doel om digitale producten en diensten veiliger te maken voor iedereen. De CRA legt de plicht bij fabrikanten om veilige producten te garanderen. Het gaat om fabrikanten van hardware en software en de CRA gaat gelden voor elk apparaat dat verbinding kan maken met een ander apparaat of met internet, voor zover er niet al regels voor gelden (zoals bij auto's, luchtvaart en medische apparatuur al het geval is).
De CRA zal dus van invloed zijn op onder meer actieve apparatuur in netwerken zoals routers en modems, IoT- en andere connected devices en apps. Fabrikanten moeten basismaatregelen nemen: security-by-design door apparaten goed te beveiligen en data die daarmee worden verstuurd bijvoorbeeld beveiligen door middel van encryptie. Software moet bij gebleken beveiligingslekken worden gepatcht en consumenten moeten daarvan op de hoogte worden gesteld.
Amendementen
Het ontwerpwetsvoorstel van de Europese Commissie verplichtte fabrikanten maximaal 5 jaar veiligheidsupdates te geven voor hun producten. Het onderhandelingsmandaat dat nu op tafel ligt, vraagt om ondersteuning voor de gehele levensduur van een product. Ook wordt niet-commerciële open source software vrijgesteld en zullen kleinere bedrijven geholpen worden bij de naleving van de CRA, door middel van vereenvoudigde formats voor technische documentatie, trainingen en voorlichting. De meldplicht is verschoven van ENISA naar nationale autoriteiten. Voor fabrikanten is vooral relevant dat zij met het nieuwe voorstel meer tijd krijgen om de regels te implementeren: de implementatietermijn is opgerekt van 24 naar 36 maanden. Tevens is er meer tijd gekomen voor het vaststellen van geharmoniseerde normen binnen CEN/CENELEC.
Nederland heeft zich actief ingezet voor deze wet en de amendementen van de Europese Raad, zo laat minister Adriaansens weten in een brief aan de Tweede Kamer. Dit najaar onderhandelt Spanje als voorzitter van de Europese Raad namens de lidstaten met het Europees Parlement over de definitieve wetstekst.