Cybersecurity is in toenemende mate een belangrijk aandachtspunt voor de Europese wetgever. Als gevolg van de coronapandemie werken meer mensen dan ooit thuis en dus online, en de oorlog in Oekraïne maakt de toch al reële dreiging op het gebied van cybersecurity ten opzichte van buitenlandse, potentieel vijandige mogendheden des te urgenter. Zo beschrijft de NCTV
cyberaanvallen door statelijke actoren als ‘het nieuwe normaal’.
In reactie op de cyberdreigingen is vanuit Europa een EU Cybersecurity Strategie ontwikkeld. Onderdeel van deze strategie zijn verschillende stukken Europese wetgeving. Hieronder in meer detail bespreken we de Cyber Resilience Act. Lees in een ander artikel over het andere deel van de EU Cyberstrategie: de EU Cybersecurity Act.
De EU Cyber Resilience Act
Op 15 september 2022 heeft de Commissie een voorstel ingediend voor een aanvullend stuk cybersecuritywetgeving, namelijk de Cyber Resilience Act. Het voorstel heeft als voornaamste doel het bolsteren van de regels voor cybersecurity, om zo het gebruik van hardware en software in de EU veiliger te maken.
Ook hier speelt tegen de achtergrond van deze nieuwe wetgeving de toename van cybercriminaliteit in Europa. Wereldwijd werd de schade als gevolg van cybercriminaliteit over 2021 geschat
op 5.5 biljoen euro. Dat komt deels door gebrekkige beveiliging en infrastructuur en deels door onwetendheid bij gebruikers. Hoewel binnen de interne markt al wel wetgeving bestond die betrekking had op producten met ‘digitale aspecten’, geldt voor de meeste software- en hardwareproducten momenteel nog geen Europese wetgeving op het gebied van cybersecurity.
Voorkomen van kwetsbaarheden in hardware en software
Het doel van de Cyber Resilience Act is dan ook het zo veel mogelijk voorkomen van kwetsbaarheden in hardware en software voor de volledige duur van de levenscyclus van producten, dus zowel voordat de producten op de markt komen, in de ontwerp- en ontwikkelingsfase, als daarna. Dit doet de Cyber Resilience Act door verplichtingen op te leggen aan fabrikanten aangaande het actief controleren op en bestrijden van kwetsbaarheden, terug te vinden in Annex I. Daarnaast moet het voor gebruikers makkelijker worden om cyberveiligheid mee te nemen in hun overweging bij het uitkiezen van producten.
De EU Cyber Resilience Act is van toepassing op alle producten met digitale kenmerken waar niet al andere EU wetgeving op van toepassing was. Dat wil zeggen, ieder software of hardware product, waaronder ook losse onderdelen die apart verkocht worden. De EU Cybersecurity Act stelt geen directe verplichtingen waaraan producten met digitale kenmerken moeten voldoen. Producten die onder deze definitie vallen, mogen alleen op de markt gebracht worden wanneer ze voldoen aan de vereisten die zijn opgenomen in Annex I van de verordening. Dat betekent bijvoorbeeld dat producten met bekende kwetsbaarheden niet verkocht mogen worden, en dat sprake moet zijn van een adequaat niveau van bescherming (“appropriate level of cybersecurity based on the risks”). Deze terminologie sluit aan bij die van de AVG en moet derhalve worden bezien in het kader van een breder Europees raamwerk ten behoeve van cybersecurity en veilige gegevensverwerking. Op basis van een risicoanalyse moeten bovendien bepaalde zekerheden worden ingebouwd.
Aangescherpte compliance verplichtingen voor 'critical products'
Verder bevat de regeling een apart regime voor zogenaamde “critical products”, waarvoor aangescherpte compliance verplichtingen gelden. Critical products zijn opgenomen in Annex III en worden onderverdeeld in twee klasses. Onder Klasse I vallen producten als browsers en wachtwoordmanagers, en onder Klasse II bijvoorbeeld besturingssystemen, firewalls en microprocessors. Gezien de grotere risico’s bij Klasse II moet bij een conformity assessment op die producten bijvoorbeeld altijd een derde partij betrokken worden.
Wanneer er een actief uitgebuite kwetsbaarheid wordt ontdekt moet door de producent onverwijld en in ieder geval binnen 24 uur melding worden gemaakt bij Enisa, te vergelijken met de meldplicht bij datalekken.
Nadat de EU Cyber Resilience Act is aangenomen, krijgen lidstaten twee jaar de tijd om aan de verordening te voldoen. Daarbij moet dus waarschijnlijk gedacht worden aan medio 2025. De meldplicht voor producenten gaat echter al na 1 jaar in. Daarnaast is het natuurlijk hoe dan ook raadzaam om de zaken op het gebied van cybersecurity op orde te hebben.
