De EU-lidstaten en het Europees Parlement hebben hierover een voorlopig politiek akkoord bereikt. De zogenoemde Cyber Resilience Act (CRA) is een wettelijke uitbreiding, waar Nederland actief voor heeft gepleit, op een eerder besluit om al per 2025 cybersecurityeisen te stellen aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen via de Radio Equipment Directive (RED). De CRA is straks breder dan de RED en geldt niet alleen voor draadloos verbonden apparaten, maar voor alle hard- en software. Ook zet deze in op de aanpak en melding van kwetsbaarheden die opkomen, nadat een product op de markt is gebracht.
Minister Micky Adriaansens (Economische Zaken en Klimaat): “Fabrikanten en importeurs waren in de fysieke wereld al verantwoordelijk voor veilige producten. Voor digitale producten gaat dit straks ook gelden. Dat is nodig, want digitale producten en systemen zijn vaak een ideale toegangsdeur voor internetcriminelen voor diefstal van gegevens, geld of om als middel om te hacken. We willen dat voorkomen. De komst van de CRA is een volgende stap op weg hier naar toe. Veilige digitale apparaten werken beter, beschermen onze gegevens en zorgen er voor dat we vertrouwd digitaal zaken kunnen doen.”
Ondersteuningstermijn voor gehele levensduur producten
Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar. Deze minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden.
Standaarden voor cyberveiligheid
Fabrikanten zorgen ervoor dat producten voldoen aan de cybersecurityeisen, voordat een product op de markt wordt gebracht. Het gaat dan bijvoorbeeld om eisen dat producten veilig zijn ontworpen en getest zijn op veiligheidslekken. Ook moeten veiligheidsupdates in veel gevallen automatisch worden geïnstalleerd, opgeslagen persoonlijke- en financiële gegevens worden beschermd en krijgt de gebruiker de mogelijkheid geboden om deze data permanent te verwijderen.
Fabrikanten moeten bovendien incidenten en kwetsbaarheden, die worden misbruikt door kwaadwillenden, binnen 24 uur melden aan de nationale Computer Security Incident Response Teams (CSIRT) van de overheid. Voor ontwikkelaars en aanbieders van niet-commercieel aangeboden zogenoemde open-source software geldt, dat zij niet aan de eisen voor fabrikanten hoeven te voldoen.
Tijd voor implementatie en steun voor kleinere ondernemers
Met de inwerkingtredingstermijn van drie jaar is voldoende tijd geboden voor de implementatie en het opstellen van technische normen waarin de cybersecurityeisen aan fabrikanten worden uitgewerkt. Er komen bovendien voorzieningen om micro- en kleine fabrikanten te ondersteunen bij de implementatie van de eisen.