Consumenten en bedrijven maken veel gebruik van producten die met elkaar of met het internet zijn verbonden zoals industriële machines, tv’s, apps, printers, lampen, camera’s en babyfoons. Digitale producten – zowel software, hardware als componenten – moeten naar verwachting vanaf 2027 voldoen aan uitgebreide eisen en standaarden op het gebied van cyberveiligheid. Cyberonveilige apparaten zijn dan niet meer toegelaten voor verkoop via de EU-markt. Eisen betreffen onder meer het verplicht en gratis leveren van veiligheidsupdates, zolang je mag verwachten dat een product kan worden gebruikt.
De EU-lidstaten en het Europees Parlement hebben hierover een voorlopig politiek akkoord bereikt. De zogenoemde Cyber Resilience Act (CRA) is een wettelijke uitbreiding, waar Nederland actief voor heeft gepleit, op een eerder besluit om al per 2025 cybersecurityeisen te stellen aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen via de Radio Equipment Directive (RED). De CRA is straks breder dan de RED en geldt niet alleen voor draadloos verbonden apparaten, maar voor alle hard- en software. Ook zet deze in op de aanpak en melding van kwetsbaarheden die opkomen, nadat een product op de markt is gebracht.
Minister Micky Adriaansens (Economische Zaken en Klimaat): “Fabrikanten en importeurs waren in de fysieke wereld al verantwoordelijk voor veilige producten. Voor digitale producten gaat dit straks ook gelden. Dat is nodig, want digitale producten en systemen zijn vaak een ideale toegangsdeur voor internetcriminelen voor diefstal van gegevens, geld of om als middel om te hacken. We willen dat voorkomen. De komst van de CRA is een volgende stap op weg hier naar toe. Veilige digitale apparaten werken beter, beschermen onze gegevens en zorgen er voor dat we vertrouwd digitaal zaken kunnen doen.”
Ondersteuningstermijn voor gehele levensduur producten
Fabrikanten moeten voor gedurende de hele te verwachten gebruiksperiode van het product gratis veiligheidsupdates verstrekken zodra er kwetsbaarheden worden ontdekt. Deze ondersteuningsperiode moet duidelijk bij de verkoop zijn vermeld en is altijd minimaal vijf jaar. Deze minimumduur doet niet af aan de hoofdregel: als het verwachte gebruik van een product bijvoorbeeld acht jaar is dan moet de ondersteuning ook acht jaar worden geboden.
Lees verder via rijksoverheid.nl
Meer weten over toezicht in verbinding? Kom naar de HCB Seminarreeks Toezicht in Transitie 2023 – Toezicht in verbinding met nog seminars op 7 en 14 december in Den Haag, georganiseerd door het Haags Congres Bureau.
In de HCB Seminarreeks Toezicht in Transitie 2023 gaat het dit najaar om de verbinding met de omgeving:
- Toezicht in de omgeving – Relaties met Europees recht en met interne toezichthouder
- Toezicht met de omgeving – Burgers en bedrijven betrekken
- Toezicht voor de omgeving – Verantwoorde inzet van technologie
Sprekers zijn Esther Versluis, Universiteit Maastricht, Bart Snels, Inspectie belastingen, toeslagen en douane, Leonie Schakel, NZa, Gijs van Maanen, Tilburg Institute for Law, Technology and Society, Frans van Bruggen, DNB, UU en NSOB, en Paul van Dijk, zelfstandig adviseur.