De vertegenwoordigers van de lidstaten zijn tot Een Gemeenschappelijk Standpunt gekomen over de Cyber Resilience Act. De Europese Raad wil onder meer dat kwetsbaarheden en incidenten worden gemeld bij nationale instanties. Met dit akkoord gaan de EU-lidstaten komend najaar onderhandelen met het Europees Parlement.
Dat meldt de Europese Raad, bestaande uit vakministers van de lidstaten, in een persverklaring.
De Cyber Resilience Act in een notendop
In september 2022 presenteerde de Europese Commissie een wetsvoorstel om de beveiliging van smart devices te verbeteren en slecht beveiligde producten te weren: de Cyber Resilience Act. Belangrijkste uitgangspunt is dat de fabrikanten verantwoordelijk worden voor de veiligheid van de producten die ze op de markt brengen.
In het wetsvoorstel staat onder meer dat producenten minimaal vijf jaar ondersteuning moeten bieden, bijvoorbeeld door software- en beveiligingsupdates uit te brengen. Daarnaast hebben consumenten recht op informatie over de beveiliging van apparaten. In het ergste geval kan de Europese Commissie besluiten dat een product niet verkocht mag worden in de EU. Verder moeten kwetsbaarheden gemeld worden bij het Europese cybersecurityagentschap ENISA.
Houden fabrikanten van smart devices zich niet aan deze regels, dan riskeren ze een boete. Deze kan oplopen tot 15 miljoen euro of 2,5 procent van de wereldwijde omzet.
Dit is het standpunt van de Europese Raad
De Europese Raad kwam woensdag bij elkaar om te praten over een gemeenschappelijk standpunt over de Cyber Resilience Act, ook wel de verordening cyberweerbaarheid genoemd. De Raad is het volmondig eens met de Europese Commissie dat er een meldplicht komt als een product kwetsbaarheden bevat, of er zich een ernstig incident voordoet die een impact kan hebben voor alle consumenten. De Raad wil echter dat deze melding wordt gedaan bij bevoegde nationale instanties, de zogeheten Computer Security Incident Response Teams (CSIRT’s), in plaats van ENISA.
In het wetsvoorstel staat dat fabrikanten minimaal vijf jaar ondersteuning voor een product moeten bieden. De Europese Raad ziet er meer heil in om deze periode te koppelen aan de verwachte levensduur van een product. Dat betekent dat je voor sommige producten langer ondersteuning mag verwachten, maar voor sommige ook korter.
Tot slot pleit de Raad voor ondersteuning van ‘kleine en micro-ondernemingen’ en een vereenvoudigde conformiteitsverklaring.
Onderhandelingen met Europees Parlement starten komend najaar
Carme Artigas Brugal, de Spaanse staatssecretaris van Digitalisering en Kunstmatige Intelligentie, is blij dat de lidstaten tot een gemeenschappelijk standpunt zijn gekomen. “Met dit akkoord zet de EU verdere stappen naar een veilige digitale eengemaakte markt. Internet of Things (IoT) toepassingen en andere verbonden producten die in de EU worden verkocht, moeten een basisniveau van cybersecurity bieden zodat bedrijven en consumenten doeltreffend worden beschermd tegen cyberdreigingen. Dit is een belangrijke mijlpaal voor het Spaanse voorzitterschap en wij hopen de onderhandelingen met het Parlement zoveel mogelijk vooruit te helpen.”
Nu de Europese Raad een onderhandelingsmandaat heeft, kan de volgende stap gezet worden: onderhandelen met het Europees Parlement. Deze onderhandelingen vinden komend najaar plaats, onder het voorzitterschap van Spanje. Het doel is dat de Cyber Resilience Act in 2024 in werking treedt.
