Donderdag is samen met een persbericht dan eindelijk de tekst van de EU Cyber Resilience Act bekend gemaakt. Formeel is het nog een voorstel voor een verordening. De kans dat hier nog veel aan veranderd zal worden is om meerdere redenen gering. Belangrijkste reden is dat er zovele cyberdreigingen zijn dat niemand durft te pleiten voor mildere eisen en minder toezicht.
Na onderzoek, overleg en consultaties heeft de Europese Commissie vastgesteld dat de meeste hardware- en softwareproducten die momenteel in de EU verhandeld mogen worden niet onder reeds bestaande EU-wetgeving vallen als het gaat om de cyberbeveiliging. Daarmee wordt op een nette manier verwoord dat er veel goederen en software worden geïmporteerd, gedistribueerd en verkocht aan eindklanten die onder de maat is.
Doelstellingen
De verordening gaat daar een einde aan maken en wel via vier aan elkaar gelinkte doelstellingen
- Fabrikanten krijgen de verplichting de beveiliging van producten met digitale elementen vanaf de ontwerp- en ontwikkelingsfase en gedurende de gehele levenscyclus verbeteren;
- De EU zorgt voor een samenhangend kader voor cyberbeveiliging, waardoor producenten van hardware en software gemakkelijker aan de eisen kunnen voldoen;
- De transparantie van de beveiligingseigenschappen van producten met digitale elementen wordt vergroot;
- Bedrijven en consumenten moeten producten met digitale elementen veilig kunnen gebruiken.
Punt 1 heeft geen verdere uitleg nodig, al is het wel zaak te kijken naar het begrip “levenscyclus”. Refurbished en recycling gelden volgens deze verordening als toegestane ingrepen om de levenscyclus te verlengen. Het tweede en derde punt kan gelezen worden als een geruststelling. Tussen de lidstaten mogen geen verschillen ontstaan. Een printer die in Nederland aan de eisen voldoet, mag automatisch in België worden gebruikt. Het omgekeerde geldt ook: hardware die in Nederland is afgekeurd mag naar België worden gestuurd. De oplettende lezer weet dat punt behoorlijke impact op een deel van de handel kan hebben. Het vierde punt spreekt voor zich.
Meldplicht distributeurs
Wat betekent die concreet? De bestaande procedure voor CE wordt aangescherpt. Een importeur, distributeur mag geen goederen binnen de EU verhandelen als dat ontbreekt. Hier komt ook direct de eerste aanscherping om de hoek kijken. Toezichthouders moeten op de hoogte gebracht worden als de distributeurs goederen met “digitale elementen” aantreffen die niet in orde zijn.
Meldplicht en meldpunten
Nieuw is ook de meldplicht voor fabrikanten (en mogelijk importeurs en distributeurs). Als zij te weten komen dat een product met “digitale elementen” onveiig is dan zijn ze verplicht binnen 24 uur melding te maken bij de toezichthouders.
Deze commerciële partijen moeten ook de processen dusdanig inrichten dat externen lekken en onvolkomenheden zonder omwegen kunnen melden, meldpunten dus. In de ontwerptekst is dat als volgt omschreven:
De fabrikanten beschikken over passende beleidslijnen en procedures, met inbegrip van een gecoördineerd beleid inzake de openbaarmaking van kwetsbaarheden, als bedoeld in bijlage I, punt 2, om potentiële kwetsbaarheden in het product met digitale elementen te verwerken en te verhelpen die door interne of externe bronnen worden gemeld.
De verordening telt op dit moment 87 pagina’s. Er staan ook meer punten in die het kanaal raken dan hierboven staat weergegeven. De impact gaat echt groot worden. Het is moeilijk voor te stellen dat na inwerkingtreding nog el-cheapo webcams bij de drogisterij in de schappen komen. Daar zal het kanaal geen traan om laten. Maar de gevolgen voor eigen import kunnen ook behoorlijk worden. Dat heeft niet in de laatste plaats te maken met het aantrekken van de teugels als het om aansprakelijkheid gaat.
24 maanden
Als het Europees Parlement groen licht geeft dan is binnen 24 maanden de EU Cyber Resilience Act van kracht. 36 maanden later is het overal in de EU wet. Dat lijkt een lange periode, maar wie nu weet dat binnen 3 jaar zijn manier van handelen anders moet zijn denkt daar wellicht anders over. Net als bij de AVG moeten er de nodige processen worden ingeregeld. Zoiets kost tijd en geld. En over geld gesproken, dat de EU
pittige boetes kan uitdelen is wel genoeg bekend.
