Ook in Europa denken ze na over de beveiliging van onze digitale infrastructuur. Zo buigt het Europees Parlement zich op dit moment over de “Cybersecurity Act”. Het wetsvoorstel van de Europese Commissie is een aardig begin, maar kan veel scherper. De Tweede Kamer praat vandaag met experts over de beveiliging van onze digitale infrastructuur. In Europa doen ze dat dus ook. En daar geven we ze het volgende mee.

Wat we de Europees Parlementsleden meegeven over de “Cybersecurity Act”

Security by default

In de eerste plaats vragen we parlementariërs in te zetten op slimme standaarden: we moeten de drempel voor het veilig houden van onze computersystemen zo laag mogelijk maken. Fabrikanten zouden alleen nog apparaten op de markt moeten mogen brengen als ze kwetsbaarheden ook snel verhelpen. De installatie van beveiligingsupdates moet, zeker bij consumentenproducten, standaard automatisch gebeuren. Ook in meer professionele omgevingen moet hier aandacht voor zijn. Zo komt het voor dat bedrijven na installatie van een beveiligingsupdate eerst het hele systeem weer moeten laten certificeren voor het in gebruik mag worden genomen. Ook dat is een drempel naar optimale veiligheid.

Verplichte certificering van producten

Omdat we de veiligheid van onze kinderen belangrijk vinden, hebben we in Europa veel regels rondom productveiligheid. Speelgoed mag niet gemaakt zijn van giftige materialen of heeft minimumafmetingen zodat een kind er niet kan stikken. Gek genoeg bestaan er niet zulke regels om de veiligheid van onze digitale infrastructuur te waarborgen. Het gevolg is dat onze markt wordt overspoeld met producten die, in digitale zin, bijzonder onveilig zijn en waaraan grote risico’s kleven. Daarom pleiten we voor de introductie van een verplichte certificering, waarmee minimumeisen gesteld kunnen worden aan de beveiliging van digitale producten die je kunt kopen.

Aansprakelijk zijn voor kwetsbaarheden

Vrijwel altijd geldt dat de fabrikant van een product aansprakelijk is voor de schade die is ontstaan door het gebruik van het product, als de fabrikant nalatig is geweest. Als je een huis hebt laten bouwen en het dak waait er vanaf bij de eerste de beste windvlaag, dan stel je de architect of de aannemer aansprakelijk. Maar die logica passen we niet toe bij soft- en hardware. Het kost immers nul komma nul moeite om een connected device te kopen dat onvoldoende beveiligd blijkt te zijn – en waar sprake is van nalatigheid. Daarom wil Bits of Freedom dat product­aansprakelijkheid ook gaat gelden als de fabrikant van zo’n product nalatig was met de beveiliging ervan.

We moeten de drempel voor het veilig houden van onze computersystemen zo laag mogelijk maken.

Geen achterdeurtjes in encryptie

Het laatste punt dat we de Europese parlementariërs meegeven: encryptie is belangrijk voor de beveiliging van onze digitale infrastructuur. De toepassing van encryptie is daarmee essentieel voor de bescherming van onze democratische vrijheden en economische groei. Beleidsmakers moeten de ontwikkeling en het gebruik van encryptie dan ook zoveel mogelijk stimuleren. Ze moeten ver wegblijven van het verzwakken van encryptie en zich niet bezig houden met de introductie van achterdeurtjes.

Rejo Zenger
Bron: bof.nl