De EU-landen hebben op 19 juli in Brussel overeenstemming bereikt over een onderhandelingsmandaat voor de Cyber Resilience Act (CRA). Nederland heeft zich actief ingezet voor deze wet omdat het een belangrijk onderdeel is van de aanpak van het kabinet om digitale producten en diensten veiliger te maken voor iedereen.
De CRA zorgt ervoor dat digitale producten aan strenge cybersecurityeisen moeten voldoen voordat ze in Europa op de markt komen. Zowel consumenten als zakelijke gebruikers moeten ervan op aan kunnen dat digitale producten veilig zijn, van de babyfoon op de kinderkamer tot de software op kantoor. De CRA legt de plicht bij fabrikanten om veilige producten te garanderen.
Belangrijkste punten CRA
- Er komen alleen digitale producten op de markt, die voldoen aan de strengste beveiligingseisen
- Fabrikanten worden verplicht gedurende de hele levensduur van de producten gratis veiligheidsupdates te leveren en digitale kwetsbaarheden & incidenten te melden
- Niet-commerciële open source software is vrijgesteld
- Fabrikanten krijgen voldoende tijd om de regels te implementeren
Actieve inzet Nederland
Mede door de inzet van Nederland is het oorspronkelijke wetvoorstel verbeterd.
Het ontwerpwetsvoorstel van de Europese Commissie verplichtte fabrikanten maximaal 5 jaar veiligheidsupdates te geven voor hun producten. Het onderhandelingsmandaat dat nu op tafel ligt, vraagt om ondersteuning voor de gehele levensduur van een product.
Ook worden kleine bedrijven geholpen bij de naleving van de CRA. Het onderhandelingsmandaat voorziet in vereenvoudigde formats voor technische documentatie, trainingen en bewustwordingsinitiatieven.
Definitieve wettekst
Dit najaar onderhandelt Spanje als voorzitter van de Raad van de EU namens de lidstaten met het Europees Parlement over de definitieve wetstekst.