Nederland akkoord met voorstel Europese Cyber Resilience Act

Demissionair minister Micky Adriaansens van Economische Zaken zal a.s. woensdag akkoord gaan met het voorstel van de Europese Commissie voor de Cyber Resilience Act (CRA). De CRA moet ervoor zorgen dat burgers en bedrijven in Europa beschermd worden tegen onveilige software.

De CRA verplicht leveranciers van hard- en software tot het nemen van beveiligingsmaatregelen waardoor hun producten veiliger worden. Dat gaat onder meer om gratis security-updates zodra duidelijk is dat er lekken in de producten zijn. Daarnaast moeten het misbruik van lekken en incidenten worden gemeld.

In september kwam de Europese Commissie met een voorstel dat veel kritiek opriep. Inmiddels is nu enkele maanden binnen de Europese Raad overlegd over aanpassingen. Die blijken voor Nederland afdoende, zo laat Adriaansens weten in een brief aan de Tweede Kamer.

Verwacht wordt dat het Europees Parlement in september zal stemmen over de CRA.

In haar brief geeft Adriaansens aan dat er aanpassingen zijn gedaan op vijf belangrijke punten voor Nederland:

1. Een ondersteuningstermijn waarin de fabrikant verantwoordelijk blijft voor het effectief reageren op kwetsbaarheden (door het aanbieden van gratis veiligheidsupdates) die geldt voor de redelijk te verwachten levensduur van het product, in plaats van de door de Europese Commissie voorgestelde maximumtermijn van vijf jaar.
2. Een duidelijke regeling voor de toepassing op Open Source-software: niet-commercieel aangeboden software valt buiten de Cyber Resilience Act zolang deze niet in de handel wordt gebracht; de fabrikant die deze software in een commercieel product gebruikt is degene die met dat product aan de CRA moet voldoen.
3. Een voor zowel Computer Security Incident Response Teams (CSIRT’s) als fabrikanten goed uitvoerbare meldplicht bij (geëxploiteerde) kwetsbaarheden en incidenten, met een effectieve en veilige meldstructuur.
4. Het uitgangspunt is dat fabrikanten zelf de conformiteit beoordelen van hun product aan de eisen van de CRA. Alleen bij ‘meer gevoelige producten’ moet de conformiteitsbeoordeling door een onafhankelijke derde partij worden uitgevoerd.
5. Een redelijke implementatietermijn, waarbij voldoende tijd is voor de ontwikkeling en implementatie van de technische normen aan de hand waarvan fabrikanten de conformiteit met de essentiële cybersecurityvereisten van de CRA kunnen beoordelen.