Nederland achter nieuw voorstel Cyber Resilience Act

De CRA heeft als doel ervoor te zorgen dat burgers en bedrijven in Europa beschermd worden tegen onveilige software. In september kwam de Europese Commissie met een voorstel dat veel kritiek opriep. Inmiddels is nu enkele maanden binnen de Europese Raad overlegd over aanpassingen. Die blijken voor Nederland afdoende, zo laat Adriaansens weten in een brief aan de Tweede Kamer.

De CRA verplicht leveranciers van hard- en software tot het nemen van beveiligingsmaatregelen waardoor hun producten veiliger worden. Dat gaat onder meer om gratis security-updates zodra duidelijk is dat er lekken in de producten zijn. Daarnaast moeten het misbruik van lekken en incidenten worden gemeld.

Vijf kritiekpunten

Adriaansens geeft aan dat er aanpassingen zijn gedaan op vijf belangrijke punten voor Nederland:

1. Een ondersteuningstermijn waarin de fabrikant verantwoordelijk blijft voor het effectief reageren op kwetsbaarheden (door het aanbieden van gratis veiligheidsupdates) die geldt voor de redelijk te verwachten levensduur van het product, in plaats van de door de Europese Commissie voorgestelde maximumtermijn van vijf jaar.

2. Een duidelijke regeling voor de toepassing op Open Source-software: niet-commercieel aangeboden software valt buiten de Cyber Resilience Act zolang deze niet in de handel wordt gebracht; de fabrikant die deze software in een commercieel product gebruikt is degene die met dat product aan de CRA moet voldoen.

3. Een voor zowel Computer Security Incident Response Teams (CSIRT’s) als fabrikanten goed uitvoerbare meldplicht bij (geëxploiteerde) kwetsbaarheden en incidenten, met een effectieve en veilige meldstructuur.

4. Het uitgangspunt is dat fabrikanten zelf de conformiteit beoordelen van hun product aan de eisen van de CRA, waarbij voor meer gevoelige producten (opgesomd in een bijlage van de CRA) wordt voorgeschreven dat de conformiteitsbeoordeling door een onafhankelijke derde partij moet worden uitgevoerd.

5. Een redelijke implementatietermijn, waarbij voldoende tijd is voor de ontwikkeling en implementatie van de technische normen aan de hand waarvan fabrikanten de conformiteit met de essentiële cybersecurityvereisten van de CRA kunnen beoordelen.

Verwacht wordt dat het Europees Parlement in september zal stemmen over de CRA.