De Europese Raad heeft het wetsvoorstel van de Commissie goedgekeurd, mits enkele revisies. Met de Cyber Resilience Act komen er strengere beveiligingseisen voor digitale producten.
De aankomende Cyber Resilience Act heeft weer een trede op de Europese Unieladder beklommen. De Europese Raad kwam gisteren bijeen om zich te buigen over het wetsvoorstel dat de Commissie in september 2022 had ingediend. Uit die zitting volgde een positief advies, al heeft de Raad wel enkele revisies voorgesteld.
Met de Cyber Resilience Act wil Europa strengere beveiligingseisen opleggen aan leveranciers van digitale producten. Naast het inbouwen van voldoende beveiliging in de producten, hebben fabrikanten ook de plicht om gebruikers te informeren over veilig gebruik en potentiële bedreigingen. De regels hebben betrekking op zowel hardware als software.
lees ook
Europese Cyber Resilience Act doorgelicht: een doorbraak voor cybersecurity?
Revisies
De Europese Raad gaat ermee akkoord om de verantwoordelijkheid van beveiliging bij fabrikanten te leggen. Toch zijn er enkele punten die de Raad anders wilt zien. Zo is er nog discussie over hoe lang fabrikanten updates moeten voorzien. De Commissie had een termijn van vijf jaar voorgesteld, maar de Raad wil er een minder specifieke termijn op plakken en stelt een ondersteuning die ‘redelijkerwijs mag verwacht worden’ voor.
Ook wil de Raad dat kleine ondernemingen meer ondersteuning krijgen om de regels na te leven en wil het dat kwetsbaarheden bij de nationale cybersecurityinstanties in plaats van op Europees niveau.
Hoe nu verder
De Europese Raad speelt de bal nu door naar het Parlement. De vertegenwoordigers van de lidstaten zullen samen met de Raad onderhandelen over de definitieve wettekst. Wordt een akkoord bereikt, dan kan de wet uiteindelijk ook van kracht gaan. Over deadlines wordt wijselijk niet gesproken, maar ga er vanuit dat dit nog wel enkele jaren in beslag neemt.
Opensource
De Cyber Resilience Act is niet onbesproken. Met name de opensourcegemeenschap heeft bedenkingen. Zij vrezen dat de lijn tussen wat opensource en wat commercieel is te dun zal worden, want ontwikkelaars kan ontmoedigen om projecten op te starten. We spraken hierover met de topman van de Europese tak van de Linux Foundation tijdens KubeCon 2023.
lees ook