Europa pakt gebrekkige cyberbeveiliging producten aan

Leveranciers moeten bij de ontwikkeling van een digitale producten al rekening houden met minimale cybersecurity-eisen – alleen dan worden ze dan toegelaten op de Europese markt. Dat bepaalt de Cyber Resilience Act, oftewel de Wet inzake cyberweerbaarheid, waar de Europese Commissie het voorstel van heeft gepresenteerd.

Gebrekkige ondersteuning

Cyberaanvallen kunnen zich binnen minuten over de interne Europese grenzen verspreiden, schrijft de Commissie. Deze wetgeving pakt daarom twee problemen aan: het lage veiligheidsniveau van veel producten met een internetverbinding en de gebrekkige ondersteuning door leveranciers.

‘Hoewel ontwikkelaars van producten met digitale elementen soms reputatieschade ervaren bij een gebrek aan beveiliging, worden de kosten van kwetsbaarheden voornamelijk gedragen door professionele gebruikers en consumenten.’ Dit beperkt volgens de Commissie de prikkel voor ontwikkelaars om te zorgen voor goede beveiliging en ondersteuning.

Klanten informeren

De wetgeving geldt voor zowel hardware als software en moet ervoor zorgen dat de producten gedurende de hele levensduur onderhouden worden. Ook is het de bedoeling dat klanten goed geïnformeerd worden over de beveiliging van de producten die ze kopen en gebruiken - iets dat nu volgens de Commissie te weinig gebeurt. Software die geleverd wordt als dienst, valt niet onder de wetgeving.

Het is de bedoeling dat lidstaten autoriteiten aanwijzen die zorgen dat de wetgeving wordt nageleefd. Wordt die niet nageleefd, dan kan het gebeuren dat een product van de markt wordt gehaald. Commissievoorzitter Von der Leyen zei eerder dit jaar, toen om input voor de wet werd gevraagd, dat de regelgeving onderdeel is van het streven van de EU om wereldwijd gezien ‘een leider te worden op het gebied van cyberveiligheid’.