De veelbesproken Cyber Resilience Act is er definitief doorheen. Donderdag stemde de Raad van de Europese Unie in met de verordening die strengere cybersecurityeisen stelt aan producten met digitale componenten. Dit betekent dat de regels eind 2027 officieel van kracht worden.
Met de Cyber Resilience Act wil de Europese Unie de bestaande wetgeving verduidelijken en versterken, zodat de veiligheid van producten met digitale elementen in de gehele toeleveringsketen en levenscyclus gewaarborgd blijft. De verordening heeft betrekking op diverse soorten iot-apparaten, zoals met internet verbonden camera’s, koelkasten, televisies en speelgoed. Zij moeten aan de regels voldoen voordat ze op de markt komen. Ook software valt onder de nieuwe regelgeving.
CE-markering
De nieuwe regels, die EU-breed van kracht worden, omvatten dat hardware- en softwareproducten een CE-markering moeten dragen. Deze markering geeft aan dat producten voldoen aan de gestelde cybersecurity-eisen. Dit moet voorkomen dat verschillende lidstaten eigen, overlappende regels hanteren. Uitzonderingen gelden voor producten zoals medische apparaten en auto’s, waarvoor al specifieke cybersecurity-voorschriften bestaan. Het doel van de wet is ook om consumenten bewuster te maken van de cyberveiligheid van producten, zodat zij veiliger keuzes kunnen maken.
Europese Commissie-voorzitter Ursula von der Leyen kondigde de Cyber Resilience Act aan in 2021. In september 2022 diende de commissie het officiële voorstel in, waarna in november 2023 een voorlopig akkoord werd bereikt. Nu is de verordening aangenomen door de Raad van de Europese Unie, waarin de ministers van de 27 lidstaten. Binnen enkele weken volgt ondertekening door voorzitters van de Raad en het Europees Parlement. Twintig dagen na publicatie in het officiële EU-publicatieblad treedt ze in werking. Drie jaar daarna is de verordening volledig van toepassing, ofwel eind 2027.
Verordening vs richtlijn
In tegenstelling tot een Europese richtlijn hoeven EU-lidstaten een verordening niet om te zetten in nationale wetgeving. Deze is direct bindend en geldt automatisch in alle lidstaten zodra zij in werking treedt. Landen zijn wel verantwoordelijk voor de handhaving van de verordening, zoals het toezicht op de naleving door bedrijven die producten met digitale componenten op de markt brengen. In Nederland is de Rijksinspectie Digitale Infrastructuur (RDI) belast met de handhaving en het toezicht.