Op 15 september 2022 heeft de Commissie een nieuwe Europese Cyber Resilience Act (cyberweerbaarheidswet) voorgesteld die voortbouwt op de EU-strategie voor cybersecurity 2020 en de EU Security Union Strategy. Met deze wet wil de Commissie consumenten en bedrijven beter beschermen tegen producten met ontoereikende beveiligingsvoorzieningen door verplichte cyberbeveiligingseisen in te voeren voor producten met digitale elementen gedurende hun gehele levenscyclus.

De Commissie heeft geconstateerd dat hardware- en softwareproducten steeds vaker het slachtoffer worden van succesvolle cyberaanvallen, en met name dat dergelijke producten te kampen hebben met twee grote problemen, die de gebruikers en de samenleving veel geld kosten: Ten eerste, een laag niveau van cyberbeveiliging, wat blijkt uit de wijdverspreide kwetsbaarheden en de ontoereikende en inconsistente verstrekking van beveiligingsupdates om deze te verhelpen. Ten tweede hebben de gebruikers onvoldoende inzicht in en toegang tot informatie, waardoor zij geen producten met adequate cyberbeveiligingsvoorzieningen kiezen of deze niet op een veilige manier gebruiken.

Om deze problemen tegen te gaan, streeft de Commissie naar een goede werking van de interne markt door twee belangrijke algemene doelstellingen na te streven:

• Gunstige voorwaarden scheppen voor het creëren van veilige producten met digitale componenten door ervoor te zorgen dat hardware- en softwareproducten op de markt worden gebracht met minder kwetsbaarheden en dat fabrikanten de beveiliging gedurende de gehele levenscyclus van een product serieus nemen;

• voorwaarden scheppen die gebruikers ertoe aanzetten rekening te houden met cyberbeveiliging wanneer zij beslissen over en gebruik maken van digitale producten.

Het voorstel bevat verder vier specifieke doelstellingen:

• Ervoor zorgen dat fabrikanten de beveiliging van producten met digitale elementen verbeteren, vanaf de ontwerp- en ontwikkelingsfase en gedurende de gehele levenscyclus;

• een alomvattend kader voor cyberbeveiliging tot stand brengen dat de naleving van de voorschriften door fabrikanten van hardware en software vergemakkelijkt;

• De transparantie van beveiligingskenmerken in producten met digitale componenten vergroten;

• de veiligheidskenmerken van producten met digitale componenten transparanter maken.

Het is nu aan de Raad en het Europees Parlement om hun standpunt over de ontwerp-verordening kenbaar te maken en onderhandelingen te beginnen. Zodra de verordening is aangenomen, hebben de marktdeelnemers en de lidstaten twee jaar de tijd om zich aan de nieuwe eisen aan te passen.