Vanaf deze week treedt de nieuwe Richtlijn Cyberweerbaarheid in werking
Van printers en smartwatches tot koelkasten en televisies, steeds meer apparaten staan in verbinding met het internet om zo op afstand bestuurd te worden of nieuwe functies te krijgen. Maar dat brengt ook risico's voor de veiligheid en privacy met zich mee. De Richtlijn Cyberweerbaarheid (Cyber Resilience Act, CRA) moet Europese gebruikers van deze wetgeving beter beschermen tegen deze risico's.
Doel van de wetgeving is om Europese gebruikers van smart devices meer weerbaar te maken tegen dreigingen van buitenaf. Cybercriminaliteit neemt toe, en kwetsbare apparaten kunnen kwaadwillenden toegang bieden tot een netwerk. Dat kan verschillende vormen aannemen, van relatief onschuldig kattenkwaad tot verstoring van productieketens of zelfs hele economische sectoren. De CRA bestaat uit een serie maatregelen die producenten van smart devices moeten nemen om het risico hierop zo klein mogelijk te maken.
Zo zal een nieuw apparaat dat onder de CRA valt bijvoorbeeld niet langer een standaard wachtwoord hebben. Gebruikers zullen eerst een eigen wachtwoord moeten instellen voordat het apparaat gebruikt kan worden. Op deze manier wordt de voornaamste manier waarop kwaadwillenden toegang krijgen tot deze apparaten afgestopt. Daarnaast zullen producenten van apparaten verantwoordelijk zijn voor het tijdig uitvoeren van beveiligingsupdates, en moeten problemen met de beveiliging die worden ontdekt binnen 24 uur gemeld worden bij de overheidsorganen die verantwoordelijk zijn voor cyberveiligheid. In Nederland zullen deze meldingen bijvoorbeeld verspreid worden via het Digital Trust Center.
In eerste instantie zult u weinig merken van deze wetgeving. Pas drie jaar na het in werking treden, op 11 december 2027, zullen smart devices en andere producten met een netwerkfunctionaliteit moeten voldoen aan de in de CRA vastgelegde voorwaarden. Dit om producenten genoeg tijd te geven om aan alle voorwaarden te voldoen. Smart devices die voldoen aan de in de CRA vastgelegde regels, zullen voorzien zijn van de bekende CE-markering.
Voor ongeveer negentig procent van de producten zullen de standaard regels uit de CRA gelden. Er zijn echter wel uitzonderingen. Zo zullen bepaalde systemen die door de EU gezien worden als van kritiek belang voor cyberveiligheid en de economie aan extra voorwaarden en externe controles moeten voldoen. Ook komt er een uitzondering voor open source software, die niet aan deze voorwaarden zullen hoeven voldoen. Dit is gedaan om te voorkomen dat de ontwikkeling van open source software zonder winstoogmerk te veel afgeremd wordt door de nieuwe regelgeving, wat mogelijke innovatie zou vertragen.