Internetconsultatie uitvoeringswet Verordening Cyberweerbaarheid is begonnen
Op dinsdag 10 december 2024 is de Verordening cyberweerbaarheid in werking getreden, ook bekend als de Cyber Resilience Act (CRA). Deze Europese verordening legt vast aan welke veiligheidsvoorwaarden digitale producten die in de Europese Unie verkocht worden moeten voldoen. Doel van de wet is om deze producten veiliger te maken voor consumenten. De verordening wordt in Nederland toegepast via de Uitvoeringswet Verordening cyberweerbaarheid. De internetconsultatie hiervoor is inmiddels begonnen.
De veiligheid van digitale producten is belangrijk in het terugdringen van cybercriminaliteit. Naar schatting was de schade van cybercriminaliteit wereldweid zo'n €5,5 triljard in 2021. Kwetsbaarheden in digitale producten vormen een belangrijk toegangspunt tot netwerken en gevoelige systemen voor criminelen, zowel bij consumenten als bedrijven. Door producenten meer verantwoordelijkheden op te leggen in het beveiligen van hun producten en het up to date houden van deze beveiliging, en door consumenten beter voor te lichten over nieuw ontdekte kwetsbaarheden, moet de mate van kwetsbaarheid voor cybercriminaliteit en de schade die daardoor volgt teruggedrongen worden.
De CRA definieert cybersecurityeisen voor alle producten met digitale elementen. Hierbij gaat het om hardware, software en losse componenten die vanaf 11 december 2027 in de Europese Unie op de markt worden aangeboden. Eerder al, vanaf 11 september 2026, zal een meldplicht in werking treden voor actief misbruikte kwetsbaarheden in producten. Dit betekent dat aanbieders van deze producten vanaf dan verplicht zullen zijn om misbruik van kwetsbaarheden in hun producten bij de overheid te melden, zodat consumenten op de hoogte kunnen worden gesteld.
De komende jaren zal gewerkt worden aan het creëren van een wettelijk framework voor de uitvoering van de Verordening in Nederland. De Uitvoeringswet legt de volgende punten vast:
- De minister van Economische zaken wordt de verantwoordelijke autoriteit voor het beoordelen van conformiteitsbeoordelingsinstanties. In de praktijk zal dit gebeuren via de Rijksinspectie Digitale Infrastructuur (RDI). Het beoordelen en monitoren van deze instanties zal plaatsvinden door middel van accreditatie.
- Ook toezicht en handhaving zal gedaan worden door het RDI. Ze krijgen de bevoegdheid om bij overtreding bestuurlijke boetes op te leggen.
- Er wordt een beroepsprocedure ingericht voor besluiten van het RDI over de Verordening cyberweerbaarheid.
- Het Nationaal Cyber Security Centrum (NCSC) wordt aangewezen als verantwoordelijk voor het inrichten en uitvoeren van het meldloket waar producenten vanaf 2026 kwetsbaarheden en incidenten zullen melden.
Van 7 maart tot en met 4 april 2025 kan iedereen reageren op de concept-uitvoeringswet Verordening cyberweerbaarheid. Het doel van de consultatie is om belanghebbenden te betrekken bij de totstandkoming deze uitvoeringswet. Na afloop van de consultatieperiode worden alle reacties bekeken en waar nodig verwerkt in de uitvoeringswet. Bekijk de concept-uitvoeringswet om deel te nemen aan de consultatie. Daarnaast zal er op 25 maart ook een online informatiesessie plaatsvinden via Teams. De informatiesessie zal plaatsvinden van 15.00 tot 16.30uur. Aanmelden en het vooraf insturen van eventuele vragen kan via een e-mail.