image

'Brussel moet belang encryptie noemen bij veiligheidsregels voor hard- en software'

dinsdag 15 november 2022, 15:22 door Redactie, 3 reacties

De Europese Commissie moet in het voorstel voor verplichte veiligheidsregels voor hard- en software ook het belang van encryptie noemen, alsmede 'data protection by design and by default'. Dat vindt de Europese privacytoezichthouder EDPS in een vandaag gepubliceerde opinie (pdf).

De Cyber Resilience Act die Brussel afgelopen september voorstelde moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software. Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren.

Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen.

De EDPS steunt het voorstel en stelt dat cybersecurity van zowel hard- als software van groot belang is om de fundamentele rechten van personen te beschermen. Toch zijn er verschillende zaken die de Europese privacytoezichthouder in het voorstel zou willen aanpassen. Zo moet het principe van "data protection by design and by default" in de verplichte eisen worden opgenomen.

Verder wil de EDPS dat Brussel in het voorstel het belang benoemt van encryptie voor informatiebeveiliging, privacy, cybersecurity en databescherming. Een ander belangrijk punt dat de toezichthouder aankaart is dat de voorgestelde certificering voor producten die aan de veiligheidseisen voldoen geen vervanging van de AVG-certificering is. Het voorstel moet dan ook duidelijk maken dat een cybersecurity-certificaat niet zegt dat het product ook aan de AVG voldoet.

Image

Reacties (3)
15-11-2022, 15:45 door Anoniem
Brussel : Het belang van een centrale gedeelde database op cloud basis
is wat wij willen,en daarmee is encryptie en privacy minder van belang.

EU-2022
15-11-2022, 18:26 door Joep Lunaar
Ook interessant, een opinie over de CRA van NLnet Labs zie:
https://blog.nlnetlabs.nl/open-source-software-vs-the-cyber-resilience-act/

Een EU cyber keur is overigens zinnig nu IT systemen maatschappelijk gezien kritisch zijn.
15-11-2022, 20:57 door Anoniem
Toch bijzonder, laatst moest alle encryptie nog te omzeilen zijn voor overheidsdiensten.
Gek hoe privacy bij bedrijven allemaal heel strak moet maar de overheid wel alles moet mogen inzien.
Gespleten persoonlijkheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.