Het kabinet steunt 'in beginsel' plannen van Brussel om leveranciers van hard- en software te verplichten om actief aangevallen kwetsbaarheden binnen 24 uur te melden bij het Europese cyberagentschap ENISA. Dat laat minister Adriaansens van Economische Zaken weten op vragen vanuit de Tweede Kamer over de Cyber Resilience Act (CRA).

De Europese Commissie presenteerde de CRA afgelopen september. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates voor een periode van vijf jaar. De CRA moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software.

Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren.

Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen.

De CRA introduceert ook een meldplicht voor leveranciers van hard- en software. Actief aangevallen kwetsbaarheden moeten binnen 24 uur bij het Europees Agentschap voor cyberbeveiliging (ENISA) worden gerapporteerd, dat vervolgens nationale Cybersecurity Incident Response Teams (CSIRTs) kan informeren. "Het kabinet ziet het belang van het zo snel mogelijk melden van kwetsbaarheden en steunt daarom in beginsel een 24 uurs-termijn voor kwetsbaarheden die reeds actief misbruikt zijn", stelt minister Adriaansens.

De VVD had vragen gesteld hoe haalbaar het kabinet het acht om actief aangevallen kwetsbaarheden binnen 24 uur te melden, met name voor middelkleine en kleine fabrikanten, gegeven de nalevings- en handhavingskosten die dit met zich meebrengt. De minister erkent dat er spanning zit tussen het melden van kwetsbaarheden, bijvoorbeeld door het MKB, en de mogelijkheid die de melding biedt om tijdig te handelen om de negatieve gevolgen van misbruik zo veel mogelijk te beperken en slachtoffers te voorkomen. Het kabinet heeft de Europese Commissie gevraagd wat in de meldplicht precies wordt bedoeld met ‘onnodige vertraging’. Daarnaast wordt er nog met fabrikanten, de Commissie en lidstaten over de CRA-meldplicht gesproken.