Nederland akkoord met voorstel voor Europese wet rond cyberweerbaarheid
Nederland gaat aanstaande woensdag akkoord met het voorstel voor de Cyber Resilience Act (CRA), een Europese wet rond cyberweerbaarheid. De Europese Commissie presenteerde afgelopen september de CRA, die voor veiligere hardware en software zou moeten zorgen. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen.
Zo moeten fabrikanten voor gratis beveiligingsupdates zorgen als er kwetsbaarheden zijn ontdekt, en moet misbruik van beveiligingslekken en beveiligingsincidenten worden gemeld. "Met de CRA zullen Europese gebruikers, zowel consumenten als zakelijke gebruikers, er in de toekomst op kunnen rekenen dat de hard- en software die zij gebruiken veilig is", aldus demissionair minister Adriaansens van Economische Zaken (pdf).
De afgelopen maanden werd er binnen de Europese Raad over de CRA onderhandeld, waarbij Nederland verschillende aanpassingen deed om het oorspronkelijke voorstel van de Europese Commissie aan te passen. Het gaat onder andere om de ondersteuningstermijn waarin de fabrikant verantwoordelijk blijft voor het uitbrengen van beveiligingsupdates voor kwetsbaarheden. De Europese Commissie kwam met een maximumtermijn van vijf jaar, maar Nederland vindt dat dit moet gelden voor de redelijk te verwachten levensduur van het product.
Verder pleitte Nederland ervoor om niet commercieel aangeboden opensourcesoftware buiten de CRA te laten vallen. Fabrikanten die dergelijke opensourcesoftware in een commercieel product gebruiken vallen wel onder de CRA. Ook werd er gepleit voor een goed uitvoerbare meldplicht bij actief misbruikte beveiligingslekken voor zowel Computer Security Incident Response Teams (CSIRT’s) als fabrikanten.
Volgens Adriaansens sluit de compromistekst van de Europese Raad goed aan bij de wensen van Nederland. "Voor Nederland is deze tekst een verdere verbetering ten opzichte van het oorspronkelijke voorstel van de Commissie en biedt een goede basis voor de onderhandelingen met het Europees Parlement." Zodra de compromistekst openbaar is zegt de minister die naar de Tweede Kamer te sturen.
Leuk bedacht, maar als een fabrikant gewoon niet wil, dan beperkt die zicht tot het minimale om aan de wet te voldoen - per saldo heb je daar niks aan. Als een fabrikant wel wil, dan is de wet overbodig. Er zal wel weer op Uw en mijn kosten een organisatie opgetuigd worden die dit gaat controleren - het mag wat kosten.
Wel handig als er een 'centraal meldpunt' komt voor alle lekken. Als overheid kun je achter houden wat je zelf graag wilt gebruiken en de rest doorspelen. Scheelt een hoop zoekwerk tenslotte.
Zoals gebruikelijk bij alles wat de EUSSR doet, zal het wel niet in het voordeel van burgers uitpakken.
dit soort zaken regelen. Maar ja je moet de burger het gevoel geven dat internet veilig is want dat is nodig om als EU
ook ergens groot in te zijn.
Lekker democratisch weer! Alles achter gesloten deuren en daarna heeft iedereen het maar te slikken!
Leuk bedacht, maar als een fabrikant gewoon niet wil, dan beperkt die zicht tot het minimale om aan de wet te voldoen - per saldo heb je daar niks aan. Als een fabrikant wel wil, dan is de wet overbodig.
Ik maak me meer zorgen over wat Mozilla aankaartte dan over jouw fantasieën:
https://www.security.nl/posting/803386/Mozilla%3A+voorstel+Europese+CRA-wet+bedreigt+opensourceprojecten
Misschien moet je de wereld zodanig aanpassen dat de fabrikant weer kwaliteit wil leveren, ipv iets dat na exact 366 dagen ontploft.
Leuk bedacht, maar als een fabrikant gewoon niet wil, dan beperkt die zicht tot het minimale om aan de wet te voldoen - per saldo heb je daar niks aan. Als een fabrikant wel wil, dan is de wet overbodig.
Ik maak me meer zorgen over wat Mozilla aankaartte dan over jouw fantasieën:
https://www.security.nl/posting/803386/Mozilla%3A+voorstel+Europese+CRA-wet+bedreigt+opensourceprojecten
Lees de biref (https://open.overheid.nl/documenten/442d7155-9d6a-4da8-a2c9-96a970bea18c/file): opne-source is expliciet buiten scope.
Lekker democratisch weer! Alles achter gesloten deuren en daarna heeft iedereen het maar te slikken!
Nee, dan zijn de regeringen het eens en zijn de parlementen aan de beurt.
De overige 10% vereist meer tot en met Certificatie.
https://www.enisa.europa.eu/events/2023certificationconference-info/panel-how-to-translate-cra-in-csa-requirements_roxana-banica-1.pdf
Het vreemde is dat bij gebruik van Cloud de Self Assessment niet mag.
Voor de Assurance levels Basic, Substantial en High is bij Cloud altijd een European cybersecurity certifcate nodig.
Lekker democratisch weer! Alles achter gesloten deuren en daarna heeft iedereen het maar te slikken!
Nee, dan zijn de regeringen het eens en zijn de parlementen aan de beurt.
Lekker democratisch weer! Alles achter gesloten deuren en daarna heeft iedereen het maar te slikken!
Nee, dan zijn de regeringen het eens en zijn de parlementen aan de beurt.
Dus wel degelijk heeft iedereen het maar te slikken. Zie bijvoorbeeld het inlegvelletje na afloop van het Oekraïne referendum dat dan nog meer aandacht krijgt dan een gemiddeld repliek hier. Bedenk daarbij dat Rutte dat inlegvelletje afdeed als onbeduidend maar door feiten op de grond er wel alsnog intensiever handel plaatsvindt met Oekraïne waaronder volgens NL-se media plofkippen en dergelijke.
Waarmee ik maar duidelijk wil maken dat zelfs of misschien wel juist bij hoog oplopende aandacht voor prangende kwesties de EU lieden gewoon hun uitgestippelde paden plegen te vervolgen.
Dus inderdaad, het democratisch gehalte bij de EU-raad - olv Frans Timmermans en daarvoor Juncker - is gewoon ver te zoeken!
https://www.techzine.nl/blogs/privacy-compliance/525783/eu-commissaris-bezoekt-silicon-valley-als-laatste-waarschuwing/
Waar is de volledige en onmiddellijke ontsluiting, met nergens iets weggelakt, van alle stukken, dossiers, debatverslagen, compleet met namen en rugnummers, noem maar op, in alle openbaarheid, van dit 'beter dan gesneden brood'? Achterhouden, uitstellen, van wat er in werkelijkheid plaatsvindt achter gesloten deuren doet niet vermoeden dat men bereid is het achterste van de tong te laten zien. In het algemeen wordt een dergelijke wijze van handelen enkel gedaan in het geval van verborgen agenda's, waar de onaangename elementen uit het daglicht gehouden dienen te worden.
De waarheid is niet bang om in het volle daglicht te staan, noch om ter discussie te worden gesteld. De leugen verschuilt zich achter je verhaaltjes opspelden om je zoet te houden, terwijl in het geniep de werkelijke achterliggende redenen gestalte krijgen.
Een ieder die wat verbergt heeft wat te verbergen, en zelden is dat in het voordeel van het algemeen belang, eerder in het voordeel van eigenbelang, ten koste van de belangen van velen.
Wie zit er achter dat dit überhaupt gestalte heeft gekregen? Op basis van welke motivering? Welke doelen worden hoe nagestreefd, en onder welke condities wordt de hele constructie volledig ongedaan gemaakt indien die doelen utopisch blijken?
Beweren dat je het beter weet is een wassen neus als er geen (persoonlijke) consequenties aan vastzitten wanneer de werkelijkheid de leugen achterhaald.
Hoeveel voorbeelden hebben we nog nodig dat alles dat verborgen gedeeltes bevat nooit in het voordeel van het volk uitpakken, maar altijd in het voordeel van enkelen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
