Het ministerie van Economische Zaken heeft fabrikanten, importeurs, distributeurs en anderen om feedback gevraagd over de Uitvoeringswet Verordening cyberweerbaarheid, die onder andere een meldplicht voor actief misbruikte kwetsbaarheden en ernstige incidenten bevat. Iets waar beveiligings- en privacyexperts zich zorgen over maken. De Cyber Resilience Act (CRA) stelt onder andere 'essentiële cyberbeveiligingsvereisten' aan producten met digitale elementen.

Het gaat hierbij niet alleen om fysieke, digitale apparaten, zoals IoT-apparatuur, firewalls of netwerkapparatuur, maar ook software zoals videogames, mobiele apps of besturingssystemen en componenten zoals videokaarten en software libraries. Fabrikanten en ontwikkelaars moeten deze producten straks minimaal vijf jaar met beveiligingsupdates ondersteunen. Vanaf 10 december 2027 moeten alle producten met digitale elementen aan de CRA voldoen. De Rijksinspectie Digitale Infrastructuur (RDI) gaat op de naleving toezien.

Een ander punt is een meldplicht voor actief misbruikte kwetsbaarheden en incidenten. Deze verplichting gaat op 10 september 2026 in. Fabrikanten moeten dergelijke beveiligingslekken binnen 24 uur bij een centraal meldloket rapporteren. In Nederland zou dit het Nationaal Cyber Security Centrum (NCSC) zijn. Verdere informatie zou binnen 72 uur moeten volgen, zoals te nemen mitigatiemaatregelen. Uiterlijk 14 dagen nadat een corrigerende of risicobeperkende maatregel beschikbaar is, moet een eindverslag worden ingediend, bij een incident is dat binnen een maand na de incidentmelding.

Een brede coalitie van beveiligings- en privacyexperts die werkzaam zijn voor securitybedrijven, antivirusleveranciers en burgerrechtenbewegingen, waarschuwden eerder nog voor deze meldplicht. De verstrekte informatie zou voor surveillance en inlichtingendoeleinden zijn te misbruiken. Ondanks de zorgen werd de meldplicht toch binnen de CRA ingevoerd.

Internetconsultatie

De CRA heeft rechtstreekse werking en wordt zodoende niet omgezet in nationale wetgeving. Wel moet er in een uitvoeringswet worden bepaald wie wordt aangewezen voor de uitvoering, toezicht en handhaving van de CRA in Nederland, en moeten de bijbehorende boetebevoegdheden en rechtsbescherming worden geregeld. Via de Internetconsultatie kan het publiek op de uitvoeringswet reageren, waaronder het oprichten van het eerder genoemde meldloket voor het melden van actief misbruikte kwetsbaarheden en ernstige incidenten.

"Op grond van artikel 14 van de CRA geldt een meldplicht voor fabrikanten bij actief uitgebuite kwetsbaarheden en bij ernstige incidenten die gevolgen hebben voor de beveiliging van het product met digitale elementen. De meldingen op grond van artikel 14 moeten gelijktijdig worden ontvangen door ENISA en door het als coördinator aangewezen CSIRT. Daarnaast voorziet de CRA in artikel 15 in de mogelijkheid om vrijwillige meldingen te doen bij de als coördinator aangewezen CSIRT", zo laat een begeleidend document bij de Internetconsultatie weten.

"Naar verwachting zal het NCSC, onderdeel van het ministerie van Justitie en Veiligheid, in de praktijk de aan de coördinator toebedeelde taken gaan uitvoeren en zal daar aldus ook het meldloket worden ingericht waar de meldingen op grond van de CRA kunnen worden ontvangen. In dat geval zal zo veel als mogelijk worden aangesloten op de inrichting van het loket voor meldingen op grond van de Cyberbeveiligingswet", gaat het document verder. Het publiek kan tot 6 april op de voorgestelde Uitvoeringswet reageren.