Eerder deze maand trad nieuwe Europese regelgeving in werking die de digitale veiligheid binnen de EU naar een hoger niveau tilt. De Cyberweerbaarheidsverordening (Verordening 2024/2847) introduceert verplichte beveiligingsnormen voor producten met digitale elementen. Het is van toepassing op een breed scala aan hardware en software, variërend van slimme apparaten tot beveiligingsprogramma’s. Het doel? Een uniforme aanpak van cyberdreigingen die consumenten, bedrijven en overheden in de hele Unie beschermt.
Waarom deze verordening?
De explosieve groei van digitale technologieën heeft de Europese Unie kwetsbaar gemaakt voor cyberaanvallen. Het aantal cyberaanvallen neemt bovendien alleen maar toe. Terwijl bestaande wetgeving, zoals de NIS 2-richtlijn, voornamelijk netwerken en toeleveringsketens beschermt, ontbrak het tot nu toe aan een geharmoniseerde aanpak voor de beveiliging van digitale producten. De nieuwe verordening sluit deze leemte door gemeenschappelijke regels in te voeren die gelden voor alle producten die op de Europese markt worden gebracht, ongeacht waar ze geproduceerd zijn.
Wat houdt de verordening in?
De regelgeving vereist dat fabrikanten hun producten ontwerpen en ontwikkelen volgens strikte cyberbeveiligingsnormen. Producten moeten bijvoorbeeld zonder bekende kwetsbaarheden worden aangeboden en standaard beveiligingsinstellingen hebben. Er moet ook voorzien worden in regelmatige beveiligingsupdates, evenals maatregelen om essentiële functies operationeel te houden na een incident. Gebruikers dienen dan weer duidelijke instructies te ontvangen over beveiligingsfuncties en het melden van kwetsbaarheden. Fabrikanten moeten aantonen dat hun producten voldoen aan de normen, waarna een CE-markering wordt aangebracht. Voor kritieke producten, zoals smartcards, is een extra Europees cyberbeveiligingscertificaat nodig.
Sancties bij overtredingen
Het zijn de lidstaten die sancties moeten voorzien. De richtlijn legt daarbij richtbedragen op. Bij niet-naleving riskeren fabrikanten hoge boetes die kunnen oplopen tot 15 miljoen euro of 2,5% van de wereldwijde omzet. Zelfs het verstrekken van onjuiste informatie kan boetes tot 5 miljoen euro opleveren. Deze sancties benadrukken de ernst waarmee Europa digitale veiligheid benadert.
De nieuwe regels gelden vanaf 11 december 2024, maar de bestaande certificaten van EU-typeonderzoek en goedkeuringsbesluiten blijven geldig tot en met 11 juni 2028, tenzij ze voor die datum vervallen. Voor producten met digitale elementen die voor 11 december 2027 op de markt worden gebracht, gelden de vereisten van deze verordening enkel indien de producten vanaf die datum ingrijpend worden aangepast.
