Wet digitale veiligheid

De nieuwe wet is gericht op fabrikanten, distributeurs en importeurs van hardware en software. Het doel van de wet: digitale producten in Europa veiliger maken, voor consumenten en bedrijven, tijdens de ontwikkeling en gedurende de levenscyclus van de producten. De wet stelt daar bindende eisen aan.

Het gaat om software en apparaten die worden gerekend tot het ‘Internet of Things’. Denk aan webcams en smarthomeproducten. Het Internet of Things (IoT) is het netwerk van fysieke objecten of ‘dingen’, waarin sensoren, software en andere technologieën zijn ingebouwd om ze met internet te verbinden. Hierdoor kunnen ze gegevens uitwisselen met andere apparaten en systemen.

Verplichte cyberveiligheidseisen

Nederland heeft zich actief ingezet voor de Cyber Resilience Act. De focus lag daarbij op het vinden van een balans tussen ‘de bescherming van de digitale veiligheid’ en ‘de impact op innovatie’. De belangrijkste punten uit de Cyber Resilience Act zijn:

–  Verplichte cyberveiligheidseisen voor digitale producten, zoals software en IoT-apparaten, vanaf de ontwikkelingsfase.
– Verantwoordelijkheid voor fabrikanten, importeurs en distributeurs om ervoor te zorgen dat producten veilig zijn en blijven.
– Verplichte updates voor beveiliging en het melden van kwetsbaarheden.
– Boetes tot 2,5 procent van de wereldwijde omzet voor bedrijven die niet voldoen aan de regelgeving.
– Niet-commerciële opensourcesoftware is vrijgesteld, aangezien deze software meestal wordt ontwikkeld zonder winstoogmerk.

Wet van kracht in 2025

De nieuwe wet, kortweg CRA, treedt in 2025 in werking. Volgens de Nederlandse Rijksoverheid dwingt de wet bedrijven om cybersecurity ‘niet langer als bijzaak, maar als kernonderdeel van hun productontwikkeling te beschouwen’. Er is een overgangsperiode van 24 maanden ingevoerd, zodat producten en processen kunnen worden aangepast aan de nieuwe eisen.