De Europese Commissie wil werk maken van een betere beveiliging van geconnecteerde digitale producten als slimme koelkasten of uurwerken. Ze presenteerde donderdag een wetsontwerp dat moet zorgen voor een betere bescherming van deze producten tegen de alomtegenwoordige dreiging van cyberaanvallen.
“Computers, telefoons, huishoudelijke apparaten, virtuele assistenten, auto’s, speelgoed… Stuk voor stuk vormen miljoenen producten een mogelijke ingang voor een cyberaanval. En toch gelden momenteel voor de meeste hardware en software geen verplichtingen op het gebied van cyberbeveiliging”, zo legde eurocommissaris voor Interne Markt Thierry Breton de vinger op de wonde.
Met een zogenaamde wet inzake cyberweerbaarheid wil de Commissie de lacune opvullen. De tekst moet ervoor zorgen dat alle verbonden digitale producten gedurende hun hele levenscyclus beveiligd zijn. Fabrikanten krijgen te maken met striktere regels tijdens het ontwerp, de productie en het op de markt brengen. Ze moeten rapporteren over actief misbruikte kwetsbare punten en incidenten, en hoe ze die aanpakken. Wie de regels schendt, riskeert boetes tot 15 miljoen euro of 2,5 procent van zijn wereldwijde omzet.
“De wet zal de verantwoordelijkheid leggen waar zij hoort, namelijk bij degenen die de producten in de handel brengen”, stelde vicevoorzitter Margrethe Vestager. Volgens de Deense zal de nieuwe verordening aan consumenten en bedrijven waarborgen dat geconnecteerde voorwerpen en software aan strenge cyberbeveiligingsvereisten voldoen, “net zoals een CE-markering ons aantoont dat een stuk speelgoed of een koelkast betrouwbaar is”.
De Commissie beschouwt de wet over digitale producten als een sluitstuk van een reeks initiatieven die een ecosysteem voor cyberbeveiliging opbouwt. Ze wijst erop dat geslaagde cyberaanvallen vaak langs deze producten verlopen. En hoe meer slimme en geconnecteerde voorwerpen, hoe hoger het risico dat een beveiligingsprobleem bij één product gevolgen kan hebben voor de hele toeleveringsketen, economie of het sociale leven, aldus de Commissie, die hoopt van de wet een internationale referentie te maken.
De tekst moet nog goedgekeurd worden door het Europees Parlement en de lidstaten. Het zijn ook de lidstaten die moeten instaan voor de toepassing en daarvoor een toezichthoudende autoriteit moeten aanduiden. Twee jaar na de goedkeuring van de verordening worden de nieuwe regels van kracht. De rapporteringsplicht voor fabrikanten zal wel al na één jaar gelden.
Volgens de Commissie wordt elke 11 seconden wel ergens ter wereld een organisatie het slachtoffer van een ransomware-aanval. Het onderzoekscentrum van de Commissie raamde dat cybercriminaliteit vorig jaar wereldwijd 5,5 biljoen euro heeft gekost.
Bron: Belga
