Toelichting bij COM(2022)454 - Horizontale cyberbeveiligingsvereisten voor producten met digitale elementen - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2022)454 - Horizontale cyberbeveiligingsvereisten voor producten met digitale elementen. |
|---|---|
| bron | COM(2022)454   |
| datum | 15-09-2022 |
• Motivering en doel van het voorstel
Hardware- en softwareproducten worden steeds vaker getroffen door geslaagde cyberaanvallen, waardoor de jaarlijkse kosten van cybercriminaliteit wereldwijd tegen 2021 naar schatting 5,5 biljoen EUR bedragen. Dergelijke producten hebben te kampen met twee grote problemen die voor de gebruikers en de samenleving extra kosten met zich meebrengen: 1) een laag niveau van cyberbeveiliging, wat tot uiting komt in wijdverbreide kwetsbaarheden en de ontoereikende en inconsistente verstrekking van beveiligingsupdates om deze aan te pakken, en 2) onvoldoende inzicht in en toegang tot informatie door gebruikers, waardoor zij niet in staat zijn producten met passende cyberbeveiligingskenmerken te kiezen of deze op een veilige manier te gebruiken. In een verbonden omgeving kan een cyberbeveiligingsincident in één product gevolgen hebben voor een hele organisatie of een hele toeleveringsketen en zich vaak binnen enkele minuten over de grenzen van de interne markt verspreiden. Dit kan leiden tot een ernstige verstoring van de economische en sociale activiteiten of zelfs levensbedreigend worden.
De cyberbeveiliging van producten met digitale elementen heeft een sterke grensoverschrijdende dimensie, aangezien producten die in één land worden vervaardigd, vaak op de gehele interne markt worden gebruikt. Daarnaast verspreiden incidenten die aanvankelijk één entiteit of één lidstaat betroffen, zich vaak binnen enkele minuten over de interne markt.
Hoewel de bestaande internemarktwetgeving van toepassing is op bepaalde producten met digitale elementen, vallen de meeste hardware- en softwareproducten momenteel niet onder EU-wetgeving inzake cyberbeveiliging. Het huidige rechtskader van de EU heeft met name geen betrekking op de cyberbeveiliging van niet-ingebedde software, ook al zijn cyberaanvallen steeds vaker gericht op kwetsbaarheden in deze producten, wat aanzienlijke maatschappelijke en economische kosten met zich meebrengt. Er zijn talrijke voorbeelden van opzienbarende cyberaanvallen als gevolg van suboptimale productbeveiliging, zoals de ransomware-worm WannaCry, die gebruikmaakte van een zwakke plek in Windows en in 2017 200 000 computers in 150 landen trof en een schade van miljarden USD veroorzaakte; de aanval op de toeleveringsketen van Kaseya VSA, waarbij de software voor netwerkbeheer van Kaseya werd gebruikt voor een aanval op meer dan 1 000 bedrijven en een supermarktketen werd gedwongen om al haar 500 winkels in Zweden te sluiten; of de vele incidenten waarbij toepassingen voor thuisbankieren worden gehackt om geld van nietsvermoedende consumenten te stelen.
Er werden twee hoofddoelstellingen vastgesteld om de goede werking van de interne markt te waarborgen: 1) de voorwaarden scheppen voor de ontwikkeling van veilige producten met digitale elementen door ervoor te zorgen dat hardware- en softwareproducten met minder kwetsbaarheden in de handel worden gebracht en dat fabrikanten de beveiliging gedurende de hele levenscyclus van een product serieus nemen; en 2) de voorwaarden scheppen die gebruikers in staat stellen rekening te houden met cyberbeveiliging bij het selecteren en gebruiken van producten met digitale elementen. Er werden vier specifieke doelstellingen geformuleerd: i) ervoor zorgen dat fabrikanten de beveiliging van producten met digitale elementen verbeteren vanaf de ontwerp- en ontwikkelingsfase en gedurende de gehele levenscyclus; ii) zorgen voor een samenhangend cyberbeveiligingskader, waardoor naleving voor hardware- en softwarefabrikanten gemakkelijker wordt; iii) de beveiligingskenmerken van producten met digitale elementen transparanter maken, en iv) bedrijven en consumenten in staat stellen producten met digitale elementen veilig te gebruiken.
De sterke grensoverschrijdende aard van cyberbeveiliging en de toenemende incidenten, met spillover-effecten over grenzen, sectoren en producten heen, maken dat de doelstellingen niet doeltreffend door de lidstaten afzonderlijk kunnen worden verwezenlijkt. Gezien het mondiale karakter van markten voor producten met digitale elementen lopen de lidstaten dezelfde risico’s voor hetzelfde product met digitale elementen op hun grondgebied. Een opkomend versnipperd kader van potentieel uiteenlopende nationale voorschriften dreigt een open en concurrerende eengemaakte markt voor producten met digitale elementen in de weg te staan. Een gezamenlijk optreden op EU-niveau is dan ook noodzakelijk om een hoog niveau van vertrouwen onder de gebruikers tot stand te brengen en de aantrekkelijkheid van EU-producten met digitale elementen te vergroten. Het zou ook de interne markt ten goede komen door rechtszekerheid te bieden en een gelijk speelveld tot stand te brengen voor verkopers van producten met digitale elementen, zoals ook wordt benadrukt in het eindverslag van de Conferentie over de toekomst van Europa, waarin burgers pleiten voor een sterkere rol voor de EU bij de bestrijding van cyberdreigingen.
• Wisselwerking met bestaande bepalingen op het beleidsterrein
Het EU-kader omvat verschillende horizontale wetgevingsteksten met betrekking tot bepaalde aspecten die verband houden met cyberbeveiliging vanuit verschillende hoeken (producten, diensten, crisisbeheersing en criminaliteit). In 2013 is de richtlijn over aanvallen op informatiesystemen 1 in werking getreden, waarbij de strafbaarstelling en de straffen voor een aantal strafbare feiten tegen informatiesystemen werden geharmoniseerd. In augustus 2016 is Richtlijn (EU) 2016/1148 betreffende de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn) 2 in werking getreden als eerste EU-wetgevingstekst inzake cyberbeveiliging. De herziening ervan, die resulteerde in Richtlijn [Richtlijn XXX/XXXX (NIS2)], verhoogt het gemeenschappelijke ambitieniveau van de EU. In 2019 trad de cyberbeveiligingsverordening 3 van de EU in werking, die tot doel heeft de beveiliging van ICT-producten, -diensten en -processen te verbeteren door een vrijwillig Europees kader voor cyberbeveiligingscertificering in te voeren 4 .
De cyberbeveiliging van de gehele toeleveringsketen wordt alleen gewaarborgd als alle onderdelen ervan cyberbeveiligd zijn. De bovengenoemde EU-wetgeving vertoont in dit opzicht echter aanzienlijke lacunes, aangezien zij geen betrekking heeft op verplichte eisen voor de beveiliging van producten met digitale elementen.
Terwijl de voorgestelde verordening cyberweerbaarheid betrekking heeft op producten met digitale elementen die in de handel worden gebracht, is Richtlijn [Richtlijn XXX/XXX (NIS2)] gericht op het waarborgen van een hoog niveau van cyberbeveiliging van diensten die door essentiële en belangrijke entiteiten worden verleend. Richtlijn [Richtlijn XXX/XXXX (NIS2)] verplicht de lidstaten ervoor te zorgen dat essentiële en belangrijke entiteiten die binnen het toepassingsgebied vallen, zoals overheidsinstanties en aanbieders van gezondheidszorg of clouddiensten, passende en evenredige technische, operationele en organisatorische cyberbeveiligingsmaatregelen nemen. Dit omvat onder meer de verplichting om de beveiliging bij de verwerving, de ontwikkeling en het onderhoud van netwerk- en informatiesystemen te waarborgen, met inbegrip van de respons op en de bekendmaking van kwetsbaarheden. Richtlijn [Richtlijn XXX/XXXX (NIS2)] verplicht de Commissie binnen 21 maanden na de datum van inwerkingtreding van deze richtlijn voor bepaalde soorten entiteiten, zoals aanbieders van cloudcomputerdiensten, uitvoeringshandelingen vast te stellen waarin de technische en methodologische eisen van die maatregelen worden vastgelegd. Voor alle andere entiteiten kan de Commissie een uitvoeringshandeling aannemen om de technische en methodologische eisen alsmede de sectorale eisen vast te stellen. Dit kader zal ervoor zorgen dat technische specificaties en maatregelen die vergelijkbaar zijn met de essentiële cyberbeveiligingsvereisten van de verordening cyberweerbaarheid, ook worden ingevoerd voor het ontwerp, de ontwikkeling en de respons op kwetsbaarheden van software die als dienst wordt geleverd (Software-as-a-Service). Dit kan bijvoorbeeld een middel zijn om een hoog niveau van cyberbeveiliging te waarborgen bij systemen voor elektronische patiëntendossiers (EPD-systemen), ook wanneer deze worden geleverd als Software-as-a-Service (SaaS) of worden ontwikkeld binnen zorginstellingen (intern), overeenkomstig de voorgestelde [verordening betreffende de Europese ruimte voor gezondheidsgegevens].
• Wisselwerking met andere beleidsterreinen van de Unie
Zoals uiteengezet in de mededeling “De digitale toekomst van Europa vormgeven” 5 is het van cruciaal belang dat de EU alle vruchten van het digitale tijdperk plukt en haar industrie en innovatiecapaciteit versterkt, binnen veilige en ethische grenzen. De Europese datastrategie bevat vier pijlers — gegevensbescherming, grondrechten, veiligheid en cyberbeveiliging — als essentiële voorwaarden voor een samenleving die zich verder ontwikkelt door gegevens te gebruiken.
Het huidige EU-kader 6 dat van toepassing is op producten die mogelijk ook digitale elementen bevatten, omvat verschillende wetgevingsteksten, waaronder EU-wetgeving inzake specifieke producten met betrekking tot veiligheidsgerelateerde aspecten en algemene wetgeving inzake productaansprakelijkheid. Het voorstel is in overeenstemming met het huidige productgerelateerde regelgevingskader van de EU en met recente wetgevingsvoorstellen, zoals het voorstel van de Commissie voor Verordening [de verordening artificiële intelligentie (AI)] 7 .
De voorgestelde verordening zou van toepassing zijn op alle radioapparatuur die binnen het toepassingsgebied van Gedelegeerde Verordening (EU) 2022/30 van de Commissie valt. Bovendien omvatten de bij deze verordening vastgestelde eisen alle elementen van de essentiële eisen als bedoeld in artikel 3, lid 3, punten d), e) en f), van Richtlijn 2014/53/EU, met inbegrip van de belangrijkste elementen die zijn uiteengezet in [Uitvoeringsbesluit XXX/2022 van de Commissie betreffende een normalisatieverzoek aan de Europese normalisatieorganisaties], dat op basis van die gedelegeerde verordening is uitgevaardigd. Om overlappingen in de regelgeving te voorkomen, is het de bedoeling dat de Commissie de gedelegeerde verordening intrekt of wijzigt met betrekking tot de radioapparatuur die onder de voorgestelde verordening valt, zodat deze laatste hierop van toepassing zou zijn zodra zij in werking treedt.
Om dubbel werk te voorkomen, is het bovendien de bedoeling dat de Commissie en de Europese normalisatieorganisaties bij de voorbereiding en ontwikkeling van geharmoniseerde normen rekening houden met de normalisatiewerkzaamheden die zijn verricht in het kader van Uitvoeringsbesluit C(2022) 5637 van de Commissie betreffende een normalisatieverzoek voor Gedelegeerde Verordening (EU) 2022/30 tot aanvulling van de richtlijn radioapparatuur om de uitvoering van de verordening te vergemakkelijken.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
De rechtsgrondslag van dit voorstel is artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU), dat voorziet in de vaststelling van maatregelen om de oprichting en werking van de interne markt te waarborgen. Doel van het voorstel is de cyberbeveiligingsvereisten voor producten met digitale elementen in alle lidstaten te harmoniseren en belemmeringen voor het vrije verkeer van goederen weg te nemen.
Artikel 114 VWEU kan als rechtsgrondslag worden gebruikt om te voorkomen dat deze belemmeringen zich voordoen als gevolg van uiteenlopende nationale wetgevingen en benaderingen voor het aanpakken van de rechtsonzekerheid en lacunes in de bestaande rechtskaders 8 . Voorts heeft het Hof van Justitie van de Europese Unie erkend dat de toepassing van heterogene technische voorschriften een geldige reden kan zijn om artikel 114 VWEU in werking te doen treden 9 .
Het huidige wetgevingskader van de EU dat van toepassing is op producten met digitale elementen, is gebaseerd op artikel 114 VWEU en omvat verschillende wetgevingsteksten, onder meer inzake specifieke producten en veiligheidsgerelateerde aspecten en algemene wetgeving inzake productaansprakelijkheid. Het bestrijkt echter slechts bepaalde aspecten die verband houden met de cyberbeveiliging van materiële digitale producten en, in voorkomend geval, software die in deze producten is ingebed. Op nationaal niveau beginnen de lidstaten nationale maatregelen te nemen om verkopers van digitale producten te verplichten hun cyberbeveiliging te verbeteren 10 . Tegelijkertijd heeft de cyberbeveiliging van digitale producten een sterke grensoverschrijdende dimensie, aangezien producten die in één land worden vervaardigd vaak door organisaties en consumenten op de gehele interne markt worden gebruikt. Incidenten die aanvankelijk één entiteit of lidstaat betreffen, verspreiden zich vaak binnen enkele minuten over organisaties, sectoren en verschillende lidstaten.
Met de verschillende rechtshandelingen en initiatieven die tot dusver op EU- en nationaal niveau zijn genomen, worden de vastgestelde problemen slechts gedeeltelijk aangepakt en bestaat het risico dat er binnen de interne markt een lappendeken van wetgeving ontstaat, waardoor de rechtsonzekerheid voor zowel verkopers als gebruikers van deze producten toeneemt en bedrijven onnodig worden belast om aan een groot aantal vereisten voor soortgelijke producten te voldoen.
De voorgestelde verordening zou het regelgevingslandschap van de EU harmoniseren en stroomlijnen door cyberbeveiligingsvereisten in te voeren voor producten met digitale elementen, en zou overlappende voorschriften uit verschillende wetgevingsteksten vermijden. Dit zou leiden tot meer rechtszekerheid voor marktdeelnemers en gebruikers in de hele Unie en tot een betere harmonisatie van de Europese eengemaakte markt, waardoor de voorwaarden voor exploitanten die de EU-markt willen betreden, worden verbeterd.
• Subsidiariteit (bij niet-exclusieve bevoegdheid)
De sterke grensoverschrijdende aard van cyberbeveiliging in het algemeen en het toenemende aantal risico’s en incidenten, die spillover-effecten over grenzen, sectoren en producten heen hebben, maken dat de doelstellingen van de huidige interventie niet doeltreffend door de lidstaten afzonderlijk kunnen worden verwezenlijkt. Een aanpak van de problemen op nationaal niveau, en met name een aanpak waarbij verplichte vereisten worden ingevoerd, zal leiden tot verdere rechtsonzekerheid en juridische belemmeringen. Ondernemingen kunnen daarbij worden belet zich vlot uit te breiden naar andere lidstaten, waardoor gebruikers de voordelen van hun producten mislopen.
Een gezamenlijk optreden op EU-niveau is dan ook noodzakelijk om een hoog niveau van vertrouwen onder de gebruikers tot stand te brengen en de aantrekkelijkheid van EU-producten met digitale elementen te vergroten. Het zou ook de digitale eengemaakte markt en de interne markt in het algemeen ten goede komen door rechtszekerheid te bieden en een gelijk speelveld tot stand te brengen voor fabrikanten van producten met digitale elementen.
Uiteindelijk wordt de Commissie in de conclusies van de Raad van 23 mei 2022 over de invoering van een cyberstrategie van de Europese Unie verzocht om uiterlijk eind 2022 gemeenschappelijke cyberbeveiligingsvereisten voor verbonden apparaten voor te stellen.
• Evenredigheid
Wat de evenredigheid van de voorgestelde verordening betreft, zouden de maatregelen in de onderzochte beleidsopties niet verder gaan dan wat nodig is om de algemene en specifieke doelstellingen te verwezenlijken en zouden zij geen onevenredige kosten met zich meebrengen. Meer in het bijzonder zou de betrokken interventie ervoor zorgen dat producten met digitale elementen beveiligd zijn gedurende hun gehele levenscyclus en in verhouding tot de risico’s die zij lopen, door middel van doelgerichte en technologieneutrale vereisten die redelijk zijn en in het algemeen overeenstemmen met het belang van de betrokken entiteiten.
De essentiële cyberbeveiligingsvereisten in het voorstel bouwen voort op wijdverbreid gebruikte normen en het normalisatieproces dat zal volgen, zou rekening houden met de technische specifieke kenmerken van de producten. Dit betekent dat beveiligingscontroles zouden worden aangepast wanneer dat nodig is voor een bepaald risiconiveau. Bovendien zouden de beoogde horizontale regels alleen voor kritieke producten voorzien in beoordelingen door derden. Dit zou slechts een klein deel van de markt voor producten met digitale elementen betreffen. De gevolgen voor kmo’s zouden afhangen van hun aanwezigheid op de markt van deze specifieke categorieën producten.
Wat de evenredigheid van de kosten voor de conformiteitsbeoordeling betreft, houden aangemelde instanties die beoordelingen door derden uitvoeren, bij de vaststelling van hun vergoedingen rekening met de omvang van de onderneming. Er zou ook worden voorzien in een redelijke overgangsperiode van 24 maanden voor de voorbereiding van de uitvoering, waardoor de betrokken markten de tijd hebben om zich voor te bereiden en tegelijkertijd een duidelijke koers wordt aangegeven voor O&O-investeringen. De nalevingskosten voor bedrijven zouden worden gecompenseerd door de voordelen van een hogere mate van beveiliging van producten met digitale elementen en een daaruit voortvloeiende toename van het vertrouwen in deze producten bij de gebruikers.
• Keuze van het instrument
Een regelgevingsinterventie zou de vaststelling inhouden van een verordening en niet van een richtlijn. De reden hiervoor is dat een verordening voor dit specifieke type productwetgeving de vastgestelde problemen doeltreffender zou aanpakken en de geformuleerde doelstellingen beter zou verwezenlijken, aangezien het een interventie betreft die voorwaarden stelt aan het in de handel brengen van een zeer brede categorie producten op de interne markt. Het omzettingsproces in het geval van een richtlijn voor een dergelijke interventie zou op nationaal niveau te veel speelruimte kunnen laten, wat kan leiden tot een gebrek aan uniformiteit van bepaalde essentiële cyberbeveiligingsvereisten, rechtsonzekerheid, verdere versnippering of zelfs discriminatie over de grenzen heen, des te meer vanwege het feit dat de betrokken producten voor meerdere doeleinden of toepassingen kunnen dienen en dat fabrikanten meerdere categorieën van dergelijke producten kunnen produceren.
3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
• Raadpleging van belanghebbenden
De Commissie heeft een breed scala aan belanghebbenden geraadpleegd. De lidstaten en belanghebbenden werden uitgenodigd om deel te nemen aan de openbare raadpleging en aan de enquêtes en workshops die werden georganiseerd in het kader van een studie ter ondersteuning van de voorbereidende werkzaamheden van de Commissie voor de effectbeoordeling, die door een consortium werd uitgevoerd: Wavestone, het Centrum voor Europese Beleidsstudies (CEPS) en ICF. Tot de geraadpleegde belanghebbenden behoorden nationale markttoezichtautoriteiten, organen van de Unie die zich bezighouden met cyberbeveiliging, fabrikanten en importeurs van hardware en software, bedrijfsverenigingen, consumentenorganisaties en gebruikers van producten met digitale elementen en burgers, onderzoekers en academici, aangemelde instanties, accreditatie-instanties en professionals uit de cyberbeveiligingssector.
De raadplegingsactiviteiten omvatten:
·Een eerste studie uitgevoerd door een consortium bestaande uit ICF, Wavestone, Carsa en CEPS, gepubliceerd in december 2021 11 . In de studie werden verschillende tekortkomingen van de markt vastgesteld en werden mogelijke regelgevingsmaatregelen beoordeeld.
·Een openbare raadpleging van burgers, belanghebbenden en deskundigen op het gebied van cyberbeveiliging. Er werden 176 antwoorden ingediend. Daarbij werden uiteenlopende meningen en ervaringen van alle groepen belanghebbenden verzameld.
·De workshops die werden georganiseerd in het kader van de studie ter ondersteuning van de voorbereidende werkzaamheden van de Commissie voor de verordening cyberweerbaarheid, werden bijgewoond door ongeveer 100 vertegenwoordigers uit alle 27 lidstaten, die verschillende belanghebbenden vertegenwoordigden.
·Er werden gesprekken met deskundigen gevoerd om meer inzicht te krijgen in de huidige problemen op het gebied van cyberbeveiliging in verband met producten met digitale elementen, en om beleidsopties voor een mogelijke regelgevingsinterventie te bespreken.
·Er vonden bilaterale besprekingen plaats met nationale cyberbeveiligingsautoriteiten, de particuliere sector en consumentenorganisaties.
·De belangrijkste belanghebbende kmo’s werden gericht aangezocht.
• Bijeenbrengen en gebruik van expertise
De raadplegingsactiviteiten waren bedoeld om input te verkrijgen voor de vijf belangrijkste evaluatiecriteria van de richtsnoeren voor betere regelgeving van de EU (doeltreffendheid, efficiëntie, relevantie, samenhang, toegevoegde waarde voor de EU) en over de potentiële gevolgen van mogelijke opties voor de toekomst. De contractant heeft niet alleen contact opgenomen met de belanghebbenden waarvoor de voorgestelde verordening rechtstreeks gevolgen zou hebben, maar heeft ook overleg gepleegd met een breed scala aan deskundigen op het gebied van cyberbeveiliging.
•Effectbeoordeling
De Commissie heeft voor dit voorstel een effectbeoordeling uitgevoerd, die door de Raad voor regelgevingstoetsing van de Commissie is onderzocht. Op 6 juli 2022 heeft een vergadering met de Raad voor regelgevingstoetsing plaatsgevonden, waaruit een positief advies is voortgevloeid. De effectbeoordeling werd aangepast om gevolg te geven aan de aanbevelingen en opmerkingen van de Raad voor regelgevingstoetsing.
De Commissie heeft verschillende beleidsopties onderzocht om de algemene doelstelling van het voorstel te verwezenlijken:
·Zachte wetgeving en vrijwillige maatregelen (optie 1): deze optie zou geen verplichte regelgevingsinterventie omvatten. In plaats daarvan zou de Commissie mededelingen, richtsnoeren, aanbevelingen en eventueel gedragscodes publiceren om vrijwillige maatregelen aan te moedigen. Nationale regelingen, al dan niet verplicht, zouden verder worden ontwikkeld om het gebrek aan horizontale EU-regels te compenseren.
·Ad-hocregelgeving voor cyberbeveiliging van materiële producten met digitale elementen en bijbehorende ingebedde software (optie 2): deze optie zou een productspecifieke ad-hoc-regelgevingsinterventie omvatten die beperkt zou blijven tot het toevoegen en/of wijzigen van de cyberbeveiligingsvereisten in de reeds bestaande wetgeving of tot het invoeren van nieuwe wetgeving naarmate er nieuwe risico’s ontstaan, eventueel ook met betrekking tot niet-ingebedde software.
De opties 3 en 4 omvatten een horizontale regelgevingsinterventie die qua reikwijdte varieert, grotendeels in overeenstemming met het nieuwe wetgevingskader (NWK). Dit kader bevat essentiële eisen als voorwaarde voor het in de handel brengen van bepaalde producten op de interne markt. Het NWK voorziet doorgaans ook in conformiteitsbeoordeling, de procedure die door de fabrikant wordt gevolgd om aan te tonen dat aan de specifieke productvereisten is voldaan.
·Een gemengde aanpak met horizontale verplichte regels voor cyberbeveiliging van materiële producten met digitale elementen en bijbehorende ingebedde software en een gespreide aanpak voor niet-ingebedde software (optie 3): deze optie zou een verordening omvatten waarbij horizontale cyberbeveiligingsvereisten worden ingevoerd voor alle materiële producten met digitale elementen en de daarin ingebedde software, als voorwaarde voor het in de handel brengen ervan, en zou twee subopties omvatten met en zonder een verplichte beoordeling door derden (3i en 3ii). Niet-ingebedde software zou niet worden gereguleerd.
·Een horizontale regelgevingsinterventie waarbij cyberbeveiligingsvereisten worden ingevoerd voor een breed scala aan materiële en immateriële producten met digitale elementen, met inbegrip van niet-ingebedde software (optie 4): deze optie lijkt, met uitzondering van het toepassingsgebied, op optie 3. Bij optie 4 zou niet-ingebedde software (met twee subopties die respectievelijk alleen kritieke (4a) of alle software (4b) omvatten) binnen het toepassingsgebied vallen van een potentiële verordening. Voor elke suboptie zouden dezelfde subopties met betrekking tot conformiteitsbeoordelingen als die voor optie 3 worden overwogen.
Optie 4 (met subopties die alle software dekken en met verplichte beoordeling door derden voor kritieke producten) bleek de voorkeursoptie te zijn op basis van de beoordeling van de doeltreffendheid ten aanzien van de specifieke doelstellingen en de efficiëntie met betrekking tot kosten en baten. Deze optie zou de vaststelling van specifieke horizontale cyberbeveiligingsvereisten waarborgen voor alle producten met digitale elementen die op de interne markt in de handel worden gebracht of worden aangeboden, en is de enige optie die de hele digitale toeleveringsketen bestrijkt. Niet-ingebedde software, die vaak kwetsbaarheden bevat, zou ook onder een dergelijke regelgevingsinterventie vallen, waardoor een coherente aanpak van alle producten met digitale elementen wordt gewaarborgd, en waarbij de verschillende marktdeelnemers een duidelijk aandeel in de verantwoordelijkheden hebben.
Deze beleidsoptie heeft ook een toegevoegde waarde doordat rekening wordt gehouden met zorgplicht en aspecten van de hele levenscyclus na het in de handel brengen van de producten met digitale elementen, om onder meer te zorgen voor passende informatie over beveiligingsondersteuning en de verstrekking van beveiligingsupdates. Deze beleidsoptie zou bovendien de meest doeltreffende manier zijn om de recente herziening van het NIS-kader aan te vullen door de voorwaarden voor een betere beveiliging van de toeleveringsketen te waarborgen.
De voorkeursoptie zou aanzienlijke voordelen opleveren voor de verschillende belanghebbenden. Voor bedrijven zouden uiteenlopende beveiligingsregels voor producten met digitale elementen worden voorkomen en zouden de nalevingskosten op het gebied van de betrokken cyberbeveiligingswetgeving dalen. Het aantal cyberincidenten, de kosten voor incidentenbehandeling en de reputatieschade zouden worden beperkt. Voor de hele EU kan het initiatief de geraamde kosten als gevolg van incidenten in bedrijven doen dalen met grofweg 180 tot 290 miljard EUR per jaar. Dit zou leiden tot een hogere omzet als gevolg van de vraag naar producten met digitale elementen. Het zou de wereldwijde reputatie van bedrijven verbeteren, waardoor ook de vraag van buiten de EU zou stijgen. Voor gebruikers zou de voorkeursoptie de transparantie van de beveiligingseigenschappen vergroten en het gebruik van producten met digitale elementen vergemakkelijken. Consumenten en burgers zouden ook een betere bescherming genieten van hun grondrechten, zoals privacy en gegevensbescherming.
Met betrekking tot de vraag om de doeltreffendheid van de beleidsmaatregelen te beoordelen, waren de respondenten van de openbare raadpleging het erover eens dat optie 4 de meest doeltreffende maatregel zou zijn (4,08 op een schaal van 1 tot 5). Hiertoe behoorden consumentenorganisaties (5,00), respondenten die zichzelf als gebruikers identificeren (4,22), aangemelde instanties (4,17), markttoezichtautoriteiten (5,00) en fabrikanten van producten met digitale elementen (3,85), waaronder kleine en middelgrote ondernemingen (4,05).
• Resultaatgerichtheid en vereenvoudiging
Bij dit voorstel worden eisen vastgelegd die van toepassing zullen zijn op fabrikanten van software en hardware. Er moet voor rechtszekerheid worden gezorgd en verdere marktversnippering van productgerelateerde eisen op het gebied van cyberbeveiliging op de interne markt moet worden voorkomen, hetgeen is aangetoond door de brede ondersteuning van de verschillende belanghebbenden voor een horizontale interventie. Het voorstel zal de regeldruk voor fabrikanten vanwege verschillende wetten inzake productveiligheid tot een minimum beperken. De afstemming op het NWK betekent een betere werking van de interventie en de handhaving ervan. Het voorstel stroomlijnt de vrijwaringsprocedures door fabrikanten en lidstaten te betrekken voordat de Commissie in kennis wordt gesteld. Een groot deel van de fabrikanten die binnen het toepassingsgebied van het voorstel vallen, is reeds vertrouwd met de werking van het NWK, wat zal bijdragen tot het begrip en de uitvoering ervan. Voor consumenten en bedrijven zal het voorstel het vertrouwen in producten met digitale elementen bevorderen.
• Grondrechten
Alle beleidsopties zullen naar verwachting tot op zekere hoogte zorgen voor een betere bescherming van grondrechten en fundamentele vrijheden als privacy, bescherming van persoonsgegevens, vrijheid van ondernemerschap en bescherming van eigendom of persoonlijke waardigheid en integriteit. Met name voorkeursoptie 4, die bestaat uit horizontale regelgevingsinterventies en een breed beleidsperspectief heeft, zou in dit opzicht het meest doeltreffend zijn, aangezien deze optie de meeste mogelijkheden biedt om het aantal en de ernst van incidenten, met inbegrip van inbreuken in verband met persoonsgegevens, te verminderen. Deze optie zou ook de rechtszekerheid vergroten en een gelijk speelveld voor marktdeelnemers tot stand brengen, het vertrouwen onder de gebruikers verhogen, evenals de aantrekkelijkheid van EU-producten met digitale elementen als geheel, waardoor de eigendom wordt beschermd en de voorwaarden voor marktdeelnemers om zaken te doen worden verbeterd.
De horizontale cyberbeveiligingsvereisten zouden bijdragen tot de beveiliging van persoonsgegevens door de vertrouwelijkheid, integriteit en beschikbaarheid van informatie in producten met digitale elementen te beschermen. Naleving van die vereisten zal het makkelijker maken om de vereiste beveiliging van de verwerking van persoonsgegevens in het kader van Verordening (EU) 2016/679 (AVG) na te leven 12 . Het voorstel zou de transparantie en informatievoorziening voor gebruikers verbeteren, met inbegrip van gebruikers met minder kennis over cyberbeveiliging. Gebruikers zouden ook beter worden geïnformeerd over de risico’s, capaciteiten en beperkingen van de producten met digitale elementen, waardoor zij beter in staat zouden zijn de nodige preventieve en risicobeperkende maatregelen te nemen om de resterende risico’s te verminderen.
4. GEVOLGEN VOOR DE BEGROTING
Om de taken te vervullen die in het kader van deze verordening aan het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) worden toegewezen, zal Enisa ongeveer 4,5 vte moeten herschikken. De Commissie zou 7 vte moeten toewijzen om haar verantwoordelijkheden op het gebied van handhaving uit hoofde van deze verordening na te komen.
Een gedetailleerd overzicht van de betrokken kosten is te vinden in het financieel memorandum bij dit voorstel.
5. OVERIGE ELEMENTEN
• Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
De Commissie zal toezicht houden op de uitvoering, de toepassing en de naleving van deze nieuwe bepalingen om de doeltreffendheid ervan te beoordelen. In de verordening wordt de Commissie verzocht uiterlijk 36 maanden na de datum van toepassing en vervolgens om de vier jaar een evaluatie en toetsing te verrichten en een openbaar verslag in te dienen bij het Europees Parlement en de Raad.
• Artikelsgewijze toelichting
Inhoudsopgave
- Algemene bepalingen (hoofdstuk I)
- Verplichtingen van marktdeelnemers (hoofdstuk II)
- Conformiteit van het product met digitale elementen (hoofdstuk III)
- Aanmelding van conformiteitsbeoordelingsinstanties (hoofdstuk IV)
- Markttoezicht en handhaving (hoofdstuk V)
- Bevoegdheidsdelegatie en comitéprocedure (hoofdstuk VI)
- Vertrouwelijkheid en sancties (hoofdstuk VII)
- Overgangs- en slotbepalingen (hoofdstuk VIII)
Dit voorstel van verordening voorziet in a) voorschriften voor het in de handel brengen van producten met digitale elementen om de cyberbeveiliging van dergelijke producten te waarborgen; b) essentiële eisen voor het ontwerp, de ontwikkeling en de productie van producten met digitale elementen, en verplichtingen voor marktdeelnemers in verband met deze producten op het gebied van cyberbeveiliging; c) essentiële eisen voor de procedures inzake de respons op kwetsbaarheden, die fabrikanten hebben ingevoerd om de cyberbeveiliging van producten met digitale elementen gedurende de gehele levenscyclus te waarborgen, en verplichtingen voor marktdeelnemers met betrekking tot deze procedures; d) voorschriften inzake markttoezicht en handhaving van bovengenoemde voorschriften en eisen.
De voorgestelde verordening zal van toepassing zijn op alle producten met digitale elementen waarvan het beoogde en redelijkerwijs voorzienbaar gebruik een directe of indirecte logische of fysieke dataverbinding met een apparaat of netwerk omvat.
De voorgestelde verordening zal niet van toepassing zijn op producten met digitale elementen die binnen het toepassingsgebied van Verordening (EU) 2017/745 [medische hulpmiddelen voor menselijk gebruik en toebehoren van dergelijke hulpmiddelen] en Verordening (EU) 2017/746 [medische hulpmiddelen voor in-vitrodiagnostiek voor menselijk gebruik en toebehoren van dergelijke hulpmiddelen] vallen, aangezien beide verordeningen voorschriften voor hulpmiddelen bevatten, onder meer inzake software en algemene verplichtingen voor fabrikanten, die de gehele levenscyclus van producten bestrijken, alsook conformiteitsbeoordelingsprocedures. Deze verordening is niet van toepassing op producten met digitale elementen die zijn gecertificeerd overeenkomstig Verordening 2018/1139 [hoog uniform niveau van veiligheid van de burgerluchtvaart], noch op producten waarop Verordening (EU) 2019/2144 van toepassing is [betreffende de voorschriften voor de typegoedkeuring van motorvoertuigen en aanhangwagens daarvan en van systemen, onderdelen en technische eenheden die voor dergelijke voertuigen zijn bestemd].
Kritieke producten met digitale elementen worden onderworpen aan specifieke conformiteitsbeoordelingsprocedures en worden ingedeeld in klasse I en klasse II, zoals vastgesteld in bijlage III, afhankelijk van hun cyberbeveiligingsrisico, waarbij klasse II een groter risico inhoudt. Een product met digitale elementen wordt als kritiek beschouwd en daarom opgenomen in bijlage III, met het oog op de gevolgen van potentiële kwetsbaarheden op het gebied van cyberbeveiliging in het product met digitale elementen. Bij de bepaling van het cyberbeveiligingsrisico wordt onder meer rekening gehouden met de aan cyberbeveiliging gerelateerde functionaliteit van het product met digitale elementen en het beoogde gebruik ervan in gevoelige omgevingen, zoals een industriële omgeving.
De Commissie is ook bevoegd om gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door categorieën zeer kritieke producten met digitale elementen te specificeren waarvoor de fabrikanten in het kader van een Europese cyberbeveiligingscertificeringsregeling een Europees cyberbeveiligingscertificaat moeten verkrijgen om de conformiteit met de essentiële eisen van bijlage I of delen daarvan aan te tonen. Bij het bepalen van dergelijke categorieën zeer kritieke producten met digitale elementen houdt de Commissie rekening met het niveau van cyberbeveiligingsrisico van de categorie producten met digitale elementen, aan de hand van een of meer van de criteria die gehanteerd worden voor de opneming van kritieke producten met digitale elementen in bijlage III, alsook aan de hand van de beoordeling of die categorie producten wordt gebruikt of toegepast door de essentiële entiteiten van het type als bedoeld in bijlage [bijlage I] bij Richtlijn [Richtlijn XXX/XXXX (NIS2)] of in de toekomst mogelijk van belang zal zijn voor de activiteiten van deze entiteiten, of relevant is voor de veerkracht van de gehele toeleveringsketen van producten met digitale elementen tegen verstorende gebeurtenissen.
Het voorstel bevat verplichtingen voor fabrikanten, importeurs en distributeurs op basis van de referentiebepalingen van Besluit 768/2008/EG. Op grond van de essentiële cyberbeveiligingsvereisten en -verplichtingen mogen producten met digitale elementen alleen op de markt worden aangeboden indien zij, wanneer zij naar behoren worden geleverd, correct worden geïnstalleerd, worden onderhouden en gebruikt voor het beoogde doel of in redelijkerwijs voorzienbare omstandigheden, aan de essentiële cyberbeveiligingsvereisten van deze verordening voldoen.
De essentiële eisen en verplichtingen zouden fabrikanten ertoe verplichten om bij het ontwerp, de ontwikkeling en de productie van producten met digitale elementen rekening te houden met cyberbeveiliging, passende zorgvuldigheid te betrachten met betrekking tot beveiligingsaspecten bij het ontwerpen en ontwikkelen van hun producten, transparant te zijn over cyberbeveiligingsaspecten die aan klanten bekend moeten worden gemaakt, op evenredige wijze te zorgen voor beveiligingsondersteuning (updates) en te voldoen aan de vereisten inzake de respons op kwetsbaarheden.
Er zouden verplichtingen worden vastgesteld voor marktdeelnemers, van fabrikanten tot distributeurs en importeurs, met betrekking tot het in de handel brengen van producten met digitale elementen, die passen bij hun rol en verantwoordelijkheden in de toeleveringsketen.
Het product met digitale elementen dat in overeenstemming is met geharmoniseerde normen of delen daarvan, waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, wordt geacht in overeenstemming te zijn met de essentiële eisen van deze voorgestelde verordening. Wanneer er geen geharmoniseerde normen bestaan of die normen ontoereikend zijn of wanneer de normalisatieprocedure te veel vertraging oploopt of wanneer het verzoek van de Commissie niet door de Europese normalisatieorganisaties is aanvaard, kan de Commissie door middel van uitvoeringshandelingen gemeenschappelijke specificaties vaststellen.
Daarnaast worden producten met digitale elementen die zijn gecertificeerd of waarvoor een EU-conformiteitsverklaring of -certificaat is afgegeven in het kader van een Europese cyberbeveiligingscertificeringsregeling krachtens Verordening (EU) 2019/881, en waarvoor de Commissie bij uitvoeringshandeling heeft gespecificeerd dat zij kan voorzien in een vermoeden van conformiteit voor deze verordening, geacht in overeenstemming te zijn met de essentiële eisen van deze verordening, of delen daarvan, voor zover de EU-conformiteitsverklaring of het cyberbeveiligingscertificaat, of delen daarvan, die eisen dekken.
Voorts moet de Commissie, om onnodige administratieve lasten voor fabrikanten te vermijden, in voorkomend geval specificeren of een cyberbeveiligingscertificaat dat in het kader van een dergelijke Europese cyberbeveiligingscertificeringsregeling is afgegeven, de verplichting voor fabrikanten om een conformiteitsbeoordeling door derden te laten verrichten, zoals bepaald in deze verordening voor de overeenkomstige eisen, overbodig maakt.
De fabrikant voert een conformiteitsbeoordeling uit van het product met digitale elementen en de procedures voor de respons op kwetsbaarheden die hij heeft ingevoerd, om de conformiteit met de essentiële eisen van bijlage I aan te tonen door een van de procedures van bijlage VI te volgen. Fabrikanten van kritieke producten van klasse I en II gebruiken de respectieve modules die nodig zijn voor de naleving. Fabrikanten van kritieke producten van klasse II moeten een derde partij bij hun conformiteitsbeoordeling betrekken.
Een goede werking van aangemelde instanties is van cruciaal belang voor een hoog niveau van cyberbeveiliging en voor het vertrouwen van alle belanghebbende partijen in het “nieuwe aanpak”-systeem. Daarom bevat het voorstel, in overeenstemming met Besluit 768/2008/EG, voorschriften voor de nationale autoriteiten die verantwoordelijk zijn voor conformiteitsbeoordelingsinstanties (aangemelde instanties). Het laat de uiteindelijke verantwoordelijkheid voor de aanwijzing van en het toezicht op aangemelde instanties aan de lidstaten. De lidstaten wijzen een aanmeldende autoriteit aan die verantwoordelijk is voor het opzetten en uitvoeren van de nodige procedures voor de beoordeling en aanmelding van conformiteitsbeoordelingsinstanties en voor het toezicht erop.
Overeenkomstig Verordening (EU) 2019/1020 voeren de nationale markttoezichtautoriteiten markttoezicht uit op het grondgebied van die lidstaat. De lidstaten kunnen ervoor kiezen een bestaande of nieuwe autoriteit aan te wijzen als markttoezichtautoriteit, met inbegrip van nationale bevoegde autoriteiten als bedoeld in artikel [artikel X] van Richtlijn [Richtlijn XXX/XXXX (NIS2)] of aangewezen nationale cyberbeveiligingscertificeringsautoriteiten als bedoeld in artikel 58 van Verordening (EU) 2019/881. Aan marktdeelnemers wordt gevraagd volledig samen te werken met markttoezichtautoriteiten en andere bevoegde autoriteiten.
Om ervoor te zorgen dat het regelgevingskader waar nodig kan worden aangepast, wordt aan de Commissie de bevoegdheid toegekend om overeenkomstig artikel 290 VWEU handelingen vast te stellen om de lijst van kritieke producten van de klassen I en II te actualiseren en de definities van deze producten te specificeren; te specificeren of een beperking of uitsluiting noodzakelijk is voor producten met digitale elementen die worden gedekt door andere regels van de Unie waarin eisen zijn vastgesteld die hetzelfde beschermingsniveau bieden als deze verordening; de certificering van bepaalde zeer kritieke producten met digitale elementen verplicht te stellen op basis van de in deze verordening vastgestelde criteria; de minimuminhoud van de EU-conformiteitsverklaring te specificeren en de elementen die in de technische documentatie moeten worden opgenomen, aan te vullen.
De Commissie is ook bevoegd om uitvoeringshandelingen vast te stellen om: de vorm of de elementen van de meldingsplicht en de softwarestuklijst te specificeren; de Europese cyberbeveiligingscertificeringsregelingen te specificeren die kunnen worden gebruikt om de conformiteit met de essentiële eisen of delen daarvan aan te tonen, zoals vastgesteld in deze verordening; gemeenschappelijke specificaties vast te stellen; technische specificaties voor het aanbrengen van de CE-markering vast te stellen; in uitzonderlijke omstandigheden op Unieniveau corrigerende of beperkende maatregelen vast te stellen die een onmiddellijk optreden rechtvaardigen om de goede werking van de interne markt te beschermen.
Alle partijen die deze verordening toepassen, moeten de vertrouwelijkheid eerbiedigen van de informatie en gegevens die zij bij de uitvoering van hun taken en activiteiten hebben verkregen.
Om de doeltreffende handhaving van de verplichtingen van deze verordening te waarborgen, moet elke markttoezichtautoriteit de bevoegdheid hebben om administratieve geldboeten op te leggen of om oplegging hiervan te vragen. In dezelfde geest worden bij deze verordening maximumniveaus vastgesteld voor administratieve geldboeten waarin het interne recht moet voorzien in geval van niet-naleving van de verplichtingen van deze verordening.
Om fabrikanten, aangemelde instanties en lidstaten de tijd te geven zich aan de nieuwe voorschriften aan te passen, zal de voorgestelde verordening [24 maanden] na de inwerkingtreding ervan van toepassing worden, met uitzondering van de meldingsplicht voor fabrikanten, die van toepassing zou zijn vanaf [12 maanden] na de datum van inwerkingtreding.