21 501-33 Raad voor Vervoer, Telecommunicatie en Energie

Nr. 1015 VERSLAG VAN DE RAPPORTEURS

Vastgesteld op 19 april 2023

Inhoudsopgave

blz.
         

1.

Inleiding

1

2.

EU-voorstel: Verordening Cyberweerbaarheid (CRA)

2
 

2.1.

Korte inhoud van het EU-voorstel

2
 

2.2.

Status van de Europese besluitvorming

2

3.

Behandeling Tweede Kamer en Eerste Kamer

3

4.

Stand van zaken op belangrijke discussiepunten

4
 

4.1.

Producten met digitale elementen: scope CRA

5
   

4.1.1.

Open source software en overheidsdiensten

5
   

4.1.2.

Software-as-a-Service (SaaS) en gegevensverwerking op afstand

5
   

4.1.3.

Europese portemonnees voor digitale identiteit

6
   

4.1.4.

Scope in Singapore en Verenigd Koninkrijk

6
 

4.2.

Regeldruk voor bedrijven

7
   

4.2.1.

Zorgplicht

7
   

4.2.2.

Keurmerken en certificering

8
   

4.2.3.

Meldplicht

9
 

4.3.

Rol en bevoegdheden Europese Commissie en ENISA

10

5.

Aanbevelingen

10

1. Inleiding

Tijdens de procedurevergadering van 28 september 2022 van de vaste commissie voor Digitale Zaken (DiZa) is besloten om twee rapporteurs aan te stellen voor het EU-voorstel Verordening Cyber Resilience Act (CRA) (COM(2022) 454), te weten Queeny Rajkowski (VVD), Lisa van Ginneken (D66, tot 21 februari 2023) en Hind Dekker-Abdulaziz (D66, vanaf 22 februari 2023). Op 19 oktober 2022 heeft de commissie deze rapporteurs mandaat verleend voor de invulling van het rapporteurschap.

Onderdeel van het mandaat was het organiseren van een technische briefing met ambtenaren van het kabinet van Eurocommissaris Vestager. Tijdens de procedurevergadering van 23 november 2022 is besloten dit om te zetten in een gesprek van de rapporteurs met deze ambtenaren, dat op 15 maart 2023 heeft plaatsgevonden. De rapporteurs hebben daarnaast met een aantal betrokken Nederlandse stakeholders gesproken.

In dit verslag komen de belangrijkste discussiepunten naar voren uit de gevoerde gesprekken en andere bronnen. Deze punten worden vergeleken met de kabinetspositie en de huidige stand van zaken, zoals blijkt uit de laatst beschikbare (voorlopige) compromistekst van 10 maart 2023 (gepubliceerd door Politico).

Het verslag eindigt met enkele aanbevelingen. De rapporteurs stellen de commissie voor deze aanbevelingen mee te nemen als suggesties voor het commissiedebat van 30 mei 2023 over de Telecomraad van 1–2 juni 2023.

2. EU-voorstel: Verordening Cyberweerbaarheid (CRA)

2.1. Korte inhoud van het EU-voorstel

Op 15 september 2022 heeft de Europese Commissie (EC) een voorstel voor een verordening voor cybersecurity-eisen voor alle producten met digitale elementen (COM(2022) 454) uitgebracht: de verordening Cyberweerbaarheid (CRA).

In dit voorstel wordt meer verantwoordelijkheid toegewezen aan de fabrikanten die digitale producten fabriceren en updaten. De voorschriften voor bedrijven moeten er volgens het voorstel voor zorgen dat alle hardware- of softwareproducten en individuele componenten, waarvan het gebruik en redelijk voorstelbaar gebruik een directe of indirecte verbinding tot een eindapparaat of netwerk bevat (zoals op het internet aangesloten thuiscamera’s, koelkasten, tv’s, speelgoed en niet-ingebedde software), in de hele toeleveringsketen en gedurende hun hele levenscyclus veilig zijn. Gebruikers kunnen hierdoor bij het selecteren en gebruiken van producten met digitale elementen rekening houden met de mate van cyberbeveiliging.

Het voorstel moet tevens de lacunes opvullen in bestaande Europese wetgeving op het gebied van cyberbeveiliging (zoals de richtlijn netwerk- en informatiesystemen (NIS2-richtlijn) en de cyberbeveiligingsverordening) en overlap voorkomen.

Het voorstel voorziet in:

  • 1. Voorschriften voor het op de Europese interne markt brengen van producten met digitale elementen om de cyberbeveiliging van dergelijke producten te waarborgen;

  • 2. Voorschriften voor het ontwerp, de ontwikkeling en de productie van producten met digitale elementen, en verplichtingen voor marktdeelnemers op het gebied van cyberbeveiliging;

  • 3. Voorschriften voor procedures voor de reactie op kwetsbaarheden om de cyberbeveiliging van producten met digitale elementen gedurende de hele levenscyclus te waarborgen, en verplichtingen voor marktdeelnemers met betrekking tot deze procedures;

  • 4. Voorschriften voor markttoezicht en handhaving van bovengenoemde voorschriften en eisen.

2.2. Status van de Europese besluitvorming

De onderhandelingen over de CRA bevinden zich in een vergevorderd stadium. Vermoedelijk starten eind deze zomer de triloog-onderhandelingen tussen de Raad en het Europees Parlement om te komen tot een finaal akkoord.

Onderhandelingen Raad

Zoals al uit het BNC-fiche (Kamerstuk 22 112, nr. 3552) en het verslag van de Telecomraad van 6 december 2022 (Kamerstuk 21 501-33, nr. 1001) bleek steunen de meeste lidstaten het voorstel. Naar verwachting bereiken de lidstaten in de Telecomraad van 1–2 juni 2023 een Raadsakkoord (algemene oriëntatie). De compromisteksten die op onderdelen al zijn besproken in de Raadswerkgroepen worden betrokken in dit verslag.

Onderhandelingen Europees Parlement

De (eerstverantwoordelijke) industriecommissie (ITRE) in het Europees Parlement stemt naar verwachting op 19 juli 2023 over het conceptverslag en de ingediende amendementen van rapporteur Nicola Danti(Renew, Italië). Een datum voor de plenaire stemming moet nog worden vastgesteld.

Zodra de CRA is aangenomen krijgen lidstaten volgens het voorstel twee jaar de tijd om de wet via nationale wetgeving te implementeren. Een verplichting dat fabrikanten actief misbruikte kwetsbaarheden en incidenten moeten melden wordt naar verwachting al één jaar na de datum van inwerkingtreding van toepassing.

3. Behandeling Tweede Kamer en Eerste Kamer

In de Tweede Kamer heeft de vaste commissie voor Digitale Zaken (DiZa) het voortouw op de behandeling van de CRA. Dit hoofdstuk gaat in op deze behandeling, alsmede op de behandeling van enkele andere dossiers die hieraan raken. Voor de volledigheid betrekt dit hoofdstuk tevens de vragen van de Eerste Kamer over de CRA, vanwege de antwoorden op bepaalde discussiepunten.

De discussiepunten die uit de verschillende debatten naar voren komen worden behandeld in hoofdstuk 4 van dit verslag. Hierbij wordt de kabinetspositie aangehaald, alsmede de huidige stand van zaken in de Raadsonderhandelingen.

Cyber Resilience Act (CRA)

  • Op 7 november 2022 heeft de commissie DiZa een schriftelijk overleg gevoerd over het BNC-fiche (Kamerstuk 22 112, nr. 3552) van het kabinet (Kamerstuk 22 112, nr. 3555).

  • Op 30 november 2022 heeft de commissie met de Minister van EZK gedebatteerd (Kamerstuk 21 501-33, nr. 997) over de CRA, ter voorbereiding op de Telecomraad van 6 december 2022 (Kamerstuk 21 501-33, nr. 1001).

  • De Eerste Kamer heeft op 15 november 2022 een schriftelijk overleg gevoerd over het voorstel voor de CRA en het BNC-fiche (Kamerstuk 36 239, C).

  • Op 13 december 2022 heeft de Eerste Kamer een brief met vragen gestuurd aan de Europese Commissie (Kamerstuk 36 239, B). De antwoorden hierop zijn ten tijde van dit schrijven nog niet ontvangen.

Nederlandse Cybersecuritystrategie

  • De commissie DiZa heeft op 15 december 2022 het commissiedebat gevoerd over de Nederlandse Cybersecuritystrategie (NLCS) (Kamerstuk 26 643, nr. 925) en het bijbehorende Actieplan (Kamerstuk 26 643, nr. 961). In de NLCS zijn langs vier pijlers doelen geformuleerd om Nederland digitaal veilig te maken en houden. Daarvan richten drie pijlers zich op het verhogen van de digitale weerbaarheid. In het Actieplan staat onder andere:

    • o dat het kabinet zich in de onderhandelingen voor de CRA hard gaat maken voor opname van een zorgplicht voor fabrikanten en leveranciers van alle ICT-producten, -diensten en -processen, inclusief bijbehorende standaarden en toezicht. Deze zorgplicht moet gedurende de hele levenscyclus blijven gelden.

    • o dat het kabinet in de onderhandelingen gaat inzetten op goede aansluiting van de CRA op sectorspecifieke cybersecurity-eisen in Europese regelgeving (zoals voor medische hulpmiddelen en auto’s) en generieke wetgeving zoals de Richtlijn voor Algemene Productveiligheid en de Richtlijn voor aansprakelijkheid voor producten met gebreken.

    • o dat de Rijksinspectie Digitale Infrastructuur (RDI, voorheen Agentschap Telecom) en de Autoriteit Consument en Markt (ACM) intensiever gaan samenwerken om handhaving en toezicht op het gebied van veilige producten en diensten te verbeteren. De ACM houdt toezicht op de verkopers van producten die verplicht zijn informatie te geven aan consumenten over hoe lang (veiligheids-) updates beschikbaar zijn.

Strategie Digitale Economie

  • Op 22 maart 2023 heeft de commissie DiZa het debat gevoerd over Digitale Infrastructuur en economie (Kamerstuk 26 643, nr. 1008). Op de agenda stond onder andere:

    • o De Strategie Digitale Economie (Kamerstuk 26 643, nr. 941) In de strategie wordt vermeld dat het kabinet in de onderhandelingen over de CRA inzet op horizontale Europese wetgeving die de verantwoordelijkheid primair bij de fabrikant en leverancier van digitale producten en diensten legt door invoering van een zorgplicht om gedurende de hele levenscyclus aan essentiële cybersecurityvereisten te voldoen.

    • o De Evaluatie (Kamerstuk 26 643, nr. 867) van de (Voortgang, (Kamerstuk 26 643, nr. 801)) Roadmap Digitaal Veilige Hard- en Software. De aanbevelingen in de evaluatie zijn door het kabinet gebruikt als input voor de Nederlandse Cybersecuritystrategie, waar het beleid ten aanzien van digitaal veilige ICT-producten en -diensten onderdeel van uitmaakt.

4. Stand van zaken op belangrijke discussiepunten

Dit hoofdstuk gaat in op de stand van zaken van een aantal thema’s die eerder door de Tweede Kamer en de Eerste Kamer aan de orde zijn gesteld en/of die door het kabinet bij de Europese Commissie en in de Raadsonderhandelingen zijn ingebracht.

Uit diverse vragen van zowel de Tweede (Kamerstuk 22 112, nr. 3555) als de Eerste Kamer (Kamerstuk 36 239, C) bleek ook dat er behoefte is aan meer duidelijkheid in de CRA over de wisselwerking met andere relevante EU-wetgeving op het gebied van cyberbeveiliging, zoals de NIS2-richtlijn en de cyberbeveiligingsverordening, in het bijzonder waar het gaat om de overlap qua verplichtingen die uit deze trajecten voortvloeien, zoals de certificering en de meldplicht. Dit verslag gaat hier nader op in bij de relevante paragrafen.

4.1. Producten met digitale elementen: scope CRA

Onder de reikwijdte van de CRA vallen alle producten met digitale elementen, waarvan het gebruik en redelijk voorstelbaar gebruik een directe of indirecte verbinding tot een eindapparaat of netwerk bevat. Dit omvat alle hardware- of softwareproducten en individuele componenten. Deze paragraaf behandelt de meest gehoorde discussiepunten ten aanzien van de scope.

4.1.1. Open source software en overheidsdiensten

Het kabinet heeft in antwoord op vragen van de Eerste Kamer aangegeven zich tijdens de onderhandelingen in te zetten voor verduidelijking en afbakening van de uitzondering voor open source software en, hiermee samenhangend, wat moet worden verstaan onder een handelsactiviteit. De definitie hiervan bepaalt mede wanneer open source-software al dan niet onder de reikwijdte van de CRA valt. Ook heeft het kabinet aangegeven nog te onderzoeken of en zo ja op welke manier er in de CRA een prikkel zou moeten worden ingevoegd voor commerciële fabrikanten van digitale producten die niet-commerciële open source componenten gebruiken in hun product, om de ontwikkelaars van deze niet-commerciële componenten te ondersteunen in het veilig houden van de componenten.

In een voorlopige compromistekst van 10 maart jl. (gepubliceerd door Politico) staat nu in overweging 10 dat de CRA uitsluitend van toepassing is op producten met digitale elementen die in de EU op de markt worden gebracht en derhalve worden geleverd voor verspreiding of gebruik in het kader van een commerciële activiteit. Open source software (inclusief broncodes en gewijzigde versies die openlijk gedeeld worden en vrij toegankelijk, bruikbaar en aanpasbaar zijn en kan worden verspreid en op de markt gebracht) valt derhalve alleen onder de reikwijdte van de CRA als deze in het kader van een commerciële activiteit wordt geleverd. In de compromistekst staat nu in een extra artikel 11.7 dat als fabrikanten een software aanpassing hebben ontwikkeld om de kwetsbaarheid in een open source onderdeel van hun product te verhelpen, zij geacht worden de relevante code te delen met de persoon of entiteit die het onderdeel onderhoudt.

Ook rapporteur Danti (EP) heeft in zijn conceptverslag opgenomen dat, om de innovatiekracht van open software te behouden, ontwikkelaars niet hoeven te voldoen aan de CRA als ze geen financieel rendement ontvangen voor hun projecten. Open source software die in het kader van commerciële activiteiten wordt geleverd, in het conceptverslag wel onder de CRA.

4.1.2. Software-as-a-Service (SaaS) en gegevensverwerking op afstand

Het kabinet heeft in antwoord op vragen van de Tweede Kamer (Kamerstuk 22 112, nr. 3555) en blijkens het BNC-fiche (Kamerstuk 22 112, nr. 3552) aangegeven dat het de Europese Commissie om verduidelijking wil vragen over de uitzondering voor software-as-a-service-diensten (SaaS; een vorm van clouddienstverlening). In tegenstelling tot SaaS-diensten vallen oplossingen voor gegevensverwerking op afstand wel onder de CRA, terwijl dit ook oplossingen zijn die gebruik maken van SaaS. Het kabinet was net als veel lidstaten van mening dat de teksten over deze uitzonderingen verduidelijking behoeven.

In een voorlopige compromistekst van 10 maart jl. (bron: Politico) wordt in overweging 9 nu verduidelijkt dat SaaS-oplossingen beschouwd mogen worden als oplossingen voor gegevensverwerking op afstand in de zin van de CRA (en dus binnen de scope vallen) als de software of hardware is ontworpen en ontwikkeld door de fabrikant van het betrokken product of onder de verantwoordelijkheid van die fabrikant, en bij gebreke waarvan een dergelijk product met digitale elementen een van zijn functies niet zou kunnen vervullen. Volgens overweging 9 vallen derhalve websites die de functionaliteit van een product met digitale elementen niet ondersteunen, of clouddiensten die zijn ontworpen en ontwikkeld buiten de verantwoordelijkheid van een fabrikant van een product met digitale elementen, buiten het toepassingsgebied van de CRA.

In een nieuwe overweging 9a heeft de Europese Commissie verduidelijkt dat oplossingen voor gegevensverwerking op afstand onder de CRA vallen als deze oplossingen nodig zijn om een product met digitale elementen zijn functies te laten vervullen. Dit kan bijvoorbeeld het geval zijn wanneer een hardware-apparaat toegang nodig heeft tot een door de fabrikant ontwikkelde database.

4.1.3. Europese portemonnees voor digitale identiteit

De Tweede Kamer heeft aan de Minister van EZK extra verduidelijking gevraagd (Kamerstuk 22 112, nr. 3555) in hoeverre aanbieders van Europese portemonnees voor digitale identiteit onder de CRA vallen en aan welke eisen zij moeten voldoen.

Uit een voorlopige compromistekst van 10 maart jl. (bron: Politico), blijkt dat na overweging 18 (die ingaat op de relatie met het voorstel voor de Europese online identiteit) een nieuwe overweging 18a is toegevoegd over het integreren van componenten in bijvoorbeeld een digitale portemonnee. Hierin wordt gesteld dat fabrikanten de nodige zorgvuldigheid moeten betrachten als ze componenten willen integreren, des te meer als deze in belangrijke mate bijdragen aan de functionaliteit van het product en/of toegang hebben tot gegevens die door het product met digitale elementen zijn verwerkt.

Afhankelijk van het risico moeten fabrikanten dan bijvoorbeeld verifiëren dat de fabrikant van een component conform de CRA handelt of dat een component vrij is van kwetsbaarheden (zoals die zijn geregistreerd in openbaar toegankelijke databases met kwetsbaarheden), of verifiëren dat een component regelmatig beveiligingsupdates ontvangt.

4.1.4. Scope in Singapore en Verenigd Koninkrijk

Verschillende bedrijvenorganisaties hebben hun bezorgdheid geuit over de brede reikwijdte van de CRA, te weten alle hardware- of softwareproducten en individuele componenten. Zij wijzen erop dat de scope van de CRA breder is dan vergelijkbare wetgeving in bijvoorbeeld het Verenigd Koninkrijk en Singapore, waar de scope beperkt is tot software gebonden aan apparatuur.

Waar het gaat om dit verschil in relatie tot de concurrentiepositie van ondernemers en de veiligheid van burgers wil de Europese Commissie ENISA de taak geven om samen met de markttoezichtautoriteiten toezicht te houden op digitale producten met een hoog risico die via derde landen in de EU op de markt worden gebracht.

Rapporteur Danti (EP) dringt in zijn conceptverslag daarnaast aan op het sluiten van overeenkomsten inzake wederzijdse erkenning met gelijkgestemde derde landen met vergelijkbare beschermingsniveaus.

4.2. Regeldruk voor bedrijven

Ten aanzien van de regeldruk voor het mkb zijn zowel door de Tweede als de Eerste Kamer veel vragen gesteld in relatie tot de zorgplicht, de conformiteitsbeoordeling en de meldplicht. Deze paragraaf gaat hier nader op in.

4.2.1. Zorgplicht

Nederland heeft, samen met zes andere lidstaten (non-paper (Bijlage bij Kamerstuk 22 112, nr. 3637)), opgeroepen om de zorgplicht voor bedrijven te laten gelden voor de verwachte productlevensduur en fabrikanten te verplichten om de garandeerde ondersteuningstermijn duidelijk op de verpakking te vermelden. Dit kan voor fabrikanten een prikkel vormen om zich te onderscheiden met een langere ondersteuningstermijn. Daarnaast kunnen gebruikers er hun aanschaf mede op baseren. Zowel de Eerste (Kamerstuk 36 239, C) als de Tweede Kamer (Kamerstuk 22 112, nr. 3555) hadden hier vragen over gesteld.

Uit een voorlopige compromistekst van 10 maart 2023 (gepubliceerd via Politico) valt uit artikel 10 lid 6 en het nieuwe lid 10a op te maken dat de oproep is overgenomen: de minimumperiode van vijf jaar productlevensduur waarin leveranciers en fabrikanten verplicht zijn om cyberbeveiligingspatches te blijven implementeren is geschrapt. In plaats daarvan wordt nu gesproken over de verwachte levensduur. Fabrikanten moeten duidelijke informatie op hun producten plaatsen over tot wanneer ze van plan zijn om cyberbeveiligingsupdates en -patches uit te brengen (tot op het jaar en de maand). Beveiligingspatches of -updates die al beschikbaar zijn en verspreid onder gebruikers om reeds geïdentificeerde beveiligingsproblemen aan te pakken, moeten tien jaar lang beschikbaar blijven. Daarnaast wordt voorgesteld dat ook verbonden apparaten die al in de handel zijn gebracht voordat de CRA van kracht werd moeten voldoen aan de bepalingen van de CRA zodra er wijzigingen worden aangebracht, zoals functionele updates.

Ook rapporteur Danti (EP) heeft in zijn conceptverslag geen vaste datum voor de verwachte levensduur van producten opgenomen. Ook hij stelt voor om fabrikanten de levensduur van hun respectievelijke producten te laten bepalen, zolang dat in overeenstemming is met de verwachtingen van de consument. Daarnaast heeft Danti ook een verplichting voor fabrikanten opgenomen om consumenten te informeren wanneer de levensduur van hun product bijna afloopt. Tot slot wil Danti fabrikanten verplichten om waar mogelijk automatische updates uit te rollen gedurende de verwachte levensduur van het product. Als een fabrikant zijn productlevensduur heeft gedefinieerd als minder dan vijf jaar, moet deze andere bedrijven in staat stellen beveiligingspatches te leveren die die levensduur verlengen. In dat geval moeten fabrikanten de broncode van het product bekend maken.

Het kabinet heeft ook aangegeven om verduidelijking te vragen over mogelijke ondersteunende maatregelen vanuit Brussel. Daarnaast heeft het kabinet aangegeven zelf open te staan voor mogelijkheden om het mkb ondersteuning en voorlichting te bieden over hoe deze bedrijven aan de verplichtingen kunnen voldoen.

4.2.2. Keurmerken en certificering

Zowel de Eerste (Kamerstuk 36 239, C) en Tweede Kamer (Kamerstuk 22 112, nr. 3555) hebben hun zorgen geuit over de verplichte conformiteitsbeoordeling voor bedrijven en in dit kader het ontbreken van standaarden hiervoor. De scope van de CRA brengt met zich mee dat het een flinke uitdaging zal worden om dekkende standaarden voor verschillende type producten beschikbaar te hebben tegen de tijd dat de CRA in werking treedt. De CRA verwijst hiervoor naar de CSA (Cyber Security Act), maar ook daar zijn pas enkele certificeringen in ontwikkeling. Bedrijven die hun conformiteit moeten bewijzen zouden op tijd duidelijkheid moeten hebben over welke standaarden worden geaccepteerd.

Daarnaast zijn vragen gesteld over de klasse 2 in de lijst van kritieke producten (Bijlage III) in relatie tot de kosten voor het mkb. Deze klasse brengt met zich mee dat een bedrijf niet kan volstaan met een zelftoetsing, maar een onafhankelijke conformiteitsbeoordeling moet laten uitvoeren door een externe partij. De gemiddeld geschatte kosten van een conformiteitsbeoordeling door een derde partij zijn 25.000 euro, terwijl die van een zelftoetsing (klasse 1) 18.400 euro zijn. Ook zijn er nog nauwelijks aangewezen «aangemelde instanties» die dergelijke audits kunnen uitvoeren.

Uit de voorlopige compromistekst van 10 maart 2023 (bron: Politico) valt op te maken dat kleine bedrijven en start-ups een lagere vergoeding betalen dan grote bedrijven. De tekst stelt ten aanzien van de conformiteitsbeoordeling nu ook een vereenvoudigde EU-verklaring voor. Op de verklaring moet de naam van het bedrijf staan en de aanduiding van het type product. Deze kan verwijzen naar de volledige tekst op een webadres, in de taal van het land waar het product op de markt is gebracht. De CE-markering hoeft volgens de tekst alleen te worden aangebracht op de begeleidende documenten en indien van toepassing op de verpakking, dus niet meer op de website. Er is echter niets toegevoegd over het beschikbaar stellen van standaarden.

Rapporteur Danti (EP) heeft in zijn conceptverslag de implementatietermijn van de CRA verlengd van twee jaar tot 40 maanden vanaf de inwerkingtreding ervan, zodat het mkb meer tijd heeft om hier aan kan voldoen. Ook staat er dat de Europese Commissie richtsnoeren moet verstreken om bedrijven beter te begeleiden.

Samenhang met andere wetgeving

Het kabinet heeft in het BNC-fiche en in antwoord op vragen van de Tweede en de Eerste Kamer aangegeven meer duidelijkheid te vragen over de mate van afstemming tussen de conformiteitsbeoordeling van de CRA en de cyberbeveiligingsverordening en de certificeringen die hier onderdeel van uitmaken. In het voorstel voor de CRA wordt in overweging 18 wel vermeld dat uitgevers van Europese digitale identiteitsportemonnees hun producten moeten certificeren volgens de cyberbeveiligingsverordening.

Het kabinet geeft in het Actieplan NLCS (Bijlage bij Kamerstuk 26 643, nr. 925) aan in te zetten op de ontwikkeling van Europese certificeringschema's voor (veilige) ICT-producten, diensten en processen, zoals voor clouddiensten, 5G technologie en Common Criteria. In dit kader wil het kabinet ook de bewustwording en implementatie van certificeringsschema's onder de cyberbeveiligingsverordening stimuleren. De CRA wordt in dit kader niet genoemd.

4.2.3. Meldplicht

Zowel de Eerste (Kamerstuk 36 239, C) en Tweede Kamer (Kamerstuk 22 112, nr. 3555) hebben hun zorgen geuit over de verplichting voor bedrijven om een actief misbruikte kwetsbaarheid binnen 24 uur te melden nadat het misbruik is geconstateerd. Het kabinet heeft hierop aangegeven dat de uitzonderingsgronden voor de meldplicht verdere afbakening behoeft en hierover nog in gesprek te gaan met de Europese Commissie. Tot slot zijn zorgen geuit over de vele meldplichten die voortvloeien uit allerlei andere wetgeving en het gebrek aan samenhang hiertussen. Op dit laatste aspect wordt nader ingegaan in 5.1.

In de voorlopige compromistekst van 10 maart jl. (bron: Politico) wordt nu gespecificeerd dat de termijn voor de meldplicht gelijk is aan de bestaande vereisten onder de NIS2-richtlijn. Ook staat in een extra artikel 11.2a de uitzondering dat de fabrikant niet verplicht is een melding te doen bij een incident waar nog geen misbruik van is geconstateerd.

Ook Rapporteur Danti van het EP heeft in zijn conceptverslag de termijnen voor de rapportageverplichtingen voor fabrikanten die zich bewust worden van actief misbruikte kwetsbaarheids- en beveiligingsincidente, afgestemd op die van de NIS2-richtlijn. Ook stelt hij volgens het conceptverslag voor om de meldingsplicht alleen verplicht te stellen voor actief misbruikte kwetsbaarheden en significante incidenten, in plaats van voor alle incidenten.

Samenhang met andere wetgeving

In antwoord op vragen van de Tweede (Kamerstuk 22 112, nr. 3555) en de Eerste Kamer (Kamerstuk 36 239, C) heeft het kabinet aangegeven verduidelijking te vragen over hoe de meldplichten uit de NIS2-richtlijn, de cyberbeveiligingsverordening, de richtlijn betreffende de weerbaarheid van kritieke entiteiten (de CER-richtlijn) en de CRA zich tot elkaar verhouden.

Het beschreven proces van de meldplicht in de CRA (fabrikanten moesten incidenten melden bij ENISA) past niet goed bij het proces van de NIS2-richtlijnen hoe het kabinet de meldplicht volgens het Actieplan NLCS in Nederland wil inregelen. Volgens dit Actieplan (Bijlage bij Kamerstuk 26 643, nr. 925) wil het kabinet het opzetten van één centraal meldloket verkennen. Hiermee kunnen fabrikanten meldingen laagdrempelig en gelijktijdig doen bij zowel het CSIRT als de betreffende toezichthouder. Bij deze verkenning wil het kabinet de verplichte meldingen betrekken die bedrijven vanuit de CRA en de CER-richtlijn moeten doen, alsmede de meldingen vanuit sectorale wetgeving als de Digital Operational Resilience Act (DORA), die geldt voor de financiële sector en de Network Code on cybersecurity (NCCS), die geldt voor de energiesector.

In de voorlopige compromistekst van de CRA van 10 maart 2023 (bron: Politico) is het proces inmiddels aangepast aan de NIS2-richtlijn. Fabrikanten moeten nu de melding doen bij hun nationale CSIRTs in plaats van bij ENISA (zie 4.3). De CSIRTs moeten vervolgens ENISA en hun nationale toezichthouder(s) in kennis stellen.

Paragraaf 4.3 gaat nader in op het proces van de meldplicht en de rol van ENISA en het CSIRTs-netwerk.

4.3. Rol en bevoegdheden Europese Commissie en ENISA

In antwoord op vragen van de Tweede (Kamerstuk 22 112, nr. 3555) en Eerste Kamer (Kamerstuk 36 239, C) heeft het kabinet aangegeven verduidelijking te vragen over de precieze rol en bevoegdheden die aan de Europese Commissie en aan EU-agentschap voor cyberbeveiliging (ENISA) worden toegekend in de CRA, onder meer in relatie tot de verantwoordelijkheden van nationale markttoezichthouders, het Nationaal Cyber Security Centrum (NCSC) en het CSIRTs-netwerk. Daarnaast heeft het kabinet aangegeven de Europese Commissie om verduidelijking te vragen wat wordt bedoeld met «onnodige vertraging» bij het doorzetten van een melding door een fabrikant.

Uit een voorlopige compromistekst van 10 maart 2023 (bron: Politico) valt op te maken dat de rol van nationale computercrisisresponsteams (CSIRTs) en het ENISA nu omgedraaid is. Fabrikanten moeten binnen 24 uur nadat het incident bekend is melding maken van incidenten die impact hebben op de veiligheid van het product bij het betreffende nationale CSIRT (Computer Security Incident Response Team) in plaats van aan ENISA. Van de responsteams wordt vervolgens verwacht dat zij ENISA en de betrokken nationale toezichthouder (in Nederland zou dit de Rijksinspectie Digitale Infrastructuur (RDI; voorheen Agentschap Telecom) zijn) «zonder onnodige vertraging» daarvan in kennis stellen.

Rapporteur Danti van het EP stelt in zijn conceptverslag duidelijke protocollen voor voor de behandeling van dergelijke meldingen, aangezien informatie over niet-gepatchte kwetsbaarheden aanzienlijke schade kan veroorzaken als deze in handen valt van hackers. In tegenstelling tot de Raad (zie boven), wil Danti het centrale meldpunt bij ENISA houden en de middelen van ENISA vergroten.

Hoofdstuk 5 gaat nader in op de meldplicht en de samenhang met andere Europese wetgevingstrajecten.

Europese Commissie

Zoals opgenomen in het BNC-fiche en in antwoord op vragen van de Tweede Kamer heeft het kabinet aangegeven ook aandacht te houden voor de verdere uitwerking van de bevoegdheden van de commissie om, als er mogelijk sprake is van aanzienlijke cyberbeveiligingsrisico’s, digitale producten uit de Europese markt te laten terugtrekken door ENISA. Dit kan wellicht op gespannen voet staan met de uitsluitende verantwoordelijkheid van lidstaten op het gebied van bescherming van de nationale veiligheid.

5. Aanbevelingen

U kunt overwegen in te gaan op de volgende punten tijdens het commissiedebat ter voorbereiding op de Telecomraad:

  • Het kabinet heeft aangegeven zich in te zetten voor verduidelijking en afbakening van de uitzondering voor open source software. Er is nog niet teruggekoppeld in hoeverre de makers van open source software nu voldoende beschermd zijn als zij dergelijke software gratis beschikbaar stellen en in hoeverre fabrikanten die deze software gebruiken richting de makers ervan een verplichting hebben als zij stuiten op een beveiligingsissue.

  • Het kabinet heeft aangegeven open te staan voor mogelijkheden om het mkb te ondersteunen ten aanzien van de wijze waarop zij aan de verplichtingen kunnen voldoen. Hier is nog geen terugkoppeling over gegeven.

  • Het kabinet heeft in het Actieplan NLCS aangegeven een centraal meldpunt te willen onderzoeken om het voor bedrijven laagdrempeliger te maken aan de meldplicht te voldoen. Hoe is nog niet bekend hoe het kabinet ervoor gaat zorgen dat dit meldpunt ook voldoende veilig is, zodat het geen doelwit wordt voor hackers. En hoe het kabinet het doorzetten van de melding naar ENISA voldoende veilig kan realiseren. Daarnaast is onduidelijk wat de positie van het kabinet is als toch blijkt dat bedrijven direct moeten melden bij ENISA, bij ENISA een centraal meldpunt komt en mogelijk de middelen van ENISA hiertoe worden opgehoogd.

  • Het kabinet heeft in het Actieplan NLCS aangegeven dat het de beschikbaarheid van Europese standaarden en schema’s wil bevorderen om bedrijven te ontlasten bij het voldoen aan de conformiteitsbeoordeling. Er is geen informatie over het tijdspad van de beschikbaarheid van deze standaarden. Gezien de brede scope van de CRA, met veel verschillende producttypes, is deze informatie voor bedrijven relevant.

  • Zoals opgenomen in het BNC-fiche en in antwoord op vragen van de Kamer heeft het kabinet aangegeven ook aandacht te houden voor de verdere uitwerking van de bevoegdheden van de commissie om in uitzonderlijke gevallen digitale producten uit de Europese markt te laten terugtrekken. Dit kan namelijk op gespannen voet staan met de uitsluitende verantwoordelijkheid van lidstaten op het gebied van bescherming van de nationale veiligheid. Hier is nog geen terugkoppeling over gegeven.

  • Vanaf de datum waarop de CRA in het Publicatieblad van de EU wordt gepubliceerd, hebben bedrijven volgens het voorstel 24 maanden om aan de maatregelen te voldoen. De NIS2-richtlijn heeft een deadline van 21 maanden voor implementatie. Het overzicht ontbreekt wanneer de zorgplicht, de meldplicht en de conformiteitsbeoordeling voor fabrikanten van kracht worden krachtens de CRA en in hoeverre deze verplichtingen nu al gelden krachtens andere Europese wetgeving op het gebied van cybersecurity. Ook is niet duidelijk in hoeverre deze verplichtingen nu voldoende op elkaar zijn afgestemd.

  • De ontwikkelingen op het gebied van AI gaan razendsnel. Het kabinet heeft niet gedeeld hoe de CRA zich tot deze ontwikkelingen verhoudt en of de CRA qua wetgeving voldoende toekomstbestendig is (en techniekneutraal). In het voorstel voor de CRA wordt ook geen relatie gelegd met de AI-verordening en de conformiteitsbeoordeling die krachtens deze verordening voor hoog-risico-AI-systemen vereist is.

Rajkowski Dekker-Abdulaziz

Naar boven