22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Nr. 3552 BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 21 oktober 2022

Overeenkomstig de bestaande afspraken ontvangt u hierbij 2 fiches die werden opgesteld door de werkgroep Beoordeling Nieuwe Commissie voorstellen (BNC).

Fiche: Verordening Cyber Resilience Act (CRA)

Fiche: Europese Media Vrijheid Verordening en Aanbeveling redactionele onafhankelijkheid en transparantie mediaeigendom (Kamerstuk 22 112, nr. 3553)

De Minister van Buitenlandse Zaken, W.B. Hoekstra

Fiche: Verordening Cyber Resilience Act (CRA)

1. Algemene gegevens

  • a) Titel voorstel

    Proposal for a Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020.

  • b) Datum ontvangst Commissiedocument

    15 september 2022

  • c) Nr. Commissiedocument

    COM(2022) 454

  • d) EUR-Lex

    EUR-Lex – 52022PC0454 – EN – EUR-Lex (europa.eu)

  • e) Nr. impact assessment Commissie en Opinie Raad voor Regelgevingstoetsing

    SWD(2022) 282

    SWD(2022) 283

    SEC(2022) 321

  • f) Behandelingstraject Raad

    Raad Vervoer, Telecommunicatie en Energie (TTE)

  • g) Eerstverantwoordelijk ministerie

    Ministerie van Economische Zaken en Klimaat in nauwe samenwerking met het Ministerie van Justitie en Veiligheid

  • h) Rechtsbasis

    Artikel 114 Verdrag betreffende de Werking van de Europese Unie (VWEU)

  • i) Besluitvormingsprocedure Raad

    Gekwalificeerde meerderheid

  • j) Rol Europees Parlement

    Medebeslissing

2. Essentie voorstel

a) Inhoud voorstel

Hardware- en softwareproducten zijn in toenemende mate onderhevig aan cyberaanvallen, met hoge kosten voor samenlevingen en individuele consumenten als gevolg. Op dit moment is er specifiek voor de Europese Unie (hierna ook: «EU») alleen wetgeving die van toepassing is op bepaalde producten met digitale elementen, maar ontbreekt er een breed wetgevend kader dat de cybersecurity reguleert voor alle hardware- en software producten. Dit heeft als gevolg dat er kwetsbare producten met digitale elementen in omloop zijn op de Europese interne markt die grote schade kunnen berokkenen aan consumenten, bedrijven, en overheden. Omdat deze producten vaak grensoverschrijdend worden gebruikt, kunnen deze incidenten zich snel over de interne markt verspreiden.

De tweeledige hoofddoelstelling van de Cyber Resilience Act (hierna ook: «CRA») is (1) het creëren van horizontale robuuste cybersecurity voorwaarden voor alle producten met digitale elementen waar fabrikanten, leveranciers en importeurs van dergelijke producten aan moeten voldoen vóór plaatsing op de interne markt en tijdens de productlevenscyclus, en(2) het zorgen voor transparantie over de mate van cybersecurity van dergelijke producten ten behoeve van de keuze van gebruikers (consumenten en organisaties). Dit moet leiden tot een digitaal veiligere Europese digitale interne markt en samenleving waar onveilige producten van de markt kunnen worden geweerd en gehaald. De EU is wereldwijd de eerste partij die met dergelijke wetgeving komt en kan hiermee mondiaal de standaard zetten voor digitaal veilige producten. Wanneer derde landen, waar een groot deel van de productie van digitale producten plaatsvindt, volgen, zorgen we als EU voor een wereldwijd veiligere waardenketen.

Onder de reikwijdte van de CRA vallen alle producten met digitale elementen, waarvan het gebruik en redelijk voorstelbaar gebruik een directe of indirecte verbinding tot een eindapparaat of netwerk bevat. Dit omvat alle hardware- of softwareproducten en individuele componenten. Buiten de reikwijdte vallen medische (in-vitro) apparaten, motorvoertuigen, producten gerelateerd aan de burgerluchtvaart, producten die exclusief zijn ontwikkeld voor de nationale veiligheid, militaire doeleinden of om gerubriceerde informatie te verwerken, Software-as-a-Service (SaaS, een variant van clouddienstverlening) en open source software indien er geen economische activiteit aan is gekoppeld. Onder de aanbieders van producten met digitale elementen wordt verstaan de fabrikanten die de producten ontwikkelen, ontwerpen en beschikbaar stellen onder hun naam of handelsmerk (gratis of tegen betaling), en de leveranciers en de importeurs die de producten beschikbaar stellen in de interne markt. Elk type aanbieder in de productieketen heeft hierbij verschillende verantwoordelijkheden.

Vanwege het horizontale karakter en de brede reikwijdte van de CRA, zijn er raakvlakken met andere (sectorale) EU-wetgeving die de cybersecurity van specifieke producten met digitale elementen of bepaalde diensten reguleren, zoals medische apparatuur of voertuigen. De CRA beoogt de verhouding tot deze sectorale wetgeving te verhelderen om zo juridische duidelijkheid te scheppen voor bedrijven en toezichthouders. Zo zijn er in de CRA bepalingen opgenomen die aangeven welke cybersecurityverplichtingen gelden of juist komen te vervallen indien een product met digitaal element onder de reikwijdte van de CRA én een ander Unie wetgevingsinstrument valt. Ook wordt er bepaald of de conformiteitsbeoordeling van de CRA, van het andere Unie wetgevingsinstrument of een combinatie hiervan gevolgd moet worden.

Het stelsel van verplichtingen dat de CRA introduceert aan de fabrikanten, importeurs en leveranciers kan grofweg in twee categorieën worden onderverdeeld: een set aan ex-ante verplichtingen waaraan aanbieders van producten met digitale elementen moeten voldoen vóórdat deze producten op de markt mogen worden geplaatst, en een set aan ex-post verplichtingen die gelden nádat de producten op de markt zijn geplaatst.

Zo moeten fabrikanten en importeurs onder het ex-ante gedeelte van de verordening ervoor zorgen dat hun producten voldoen aan de essentiële voorwaarden in Annex I, waaronder de verplichting om hun producten zodanig te ontwerpen, ontwikkelen en produceren dat ze een passend niveau van cybersecurity garanderen in overeenstemming met het risico dat voortvloeit uit het gebruik.

Ook mag het product niet onderhevig zijn aan – voor zover bekend – exploiteerbare kwetsbaarheden. Verder moet de fabrikant het product met het digitale element aan een conformiteitsbeoordelingsprocedure onderwerpen om aan te tonen dat het product tegemoet komt aan de bovengenoemde essentiële voorwaarden in Annex I, alvorens het op de interne markt mag worden gebracht. In Annex III zijn twee categorieën kritieke producten met digitale elementen opgenomen die een hoger cybersecurity risico met zich mee brengen en waarvoor zwaardere eisen aan de conformiteitsbeoordelingsprocedure worden gesteld. Voor kritieke producten uit categorie II in Annex III moet de conformiteitsbeoordeling worden uitgevoerd door een onafhankelijke derde partij. De Commissie krijgt de bevoegdheid om via gedelegeerde handelingen producten aan de lijst van kritieke producten van Annex III te schrappen of toe te voegen, waarbij producenten worden verplicht te voldoen aan een cybersecuritycertificaat volgens het EU-cybersecuritycertificeringsschema. Ten slotte moet de fabrikant informatie en instructies bijvoegen bij het product voor de gebruiker zodat zij/hij het product veilig kan installeren en gebruiken.

Voor de ex-post verplichtingen geldt dat de fabrikant voor de verwachte levensduur van het product, of voor een periode van vijf jaar (welke korter is), moet garanderen dat kwetsbaarheden van het product effectief aangepakt worden middels bijvoorbeeld veiligheidsupdates en het product blijft voldoen aan de essentiële voorwaarden in Annex I. Ook moet de fabrikant zonder onnodige vertraging en binnen 24 uur bij de European Union Agency for Cybersecurity (hierna ook: «ENISA») melden dat er een kwetsbaarheid in zijn product is geëxploiteerd is en een incident vormt die een impact kan hebben op de veiligheid van het product. ENISA moet deze melding vervolgens zonder vertraging1 doorzetten naar de aangewezen nationale Cyber Security Incident Response Team (hierna ook: «CSIRT») of Single Point of Contact en de nationale markttoezichtautoriteit op de hoogte stellen.

Lidstaten moeten toezicht en handhaving van de regels in de CRA binnen hun grondgebied beleggen bij één of meerdere markttoezichthouders. Dit mag een bestaand of nieuw op te richten autoriteit zijn. Waar de markttoezichthouder oordeelt dat een aanbieder van producten met digitale elementen de regels niet naleeft en de gevolgen hiervan niet beperkt zijn tot zijn grondgebied, zal de markttoezichthouder de Commissie en de andere lidstaten informeren over de evaluatie en maatregelen die het vis-à-vis de aanbieder heeft genomen. De Commissie kan markttoezichthouders verzoeken een onderzoek te verrichten als het voldoende redenen heeft om aan te nemen dat een product niet aan de voorwaarden voldoet. In uitzonderlijke omstandigheden waarbij (1) een product een aanzienlijk cybersecurityrisico heeft, (2) het niet aan de voorwaarden voldoet en (3) de relevante markttoezichthouder geen doeltreffende maatregelen heeft genomen, mag de Commissie tot onmiddellijke interventie overgaan en ENISA verzoeken een onderzoek te verrichten. Op basis van dit onderzoek kan de Commissie ervoor kiezen middels een uitvoeringshandeling maatregelen te nemen op EU-niveau, waaronder het terugroepen van het product van de interne markt. Verder kunnen markttoezichthouders zelf, of op verzoek van de Commissie of ENISA, met andere relevante toezichthouders een gezamenlijk onderzoek te verrichten naar producten die een cybersecurityrisico vormen. Ten slotte kunnen onder de coördinatie van de Commissie gelijktijdige nalevingscontroles worden gehouden door de markttoezichthouders (zogenaamde «sweeps»).

b) Impact assessment Commissie

De Commissie heeft in aanloop naar het impact assessment onder andere een publieke consultatie gehouden en verscheidene workshops georganiseerd met stakeholders, waaronder lidstaten, fabrikanten, gebruikers en anderen, over de cybersecurity van producten met digitale elementen. Uit de feedback van deze consultatierondes kwamen twee principiële problemen naar voren: (1) er heerst een laag niveau van cybersecurity van producten met digitale elementen, en (2) er is een gebrek aan kennis en informatie voor gebruikers voor wat betreft de cybersecurity van een product. Ook wordt in het impact assessment geconcludeerd dat de nieuwe verplichtingen nalevings- en handhavingskosten met zich mee zullen brengen, onder andere voor het bedrijfsleven, met name het mkb. In de consultaties gaf het mkb daarom het belang aan van een proportionele aanpak en ondersteunende maatregelen.

3. Nederlandse positie ten aanzien van het voorstel

a) Essentie Nederlands beleid op dit terrein

Het Cyber Security Beeld Nederland (hierna ook: «CSBN») geeft jaarlijks een overzicht van de digitale dreigingen en weerbaarheid. Opeenvolgende beelden, inclusief het CSBN van 20222 trekken vergelijkbare conclusies als het impact assessment van de Europese Commissie, namelijk dat de onveiligheid van ICT-producten en diensten de achilleshiel vormen van de digitale weerbaarheid, en dat de marktdynamiek de beheersing van digitale risico’s compliceert. De analyse van het CSBN is de basis voor de kabinetsbrede Nederlandse Cybersecurity Strategie (NLCS)3. Het doel van de NLCS is om Nederland digitaal veilig te maken door de digitale weerbaarheid te verhogen en dreigingen tegen te gaan. Het kabinet zet in op het versterken en transformeren van het digitale ecosysteem waarbij één organisatie of één individu niet langer de zwakste schakel kan zijn. Dat vergt een systeemtransformatie die in de vier pijlers van de NLCS wordt uitgelicht. Dit vergt de inzet van een uitgebalanceerd samenspel aan instrumenten: van intensievere publiek-private samenwerking tot nieuwe wetgeving, met als doel een ecosysteem te creëren waarbij burgers, organisaties en (kleine) bedrijven in beginsel veilige producten en diensten kunnen afnemen. In het kader van de Europese digitaal eengemaakte markt, de competitieve wereldeconomie, het streven naar een gelijk speelveld en veilige ICT-producten en diensten zet het kabinet zo veel mogelijk in op het ontwikkelen van Europese wet- en regelgeving. Deze inzet komt tot uiting in pijler II van de NLCS met betrekking tot veilige en innovatieve digitale producten en diensten. De ontwikkeling van de CRA in samenspel met andere Europese wet- en regelgeving en certificering voor ICT-producten en diensten staat centraal in de aanpak naast nationale maatregelen zoals de inkoopeisen cybersecurity van de overheid (ICO). Deze inzet heeft ook een internationaal normatief element, zoals uiteengezet in pijler III van de NLCS. Hierin stelt het kabinet zich ten doel om actief deel te nemen aan internationale discussies over technische standaarden die van invloed zijn op de openheid, vrijheid en veiligheid van het internet door standpunten te coördineren op EU niveau en met gelijkgezinde landen. De CRA biedt een mogelijkheid de internationale discussies over de technische standaarden te beïnvloeden.

b) Beoordeling + inzet ten aanzien van dit voorstel

Het voorstel beoogt de cybersecurity van producten met digitale elementen in de Europese digitale interne markt te vergroten en versterken. Het kabinet steunt deze doelstelling en verwelkomt het voorstel. Over het algemeen is de eerste indruk van het kabinet van het voorstel positief en in lijn met het Nederlandse non-paper4 en consultatiereactie5 op dit voorstel die u op 14 december 2021 en op 17 augustus jl. heeft ontvangen. U ontvangt parallel aan dit BNC-fiche het non-paper van Nederland, Denemarken en Duitsland van 12 september jl. Wel is er op een aantal onderdelen nog onduidelijkheid zoals hierna wordt beschreven. Hierover zal het kabinet nadere uitleg vragen.

Het kabinet steunt de keuze om, producten met digitale elementen, inclusief alle hardware- en softwareproducten, en fabrikanten, leveranciers en importeurs van dergelijke producten onder de reikwijdte van het CRA voorstel te brengen. Er bestaat momenteel geen horizontale cybersecuritywetgeving met verplichtingen voor alle marktspelers van digitale producten. Bestaande Uniewetgeving op het gebied van cybersecurity (en wetgeving die op dit moment in onderhandeling is) kent een andere invalshoek, zoals bijvoorbeeld de herziene Richtlijn voor Netwerk- en Informatiebeveiliging (hierna ook: «NIB2») dat een kader biedt voor de beveiliging van essentiële en belangrijke organisaties, de vrijwillige cybersecurity certificering van ICT-producten, diensten en processen onder de Cybersecurity Act (hierna ook: «CSA») en de cybersecurityeisen over de Radio Equipment Directive (hierna ook: «RED»). De CRA kan hierin een vangnet vormen met essentiële eisen die voor alle producten met digitale elementen gelden, waarbij sectorale wetgeving als lex specialis additionele voorwaarden kan stellen voor specifieke producten en diensten.

Het kabinet is positief over het op termijn intrekken van de gedelegeerde handeling onder de RED voor cybersecurityeisen voor draadloos verbonden apparaten wanneer de horizontale eisen van de CRA in werking treden. Hiermee vloeien de gestelde eisen onder de RED die van kracht worden op 1 augustus 2024 over in de CRA en wordt duplicatie van Europese wet- en regelgeving voorkomen.

De exacte reikwijdte van het begrip producten met digitale elementen is echter nog niet volledig duidelijk. Dit is een aandachtspunt voor het kabinet. Voor het kabinet is het van belang dat voldoende duidelijk is dat bijvoorbeeld alle hard- en softwareproducten, inclusief alle losse software, binnen de definitie valt.

Voor wat betreft de verhouding met reeds bestaande cybersecurity gerelateerde wetgeving (en wetgeving die op dit moment in onderhandeling is) steunt het kabinet een zo ver mogelijke overeenstemming van de personele en materiële reikwijdte van de CRA met de definities die worden gehanteerd in Unie wetgeving waaronder de CSA, NIB2, AI Act, de Machinerichtlijn, de General Product Safety Regulation (gerelateerd aan fysieke veiligheid) en andere instrumenten. Dit biedt juridische zekerheid aan zowel bedrijven als lidstaten.

Het kabinet is van oordeel dat de relatie tussen de horizontale CRA en de andere genoemde verticale, sectorale wetgeving nog verdere duidelijkheid behoeft om zo bovengenoemde samenhang en aansluiting te garanderen, en duplicatie met deze wetgeving te vermijden.

Zo zal het kabinet verduidelijking vragen hoe de focus op producten met digitale elementen zich verhoudt tot de bredere scope van de CSA die zich richt op ICT-producten, diensten en processen. Ook valt Software-as-a Service (SaaS, een vorm van clouddienstverlening) niet onder de CRA omdat deze aanbieders hiervan onder NIB2 reeds worden gereguleerd als essentiële entiteit. Het kabinet zal verhelderingvragen of over deze uitzondering voor de betrokken organisaties voldoende eenduidigheid biedt. Ook de samenhang met andere relevante wetgevingsvoorstellen, zoals de herziening van de eIDAS-verordening en de verschillende meldplichten die onder de CRA en NIB vallen, zijn aandachtspunten voor verdere verheldering. De meldplicht voor fabrikanten over kwetsbaarheden en incidenten dient door ENISA verspreid te worden aan lidstaten of het Europese netwerk van Cybersecurity Incident Response Teams (hierna ook: «CSIRTs-netwerk»). Het kabinet beschouwt het van belang dat de reactietermijn van ENISA voor deze meldingen wordt gespecificeerd. Daarnaast beschouwt het kabinet dat de uitzonderingsgronden voor de meldplicht van fabrikanten afbakening behoeft.

Tot slot zal het kabinet de Commissie om verduidelijking vragen over de totstandkoming en redenering van de lijst van kritieke producten met digitale elementen in Annex III. Het kabinet staat positief tegenover het gebruik van verschillende mogelijkheden tot conformiteitsbeoordeling afhankelijk van de risico’s. Daarbij is van belang dat de eisen aan conformiteitsbeoordeling voldoende waarborgen bevatten om ervoor te zorgen dat die beoordeling betrouwbaar wordt uitgevoerd en van voldoende kwaliteit is.

Verder oordeelt het kabinet over het algemeen positief over de inhoudelijke verplichtingen waaraan alle producten met digitale elementen en fabrikanten, leveranciers en importeurs van dergelijke producten aan moeten voldoen. Voor wat betreft de termijn waarop kwetsbaarheden moeten worden verholpen zal het kabinet verheldering vragen wat wordt beoogd met een keuze tussen de kortste van de twee termijnen, de productlevenscyclus of vijf jaar. Voldoende cybersecurity waarborgen gedurende de productlevenscyclus is voor het kabinet van belang. Het voorstel roept op dit punt ook vragen op over de aansluiting met de Europese richtlijnen over de verkoop van goederen en levering van digitale inhoud en diensten. Op basis van deze richtlijnen moet een handelaar een consument van updates voorzien voor een periode die de consument redelijkerwijs kan verwachten. Ten aanzien van de taken die ENISA mede op basis van huidige wetgeving thans heeft6, zal het kabinet vragen om nadere toelichtingen omtrent de voorgestelde rol en bevoegdheden van ENISA bij bijvoorbeeld de meldplicht voor producenten van geëxploiteerde kwetsbaarheden van producten met een digitaal element bij ENISA en het vervolgens door ENISA doorzetten van deze meldingen naar nationale Cybersecurity Incident Response Teams (CSIRTs).

Zoals opgemerkt in het Nederlandse non-paper7 zal het kabinet aandacht hebben voor de proportionaliteit en juridische zekerheid van deze verplichtingen, met name voor het mkb, met als doel om veilige innovatie te bevorderen en uitvoerbaarheid van de verplichtingen te garanderen.

Op het gebied van markttoezicht steunt het kabinet de keuze om lidstaten vrij te laten bij welke, al dan niet nieuw op te richten autoriteit, het toezicht en de handhaving van de CRA regels op hun grondgebied te beleggen. Wel plaatst het kabinet aandachtspunten bij de precieze rol en bevoegdheden die aan de Commissie en ENISA worden toegekend in het voorstel. Het kabinet zal verduidelijking vragen over de precieze rol van beide laatstgenoemde instanties, onder meer in relatie tot de verantwoordelijkheden van nationale markttoezichthouders en nationale cybersecurity incident response teams zoals bijvoorbeeld ook het Nationaal Cyber Security Centrum (hierna ook: «NCSC») en het Cyber Security Incident Response Team voor digitale dienstverleners (hierna ook: «CSIRT-DSP»). Hierbij zal het kabinet benadrukken dat de onafhankelijkheid van de nationale markttoezichthouders in de uitvoering van hun toezichtstaken essentieel is.

Voor een aantal zaken komen de bevoegdheden van de Commissie de wendbaarheid van de CRA ten goede in relatie tot technologische ontwikkelingen of de ontwikkeling van relevante sectorale Europese wet- en regelgeving. Bij één andere bevoegdheid is het kabinet kritischer. De meest verregaande bevoegdheid die aan de Commissie wordt toegekend is dat zij in uitzonderlijke gevallen digitale producten uit de Europese markt kan laten terugtrekken. Het kabinet zal aandacht houden voor de verdere uitwerking van de bevoegdheden van de Commissie, onder meer of dit op gespannen voet zou kunnen komen te staan met de uitsluitende verantwoordelijkheid van lidstaten op het gebied van bescherming van nationale veiligheid (artikel 4, tweede lid, VEU).

c) Eerste inschatting van krachtenveld

De meeste lidstaten lijken, net als Nederland, het voorstel in de basis te steunen en te verwelkomen. Op het moment van schrijven delen andere lidstaten de vragen van Nederland rondom de reikwijdte, definities, de verhouding met andere Europese wet- en regelgeving zoals NIB2 en CSA, en de voorziene rol van de Commissie en ENISA. Ook zijn er in het afgelopen jaar twee Nederlandse non-papers ontwikkeld over de koers van de CRA. Het eerste non-paper van 14 december 2021 was alleen van NL. Aan een tweede non-paper van 12 september 2022 werd medeondertekend door Duitsland en Denemarken.

Voor wat betreft het Europees Parlement zijn op het moment van schrijven noch een Commissie, noch een Rapporteur aangewezen als hoofdverantwoordelijke voor behandeling van het voorstel. Er is daarom ook nog geen verdere informatie bekend over de inhoudelijke appreciatie van het voorstel door het Europees Parlement op het moment van schrijven.

4. Beoordeling bevoegdheid, subsidiariteit en proportionaliteit

a) Bevoegdheid

Het oordeel van het kabinet ten aanzien van de bevoegdheid is positief. De voorgestelde rechtsgrondslag is artikel 114 VWEU. Op grond van dit artikel is de EU bevoegd maatregelen vast te stellen inzake de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die de instellingen de werking van de interne markt betreffen. Aangezien het voorstel betrekking heeft op het ontwikkelen van robuuste cybersecurity voorwaarden voor alle producten met digitale elementen op de interne markt, kan het kabinet zich vinden in de voorgestelde rechtsgrondslag. Op grond van artikel 4, tweede lid, onder a, van het VWEU hebben de EU en de lidstaten een gedeelde bevoegdheid op het gebied van de interne markt.

b) Subsidiariteit

Het oordeel van het kabinet is positief. De verordening heeft tot doel het creëren van horizontale robuuste cybersecurity voorwaarden voor alle producten met digitale elementen en waar fabrikanten, leveranciers en importeurs van dergelijke producten aan moeten voldoen voor plaatsing op de interne markt. Daarnaast heeft de verordening ook als doel voor transparantie te zorgen over de mate van cybersecurity van dergelijke producten ten behoeve van de keuze van gebruikers (consumenten en organisaties). Dit moet leiden tot een digitaal veiligere Europese digitale interne markt. Gezien het grensoverschrijdende karakter van cybersecurity en het toenemend aantal incidenten met impact in meerdere landen en het feit dat marktspelers over het algemeen actief zijn in meerdere lidstaten of mondiale marktpartijen zijn, kan dit onvoldoende door afzonderlijk optreden van de lidstaten worden bereikt, daarom is een EU-aanpak nodig. Door de verordening wordt het gelijk speelveld op het terrein van cybersecurity gewaarborgd en versterkt, worden belemmeringen op de interne markt voor fabrikanten, leveranciers en importeurs weggenomen en wordt bijgedragen aan de verhoging van de digitale weerbaarheid van Nederland en de EU. Om die redenen is optreden op het niveau van de EU gerechtvaardigd.

c) Proportionaliteit

Het oordeel van het kabinet is positief. De verordening heeft tot doel horizontale cybersecurityeisen te stellen aan alle producten met digitale elementen voor Europese markttoegang in samenspel met Europese sectorale wet- regelgeving en daarmee bij te dragen aan een digitaal veiligere Europese digitale interne markt. Het voorgestelde optreden is geschikt om deze doelstelling te bereiken, omdat de CRA zal fungeren als vangnet voor producten die vallen buiten sectorale wet- en regelgeving op dit terrein. Dit draagt bij aan de digitaal eengemaakte markt, de rechtszekerheid en de voorspelbaarheid van wetgeving binnen de Unie. De CRA sluit daarnaast aan bij de bestaande Europese systematiek van productregulering voor markttoegang met bijbehorende standaardisatie en toezicht, het zogenaamde New Legislative Framework (hierna ook: «NLF»). Bovendien gaat het voorgestelde optreden niet verder dan noodzakelijk, omdat het optreden beperkt blijft tot het verschaffen van dit vangnet.

5. Financiële consequenties, gevolgen voor regeldruk, concurrentiekracht en geopolitieke aspecten

a) Consequenties EU-begroting

De Commissie geeft in het voorstel aan dat ENISA voor de uitvoering 4,5 FTE zal toekennen uit de bestaande budgetten, omdat er synergiën zijn met werkzaamheden en de reeds toegekende budgetten voor NIB2. De Commissie stelt 7 additionele FTE nodig te hebben (€ 5 miljoen euro) per jaar. De benodigde FTE zullen worden gedekt uit reeds bestaande fraudepreventiemaatregelen. Het kabinet is van mening dat de financiële middelen gevonden dienen te worden binnen de in de Raad afgesproken financiële kaders van het MFK 2021–2027 en dat deze moeten passen bij een prudente ontwikkeling van de jaarbegroting van de EU.

b) Financiële consequenties (incl. personele) voor rijksoverheid en/ of medeoverheden

De financiële consequenties van dit voorstel voor de rijksoverheid zien op het inrichten van markttoezicht op nationaal niveau. De financiële gevolgen van het voorstel voor de rijksoverheid en medeoverheden zijn op dit moment nog niet te specificeren, maar zijn naar verwachting substantieel. De Commissie schat in dat voor de hele EU de kosten voor markttoezicht zullen bestaan uit € 7,7 miljard euro. Het inrichten van passend toezicht als sluitstuk is nodig om het beoogde positieve maatschappelijke effect te realiseren dat producten digitaal veiliger zijn. De budgettaire gevolgen voor de Rijksbegroting worden ingepast op de begroting van het beleidsverantwoordelijke departement, conform de regels van de budgetdiscipline. Daarbij dient ook rekening gehouden te worden met eventuele budgettaire gevolgen voor medeoverheden.

c) Financiële consequenties en gevolgen voor regeldruk voor bedrijfsleven en burger

Het voorstel heeft financiële consequenties en verhoogt de regeldruk voor het bedrijfsleven. Dit moet worden afgezet tegen de baten voor de verschillende stakeholders en de samenleving als geheel. Het impact assessment van de Commissie maakt de diverse elementen inzichtelijk. De Commissie stelt dat voor hard- en softwarefabrikanten de nalevingskosten bestaan uit het opnemen van de veiligheidseisen in hun producten met digitale elementen in de productlevenscyclus, het uitvoeren van de conformiteitsbeoordeling, verplichtingen voor documentatie en een meldplicht bij kwetsbaarheden. Bovendien wordt een risicogebaseerde benadering gekozen met oog voor administratieve lasten en nalevingskosten. Enerzijds worden de administratieve lasten beperkt doordat organisaties door middel van een zelfassessment de conformiteitsbeoordeling uit kunnen voeren. Anderzijds zijn kritieke producten met digitale elementen gedefinieerd waarvan de cybersecurityrisico’s en potentiële negatieve impact van kwetsbaarheden hoger zijn. Voor deze kritieke producten gelden zwaardere eisen ten aanzien van de conformiteitsbeoordelingsprocedure waarbij in de hoogste risicoklasse de conformiteitsbeoordeling plaats moet vinden door een onafhankelijke derde partij. De Commissie schat in dat het aandeel kritieke producten met digitale elementen 10% van het totaal aantal gereguleerde producten is. De totale nalevingskosten in de hele EU schat de Commissie in op ongeveer 29 miljard euro op een totale marktomzet van 1485 miljard euro per jaar. De nalevingskosten voor een bedrijf zullen variëren en zijn afhankelijk van de complexiteit en omvang van het product, de bestaande cybersecurity praktijk van een bedrijf, de omgeving (business-to-consumer of business-to-business) en de omvang van het bedrijf. Dit geldt voor het mkb tot grote bedrijven en is afhankelijk van hun rol in de digitale economie. De gemiddeld geschatte kosten van een zelfassessment zijn 18.400 euro en een conformiteitsbeoordeling door een derde partij zijn 25.000 euro. Voor bedrijven worden met Europese horizontale verplichtingen nalevingskosten gereduceerd ten opzichte van nalevingskosten in verschillende lidstaten. Daarnaast verwacht de Commissie dat het aantal cybersecurity incidenten met producten met digitale elementen met bijkomende incidentresponskosten en reputatieschade met 33% vermindert. Voor de hele EU verwacht de Commissie een kostenbesparing als gevolg van incidenten van rond de 180 miljard per jaar tot 290 miljard euro per jaar. Het is aannemelijk dat bedrijven de verhoogde kosten zullen doorberekenen in hun prijs naar gebruikers (organisaties en consumenten). Dit moet worden afgewogen tegen de baten van gebruikers van verhoogde transparantie, dat producten met digitale elementen die zij afnemen standaard veiliger zijn en hun fundamentele rechten zoals privacy en bescherming van hun data ook beter zijn geborgd. Wel wordt er in het impact assessment aandacht gevraagd door het mkb voor een proportionele benadering en ondersteunende maatregelen, gezien het mkb dat naar verwachting relatief hogere regeldruk zal ervaren.

d) Gevolgen voor concurrentiekracht en geopolitieke aspecten

Met het verhogen van de cybersecurity van producten met digitale elementen beoogt de EU de weerbaarheid van de digitale samenleving en economie te vergroten. Europese wet- en regelgeving met bijbehorende standaarden en toezicht zoals in de CRA dragen bij aan de veiligheid en weerbaarheid van de wereldwijde waardeketen en stimuleren digitaal veilige innovaties. Dit stelt de EU in staat wereldwijd een sterkere positie in het digitale domein in te nemen. Het is daarnaast goed dat de EU inzet op een horizontale verordening. Gefragmenteerde standaarden en regulering over cybersecurity verzwakken niet alleen het concurrentievermogen van Europese bedrijven en de cybersecurity van consumenten, ze ondermijnen ook de open strategische autonomie van de EU. Met het verhogen van de digitale weerbaarheid behoudt de EU ook een open economie en een platform voor samenwerking met internationale partners. De EU is wereldwijd de eerste partij die dergelijke wettelijke veiligheidseisen introduceert voor producten met digitale elementen. Wanneer de EU, verantwoordelijk voor meer dan een derde van de wereldimport en -export, cybersecuritystandaarden stelt, dan kunnen producenten ervoor kiezen om deze standaarden, omwille van kostenefficiëntie, voor alle geproduceerde producten toe te passen, niet alleen die voor de EU. Hiermee draagt de CRA bij aan een wereldwijd veiligere waardenketen van digitale producten en veiligere digitale samenlevingen. Door samenwerking met gelijkgezinde derde landen kan de EU leidend zijn in het stimuleren van gelijksoortige wettelijke eisen en standaarden wereldwijd. Wereldwijde aanname van vergelijkbare cybersecurityeisen aan producten met digitale elementen bevordert zowel de digitale weerbaarheid van het hele ecosysteem als de concurrentiekracht van Europese bedrijven in de mondiale economie.

6. Implicaties juridisch

a) Consequenties voor nationale en decentrale regelgeving en/of sanctionering beleid (inclusief toepassing van de lex silencio positivo)

Het is noodzakelijk te voorzien in de benodigde nationale uitvoeringsbepalingen om uitwerking te kunnen geven aan deze verordening. Zo moet een bevoegde autoriteit worden aangewezen. Ook moeten regels worden vastgesteld wat betreft de sancties die van toepassing zijn op inbreuken op de verordening, moeten er maatregelen worden getroffen die ervoor zorgen dat deze sancties worden toegepast en moeten er regels worden vastgesteld over de vraag of en in hoeverre administratieve boetes mogen worden opgelegd aan overheidsinstanties en overheidsorganen. In het voorstel van de Commissie staat dat indien de overtreder een onderneming is, een omzet-gerelateerde boete moet worden opgelegd indien dat bedrag hoger is dan het maximale bedrag dat volgt uit de verordening. De hoogte van deze boete wijkt mogelijk af van de hoogte die geldt volgens het systeem zoals dat momenteel in het Warenwetbesluit bestuurlijke boetes is opgenomen. Hier dient de wetgeving eventueel op aangepast te worden.

b) Gedelegeerde en/of uitvoeringshandelingen, incl. NL-beoordeling daarvan

Op basis van artikel 290 VWEU bevat het voorstel de volgende bevoegdheden voor de Commissie voor gedelegeerde handelingen:

  • 1. Het actualiseren van de lijst van categorieën van kritieke producten met digitale elementen in Annex III en het specificeren van definities van deze producten

  • 2. Het identificeren van producten met digitale elementen waarvoor andere Unie wetgeving hetzelfde beschermingsniveau als de CRA garandeert, het vervolgens specificeren of een beperking of uitzondering van de reikwijdte van de verordening nodig is en, indien nodig, de reikwijdte van de beperking te bepalen

  • 3. De mogelijkheid om certificering te verplichten van bepaalde hoog kritieke producten met digitale elementen op basis van beoordelingscriteria die in de verordening staan

  • 4. Het specificeren van de minimale hoeveelheid informatie in de EU verklaring van conformiteit

  • 5. Het aanvullen van elementen die onderdeel moeten zijn van de technische documentatie

Voor wat betreft de hierboven genoemde gedelegeerde handelingen kan het kabinet zich vinden in de toekenning van de bevoegdheden die worden toegekend aan de Commissie. Omdat er geen sprake lijkt te zijn van essentiële onderdelen, is toekenning van deze bevoegdheden mogelijk. Ook acht het kabinet de toegekende handelingen wenselijk omdat elke individuele gedelegeerde handeling ervoor zorgt dat de verordening toekomstbestendig blijft tegen het licht van relevante technologische- en marktontwikkelingen. Zo geeft gedelegeerde handeling «1» (artikel 6 lid 2 en 3) de Commissie de bevoegdheid om de lijst van kritieke producten met digitale elementen in Annex III te actualiseren middels het toevoegen of verwijderen van categorieën van kritieke producten. Het is immers voorstelbaar dat de evolutie van huidige technologieën of de opkomst van een compleet nieuwe technologie kan leiden tot een categorie van kritieke producten met digitale elementen die nu nog niet kan worden voorzien. Deze logica geldt in dezelfde mate voor handelingen «2» (artikel 6 lid 5), «3» (artikel 20 lid 5), «4» (artikel 20 lid 5) en «5» (artikel 23 lid 5). Ook geldt voor alle gedelegeerde handelingen dat delegatie in plaats van uitvoering voor de hand ligt omdat het een aanvulling of wijziging van de wetgevingshandeling betreft. Ten slotte acht het kabinet de vijf bevoegdheden voldoende afgebakend qua doel, inhoud en strekking. De duur van de bevoegdheidstoekenning lijkt niet te zijn opgenomen in het voorstel. Het kabinet heeft een voorkeur voor toekenning van deze bevoegdheden voor bepaalde tijd, met mogelijkheid tot stilzwijgende verlenging.

Het voorstel bevat de volgende bevoegdheden voor de Commissie voor uitvoeringshandelingen ten behoeve van uniforme uitvoering van de verordening, op basis van de verordening (EU)182/2011:

  • 1. Het specificeren van het format en de elementen van de software bill of materials

  • 2. Het specificeren van het soort informatie, format en procedure van de meldingen van actief misbruikte kwetsbaarheden en incidenten die door fabrikanten moeten worden gemeld bij ENISA

  • 3. Het specificeren van welke Europese cybersecurity certificeringschema’s onder de Cyber Security Act kunnen worden gebruikt om conformiteit aan te tonen met de essentiële eisen in Annex I van het voorstel

  • 4. Het adopteren van gemeenschappelijke specificaties in relatie tot de essentiële eisen in Annex I van het voorstel

  • 5. Technische specificaties opstellen voor pictogrammen of andere beeldmerken in relatie tot de cybersecurity van producten met digitale elementen en mechanismen om hun gebruik te stimuleren

  • 6. Besluiten over corrigerende of restrictieve maatregelen op Unie niveau in buitengewone omstandigheden die directe interventie rechtvaardigen om het goed functioneren van de interne markt te behouden.

Ook voor de uitvoeringshandelingen geldt dat, met uitzondering van handeling «6», het kabinet zich kan vinden in de toekenning van de bevoegdheden. Omdat er geen sprake lijkt te zijn van essentiële onderdelen, is toekenning van deze bevoegdheden mogelijk. Toekenning van deze bevoegdheden voor handelingen «1» tot en met «5» acht het kabinet wenselijk omdat voor alle uitvoeringshandelingen geldt dat het de toekomstbestendigheid van de verordening ten goede komt. Zo is uitvoeringshandeling «1» (artikel 10 lid 15) nuttig omdat het de Commissie de bevoegdheid geeft het format en de elementen van de software bill of materials te wijzigen, die, tegen het licht van relevante markt- en technologische ontwikkelingen, geactualiseerd dienen te worden. Handelingen «2» (artikel 11 lid 5), «3» (artikel 18 lid 4), «4» (artikel 19) en «5» (artikel 22 lid 6) dienen eenzelfde doel waarbij de toekomstbestendigheid centraal staat. Ook de keuze voor uitvoering in plaats van delegatie ligt voor handelingen «1» tot en met «6» voor de hand omdat hiermee wordt gewaarborgd dat de verordening volgens eenvormige voorwaarden wordt uitgevoerd, hetgeen ten goede komt van de werking van de interne markt. De uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure als bedoeld in artikel 5 van verordening 182/2011. Toepassing van de deze procedure is hier volgens het kabinet op zijn plaats omdat het gaat om handelingen die de veiligheid van mensen betreffen (artikel 2, lid 2, onder iii, verordening 182/2011).

Over handeling «6» (artikel 45 lid 4) twijfelt het kabinet of toekenning van deze bevoegdheid wenselijk is. Hieraan wordt de bevoegdheid toegekend aan de Commissie om in uitzonderlijke gevallen digitale producten uit de Europese markt te laten terugtrekken. Mogelijk is het wenselijk om dit in de verordening zelf op te nemen of om deze bevoegdheid op een andere wijze vorm te geven in de verordening.

c) Voorgestelde datum inwerkingtreding (bij verordeningen en besluiten) met commentaar t.a.v. haalbaarheid

De verordening zal twintig dagen na publicatie in werking treden en na 24 maanden van kracht zijn. De meldplicht voor fabrikanten in artikel 11 wordt 12 maanden na inwerkingtreding van kracht. Het kabinet acht deze termijn haalbaar en wenselijk aangezien dagelijks kwetsbaarheden in producten met digitale elementen worden ontdekt en het aantal cybersecurity incidenten met aanzienlijke gevolgen voor gebruikers blijven toenemen.

d) Wenselijkheid evaluatie-/horizonbepaling

In het voorstel is opgenomen dat de verordening 36 maanden na inwerkingtreding en daarna elke 4 jaar zal worden geëvalueerd door de Commissie. De Commissie zal het evaluatierapport sturen naar de Europese Raad en het Europees Parlement en het rapport openbaar maken.

Gezien de doorlopende technologische en maatschappelijke ontwikkelingen die raken aan de cybersecurity producten met digitale elementen acht het kabinet deze periodieke evaluatie passend en wenselijk.

e) Constitutionele toets

Het voorstel moet bijdragen aan het creëren van horizontale robuuste cybersecurityvoorwaarden voor alle producten met digitale elementen, waar fabrikanten, leveranciers en importeurs van dergelijke producten aan moeten voldoen voor plaatsing op de interne markt. Dit kan gevolgen hebben voor de vrijheid van ondernemerschap. In het geval dat een product een significant cybersecurity risico vormt en er binnen de daarvoor door de toezichthouder aangewezen periode geen passende maatregelen zijn getroffen, dient de toezichthouder maatregelen te treffen waardoor het betreffende product niet meer op de nationale markt aangeboden kan worden. In een uiterst geval is bovendien de Commissie bevoegd corrigerende of beperkende maatregelen op te leggen op Unieniveau. Tegelijkertijd helpt het creëren van een hoger niveau van cybersecurity van producten met digitale elementen en het bevorderen van kennis en informatie voor gebruikers ook bij de bescherming van de bescherming van fundamentele rechten en vrijheden zoals de persoonlijke levenssfeer, de bescherming van persoonsgegevens, en de bescherming van eigendom of persoonlijke waardigheid en integriteit. Het is van belang dat het voorstel de juiste balans weet te vinden tussen de diverse grondrechten die erdoor worden geraakt. Het kabinet ziet in het voorstel duidelijk aandacht voor deze balans, maar zal hier blijvend aandacht voor hebben.

7. Implicaties voor uitvoering en/of handhaving

Lidstaten moeten toezicht en handhaving van de regels in de CRA binnen hun grondgebied beleggen bij één of meerdere markttoezichthouders. Dit mag een bestaand of nieuw op te richten autoriteit zijn. Gezien de aan Agentschap Telecom (hierna ook: «AT») toegekende taken op het gebied van cybersecurity onder RED (toezicht op (cybersecurity) markttoegangseisen voor draadloos verbonden apparaten) en CSA (nationale cyberbeveiligingscertificeringsautoriteit voor ICT-producten, dienst en processen), en de regels ter implementatie van Europese NIB-richtlijn in de Wet beveiliging netwerk- en informatiesystemen en de Telecomwet (toezicht op de continuïteit van de sectoren telecom, digitale infrastructuur en energie) ligt het voor de hand om AT aan te wijzen als nationale markttoezichthouder. Het toezicht op de CRA ligt in het verlengde van deze taken. Toezicht op de CRA betekent een taakverzwaring voor AT, ondanks dat er naar verwachting synergiën mogelijk zullen zijn met de huidige taken van AT. AT kan voortbouwen op de opgebouwde capaciteit en expertise voor toezicht onder de RED. De Commissie stelt dat de cybersecurity markttoegangseisen onder de RED over zullen gaan in de CRA. Tegelijkertijd is de reikwijdte van de CRA aanzienlijk breder en worden meer partijen onder toezicht gesteld. Dit betekent dat investeringen nodig zullen zijn in de capaciteit en expertise bij AT om passend toezicht in te kunnen richten. Ten aanzien van de handhaafbaarheid oordeelt het kabinet dat de CRA handhaafbaar is omdat wordt aangesloten op de bestaande NLF-systematiek van Europese productregulering. Net als marktpartijen is AT bekend met deze werkwijze aangezien onder andere de RED ook werkt op basis van deze systematiek.

8. Implicaties voor ontwikkelingslanden

De verordening stelt eisen aan producten die in de Unie op de markt gebracht worden. Producenten, zo ook die in ontwikkelingslanden, dienen aan deze standaarden te voldoen.


X Noot
1

Tenzij om gerechtvaardigde redenen in verband met cybersecurityrisico’s.

X Noot
2

Bijlage bij Kamerstuk 26 643, nr. 891.

X Noot
3

Kamerstuk 26 643, nr. 925.

X Noot
4

Bijlage bij Kamerstuk 21 501-33, nr. 900.

X Noot
5

Bijlage bij Kamerstuk 22 112, nr. 3474.

X Noot
6

Zoals vastgelegd in artikel 7 van de Cybersecurity Act (Verordening (EU) 2019/881) voor ENISA.

X Noot
7

Bijlage bij Kamerstuk 21 501-33, nr. 900.

Naar boven