VVD 1

De leden van de VVD-fractie lezen dat Standalone software, apps en Software als een service (SaaS) niet onder de reikwijdte van de CRA vallen. Deze leden delen de twijfel van het kabinet omtrent deze uitzondering. Gegeven dat bovenstaande digitale middelen niet onder de CRA vallen, onder welke wettelijke scope wordt hun digitale beveiliging wel voldoende geborgd? Wordt dit bijvoorbeeld geborgd via de NIS2-richtlijn? Welke analyse vormt de basis van deze verdeling? In hoeverre zijn deze verordeningen toereikend als het gaat om Standalone software, apps en Saas?

Antwoord

De CRA legt horizontale verplichtingen op aan de fabrikanten, importeurs en distributeurs van producten met digitale elementen ten behoeve van de cybersecurity van die producten. De reikwijdte is breder dan Internet of Things (IoT) of slimme apparaten. Met betrekking tot stand alone software (met uitzondering van niet-commerciële open source software) en apps begrijpt het kabinet het voorstel zo dat deze onder de definitie van product met digitale elementen vallen, en dus wél onder de CRA vallen. Software-as-a-Service (SaaS) een variant van een cloudcomputingdienst valt buiten de reikwijdte van het voorstel. Daarentegen vallen «remote data processing solutions» wel in scope van de CRA. Dat kunnen ook oplossingen zijn die gebruik maken van SaaS. Het kabinet heeft de Commissie op dit punt om verduidelijking gevraagd. De definities van de CRA moeten helder en werkbaar zijn. De reden dat producten wél en digitale diensten niet onder de voorgestelde scope vallen is op basis van de antwoorden van de Commissie gelegen in het feit dat de CRA is vormgegeven als onderdeel van het New Legislative Framework (NLF). Het NLF is het kader dat een groot deel van de producten op het gebied van veiligheid, gezondheid en milieu op de Europese markt reguleert. De analyse van de Europese Commissie is dat de cybersecurity van SaaS al door de herziene Richtlijn voor Netwerk- en Informatiebeveiliging (NIB2- richtlijn) wordt geregeld. De NIB2-richtlijn regelt de digitale beveiliging voor essentiële en belangrijke entiteiten in verschillende sectoren, waaronder aanbieders van cloudcomputingdiensten waar o.a. SaaS onder valt. De NIB2-richtlijn is met name gericht op de beveiliging van de netwerk- en informatiesystemen die deze entiteiten. Bovendien vallen aanbieders die de drempel voor middelgrote ondernemingen als bedoeld in Aanbeveling 2003/361/EG niet halen niet onder de NIB2-richtlijn tenzij ze vanwege de toepasselijkheid van een of meer specifieke criteria (bv. dienst waarvan verstoring aanzienlijke gevolgen kan hebben voor openbare veiligheid of volksgezondheid) door de lidstaat toch als essentiële of belangrijke entiteit worden aangemerkt. Fabrikanten, importeurs en distribiteurs van producten met digitale elementen vallen ongeacht de omvang van hun onderneming onder de reikwijdte van de CRA. Hierdoor kan er mogelijk een ongewenste lacune overblijven. Als dat inderdaad het geval is, wil het kabinet weten welke andere EU-regelgeving hierin kan voorzien.

VVD 2

Daarnaast lezen de leden van de VVD-fractie dat de verantwoordelijkheid voor het verhogen van de beveiligingseisen van slimme apparaten komt te liggen bij fabrikanten die producten ontwikkelen, ontwerpen en beschikbaar stellen en leveranciers en importeurs die de producten beschikbaar stellen in de interne markt. Hoe verhoudt deze verantwoordelijkheid zich tot producten van buiten de Europese Unie die niet aan de gestelde beveiligingseisen voldoen? In het geval er sprake is van niet veilige producten, wordt dan de betrokken importeur van de producten verantwoordelijk gehouden? Zo ja, betekent dit ook dat deze importeurs verplicht een toets moeten doen op de veiligheidseisen van slimme apparaten vanuit derde landen? Moeten zij op basis van deze toets ook slimme apparaten vanuit derde landen weigeren? Kan het kabinet de hier geldende procedure verduidelijken?

Antwoord

De CRA is van toepassing op producten met digitale elementen die op de Europese markt beschikbaar worden gesteld, ongeacht of het product binnen of buiten de Europese Unie is ontwikkeld of geproduceerd. Het stelsel van verplichtingen dat de CRA introduceert aan de fabrikanten, importeurs en leveranciers kan grofweg in twee categorieën worden onderverdeeld: een set aan ex-ante verplichtingen waaraan aanbieders van producten met digitale elementen moeten voldoen vóórdat deze producten op de markt mogen worden geplaatst, en een set aan ex-post verplichtingen die gelden nádat de producten op de markt zijn geplaatst.

Een importeur wordt in het voorstel gedefinieerd als een in de Europese Unie gevestigde natuurlijke of rechtspersoon die een product in de handel brengt (voor het eerst in de EU op de markt aanbiedt) dat de naam of het merk draagt van een natuurlijk of rechtspersoon die is gevestigd buiten de Europese Unie. Feitelijk worden aan geïmporteerde producten dezelfde eisen gesteld. In het voorstel wordt bepaald dat een importeur, voordat hij een dergelijk product in de handel brengt, ervoor moet zorgen dat de voorgeschreven conformiteitsbeoordelingsprocedure is uitgevoerd door de fabrikant, dat de fabrikant de technische documentatie heeft opgesteld en dat het product is voorzien van een CE-markering en vergezeld wordt van de voorgeschreven informatie en gebruiksinstructies. Als de importeur vaststelt (of grond heeft om aan te nemen) dat de het product of de processen van de fabrikant niet aan de in de verordening gestelde beveiligingseisen voldoen, mag de importeur de producten niet in de handel brengen tot dit gebrek is hersteld. Als het product een significant cybersecurityrisico vormt moet de importeur bovendien de fabrikant en de markttoezichthouder hiervan op de hoogte stellen.

Als een importeur pas nadat het product in de handel gebracht is, vaststelt dat het product of de beveiligingsprocessen van de fabrikant niet voldoen aan de beveiligingseisen, moet de importeur volgens het voorstel direct herstelmaatregelen nemen om het product en de processen van de fabrikant alsnog te laten voldoen, of het product terugroepen of uit de handel nemen. Zodra de importeur een kwetsbaarheid identificeert moet hij de fabrikant hierover zonder onnodige vertraging informeren, en wanneer het een significant cybersecurityrisico vormt moet de importeur dit direct melden bij de markttoezichtautoriteiten van de lidstaten waar het product verkrijgbaar is.

Als de markttoezichtautoriteit voldoende grond heeft om te vermoeden dat een geïmporteerd product met digitale elementen een significant cybersecurityrisico vormt wordt een onderzoek ingesteld. Indien de markttoezichtautoriteit vervolgens vaststelt dat een product met digitale elementen niet aan de vereisten voldoet zal het volgens het voorstel aan de relevante marktdeelnemer (in dat geval de importeur) onverwijld de verplichting opleggen om gepaste corrigerende maatregelen te nemen om het product alsnog te laten voldoen, uit de handel te nemen danwel het product terug te roepen. Dit is in lijn met het geldende Europese markttoezichtskader voor productveiligheid.

VVD 3

Naast dat het van belang is dat de cyberbeveiligingseisen voor slimme apparaten verhoogd moeten worden, willen de leden van de VVD-fractie wijzen op de belangrijke complementaire verantwoordelijkheid van consumenten om veilig en bewust om te gaan met (huidige) slimme apparaten. Is het kabinet dit met deze leden eens? Zo ja, is zij bereid om parallel aan de implementatie van de CRA in te zetten op een voorlichting/bewustwordingscampagne rondom het verantwoordelijk gebruiken van slimme apparaten om consumenten tegelijkertijd ook weerbaarder te maken? Zo nee, waarom niet?

Antwoord

In de Nederlandse cybersecuritystrategie (NLCS) die op 10 oktober jl. aan uw Kamer is aangeboden1, heeft het kabinet uiteengezet dat het beleid ten aanzien van cybersecurity inderdaad rust op meerdere pijlers. Een van de belangrijkste stappen richting digitaal weerbare burgers en organisaties zijn veilige digitale producten, zoals beschreven in pijler II van de NLCS. De CRA is een integraal onderdeel van de acties bij deze doelstelling. Naast het creëren van cybersecurityvoorwaarden voor fabrikanten, leveranciers en importeurs van producten met digitale elementen, is de tweede hoofddoelstelling van de CRA het zorgen voor transparantie over de mate van cybersecurity van dergelijke producten ten behoeve van de keuze van gebruikers (consumenten en organisaties).

De risico’s van digitale kwetsbaarheden en dreigingen moeten allereerst worden gedragen door de fabrikanten, importeurs en distributeurs van digitale producten. Maar er zal bijna altijd een restrisico blijven waardoor de burger (of organisatie) ook zelf maatregelen moet nemen. Om deze maatregelen te kunnen nemen moeten burgers en MKB zich allereerst bewust zijn van de risico’s en de te nemen cybersecurity basismaatregelen. Het kabinetsbeleid ten aanzien van het vergroten van de bewustwording onder burgers wordt beschreven in pijler IV van de NLCS. Een belangrijk instrument dat het kabinet hiertoe al jaren inzet is de voorlichtingscampagne om de verschillende doelgroepen te informeren over de cybersecurity basismaatregelen die zij kunnen nemen. Een voorbeeld is de publiekscampagne «Doe je updates». Begin december zal de vijfde ronde van deze campagne starten. Daarnaast wordt structurele voorlichting aan burgers gegeven via veiliginternetten.nl.

VVD 4

Is het kabinet het met de leden van de VVD-fractie eens dat het net zo belangrijk is om de beveiligingseisen van huidige slimme apparaten die al op de markt zijn gebracht, te verhogen? Zo ja, welke mogelijkheden ziet zij, al dan niet via de CRA, om de beveiligingseisen niet alleen voor toekomstige maar ook voor huidige slimme apparaten te verhogen? Is zij ook voornemens om deze voorstellen kenbaar te maken in de onderhandelingen? Zo nee, waarom niet?

Antwoord

Het kabinet is voorstander van een breed toepassingsbereik voor de CRA, maar met het oog op algemene rechtsbeginselen is het logisch dat deze generieke beveiligingseisen alleen worden gesteld aan producten die na een redelijke inwerkingtredingstermijn na vaststelling van de CRA in de handel worden gebracht of nadien substantieel zijn gemodificeerd in hun ontwerp of beoogd gebruik. Voor de digitale weerbaarheid zou het uiteraard goed zijn als ook digitale producten die reeds in de handel zijn gebracht beter beveiligd worden door de fabrikanten, maar dat is in veel gevallen niet goed uitvoerbaar. Zoals aangegeven in het voorgaande antwoord hecht het kabinet daarom ook veel belang aan bewustzijn van cyberrisico’s en goede voorlichting aan gebruikers van digitale producten en diensten. Het kabinet wijst er daarnaast nog op dat de meldplicht voor fabrikanten in artikel 11 van het voorstel wel zal gelden ten aanzien van producten die vóór de datum van inwerkingtreding van de CRA in de handel zijn gebracht (zie artikel 55, derde lid, van het voorstel). Het kabinet wijst er tot slot op dat de eisen uit de gedelegeerde verordening onder de radioapparatuurrichtlijn (ook wel: Radio Equipment Directive, verordening EU 2014/53/EU) al op 1 augustus 2024 van toepassing zullen zijn op draadloos verbonden (en daarmee ook slimme) apparaten die vanaf dan in de handel worden gebracht. Deze eisen zullen op termijn opgaan in de CRA.

VVD 5

Tevens lezen de leden van de VVD-fractie dat fabrikanten conform de CRA zonder onnodige vertraging en binnen 24 uur ontdekte kwetsbaarheden in producten moeten melden bij de European Union Agency for Cybersecurity (ENISA). Wat wordt bedoeld met «onnodige vertraging» en hoe haalbaar acht het kabinet deze tijdspanne, in het bijzonder voor middelkleine en kleine fabrikanten die deze meldingen moeten maken gegeven de nalevings- en handhavingskosten die dit met zich meebrengt? Kunt het kabinet dit toelichten?

Antwoord

Het kabinet ziet het belang van het zo snel mogelijk melden van kwetsbaarheden en steunt daarom in beginsel een 24 uurs-termijn voor het melden van kwetsbaarheden die reeds actief misbruikt zijn. Het kabinet erkent de spanning tussen haalbaarheid van het melden van kwetsbaarheden, bijvoorbeeld door het MKB, en de mogelijkheid die de melding biedt om tijdig te handelen om de negatieve gevolgen van de exploitatie zo veel mogelijk te beperken en slachtoffers te voorkomen. Het kabinet ziet daarom graag verduidelijkt door de Commissie wat wordt bedoeld met «onnodige vertraging». Ook heeft het kabinet de Commissie om verduidelijking gevraagd over hoe de verschillende meldplichten (uit de NIS2-richtlijn, AI Act, Cybersecurity Act en het CRA-voorstel) zich tot elkaar verhouden, het kabinet acht samenhang hiertussen van belang. We gaan over de CRA-meldplicht in gesprek met marktpartijen, de Commissie en andere lidstaten.

VVD 6

In het kader van de uitvoerbaarheid en proportionaliteit voor ondernemers hebben de leden van de VVD-fractie de nodige zorgen en stellen daarom graag de volgende vragen. De CRA in de huidige vorm stelt fabrikanten verplicht om elke actief misbruikte kwetsbaarheid in een product te melden bij ENISA. In hoeverre acht het kabinet dit uitvoerbaar voor ondernemers? Niet elke misbruikte kwetsbaarheid brengt significante veiligheidsrisico’s met zich mee en daarmee zou het melden van elke misbruikte kwetsbaarheid ongeacht zwaarte en risiconiveau een enorme druk leggen op de werkzaamheden van ondernemers en dat achten deze leden onwenselijk zeker gezien de andere verplichtingen die gaan gelden voor ondernemers als gevolg van andere Europese wetgeving zoals de NIS2-richtlijn, de Cybersecurity Act en de AI Act, deelt het kabinet deze zorgen? Zo ja, ziet zij mogelijkheden om de meldplicht te beperken tot significante incidenten waarbij aan een bepaald risiconiveau moet worden voldaan? Zo nee, waarom niet? Zo ja, is het kabinet bereid dit onder de aandacht te brengen in de onderhandelingen?

Antwoord

In de NIB2-richtlijn is bepaald dat een essentiële of belangrijke entiteit een incident aan het CSIRT en/of de toezichthouder moet melden als dit «aanzienlijke gevolgen» heeft voor de dienstverlening (artikel 23). In de Cybersecurity Act wordt voorgeschreven dat de houder van een Europees cyberbeveiligingscertificaat «kwetsbaarheden of onregelmatigheden in verband met de beveiliging van gecertificeerde ICT-producten, -diensten of -processen die achteraf zijn vastgesteld en die gevolgen kunnen hebben voor de naleving van de met de certificering verband houdende voorschriften» moet melden (artikel 56). In de AI Act is bepaald dat aanbieders van AI-systemen met een hoog risico «ernstige incidenten met of storingen van» die systemen die een niet-nakoming van verplichtingen krachtens Unierecht ter bescherming van grondrechten inhouden, moeten melden (artikel 62).

In het voorstel voor de CRA worden fabrikanten verplicht om «geëxploiteerde kwetsbaarheden» te melden. Dit zijn kwetsbaarheden die actief misbruikt worden door kwaadwillenden om bijvoorbeeld cyberaanvallen uit te voeren richting gebruikers van het product. Het is wenselijk dat actief misbruikte kwetsbaarheden gemeld worden zodat eindgebruikers (burgers en organisaties) passende beschermingsmaatregelen kunnen nemen. De Commissie heeft omwille van de proportionaliteit ervoor gekozen om niet alle kwetsbaarheden te laten melden. Uit de definitie van geëxploiteerde kwetsbaarheid vloeit voort dat dit inhoudt dat er al een aanvaller bezig is met het exploiteren van de kwetsbaarheid. Dat houdt een bepaalde mate van ernst/risico in. Zoals ook in antwoord op vraag VVD 7 toegelicht, onderschrijft het kabinet het doel van de meldplicht van actief geëxploiteerde kwetsbaarheden, om de negatieve gevolgen van het misbruik zoveel mogelijk te kunnen beperken en ter voorkoming van slachtoffers van cybercriminelen. Voor wat betreft de belastbaarheid van de meldplicht onder de CRA hecht het kabinet aan een goede belangenafweging, ook hierover gaat het kabinet nog graag in gesprek met partijen, andere lidstaten en de Europese Commissie.

VVD 7

In het verlengde van het melding doen bij de ENISA, zouden de leden van de VVD-fractie nog willen in gaan op de keuze voor de ENISA als toezichthouder ook in relatie tot de nog aan te wijzen nationale markttoezichthouder. Hoe beoordeelt het kabinet het feit dat aanbieders van slimme apparaten een melding moeten doen bij het Europese ENISA en niet bij de nationale markttoezichthouder, gezien het feit dat de ENISA daarna verplicht is om de melding door te zetten naar de nationale Cyber Security Incident Response Team? Hoe beoordeelt het kabinet deze procedure en rolverdeling? Is zij het met deze leden eens dat het inefficiënt en daarmee onverstandig is om de meldingen bij de ENISA onder te brengen om ze vervolgens weer naar de nationale autoriteiten door te sturen zoals bij het Nationaal Cyber Security Centrum (NCSC) of de CSIRT-DSP? Zo ja, is het kabinet het met deze leden eens dat het verstandiger is om de procedure te vereenvoudigen en efficiënter te maken door de meldingen eerst aan de nog aan te wijzen nationale markttoezichthouder te doen en vervolgens de Nederlandse nationale cybersecurity incident response teams op de hoogte moeten worden gebracht? Zo ja, is het kabinet bereid om dit voorstel kenbaar te maken in de onderhandelingen? Zo nee, waarom niet?

Antwoord

Het kabinet onderschrijft het doel om een efficiënte en effectieve meldplicht in te richten. Zoals het kabinet in pijler 1 van de NLCS beschrijft, is het tijdig ontvangen van informatie over dreigingen en kwetsbaarheden een van de belangrijkste elementen voor een digitaal weerbaar Nederland. Het kabinet onderschrijft de meerwaarde voor een centraal meldloket van meldingen met betrekking tot cybersecuritykwetsbaarheden en -incidenten. Voor wat betreft een Europees centraal meldpunt beraadt het kabinet zich nog op een positie voor de precieze inrichting van een dergelijk loket, lettende op procedure en rolverdeling tussen belanghebbenden (zoals de markttoezichthouder en het NCSC).

Conform het BNC-fiche, heeft het kabinet de Commissie gevraagd, ten aanzien van de taken die ENISA mede op basis van huidige wetgeving thans heeft, om nadere toelichting omtrent de voorgestelde rol en bevoegdheden van ENISA bij bijvoorbeeld de meldplicht voor producenten van geëxploiteerde kwetsbaarheden bij ENISA en het vervolgens door ENISA doorzetten van deze meldingen naar nationale Cybersecurity Incident Response Teams (CSIRTs). Ook beschouwt het kabinet het van belang dat de reactietermijn van ENISA voor deze meldingen wordt gespecificeerd en dat de uitzonderingsgronden voor (het doorsturen van) de meldplicht afbakening behoeft. Ook heeft het kabinet de Commissie, mede gelet op de inrichting van andere meldplichten op het terrein van cybersecurity, om verduidelijking gevraagd over de keuze om in het CRA-voorstel de meldingen bij ENISA te laten plaatsvinden. Onder meer in afwachting van verdere verduidelijking rondom de voorgestelde rol van ENISA en in afwachting van een toekomstige discussie en uitwisseling van standpunten in de ambtelijke werkgroepen van de Raad van EU, beraadt het kabinet zich nog op een verdere positie op de rol van ENISA omtrent de meldplicht.

Ook zal het kabinet verduidelijking vragen over de precieze rol van zowel de Commissie als ENISA, in relatie tot de verantwoordelijkheden van nationale markttoezichthouders en nationale cybersecurity incident response teams zoals bijvoorbeeld ook het Nationaal Cyber Security Centrum (hierna ook: «NCSC») en het Cyber Security Incident Response Team voor digitale dienstverleners (hierna ook: «CSIRT-DSP»).

VVD 8

Ook willen de leden van de VVD-fractie nader ingaan op de bevoegdheid die de CRA aan de Europese Commissie toekent, namelijk dat zij uitzonderlijke gevallen digitale producten uit de Europese markt kan laten terugtrekken. Deze leden maken zich zorgen over deze bevoegdheid gezien de onzekerheid die zich met zich meebrengt voor ondernemers. In hoeverre worden de risico’s die ondernemers lopen door deze bevoegdheid adequaat ondervangen door de CRA? Ziet het kabinet aanvullende mogelijkheden om deze risico’s te ondervangen? Zo ja, welke?

Antwoord

Zoals opgenomen in het BNC-fiche, zal het kabinet aandacht houden voor de verdere uitwerking van de bevoegdheden van de Commissie, onder meer of dit op gespannen voet zou kunnen komen te staan met de uitsluitende verantwoordelijkheid van lidstaten op het gebied van bescherming van nationale veiligheid (artikel 4, tweede lid, VEU). In de eerste plaats ligt het toezicht bij de markttoezichthouders in de lidstaten. In artikel 45 van het voorstel worden de situaties omschreven waarin de Commissie in het uiterste geval corrigerende of restrictieve maatregelen kan opleggen voor de gehele Unie, waaronder het laten terugroepen of uit de handel nemen van een product met digitale elementen dat niet aan de vereisten voldoet en dat een significant cybersecurityrisico vormt. Deze procedure is met waarborgen omkleed, waardoor de drempel voor de inzet van deze bevoegdheid hoog ligt. Zo moet het gaan om uitzonderlijke omstandigheden die een onmiddellijke interventie om het goed functioneren van de interne markt te waarborgen rechtvaardigen, en moet de Commissie voldoende redenen hebben om aan te nemen dat het product met digitale elementen blijvend niet aan de vereisten voldoet en dat geen effectieve maatregelen zijn genomen door de relevante markttoezichtautoriteiten. Vervolgens dient de Commissie voordat zij tot een dergelijke maatregel overgaat eerst ENISA een conformiteitstoets laten doen (evaluation of conformity) waar de relevante marktdeelnemers aan mee moeten werken. Op basis van de conformiteitstoets door ENISA kan de Commissie besluiten dat corrigerende of restrictieve maatregelen nodig zijn, door digitale producten terug te laten roepen of uit de handel te laten nemen. Hierover moeten eerst de betrokken lidstaten en de betrokken marktdeelnemers worden geconsulteerd. Bij deze consultatie zullen ook de belangen van ondernemers, zowel de aanbieder van het betreffende product met digitale elementen, als de eindgebruikers ervan, aan de orde komen. Het opleggen van een maatregel door de Commissie gebeurt in de vorm van een uitvoeringshandeling, waarop de onderzoeksprocedure bedoeld in artikel 5 van de Comitologieverordening2 van toepassing is. De maatregel geldt uitsluitend voor de duur van de uitzonderlijke situatie die de interventie door de Commissie rechtvaardigt en zo lang het product nog niet voldoet aan de gestelde voorschriften.

Artikel 46 voorziet daarnaast ook in de bevoegdheid van de Commissie om dergelijke maatregelen op te leggen als uit de conformiteitstoets van ENISA blijkt dat het product voldoet aan de gestelde voorschriften, maar alsnog een significant cybersecurityrisico vormt. Dit is echter alleen mogelijk indien sprake is van in het eerste lid van artikel 46 genoemde aanvullende (verzwarende) omstandigheden. Het kabinet heeft op dit punt verduidelijking gaat hierover het gesprek aan met de marktpartijen, de Commissie en andere lidstaten om te bezien of deze bevoegdheden passend zijn.

Volt 1

De leden van de Volt-fractie merken op dat een van de voornaamste standpunten die het kabinet inneemt is dat de CRA niet alleen over digitale producten zou moeten gaan maar ook over alle ICT-producten, processen en diensten, ongeacht of zij aan consumenten of bedrijven worden aangeboden. Ziet het kabinet bij de andere lidstaten dezelfde wens? Wat is hier het krachtenveld? Welke inspanningen levert het kabinet om dit doel te bereiken? Kan het kabinet toelichten welke producten onder de reikwijdte van de CRA zouden moeten vallen en welke producten specifiek niet?

Antwoord

Voorafgaand aan het uitkomen van het voorstel heeft het kabinet in een non-paper d.d. 14 december 2021 en een tweede non-paper samen met Duitsland en Denemarken d.d. 12 september 2022, onder andere gepleit voor een brede scope, waarbij wij het liefst zouden zien dat de CRA cybersecurityvereisten stelt aan alle ICT-producten, processen en diensten, ongeacht of zij aan consumenten of bedrijven worden aangeboden. Het voorstel zoals het er nu ligt heeft een wat beperktere, maar alsnog ruime scope waarbij de vereisten gelden voor alle producten met digitale elementen, ongeacht of zij aan consumenten of bedrijven worden aangeboden.

Het kabinet dringt er bij de Commissie op aan dat de definities en reikwijdte in de eerste plaats helder zijn. Voor het kabinet is het van belang dat voldoende duidelijk is dat bijvoorbeeld alle hard- en softwareproducten, inclusief alle losse software (met uitzondering van niet-commerciële open source software), binnen de definitie vallen. Ook zal het kabinet verduidelijking vragen hoe de focus op producten met digitale elementen zich verhoudt tot de bredere scope van de Cybersecurity Act die zich richt op ICT-producten, diensten en processen. Ook valt zoals besproken in het antwoord op de vraag VVD 1 Software-as-a Service (SaaS, een vorm van clouddienstverlening) niet onder de voorgestelde CRA, omdat, zo geeft de Commissie aan, aanbieders hiervan onder de NIB2-richtlijn reeds worden gereguleerd als essentiële entiteit. Het kabinet zal verheldering vragen wat het niet meenemen van digitale dienstverlening onder de verordening betekent voor de cybersecurity van deze diensten, of het geen onnodige cyberrisico’s oplevert en of er geen lacunes ontstaan. Ook zal het kabinet vragen of de uitzondering voor de betrokken organisaties werkbaar is en voldoende eenduidigheid biedt. Veel lidstaten beraden zich nog op hun positie, mogelijk ontstaat hier iets meer zicht op na de Telecomraad.

Volt 2

De leden van de Volt-fractie merken op dat het kabinet in haar position paper, in samenwerking met Denemarken en Duitsland, schrijft dat zij verheldering wenst te krijgen ten aanzien van de verhouding tussen de CRA en andere (concept)wetgeving op het gebied van cybersecurity. Van welke specifieke vragen en/of onduidelijkheden wenst het kabinet verheldering te krijgen?

Antwoord

De verordening heeft tot doel horizontale cybersecurityeisen te stellen aan alle producten met digitale elementen voor Europese markttoegang in samenspel met Europese sectorale wet- regelgeving en daarmee bij te dragen aan een digitaal veiligere Europese digitale interne markt. Het kabinet acht het van belang dat enerzijds overlap in wetgeving op het gebied van cybersecurity wordt voorkomen en anderzijds goed inzichtelijk wordt gemaakt welke wetgevingslacunes er overblijven, en met welke Europese wetgeving deze gaten kunnen worden gedicht. Een voorbeeld is de eerdergenoemde digitale dienstverlening, die niet onder de voorgestelde CRA valt. Daarentegen vallen digitale diensten wel onder de reikwijdte van vrijwillige Europese cybersecurity certificeringsschema’s die worden ontwikkeld onder de Cyber Security Act. In het voorstel worden diverse koppelingen gelegd. Zoals ook beschreven in het antwoord op vraag VVD1, is het voor het kabinet belangrijk dat er geen ongewenste lacunes in Europese wetgeving ontstaan en wil het verduidelijking op de vraag of het buiten het toepassingsbereik van de CRA laten van bijvoorbeeld SaaS geen onnodige cyberrisico’s oplevert. Ook valt op dat de meldplicht in de voorgestelde CRA anders wordt ingericht dan de meldplicht in de NIB2-richtlijn, de AI Act en de Cybersecurity Act. Mede gelet daarop heeft het kabinet om nadere verduidelijking van de meldplicht in dit voorstel gevraagd.

Volt 3

De leden van de Volt-fractie hebben ten aanzien van het beoogde toezicht op de CRA en de meldplicht die de concepttekst voorschrijft ook nog enkele vragen. Allereerst merken de leden op dat er een meldplicht komt voor hackincidenten. Daarbij is het niet ondenkbaar dat samenloop ontstaat met de meldplicht voor datalekken in de AVG en de meldplicht voor cyberincidenten in kritieke sectoren onder de NIB2-richtlijn. Het toezicht op de verschillende wet- en regelgeving ligt in Nederland niet bij dezelfde toezichthouder. Dat leidt – zo merkt het kabinet terecht op – tot meer administratieve lasten. Het kabinet gaat de Europese Commissie hierop bevragen. Welke specifieke vragen gaat het kabinet stellen? Voor bedrijven zou het contact met de (Nederlandse) overheid zo simpel mogelijk moeten zijn. Om de meldingsbereidheid te vergroten – en daarmee de risico’s van cyberincidenten voor de samenleving te verkleinen – kan het van waarde zijn om het mogelijk te maken om de melding via één loket te doen. Is het kabinet voornemens om het voor bedrijven mogelijk te maken om de verschillende meldingen via één loket te doen? Zo niet, welke andere maatregelen zal zij treffen om de melding zo simpel mogelijk te maken? In aanvulling op het bovenstaande: doordat het toezicht is verdeeld over meerdere toezichthouders, wordt het toezichtslandschap niet overzichtelijker. Deelt het kabinet dit standpunt? Welke inspanningen levert zij om de onoverzichtelijkheid te beperken? Zijn er andere lidstaten in de EU die soortgelijke toezichtsconstructies hebben of lidstaten die het juist anders doen? Wat kan Nederland daarvan leren?

Antwoord

Het kabinet onderschrijft het belang van een efficiënte en effectieve meldplicht, waarbij de verschillende belangen van snelheid, proportionaliteit, uitvoerbaarheid, en het voorkomen van onnodige administratieve lasten moeten worden afgewogen. Daarbij is het van belang om op te merken dat de meldplicht voor de AVG en de CRA anders van aard zijn. De meldplicht van de AVG ziet op het melden van datalekken (inbreuken in verband met persoonsgegevens). De meldplicht zoals voorgesteld in de CRA ziet op kwetsbaarheden in producten met digitale elementen. Het kan voorkomen dat één situatie een melding onder beide wettelijke kaders vereist, maar dat hoeft geenszins het geval te zijn. Het is ook belangrijk dat een goede opvolging wordt gegeven aan de melding: ten aanzien van een datalek is dat het best te beoordelen door de Autoriteit Persoonsgegevens, terwijl bij een melding van geëxploiteerde kwetsbaarheden weer andere expertise (op het terrein van cybersecurity) van belang is. Ten aanzien van de relatie tussen de meldplicht in de CRA en de meldplicht in de NIB2-richtlijn beraadt het kabinet zich nog op haar positie, in afwachting van de antwoorden op verhelderende vragen die hierover aan de Commissie worden gesteld. Met betrekking tot de toekenning van toezichtstaken heeft elke lidstaat de vrijheid om keuzes te maken die het best passen bij de eigen inrichting. Het kabinet hecht eraan dat de toezichthouder geëquipeerd is met de nodige gespecialiseerde kennis om haar taken te kunnen uitoefenen, in dit geval van cybersecurity. Bij Agentschap Telecom (AT) is deze kennis aanwezig, gelet op haar taken in het kader van de Cybersecurity Act, de radioapparatuurrichtlijn, de huidige NIB-richtlijn voor de sectoren energie en digitale infrastructuur, eIDAS en de Telecommunicatiewet. Het toekomstig toezicht op de CRA sluit goed aan bij deze andere taken en marktpartijen zijn reeds bekend met het AT op dit terrein. Daarnaast werkt het AT in haar taakuitoefening werkt nauw samen met andere toezichthouders.

BBB 1

Het lid van de BBB-fractie heeft met interesse kennisgenomen van de Cyber Resilience Act. Graag hoort het lid wat de stand van zaken in Nederland is van aan de CRA gerelateerde wetgeving op het gebied van cybersecurity? En op welke wijze is of worden deze Europese wetgeving (-svoorstellen) al dan niet omgezet in Nederlandse wetgeving?

Antwoord

Het voorstel voor de NIB2-richtlijn dat voorziet in maatregelen ter verhoging van de cybersecurity van essentiële en belangrijke entiteiten, is op 10 november j.l. goedgekeurd door het Europees parlement. De NIB2-richtlijn zal gelet op de implementatietermijn van 21 maanden naar verwachting uiterlijk in het najaar van 2024 moeten worden omgezet in Nederlandse wetgeving door middel van aanpassing van de Wet beveiliging netwerk- en informatiesystemen. Daarnaast regelt de Cybersecurity Act de vrijwillige cybersecurity certificering van ICT-producten, diensten en processen. Deze verordening heeft rechtstreekse werking, de uitvoering is in Nederland geregeld in de Uitvoeringswet cyberbeveiligingsverordening. Tot slot is er nog de gedelegeerde verordening 2022/30/EU onder de radioapparatuurrichtlijn waarin vanaf 1 augustus 2024 cybersecurityvereisten worden gesteld aan draadloos verbonden apparaten. Na een overgangsperiode wordt naleving verplicht vanaf 1 augustus 2024. De radioapparatuurrichtlijn is al omgezet in de Telecommunicatiewet en het Besluit radioapparaten 2016, er is geen wijziging nodig voor de gedelegeerde verordening.

BBB 2

Het doel van de CRA is om de toename van cyberaanvallen in de afgelopen jaren een halt toe te roepen. De CRA moet hiermee de digitale samenleving en de grondrechten, zoals privacy en gegevensbescherming, beter beschermen. Het lid van de BBB-fractie hoort graag in hoeverre de CRA regelt dat ook de bestaande slimme apparaten die al bij consumenten thuis of bij bedrijven staan veilig zijn? Overweegt het kabinet een bewustwordingscampagne voor consumenten en bedrijven gericht op onveilige slimme apparaten, inclusief de apparaten die nu al bij consumenten thuis of bij bedrijven staan?

Antwoord

Verwezen wordt naar het antwoord op vraag VVD 4 met betrekking tot het stellen van veiligheidseisen aan bestaande apparaten en het antwoord op vraag VVD 3 met betrekking tot pijler IV van de NLCS en de publiekscampagnes zoals «Doe je updates» en de website veiliginternetten.nl, Daarmee worden consumenten bewust gemaakt en voorgelicht over wat zij zelf kunnen doen om hun digitale weerbaarheid te vergroten. Daarnaast biedt het Digital Trust Center informatie en advies aan bedrijven om hun digitale weerbaarheid te vergroten.

BBB 3

Het lid wil graag weten in hoeverre aanbieders van Europese portemonnees voor digitale identiteit onder de CRA vallen en aan welke eisen moeten zij voldoen.

Antwoord

In overweging 18 van het voorstel wordt ingegaan op de eisen voor aanbieders van Europese portemonnees voor digitale identiteit. Voor zover hun producten vallen onder de CRA moeten deze aanbieders zowel voldoen aan de horizontale essentiële vereisten van de CRA als de specifieke beveiligingsvereisten die de voorgestelde herziening van de eIDAS-verordening (Verordening EU 910/2014) stellen. Aanbieders van dergelijke portemonnees moeten met het certificeren van hun producten op grond van de Cybersecurity Act (Verordening EU 2019/881) gefaciliteerd worden in het kunnen aantonen dat zij voldoen aan deze vereisten.

BBB 4

Het lid van de BBB-fractie vraagt of met de CRA volgens het kabinet voldoende wordt gestimuleerd dat bedrijven meer zullen investeren in veilig ontwerp en ontwikkeling en het leveren van beveiligingsupdates?

Antwoord

De CRA schrijft veilig ontwerp en het verstrekken van beveiligingsupdates (gedurende 5 jaar of de levensduur van het product) voor als onderdeel van de essentiële beveiligingseisen. Hiermee wordt een enorme stimulans gegeven aan bedrijven om hier in te investeren. Producten met digitale elementen moeten voldoen aan deze eisen om toegang te krijgen tot de Europese interne markt.

BBB 5.

En hoe vindt het kabinet dat de meldplicht verder kan worden afgebakend?

Antwoord

Zoals reeds besproken in het antwoord op vragen VVD 6 en VVD 8 onderschrijft het kabinet het doel om een efficiënte en effectieve meldplicht in te richten. Ook heeft het kabinet hierover verduidelijking gevraagd bij de Commissie en beraadt het kabinet zich nog op een uitgewerktstandpunt hierover.

BBB 6

Het lid van de BBB-fractie wil graag weten wie in Nederland toezicht gaat houden op de CRA? En welke middelen deze toezichthouder heeft voor adequaat toezicht en of dat voldoende is?

Antwoord

Zoals aangegeven in het BNC-fiche is het kabinet voornemens om Agentschap Telecom (AT) als toezichthouder aan te wijzen. AT beschikt over de nodige specialistische kennis op het terrein van cybersecurity gelet op de taken die zij al vervult of zal vervullen met betrekking tot de Cybersecurity Act en de radioapparatuurrichtlijn, de huidige NIB-richtlijn voor de sectoren energie en digitale infrastructuur, eIDAS en de Telecommunicatiewet. Het toekomstig toezicht op de CRA sluit goed aan bij deze andere taken en marktpartijen zijn reeds bekend met AT op dit terrein. Het inrichten van passend toezicht als sluitstuk is nodig om het beoogde positieve maatschappelijke effect te realiseren dat producten digitaal veiliger zijn. De financiële gevolgen van het voorstel voor de rijksoverheid zijn op dit moment nog niet te specificeren, maar ze zijn gelet op de brede reikwijdte van de CRA naar verwachting substantieel. De budgettaire gevolgen voor de Rijksbegroting worden ingepast op de begroting van het beleidsverantwoordelijke departement, conform de regels van de budgetdiscipline.

BBB 7

Welke lidstaten vinden net als Nederland dat de versterkte rol van de Europese Commissie op het toezicht verduidelijking behoeft?

Antwoord

De veranderende rol van de Europese Commissie wordt nog besproken in de ambtelijke werkgroepen van de Raad van de EU. In deze fase gaat het nog voornamelijk om verkenning en zijn de standpunten veelal nog niet duidelijk. Mogelijk kan na de Telecomraad wat meer zicht worden geboden op de standpunten van andere lidstaten.

BBB 8

Het lid van de BBB-fractie wil graag van het kabinet weten wanneer meer inzicht gegeven kan worden in de financiële gevolgen van de CRA voor de Rijksbegroting en de budgettaire gevolgen voor medeoverheden? En natuurlijk wil het lid ook weten wat de financiële gevolgen voor producenten, importeurs en distributeurs/detailhandel zijn en welke invloed dit gaat hebben op de verkoopprijzen van de producten.

Antwoord

In onderdeel 5 van het BNC-fiche wordt uitgebreid ingegaan op de financiële consequenties voor de rijksoverheid, mede-overheden en marktdeelnemers. Voor mede-overheden verwacht het kabinet geen financiële consequenties. De financiële consequenties van dit voorstel voor de rijksoverheid zien op het inrichten van markttoezicht op nationaal niveau. Deze zijn op dit moment nog niet te specificeren, maar ze zijn gelet op de brede reikwijdte van de CRA naar verwachting substantieel. Het inrichten van passend toezicht als sluitstuk is echter nodig om het beoogde positieve maatschappelijke effect te realiseren dat producten digitaal veiliger zijn.

Het voorstel heeft financiële consequenties en verhoogt de regeldruk voor producenten, importeurs en distributeurs. Dit moet worden afgezet tegen de naar verwachting significante baten voor de verschillende stakeholders en de samenleving als geheel. Het impact assessment van de Commissie maakt de diverse elementen inzichtelijk.

De totale nalevingskosten in de hele EU schat de Commissie in op ongeveer 29 miljard euro op een totale marktomzet van 1485 miljard euro per jaar. De nalevingskosten voor een bedrijf zullen variëren en zijn afhankelijk van de complexiteit en omvang van het product, de bestaande cybersecurity praktijk van een bedrijf, de omgeving (business-to-consumer of business-to-business) en de omvang van het bedrijf. Dit geldt voor het mkb tot grote bedrijven en is afhankelijk van hun rol in de digitale economie. De gemiddeld geschatte kosten van een zelfassessment zijn 18.400 euro en een conformiteitsbeoordeling door een derde partij zijn 25.000 euro.

Daar staat tegenover dat de Commissie verwacht dat het aantal cybersecurity incidenten met producten met digitale elementen met bijkomende incidentresponskosten en reputatieschade met 33% vermindert. Voor de hele EU verwacht de Commissie een kostenbesparing als gevolg van incidenten van rond de 180 miljard per jaar tot 290 miljard euro per jaar. Het is aannemelijk dat bedrijven de verhoogde kosten zullen doorberekenen in hun prijs naar gebruikers (organisaties en consumenten). Dit moet worden afgewogen tegen de baten van gebruikers van verhoogde transparantie, dat producten met digitale elementen die zij afnemen standaard veiliger zijn en hun fundamentele rechten zoals privacy en bescherming van hun data ook beter zijn geborgd.