Aan vicevoorzitter Šefčovič van de Europese Commissie

Den Haag, 23 mei 2023

De leden van vaste commissie voor Justitie en Veiligheid hebben in hun commissievergadering van 9 mei 2023 beraadslaagd over uw brief van 31 maart 2023 over het voorstel voor een Verordening betreffende horizontale cyberbeveiligingsvereisten (COM(2022)454).1 De leden van de fracties van GroenLinks, de PvdA, de SP en de PvdD gezamenlijk bedanken de Europese Commissie voor de beantwoording van hun vragen. Zij hebben over de beantwoording nog enkele vervolgvragen.

Vragen van de leden van de fracties van GroenLinks, PvdA, SP en PvdA gezamenlijk

Vrije en open source software

Het stemt de leden positief dat de Commissie hun zorgen deelt met betrekking tot de impact van de CRA op vrije en open source software en dat de Commissie door proactief ontwikkelaars te informeren zo veel mogelijk onzekerheid weg wil nemen. Voor de leden blijft evenwel de vraag waarom er niet gekozen is voor een inkadering die gebaseerd is op het doel waarmee een product met digitale elementen is ontwikkeld. Een onderdeel met een uitgesproken commercieel doel zou dan volledig onder de CRA kunnen vallen, terwijl andere projecten die een meer altruïstisch doel dienen of voortkomen uit onderzoek en experimenten, buiten de werking van de CRA zouden vallen. Is een dergelijk onderscheid in doel te maken en zou dit voor de praktijk niet een beter werkbaar model zijn?

Duidelijkheid van de eisen

De leden constateren dat onder deskundigen grote zorgen zijn over de werkbaarheid en duidelijkheid van de eisen van de CRA, zowel voor vrije en open source softwareprojecten als voor commerciële producten. Hubert, voormalig lid van de Toetsingscommissie Inzet Bevoegdheden, uit vele van deze zorgen en waarschuwt dat een aantal onduidelijke eisen van de CRA in de praktijk volledig onhaalbaar zouden kunnen zijn.2 Ook uit hij zorgen dat de praktische uitwerking van de CRA zeer steunt op een nog niet bestaande algemene standaard. Totdat deze standaard er is, verwacht Hubert dat er veel onduidelijkheid zal zijn. Hij betwijfelt verder dat het maken van deze standaard voorspoedig zal verlopen omdat er simpelweg geen vergelijkbare standaarden bestaan. Hoe duidt de Europese Commissie deze door onder meer Hubert geuite zorgen? Zijn er volgens de Commissie verbeteringen gekomen met betrekking tot deze zorgen in de nieuwste voorstellen voor de tekst van de CRA?

Levensduur

In beantwoording op de vragen van de leden inzake de gekozen 5-jaartermijn voor verplichte updates voor kwetsbaarheden, geeft de Commissie aan dat er gekozen is voor een algemene termijn van vijf jaar om zo een goede algemene balans te scheppen tussen het belang dat producten met digitale elementen voor een lange termijn veilig te gebruiken zijn en het belang van fabrikanten om niet te veel risico te lopen bij het introduceren van nieuwe type producten. Gezien het brede scala aan producten zou het niet doenbaar zijn om voor iedere productcategorie een aparte termijn vast te stellen. Maar laten de zeer succesvolle productspecifieke regels van de EU inzake energielabels niet zien dat het juist heel goed mogelijk is om per productcategorie passende en ambitieuze doelen te stellen? Waarom is er niet gekozen voor een regeling waarbij de termijn van 5 jaar de standaard is maar voor bepaalde belangrijke productcategorieën nadere regels worden gesteld? De leden zouden een langere termijn passend vinden voor bijvoorbeeld motorvoertuigen, servers, desktops en slimme huishoudelijke apparatuur zoals koelkasten en wasmachines. Een flexibelere regeling kan voorts tot doel hebben dat de ondersteuningstermijn mee kan groeien met ontwikkelingen in de industrie. Kan de Commissie gemotiveerd uiteenzetten waarom hier niet voor is gekozen, en daarbij mee laten wegen wat dit betekent voor de duurzaamheid van laatstgenoemde producten?

Kunstmatige intelligentie

Deze Leden constateren dat kunstmatige intelligentie snel grote ontwikkelingen doormaakt. Aangezien AI-systemen gemaakt worden met software, nemen de leden aan dat de CRA ook van toepassing zal zijn op AI. Klopt deze aanname van de leden? Kan de Commissie voor de leden duiden wat de positie van de CRA is ten opzichte van de AI Act, met betrekking tot het reguleren van de cyberveiligheidsaspecten van AI-systemen?

De leden van de vaste commissie voor Justitie en Veiligheid zien uw reactie met belangstelling tegemoet.

De Voorzitter van de vaste commissie voor Justitie en Veiligheid, M.M. de Boer