Advies Raad van State inzake het voorstel van wet houdende uitvoering van Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828 (Uitvoeringswet verordening cyberweerbaarheid)

Dit wetsvoorstel strekt tot uitvoering van verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828 (hierna: de Verordening cyberweerbaarheid of Cyber Resilience Act, CRA). De Verordening cyberweerbaarheid is op 10 december 2024 in werking getreden.

Een Europese verordening werkt rechtstreeks en lidstaten van de Europese Unie (EU) zijn verplicht om alle maatregelen te nemen die nodig zijn voor de volledige verwezenlijking van een verordening. Gelet op het rechtstreekse karakter maakt een verordening automatisch deel uit van de nationale rechtsorde en is het verboden om bepalingen ervan op te nemen in het nationale recht. Wel kan het, zoals in dit geval, voor de operationalisering van de verordening nodig zijn om bepalingen met betrekking tot aanwijzing van uitvoeringsorganen, het inrichten van toezicht en handhaving, en rechtsbescherming op te nemen in nationale regelgeving. Daarin voorziet dit wetsvoorstel, waarbij het uitgangspunt van de rechtstreekse werking van de verordening en minimumuitvoering worden gerespecteerd.

Een transponeringstabel is opgenomen in hoofdstuk III van deze memorie van toelichting.

De tweeledige hoofddoelstelling van de Verordening cyberweerbaarheid is: (1) het creëren van horizontale robuuste cybersecurity voorwaarden voor alle producten met digitale elementen waar fabrikanten, leveranciers en importeurs van dergelijke producten aan moeten voldoen vóór plaatsing op de interne markt en tijdens de productlevenscyclus, en (2) het zorgen voor transparantie over de mate van cybersecurity van dergelijke producten ten behoeve van de keuze van gebruikers (consumenten en organisaties). Dit moet leiden tot een veiligere Europese digitale interne markt en samenleving waar onveilige producten van de markt kunnen worden geweerd en gehaald. De EU is wereldwijd de eerste partij die met dergelijke wetgeving komt en kan hiermee mondiaal de standaard zetten voor de productie van digitaal veilige producten. Wanneer derde landen, waar een groot deel van de productie van digitale producten plaatsvindt, deze standaard overnemen, draagt de verordening bij aan een wereldwijd veiligere waardenketen.

De CRA regelt dat producten met digitale elementen aan cybersecurityvereisten moeten voldoen voordat ze mogen worden aangeboden op de interne markt. Fabrikanten moeten daarnaast zorgen dat gedurende de gehele levensduur van het product veiligheidsupdates worden aangeboden om kwetsbaarheden in het product aan te pakken. Ook bevat de CRA een meldplicht voor incidenten en actief misbruikte kwetsbaarheden.

Het kabinet heeft namens Nederland actief gepleit voor en bijgedragen aan deze Europese horizontale cybersecurityproducteisen. In 2022 is de Nederlandse Cybersecuritystrategie (NLCS) gepubliceerd. Bij de totstandkoming daarvan zijn de aanbevelingen van de Onderzoeksraad voor Veiligheid in haar rapport ‘Kwetsbaar door software: lessen naar aanleiding van beveiligingslekken door software van Citrix’ uit 2021 meegenomen. Dat geldt ook voor aanbevelingen uit de evaluatie van de Roadmap Digitaal Veilige Hard- en Software. Uit beide rapporten komt de behoefte naar voren aan een verschuiving van de verantwoordelijkheid voor digitaal veilige producten en diensten van de gebruikers (consument, bedrijven en andere organisaties) naar de leverancier of fabrikant. In de NLCS is dan ook als doel gesteld om op Europees niveau een wettelijke zorgplicht voor cybersecurity voor fabrikanten en leveranciers van digitale producten overeen te komen, die fabrikanten en leveranciers gedurende de gehele levenscyclus verantwoordelijk maakt voor de cybersecurity van hun product. Met de CRA zoals deze is vastgesteld wordt deze kabinetsdoelstelling ingevuld.

De verordening legt cybersecurityvereisten vast voor ‘producten met digitale elementen’ waarvan het beoogde doel of het redelijkerwijs voorzienbaar gebruik een directe of indirecte logische of fysieke verbinding met een eindapparaat of netwerk omvat. Onder ‘product met digitale elementen’ wordt verstaan een software- of hardwareproduct en geïntegreerde ‘oplossingen voor gegevensverwerking op afstand’, met inbegrip van software- of hardwarecomponenten die afzonderlijk in de handel worden gebracht. De verordening is daarmee van toepassing op een hele brede variëteit aan producten. Er vallen consumentenproducten onder zoals smartphones, laptops, slimme televisies en slimme deurbellen, routers, smart watches, passwordmanagers, browsers en apps. Maar ook producten voor zakelijk gebruik zoals VPN- en boekhoudsoftware en producten voor industriële toepassing (OT) zoals besturingssystemen voor sluizen en fabrieken zijn producten met digitale elementen die onder de CRA vallen, evenals microprocessoren en microcontrollers, firewalls, virusscanners en systemen voor inbraakdetectie en -preventie. Doordat ook los in de handel gebrachte componenten worden beschouwd als product met digitale elementen heeft de verordening betrekking op de hele toeleveringsketen van producten met digitale elementen. Uitgezonderd zijn medische (in-vitro) apparaten, motorvoertuigen, producten gerelateerd aan de burgerluchtvaart, reserve-onderdelen die identiek zijn aan de componenten die zij beogen te vervangen, en producten die exclusief zijn ontwikkeld voor de nationale veiligheid of defensiedoeleinden of om gerubriceerde informatie te verwerken. Ook software-as-a-service en niet-commerciële digitale producten (waaronder sommige open source-software) vallen buiten de reikwijdte van de CRA.

De verordening is alleen van toepassing op marktdeelnemers met betrekking tot de producten met digitale elementen die zij ‘op de markt aanbieden’, en dus in het kader van een handelsactiviteit (commercieel) worden geleverd voor distributie of gebruik op de markt van de Unie.1 De marktdeelnemers waarop de verplichtingen betrekking hebben, zijn in de eerste plaats de fabrikanten die de producten (laten) ontwerpen, ontwikkelen en vervaardigen en onder hun naam of merk in de handel brengen. Daarnaast zijn er afgeleide verplichtingen voor importeurs die producten onder naam of merk van een buiten de EU gevestigde partij in de handel brengen, en de distributeurs die deze producten op de markt aanbieden. Elk type marktdeelnemer heeft hierbij eigen verantwoordelijkheden. Zo mag een importeur uitsluitend een product met digitale elementen in de handel brengen indien de fabrikant van buiten de EU zich aan de verplichtingen voor fabrikanten in de CRA houdt. De importeur heeft de zorgplicht om na te gaan of de fabrikant aan deze eisen heeft voldaan en ook zal blijven voldoen nadat het product in de handel is gebracht.

Het stelsel van verplichtingen dat de CRA oplegt aan de fabrikanten, importeurs en distributeurs kan in twee categorieën worden onderverdeeld: een set aan ex-ante verplichtingen waaraan aanbieders van producten met digitale elementen moeten voldoen vóórdat deze producten in de handel mogen worden gebracht, en een set aan ex-post verplichtingen die gelden nádat de producten in de handel zijn gebracht.

Zo moeten fabrikanten en importeurs onder het ex-ante gedeelte van de verordening ervoor zorgen dat hun producten met digitale elementen zijn ontworpen, ontwikkeld en geproduceerd overeenkomstig de essentiële cyberbeveiligingsvereisten in bijlage I van de CRA voordat deze op de interne markt in de handel worden gebracht. Ten eerste wordt vereist dat producten met digitale elementen zodanig worden ontworpen, ontwikkeld en geproduceerd dat zij een passend cyberbeveiligingsniveau waarborgen op basis van de risico’s. Daarnaast moet het product afhankelijk van de beoordeling van de cyberbeveiligingsrisico’s die de fabrikant dient uit te voeren, voldoen aan de in bijlage I van de CRA opgenomen cybersecurityvereisten. Hieronder vallen bijvoorbeeld de vereisten dat het product op de markt moet worden aangeboden zonder bekende uitbuitbare kwetsbaarheden, en met een secure-by-default-configuratie. De fabrikant moet aantonen dat het product met digitale elementen aan deze essentiële vereisten voldoet, alvorens het op de interne markt mag worden gebracht. Hiervoor zijn verschillende conformiteitsbeoordelingsprocedures beschreven. De hoofdregel is dat de fabrikant kan kiezen voor zelfbeoordeling (de procedure voor interne controle), voor een beoordeling door een aangemelde conformiteitsbeoordelingsinstantie of met een Europees cyberbeveiligingscertificaat (indien beschikbaar). Voor producten met digitale elementen die vallen onder de categorieën van producten die in bijlage III en bijlage IV van de verordening als ‘belangrijke’ of ‘kritieke’ producten zijn aangemerkt, zijn de conformiteitsbeoordelingsprocedures meer gericht op onafhankelijke beoordeling door conformiteitsbeoordelingsinstanties. Voor belangrijke producten in klasse I geldt dat zelfbeoordeling alleen is toegestaan als daarbij een geharmoniseerde norm wordt toegepast (een Europese norm die de essentiële eisen vertaalt in technische maatregelen die moeten worden toegepast om aan de eisen te voldoen, en die als zodanig is goedgekeurd door de Europese Commissie door deze te citeren in het Publicatieblad van de EU). Indien een dergelijke geharmoniseerde norm niet beschikbaar is moet de fabrikant het product laten beoordelen door een aangemelde conformiteitsbeoordelingsinstantie, of de conformiteit aantonen met een Europees beveiligingscertificaat op ten minste het assuranceniveau ‘substantieel’. Voor belangrijke producten in klasse II en voor kritieke producten, zoals opgenomen in bijlage IV van de verordening, is zelfbeoordeling in geen geval toegestaan. De Europese Commissie is bevoegd om via gedelegeerde handeling productcategorieën op de lijst van belangrijke en kritieke producten van bijlage III en IV te schrappen of toe te voegen.

Voor de ex-post verplichtingen geldt dat de fabrikant er gedurende de redelijk te verwachten gebruiksduur van het product (de zogeheten ondersteuningsperiode) voor moet zorgen dat kwetsbaarheden van het product met digitale elementen, en componenten daarvan, doeltreffend worden aangepakt. Dit moet gebeuren in overeenstemming met de essentiële eisen daarvoor in deel II van bijlage I bij de CRA, waarin bijvoorbeeld staat voorgeschreven dat veiligheidsupdates onverwijld en kosteloos2 moeten worden verstrekt. Ook staat hierin onder meer voorgeschreven dat de fabrikant een softwarestuklijst (software bill of materials, of SBOM) moet opstellen, dat de beveiliging regelmatig moet worden getest en geëvalueerd, dat de fabrikant een beleid inzake gecoördineerde openbaarmaking van kwetsbaarheden moet hanteren, en dat er een contactadres moet zijn zodat derden kwetsbaarheden die in diens product worden ontdekt, kunnen melden. De duur van de ondersteuningsperiode moet door de fabrikant worden bepaald in overeenstemming met de voorschriften in artikel 13, achtste lid, van de CRA, waarbij met name van belang is dat deze de verwachte gebruiksduur van het product weerspiegelt. De einddatum van de ondersteuningsperiode moet op het moment van aankoop duidelijk vermeld staan, en de onderbouwing van de gekozen ondersteuningsperiode wordt opgenomen in de technische documentatie.

Wanneer de fabrikant kennisneemt van een actief uitgebuite kwetsbaarheid in het product, of zich een ernstig incident heeft voorgedaan dat een impact kan hebben op de veiligheid van het product, moet de fabrikant dit melden bij het krachtens artikel 12 van de NIS2-richtlijn3 als coördinator4 aangewezen Computer security incident response team (CSIRT) en bij het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA). Een eerste zogenaamde ‘vroegtijdige waarschuwing’ moet worden gedaan zonder onnodige vertraging en in elk geval binnen 24 uur nadat de fabrikant er kennis van heeft gekregen. Dit moet zonder onnodige vertraging en in elk geval binnen 72 uur worden opgevolgd door een zogenaamde ‘kwetsbaarheidsmelding’ dan wel ‘incidentmelding’ waarin algemene informatie wordt verstrekt voor zover beschikbaar over onder meer de aard van de kwetsbaarheid/het incident, een eerste beoordeling en welke corrigerende of risicobeperkende maatregelen zijn genomen door de fabrikant, en welke maatregelen kunnen worden genomen door gebruikers. Uiterlijk 14 dagen nadat een corrigerende of risicobeperkende maatregel beschikbaar is moet een eindverslag worden ingediend, bij een incident is dat binnen een maand na de incidentmelding.

Verder moeten fabrikanten voordat zij het product met digitale elementen in de handel brengen technische documentatie opstellen ten behoeve van de toezichthouder, met daarin de beoordeling van de cyberbeveiligingsrisico’s die verbonden zijn aan het product en alle relevante gegevens die aantonen dat het product voldoet aan de eisen in bijlage I van de CRA. Deze documentatie zal gedurende de gehele ondersteuningsperiode van het product actueel moeten worden gehouden. Ook moet de fabrikant informatie en instructies voor de gebruiker bijvoegen bij het product.

Voor importeurs en distributeurs van producten met digitale elementen gelden afgeleide verplichtingen om erop toe te zien dat de fabrikant aan de verplichtingen heeft voldaan.

De CRA voorziet ook in manieren om bedrijven te ondersteunen bij het naleven van de verplichtingen. Zo zullen lidstaten waar nodig zorgen voor bewustwordingsactiviteiten en trainingen, een speciaal ingericht communicatiekanaal en ondersteuning van test- en conformiteitsbeoordelingsactiviteiten. Daarbij staan de behoeftes van kleine en microbedrijven centraal. Lidstaten kunnen ook een testomgeving voor regelgeving opzetten (‘regulatory sandbox’), waarin voorafgaand aan het op de markt brengen van een product gekeken kan worden naar ontwikkeling, ontwerp, validering en het testen, met het oog op een goede naleving van de regels. Daarnaast brengt de Europese Commissie richtsnoeren uit die bedrijven meer duidelijkheid zullen geven over naleving van de CRA. Ook wordt er onder het Digital Europe-programma subsidie beschikbaar gesteld voor ondersteuning bij naleving van de wet, vooral voor het MKB en microbedrijven. Kleinere en micro-ondernemingen kunnen bij de conformiteitsbeoordeling de vereiste documentatie in vereenvoudigde vorm verstrekken. Het hiervoor benodigde formulier zal door de Europese Commissie worden vastgelegd in uitvoeringshandelingen. Ook moet bij het vaststellen van de vergoedingen voor conformiteitsbeoordelingsprocedures rekening gehouden worden met de belangen van het MKB en micro-ondernemingen.

In artikel 2.1, eerste lid, van het wetsvoorstel wordt de minister van Economische Zaken aangewezen als aanmeldende autoriteit. De bijbehorende taken en bevoegdheden zullen in de praktijk worden uitgevoerd door de Rijksinspectie Digitale Infrastructuur (RDI). De aanwijzing heeft tot gevolg dat de RDI de taken en bevoegdheden krijgt die in de verordening aan de aanmeldende autoriteit zijn toegekend. Dit betekent dat een conformiteitsbeoordelingsinstantie om aangemeld te kunnen worden (hetgeen een vereiste is om conformiteitsbeoordelingen op grond van de CRA te kunnen uitvoeren), hiertoe een aanvraag zal moeten doen bij de RDI. Conform de op grond van artikel 36, tweede lid, van de verordening geboden mogelijkheid daartoe, bepaalt het wetsvoorstel dat de beoordeling en monitoring van conformiteitsbeoordelingsinstanties wordt uitgevoerd door de Raad voor Accreditatie. De conformiteitsbeoordelingsinstantie toont middels de accreditatie aan dat deze voldoet aan de eisen op het gebied van kwaliteit en onafhankelijkheid die in artikel 39 van de verordening worden gesteld. De Raad voor Accreditatie controleert of de instantie aan de eisen voldoet, en zal dit ook jaarlijks herhalen om te monitoren of de conformiteitsbeoordelingsinstantie aan de eisen blijft voldoen. De conformiteitsbeoordelingsinstantie draagt zoals gebruikelijk zelf de kosten voor accreditatie.

Indien een conformiteitsbeoordelingsinstantie aan de eisen van artikel 39 van de CRA voldoet, meldt RDI deze aan bij de Europese Commissie en wordt de conformiteitsbeoordelingsinstantie als aangemelde instantie opgenomen in het NANDO-informatiesysteem van aangemelde instanties. Hierbij wordt uitvoerig beschreven voor welke conformiteitsbeoordelingsactiviteiten en -modules, en voor welke producten met digitale elementen de aangemelde instantie bevoegd en bekwaam is.

De RDI is al bekend met de taken en bevoegdheden van een aanmeldende autoriteit op grond van de Radioapparatuurrichtlijn (geïmplementeerd in de Telecommunicatiewet) en vergelijkbare taken als nationale cyberbeveiligingscertificeringsautoriteit, bedoeld in artikel 58, eerste lid, van de cyberbeveiligingsverordening en heeft aldus de juiste expertise en capaciteit om deze taak ook voor de CRA op zich te nemen.

Op grond van artikel 52 van de verordening moeten lidstaten een of meer markttoezichtautoriteiten aanwijzen en van voldoende middelen voorzien om de doeltreffende uitvoering van de verordening te waarborgen. Het wetsvoorstel regelt in artikel 2.2 dat in Nederland het toezicht op en de handhaving van de regels in de CRA worden belegd bij de minister van Economische Zaken, die deze taken belegt bij markttoezichthouder RDI. De RDI is reeds markttoezichthouder op de cybersecurityeisen die op grond van de Radioapparatuurrichtlijn5 aan draadloos verbonden apparaten zijn gesteld en heeft aldus de juiste expertise en capaciteit om deze taken op zich te nemen.

Naast de bevoegdheden die titel 5.2 van de Algemene wet bestuursrecht toekent aan de in dit wetsvoorstel met het toezicht belaste personen om hun taak als toezichthouder te kunnen vervullen, beschikt de RDI over de bevoegdheden die de verordening aan de nationale markttoezichtautoriteit toekent. Wanneer dat nodig is kan RDI als aangewezen markttoezichtautoriteit bijvoorbeeld een met redenen omkleed verzoek doen waarop op grond van artikel 53 van de verordening toegang moet worden verleend tot de gegevens die zij nodig hebben om te beoordelen of de fabrikant zich aan de eisen van de verordening ten aanzien van ontwerp, ontwikkeling, productie en kwetsbaarhedenrespons heeft gehouden. Ook bepaalt de verordening in artikel 54 dat de RDI, wanneer er voldoende reden is om aan te nemen dat een product met digitale elementen een significant cybersecurityrisico inhoudt, een evaluatie uitvoert of een product met digitale elementen voldoet aan alle vereisten van de verordening. Als de toezichthouder daarbij vaststelt dat niet aan de vereisten van de CRA wordt voldaan, gelast de toezichthouder de fabrikant, importeur of distributeur alle passende corrigerende maatregelen te nemen om het product binnen de gestelde termijn in overeenstemming te brengen met de vereisten, uit de handel te nemen of terug te roepen. Als de corrigerende maatregelen niet binnen de gestelde termijn worden genomen, neemt de RDI alle passende voorlopige maatregelen om te verbieden of beperken dat het product op de Nederlandse markt wordt aangeboden, of om het product in Nederland uit de handel te laten nemen of terug te laten roepen.

Waar de RDI oordeelt dat een aanbieder van producten met digitale elementen de regels niet naleeft en de gevolgen hiervan niet beperkt zijn tot zijn grondgebied, zal de RDI de Europese Commissie en de andere lidstaten informeren over de evaluatie en maatregelen die het jegens de aanbieder heeft genomen. De Europese Commissie kan markttoezichthouders verzoeken een onderzoek te verrichten als het voldoende redenen heeft om aan te nemen dat een product niet aan de voorwaarden voldoet. In uitzonderlijke omstandigheden waarbij 1) een product een aanzienlijk cyberbeveiligingsrisico heeft, 2) het niet aan de voorwaarden voldoet en 3) de markttoezichthouder geen doeltreffende maatregelen heeft genomen, mag de Europese Commissie op basis van een evaluatie, ondersteund door analyse van ENISA, in overleg met de betrokken lidstaten en fabrikant(en) tot onmiddellijke interventie overgaan en middels een uitvoeringshandeling maatregelen nemen op EU-niveau, waaronder het terugroepen van het product van de interne markt. Verder kunnen markttoezichthouders zelf, of op verzoek van de Europese Commissie of ENISA, met andere relevante toezichthouders een gezamenlijk onderzoek verrichten naar producten die een cybersecurityrisico vormen. Ten slotte kunnen onder de coördinatie van de Europese Commissie gelijktijdige nalevingscontroles worden gehouden door de markttoezichthouders (zogenaamde ‘sweeps’). Voor de uniforme toepassing van de CRA wordt de ADCO opgericht, waarin vertegenwoordigers van de aangewezen markttoezichtautoriteiten, waaronder RDI, deelnemen. De ADCO zal voor categorieën producten met digitale elementen statistieken publiceren over gemiddelde ondersteuningsperioden en richtsnoeren met indicatieve ondersteuningsperioden.

De RDI werkt als markttoezichtautoriteit op grond van artikel 52 samen met de cyberbeveiligingscertificeringsautoriteiten (in Nederland is dat de RDI zelf) en – in het kader van het toezicht op de meldplicht – met ENISA en het Nationaal Cyber Security Centrum (NCSC), en wisselt regelmatig informatie uit met deze partijen. Hetzelfde geldt voor de samenwerking en informatie-uitwisseling met de Autoriteit Persoonsgegevens en met andere markttoezichtautoriteiten die op basis van andere harmonisatiewetgeving zijn aangewezen. Ook brengt de RDI jaarlijks verslag uit aan de Europese Commissie over de resultaten van hun activiteiten en – zodra er informatie wordt verkregen die potentieel van belang kan zijn voor de toepassing van het mededingingsrecht – aan de Autoriteit Consument en Markt. De aanwijzing als markttoezichtautoriteit in artikel 2.2 van dit wetsvoorstel brengt met zich mee dat de RDI bevoegd is tot deze informatie-uitwisseling.

Lidstaten moeten op grond van artikel 64 van de verordening een sanctieregime vastleggen voor inbreuken op de verordening. Het wetsvoorstel voorziet hierin, door in artikel 3.1 de Minister van Economische Zaken (in de praktijk de RDI) de bevoegdheid te verlenen een last onder bestuursdwang of een bestuurlijke boete op te leggen. Een bestuursorgaan dat bevoegd is een last onder bestuursdwang op te leggen, kan in plaats daarvan aan de overtreder een last onder dwangsom opleggen, dit reeds op basis van artikel 5:32 van de Algemene wet bestuursrecht. Voor de bestuurlijke boete uit artikel 3.2, eerste tot en met derde lid, gelden de maxima die in artikel 64 van de verordening worden voorgeschreven. Op grond van artikel 64, tiende lid, zijn micro-ondernemingen of kleine ondernemingen uitgezonderd van deze boetebepaling waar het gaat om het niet naleven van de meldplicht op grond van artikel 14, tweede lid, onder a, en vierde lid, onder a, om ‘zonder onnodige vertraging en in elk geval binnen 24 uur nadat de fabrikant er kennis van heeft gekregen’ een vroegtijdige waarschuwing in te dienen van een actief uitgebuite kwetsbaarheid of een ernstig incident dat gevolgen heeft voor de beveiliging van het product met digitale elementen. Ook kunnen op grond van artikel 64, tiende lid, geen boetes worden opgelegd voor inbreuk op de verordening door opensourcesoftwarestewards.

Het wetsvoorstel strekt tot uitvoering van de CRA. De CRA is een Europese verordening die deel uitmaakt van het Europese stelsel van productregelgeving, het zogeheten Nieuw Regelgevend Kader. Binnen dit kader worden in diverse richtlijnen en verordeningen essentiële eisen gesteld waar producten aan moeten voldoen om op de Europese Unie op de markt te mogen worden aangeboden. De CRA sluit hierbij aan door gebruik te maken van de gebruikelijke terminologie, standaardisatie, conformiteitsbeoordeling, accreditatie en het stelsel van markttoezicht.

De CRA heeft mede tot doel het NIS2-entiteiten makkelijker te maken om te voldoen aan de op grond van de NIS2-richtlijn (Richtlijn (EU) 2022/2555) gestelde vereisten voor de toeleveringsketen, door ervoor te zorgen dat de producten met digitale elementen die zij voor de verlening van hun diensten gebruiken, op veilige wijze worden ontwikkeld en dat zij toegang hebben tot tijdige beveiligingsupdates voor deze producten.

De CRA sluit daarnaast aan op de Cyberbeveiligingsverordening (Verordening (EU) 2019/881) door het mogelijk te maken om bij de conformiteitsbeoordeling gebruik te maken van een passend Europees cyberbeveiligingscertificaat voor zover het cyberbeveiligingscertificaat of de conformiteitsverklaring of delen daarvan die vereisten dekken. De Europese Commissie krijgt in de CRA de bevoegdheid om bij gedelegeerde handeling te kunnen bepalen dat kritieke producten alleen met een Europees cyberbeveiligingscertificaat kunnen aantonen dat zij aan de eisen van de CRA voldoen, mits hiervoor een passend schema beschikbaar is en wordt voldaan aan de overige voorwaarden in artikel 8 van de verordening.

De CRA bevat horizontale productregelgeving die geldt voor een zeer brede groep producten (producten met digitale elementen). Wanneer sectorspecifieke Europese regelgeving gelijke of strengere cybersecurityeisen stelt, zijn deze producten uitgesloten van de CRA (de lex specialis gaat dan voor). Dit is het geval voor medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek (Verordening (EU) 2017/745 en Verordening (EU) 2017/746), en voor voertuigen en luchtvaartproducten (Verordening (EU) 2019/2144 en Verordening (EU) 2018/1139). Indien na publicatie van de CRA nieuwe sectorspecifieke cybersecurityeisen worden vastgesteld, kunnen deze bij gedelegeerde handeling worden uitgezonderd van de CRA.

De CRA bevat tot slot nog een specifieke bepaling (artikel 12) die de verhouding tot de Verordening artificiële intelligentie (AI Verordening (EU) 2024/1689) beschrijft ten aanzien van AI-systemen met een hoog risico.

Bij de uitvoering van de CRA in Nederland wordt zo veel mogelijk aangesloten bij de uitvoering en implementatie van de NIS2-richtlijn en de Cyberbeveiligingsverordening. Zo wordt het meldloket voor actief misbruikte kwetsbaarheden en incidenten ondergebracht bij het meldloket voor meldingen op grond van de NIS-implementatie (Cyberbeveiligingswet). Dit is voor beide wetten het als coördinator aangewezen CSIRT, in Nederland het NCSC. Ook wordt met de keuze voor RDI als toezichthouder en aanmeldende autoriteit aangesloten bij de taken, bevoegdheden en expertise op grond van de Radioapparatenrichtlijn, de Cyberbeveiligingsverordening, de NIS2-richtlijn en de AI-verordening. De CRA bevat verder voorschriften voor de nationale markttoezichthouder (artikel 52, zevende lid) om bij samenloop met de regels op grond van de Algemene verordening gegevensbescherming samen te werken met de toezichthouder (in Nederland de Autoriteit Persoonsgegevens). Zie over deze samenwerking ook paragraaf 3 b van deze toelichting.

Zoals hierboven reeds is toegelicht, is hier sprake van de uitvoering van een Europese verordening, waarbij de nationale beleidsruimte beperkt is. In hoofdstuk III van deze memorie van toelichting is de transponeringstabel opgenomen.

De CRA en de voorgestelde uitvoeringswet leiden niet tot extra regeldruk voor burgers. Ook voor bedrijven die uitsluitend producten met digitale elementen afnemen (of in ieder geval niet als fabrikant, importeur of distributeur worden aangemerkt) leidt deze wetgeving niet tot extra regeldruk.

In het geval van wettelijk voorgeschreven conformiteitsbeoordelingen zoals op grond van de CRA is het kabinetsbeleid6 dat de conformiteitsbeoordelingsinstanties op basis van accreditatie worden aangewezen. De kosten voor accreditatie zijn voor rekening van de conformiteitsbeoordelingsinstantie zelf. De keuze in de uitvoeringswet om accreditatie voor te schrijven bij de beoordeling en monitoring van conformiteitsbeoordelingsinstanties die wensen te worden aangemeld door de aanmeldende autoriteit kan in theorie tot extra regeldruk voor deze conformiteitsbeoordelingsinstanties leiden. Ook zonder deze keuze zullen conformiteitsbeoordelingsinstanties, om aangemeld te kunnen worden, moeten aantonen dat zij voldoen aan de eisen op het gebied van competentie, onafhankelijkheid en consistente bedrijfsvoering die in artikel 39 van de verordening worden gesteld. Accreditatie is voor deze bedrijven veruit de gebruikelijkste manier om dit aan te tonen. Het is moeilijk te kwantificeren wat een theoretische alternatieve manier om aan te tonen dat de instantie hieraan voldoet zou kosten en of dit bedrag hoger of lager zou liggen dan de voorgeschreven route van accreditatie. Naar schatting zal het in Nederland gaan om circa drie bedrijven, die ieder naar schatting gemiddeld 120 uur zullen besteden van het doen van de aanvraag voor accreditatie, naar schatting gemiddeld 72 uur voor het reageren op vragen of het ontvangen van de Raad voor Accreditatie in het kader van de beoordeling, en na verkrijging van de accreditatie naar schatting gemiddeld acht uur zullen besteden aan het indienen van een verzoek om aanmelding bij RDI. Dit komt op een totaal van 200 uur tegen een standaardtarief van € 547 per bedrijf (€ 10.800) x drie bedrijven is in totaal naar schatting € 32.400. De monitoring kost naar schatting 120 uur per jaar per bedrijf, wat tegen het standaardtarief neerkomt op € 6.480 per jaar. Wanneer er niet voor gekozen zou worden om de beoordeling en monitoring door de Raad voor Accreditatie te laten uitvoeren zou van hetzelfde geschatte aantal uren en dezelfde tarieven worden uitgegaan. Daarbij wordt opgemerkt dat de kosten die de conformiteitsbeoordelingsinstantie moeten maken om aangemeld te kunnen worden, kunnen worden gecompenseerd door de inkomsten die zij zullen genereren met het uitvoeren van conformiteitsbeoordelingen op grond van de CRA. De verwachting is dat de vraag naar deze diensten flink zal toenemen als gevolg van de CRA.

Fabrikanten die producten met digitale elementen op de markt aanbieden en importeurs en distributeurs van deze producten, krijgen op grond van de CRA te maken met verplichtingen die voor een deel als regeldruk worden aangemerkt. Deze regeldrukeffecten vloeien echter niet voort uit de uitvoeringswet, maar rechtstreeks uit de verordening. Er is geen exacte informatie beschikbaar over het aantal fabrikanten, importeurs en distributeurs dat aan de verplichtingen van de CRA moeten voldoen omdat dit niet op deze manier wordt geregistreerd. Op basis van beschikbare algemenere cijfers van het Centraal Bureau voor de Statistiek wordt geschat dat in Nederland rond de 52.000 fabrikanten en 12.000 importeurs en distributeurs aan de regels van de CRA moeten voldoen.8 Voor softwareontwikkelaars en hardwarefabrikanten zal de CRA directe nalevingskosten voor nieuwe beveiligingsvereisten, documentatie- en rapportageverplichtingen met zich meebrengen die volgens de Impact Assessment van de Europese Commissie leiden tot geaggregeerde kosten die voor de gehele EU oplopen tot € 29 miljard, voor een geschatte marktwaarde van producten met digitale elementen van maximaal € 1.485 miljard aan omzet. Deze kosten splitsen zich per fabrikant uit in de volgende bedragen:

• • Aanpassingen in de ontwikkeling en productie om aan de essentiële eisen te voldoen worden geschat op gemiddeld € 42.700 aan additionele productontwikkelingskosten voor een gemiddeld product met digitale elementen (waarbij de gemiddelde totale ontwikkelingskosten € 140.000 bedragen).

• • Het doorlopen van de verplichte conformiteitsbeoordelingsprocedure:

  • o bij zelfbeoordeling: € 18.400 (het gros van de producten met digitale elementen),

  • o bij beoordeling door een conformiteitsbeoordelingsinstantie: € 25.000 (voorgeschreven bij belangrijke producten in klasse I tenzij er gebruik wordt gemaakt van een geharmoniseerde norm, belangrijke producten klasse II en kritieke producten).

• • Administratieve kosten voor verplichte informatieverschaffing richting eindgebruikers en toezichthouders (technische documentatie, EU-conformiteitsverklaring, CE-markering, gebruikersinstructies, einddatum ondersteuningsperiode) en de meldplicht: gemiddeld € 12.600 per product (9% additionele kosten op het gemiddelde totaal van € 140.000 per product met digitale elementen).

De kosten voor fabrikanten kunnen worden verrekend in de prijs die aan de afnemer in rekening wordt gebracht. Consumenten, zakelijke gebruikers en overheden die deze producten met digitale elementen gebruiken zullen dus te maken kunnen krijgen met hogere prijzen. Dit moet worden afgewogen tegen de baten van gebruikers van verhoogde transparantie, dat producten met digitale elementen die zij afnemen standaard veiliger zijn en hun fundamentele rechten zoals privacy en bescherming van hun data ook beter zijn geborgd. Naar verwachting zullen de risico's op cybersecurityincidenten en cybercrime aanzienlijk afnemen als gevolg van de CRA. Voor de hele EU wordt geschat dat de CRA kan leiden tot een kostenverlaging van incidenten die bedrijven treffen met ongeveer € 180 tot 290 miljard per jaar.

Een ontwerp van het wetsvoorstel is op internetconsultatie gepubliceerd, in de periode van 7 maart 2025 tot en met 6 april 2025. Hierop zijn vijf reacties ingediend.

Een respondent geeft aan dat de Verordening cyberweerbaarheid en de Uitvoeringswet verordening cyberweerbaarheid ook voor Bonaire, Sint Eustatius en Saba van toepassing zouden moeten zijn. Hoewel de BES-eilanden staatkundig deel uitmaken van Nederland, worden ze EU-rechtelijk gerekend onder de landen en gebieden overzee. Voor landen en gebieden overzee is het EU-recht slechts van toepassing voor zover dat uitdrukkelijk is geregeld. Dat is bij de Verordening cyberweerbaarheid niet het geval. De Uitvoeringswet verordening cyberweerbaarheid kan deze territoriale werkingssfeer niet vergroten. Desondanks kunnen gebruikers van producten met digitale elementen positieve effecten ondervinden van producten die met het oog op de wetgeving van de interne markt worden geproduceerd en mede worden aangeboden op de BES-eilanden.

Een respondent (een ICT/cybersecurity-aanbieder) stelt voor een centraal register aan te leggen waarin alle fabrikanten die digitale producten aan de Europese markt leveren hun producten moeten registreren, waarbij de SBOM wordt genoemd als manier om dit eventueel nationaal te regelen. In de CRA is niet gekozen voor een dergelijke registratie, en in de uitvoeringswet wordt geen nationale kop toegevoegd aan de uitvoering van deze Europese verordening. Een aanvullende registratieplicht wordt door het kabinet bovendien niet wenselijk geacht. Wat er in de SBOM moet worden opgenomen wordt op Europees niveau geregeld, hiervan wordt nationaal niet afgeweken. Een van de doelen van deze wetgeving is immers het creëren van een gelijk speelveld voor fabrikanten in de interne markt.

Deze respondent vraagt daarnaast wat te doen als de distributeur de fabrikant vraagt haar CE-keurmerk te delen, maar de fabrikant weigert, of er dan producten moeten worden teruggehaald, wie in dat geval opdraait voor de kosten en wat als een eindklant weigert het product te retourneren. En wat te doen met de bestaande ‘installed base’? Benadrukt wordt dat de verplichtingen9 alleen van toepassing zijn op producten met digitale elementen die na 11 december 2027 in de handel zullen worden gebracht, producten die voor die tijd in omloop zijn hoeven dus niet te worden teruggehaald. Een distributeur dienst vanaf 11 december 2027 voorafgaand aan het op de markt aanbieden van een product controleren of er een CE-markering is aangebracht. Is dat niet het geval omdat de fabrikant dit weigert, dan zal de distributeur het product niet op de markt aan mogen bieden (artikel 20, tweede lid, onderdeel a, van de CRA).

De respondent vraagt verder of het gaat om het bestaande CE-markering, dat is inderdaad het geval. De CE-markering staat voor conformiteit met alle Europese productregelgeving, waar de CRA deel van uitmaakt. Wel bestaat er een bevoegdheid voor de Europese Commissie om in een uitvoeringshandeling technische specificaties vast te stellen voor etiketten, pictogrammen of andere merktekens, die kunnen worden geplaatst naast de CE-markering, die specifiek gaan over de cybersecurity van het product en de gehanteerde ondersteuningsperiode. Het is nog niet bekend of een dergelijke uitvoeringshandeling zal worden opgesteld.

Een respondent (een cybersecurity-aanbieder) vraagt of zakelijke digitale diensten waarbij ten behoeve van deze dienst een hard/softwarecomponent wordt geplaatst onder de CRA valt. De CRA is alleen van toepassing op het op de markt aanbieden van producten met digitale elementen en bijbehorende oplossingen voor gegevensverwerking op afstand. Of het als onderdeel van deze dienstverlening aanbieden van een product als op de markt aanbieden van dat product kwalificeert hangt af van de omstandigheden van het geval. De Europese Commissie zal richtsnoeren opstellen voor de toepassing van de CRA, waarbij het kabinet aandacht vraagt voor de toepassing van de CRA in geval van maatwerkoplossingen.

Deze respondent vraagt verder waar de CE-markering geregeld is, omdat dit niet in de uitvoeringswet en de memorie van toelichting wordt behandeld. De CRA is een verordening en heeft daarmee rechtstreekse werking en wordt niet omgezet in nationale wetgeving. De uitvoeringswet regelt uitsluitend die zaken die nog nodig zijn voor een juiste uitvoering in Nederland. De memorie van toelichting geeft dan ook geen volledige beschrijving van alles dat in de CRA is geregeld: daarvoor wordt verwezen wordt naar de CRA zelf, m.b.t. de CE-markering naar artikel 13, 29 en 30 van de CRA.

Deze respondent maakt daarnaast opmerkingen over de bewoording van de artikelen 3.1 en 3.2 die echter voor een correcte juridische werking van hetgeen wordt voorgesteld bewust zo gekozen is. In de toelichting wordt vervolgens aandacht besteed aan het in begrijpelijke taal voor een bredere doelgroep uitleggen wat er in de artikeltekst wordt voorgesteld. Deze respondent vraagt tot slot of er op grond van artikel 4.1 nadere regels kunnen worden gesteld over hetgeen in artikel 7 lid 4 van de verordening (uitvoeringshandeling met de technische beschrijving van de categorieën belangrijke en kritieke producten), dit zou inderdaad een voorbeeld kunnen zijn van een uitvoeringshandeling als genoemd in artikel 4.1.

Een respondent (ontwikkelaar van opensource internetsoftware) maakt van de gelegenheid gebruik om haar waardering uit te spreken voor de Nederlandse inzet voor een passende aanpak van vrije en open source software in de CRA. De respondent noemt het resultaat in de CRA van grote waarde zowel voor ontwikkelaars van vrij en open source software als voor de gehele markt. Vrije en open source software vormt volgens de respondent immers het fundament van vrijwel alle moderne software- en digitale dienstontwikkeling. In het bijzonder het vereiste voor fabrikanten om code of documentatie voor verholpen kwetsbaarheden in een opensourcecomponenten te delen met de persoon of entiteit die de component vervaardigt of onderhoudt heeft volgens respondent de potentie kwetsbaarheden in de gehele digitale toeleveringsketen te verminderen. Een passende aanpak voor opensourcesoftware is inderdaad een van de speerpunten geweest van het kabinet tijdens de onderhandelingen over de CRA.

Een respondent (belangenorganisatie voor cybersecuritybedrijven) spreekt uit zeer positief te staan tegenover de CRA gezien het gegeven dat veel hard- en software kwetsbaarheden bevat die organisaties kunnen raken in hun cybersecurity, terwijl de dreigingen alleen maar toenemen. De belangenorganisatie is dan ook groot voorstander van tijdige melding en mitigatie van kwetsbaarheden. De respondent vraagt om waarborgen in de CRA op te nemen ten aanzien van de toegang van veiligheids- en inlichtingendiensten tot de informatie die gedeeld moet worden over actief uitgebuite kwetsbaarheden. De tekst van de CRA ligt al vast en kan niet meer worden gewijzigd. Daarnaast zijn de bevoegdheden van veiligheids- en inlichtingendiensten bij uitstek een nationale bevoegdheid die niet in Europese wetgeving wordt geregeld. In Nederland worden de bevoegdheden van deze diensten en de daarbij behorende waarborgen geregeld in o.a. de Wet op de inlichtingen- en veiligheidsdiensten 2017.

Het Adviescollege toetsing regeldruk heeft op 9 april 2025 advies uitgebracht op een eerder concept van het wetsvoorstel. Het college constateert dat in de toelichting nut en noodzaak van de verordening, en daarmee van het regelen van het toezicht met de uitvoeringswet, helder zijn aangetoond. Het college ziet geen minder belastend alternatief (dan de voorgeschreven accreditatie) om te borgen dat conformiteitsbeoordelingsinstanties voldoen aan de eisen op het gebied van kwaliteit en onafhankelijkheid. Wel adviseert het college in de toelichting de regeldruk van de accreditatie conform de Rijksbrede methodiek in kaart te brengen. Ook adviseert het college in de toelichting de regeldruk aan te vullen middels een schatting van het aantal bedrijven dat aan de verplichtingen van de verordening moet voldoen. Deze adviezen zijn opgevolgd in de regeldrukparagraaf.

Daarnaast adviseert het college in de toelichting aandacht te besteden aan de wijze waarop het MKB en grote bedrijven ondersteund zullen worden bij het naleven van de verplichtingen. Hierop is de toelichting in paragraaf 2 aangevuld.

Het college oordeelt dat het voorstel kan worden ingediend/vastgesteld nadat met de adviespunten rekening is gehouden.

De RDI heeft op 31 maart 2025 de uitkomst van de uitvoerbaarheids- en handhaafbaarheidstoets toegezonden. De RDI acht het wetsvoorstel uitvoerbaar, handhaafbaar en fraudebestendig. Wel wijst zij erop dat de formulering van artikel 2, tweede lid, in de voor deze toets toegezonden eerdere versie van het wetsvoorstel ertoe zou leiden dat de RDI zelf geen bevoegdheid zou hebben om te handhaven op conformiteitsbeoordelingsinstanties die niet aan de eisen van de CRA voldoen. Naar aanleiding van deze opmerking is de formulering van artikel 2, tweede lid, gewijzigd, zodat beter tot uitdrukking wordt gebracht dat accreditatie weliswaar een voorgeschreven onderdeel van de beoordeling en monitoring is, maar dat dit niet afdoet aan de bevoegdheden van RDI om de bepalingen ten aanzien van conformiteitsbeoordelingsinstanties zelfstandig (in voorkomend geval ook op basis van eigen bevindingen) te handhaven. Daarnaast vraagt de RDI er bij de opstelling van nadere wet- en regelgeving rekening te houden met de integraliteit van deze regelgeving met andere (Europese) regelgeving, bijvoorbeeld ten aanzien van de implementatie van de NIS2-richtlijn en de uitvoering van de AI-verordening. Ook wijst de RDI op het belang van de tijdige totstandkoming van geharmoniseerde normen voor een goede werking van de CRA en de bijdrage die expertise vanuit RDI hier aan kan leveren. Het kabinet onderschrijft het belang van normalisatie en volgt en ondersteunt dit proces waar mogelijk, onder meer door het subsidiëren van de kosten voor het voeren van het secretariaat voor de werkgroep bij CEN/CENELEC die hier aan werkt en de betrokkenheid van RDI-experts bij dit proces.

Op 8 april 2025 heeft het NCSC naar aanleiding van het verzoek om een uitvoeringstoets de resultaten van een quick scan hiertoe toegezonden. Het NCSC concludeert dat de voor het NCSC voorziene rol en taken op grond van de CRA uitvoerbaar zijn als aan een aantal randvoorwaarden wordt voldaan. Als randvoorwaarden noemt het NCSC onder meer de uitbreiding van de meldfunctionaliteit voor de NIS2-richtlijn (Cyberbeveiligingswet) waarmee deze tevens bruikbaar wordt als meldloket voor de CRA. Ook wijst het NCSC erop dat zij voor de aansluiting op het Europese centraal meldingsplatform afhankelijk is van de architectuur en technische, operationele en organisatorische maatregelen die ENISA zal opstellen met betrekking tot de oprichting, onderhoud en veilige werking van het centrale meldingsplatform. Als tijdig aan de nodige randvoorwaarden wordt voldaan geeft het NCSC aan vanaf 11 september 2026, de inwerkingtredingsdatum van de meldplicht op grond van de CRA, een elektronisch meldloket voor de CRA in bedrijf te kunnen hebben. Voor een goede inschatting van de structurele kosten bij het NCSC kan op termijn een herijking nodig zijn zodra meer bekend is over de inrichting van het meldloket en de daadwerkelijk benodigde aantallen FTE voor het beoordelen van meldingen en helpdeskondersteuning. Tot slot wijst het NCSC erop dat het nog nodig zal zijn beleid te formuleren in het kader van de uitvoering van de CRA, bijvoorbeeld ten aanzien van de afweging wanneer bewustmaking van het publiek ‘noodzakelijk’ is om een ernstig incident met gevolgen voor de beveiliging van het product met digitale elementen te voorkomen of beperken omdat dit beoordelingsruimte laat aan het NCSC.

Artikel 71, tweede lid, van de CRA voorziet in een gefaseerde inwerkingtreding. De meldplicht voor fabrikanten in artikel 14 van de verordening is van toepassing met ingang van 11 september 2026. De artikelen 35 tot en met 51, die betrekking hebben op de aanmelding van conformiteitsbeoordelingsinstanties, is van toepassing met ingang van 11 juni 2026. De rest van de verordening is van toepassing met ingang van 11 december 2027.

Bij deze data zal in het koninklijk besluit waarmee de verschillende onderdelen van dit wetsvoorstel in werking treden (afhankelijk van de doorlooptijd van de wetgevingsprocedure voor dit wetsvoorstel) zo veel als mogelijk worden aangesloten.

Op basis van artikel 64 van de CRA moeten lidstaten sancties vaststellen voor inbreuken op de verordening. Dit is uitgewerkt in het voorgestelde artikel 3.2 van dit wetsvoorstel. In het voorgestelde artikel 3.2, eerste, tweede en derde lid, wordt aangesloten bij het bepaalde in artikel 64, tweede, derde en vierde lid, van de CRA.

In het voorgestelde artikel 3.2, vierde, vijfde en zesde lid, is op basis van artikel 64, negende lid, CRA ervoor gekozen om de markttoezichtautoriteit ook bevoegd te maken tot het opleggen van een last onder bestuursdwang ter handhaving van artikel 64, tweede, derde en vierde lid, van de CRA.

Er is geen gebruik gemaakt van de mogelijkheid die artikel 64, zevende lid, van de CRA biedt om administratieve geldboeten uit te sluiten voor overheidsinstanties en overheidsorganen. In het (niet gebruikelijke) geval dat een overheidsinstantie of overheidsorgaan een product met digitale elementen op de markt aanbiedt, en aldus als fabrikant moet worden beschouwd, valt deze onverkort onder het sanctieregime op basis van artikel 3.2 van de Uitvoeringswet verordening cyberweerbaarheid.

De in artikel 3.2, eerste, tweede en derde lid, Uitvoeringswet verordening cyberweerbaarheid opgenomen administratieve boetes zijn blijkens artikel 64, tiende lid, van de CRA in een enkel, daarin bepaald geval, niet van toepassing op micro-ondernemingen of kleine ondernemingen en in het geheel niet op opensourcesoftwarestewards. De uitsluiting van artikel 64, tiende lid, van de CRA geldt onverkort voor de in artikel 3.2, vierde, vijfde en zesde lid, Uitvoeringswet verordening cyberweerbaarheid beoogde herstelsancties.