EU-lidstaten zijn het eens geworden over hun standpunt rond de Cyber Resilience Act. Dit wetsvoorstel moet cybersecurityeisen stellen aan digitale producten die op de Europese markt verschijnen. De lidstaten gaan in onderhandeling met het Europees Parlement.
De Raad van de Europese Unie, bestaande uit ministers van EU-lidstaten, is woensdag akkoord gegaan met een onderhandelingsmandaat over de Cyber Resilience Act. Daarmee gaat de raad dit najaar onderhandelen met het Europees Parlement over de definitieve inhoud van de wet, die dan later eventueel wordt aangenomen.
De EU-Raad, bestaande uit ministers van EU-lidstaten, hebben enkele aanpassingen aan het wetsvoorstel gedaan. Zo wil de EU-Raad dat fabrikanten beveiligingsupdates uitbrengen gedurende de levensduur die consumenten en bedrijven 'redelijkerwijs mogen verwachten' van het product. De Europese Commissie stelde een maximumtermijn van vijf jaar voor in haar eerste wetsvoorstel. Ook zijn er maatregelen in het voorstel verwerkt die 'kleine en microbedrijven' moeten ondersteunen bij het naleven van de voorgestelde wet.
Er wordt al langer gewerkt aan de Cyber Resilience Act. De Europese Commissie deed daar vorig jaar een eerste voorstel voor. Onder de wet worden fabrikanten onder meer verplicht om gratis beveiligingsupdates uit te brengen. Het wordt ook verplicht om kwetsbaarheden en incidenten binnen 24 uur te melden aan het Europese cybersecurityagentschap ENISA.
Verschillende opensourcestichtingen, waaronder de Linux Foundation Linux, ondertekenden eerder dit jaar een open brief waarin ze hun zorgen uitten over het wetsvoorstel. Ook de Electronic Frontier Foundation sprak eerder dit jaar zorgen uit over het wetsvoorstel. Die stichting schreef dat opensourceontwikkelaars die enige hoeveelheid geld voor hun werk krijgen, bijvoorbeeld via donaties, verantwoordelijk gesteld kunnen worden voor kwetsbaarheden in hun software. Dat zou ook kunnen gelden als hun software wordt verwerkt in een ander product, zelfs als ze dat product zelf niet hebben ontworpen, stelde de EFF. Volgens de EFF kan dat ervoor zorgen dat opensourceontwikkelaars stoppen met het uitbrengen van hun projecten. Volgens de stichting is de verplichte openbaarmaking van kwetsbaarheden ook gevaarlijk, omdat dit kan betekenen dat kwetsbaarheden openbaar worden gemaakt voordat een patch beschikbaar is.
Source: Tweakers.net