Development

Security
Europese wetgeving rond softwarekwetsbaarheden nodig

EU-wetgeving voor softwarekwetsbaarheden nodig

In dertien Europese landen is het echt het wilde westen, zegt taskforce-voorzitter Marietje Schaake.

© Shutterstock
17 augustus 2018

In dertien Europese landen is het echt het wilde westen, zegt taskforce-voorzitter Marietje Schaake.

De Europese Commissie en de Europese lidstaten moeten een continentbreed kader met bijbehorende nationale wetgeving opstellen om juridische duidelijkheid te geven over het ontdekken en communiceren van kwetsbaarheden in software. Dat stelt een Europese denktank, waarvan D66-Europarlementarier Marietje Schaake voorzitter van is.

“Het bekendmaken van kwetsbaarheden aan softwaremakers, hardwareleveranciers en fabrikanten is cruciaal om onze digitale samenleving te beschermen. Als we dit probleem niet serieus aanpakken in het cyberbeveiligingsbeleid van de EU net als het herschikken van de ligstoelen op de Titanic,” aldus Schaake.

De taskforce verwijst naar het Amerikaanse ministerie van justitie dat vorig jaar juli een eerste versie van een opzet voor een Vulnerability Disclosure Program for Online Systems publiceerde. “Deze opzet kan dienen als een mogelijk model voor EU-lidstaten.”

Wilde Westen

“Er moet een duidelijk wettelijk kader zijn om gevaren te melden aan de verkopers en makers van die digitale producten, zodat ze daar een spreekwoordelijke pleister op kunnen plakken. Om het net van cybersecurity sluitend te maken, moeten we dus ook de mazen in de wet dichten”, aldus Schaake in een perstoelichting.

Ze zegt dat het beleid hoe om te gaan met digitale kwetsbaarheden nog in de kinderschoenen staat. Schaake: “In dertien Europese landen is het echt het Wilde Westen: daar kunnen onderzoekers zelfs vervolgd worden als ze met goede bedoelingen een veiligheidslek in software melden aan een bedrijf. Nederland heeft daar wel goede richtlijnen voor. Wij lopen voorop.”

Ontdekt een Nederlandse onderzoeker kwetsbaarheden in software van een leverancier in een ander Europees land, kan het zijn dat hij anders behandeld wordt dan in Nederland. Dat kan niet, vindt Schaake. “Om Europese cybersecurity overal te verbeteren kan het Europese Cybersecurity agentschap (ENISA) landen specifiek ondersteunen om goede regels over het melden van kwetsbaarheden vast te leggen.”

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.