De Europese Cyber Resilience Act moet Europese Internet of Things-toepassingen en consumentenelektronica veiliger maken, maar het huidige voorstel leidt vooralsnog tot grote zorgen. Onder meer bij Europarlementariër Bart Groothuis. “Het is duidelijk dat dit voorstel door ambtenaren is geschreven en niet door experts’. 

Groothuis, vorig jaar door AG Connect genomineerd als IT-politicus van het jaar, werd in Brussel benoemd tot cybersecurity rapporteur voor de vernieuwde NIB-richtlijn, een verzameling van cybersecurityregels. Hij stort zich ook op de Cyber Resilience Act, het voorstel dat de Europese Commissie in september deed. De nieuwe regelgeving moet ervoor zorgen dat Europese consumentenelektronica en Internet of Things-toepassingen veiliger worden. Met de vele aangetroffen kwetsbaarheden die regelmatig in het nieuws komen een goed plan, zou je zeggen.

Meer aandacht nodig 

Groothuis klinkt echter zowaar opgelucht wanneer AG Connect hem belt om de stand van zaken rondom de wet te bespreken. Het huidige voorstel heeft wat hem betreft goede intenties, maar zoals het er nu ligt, leidt het alleen maar tot meer problemen. “Jullie zijn de eerste die mij vragen over deze wetgeving stellen. Dat is goed, want er is zeker aandacht voor nodig. En nu is er nog tijd om aanpassingen te doen.”

In het kort komt wil Europa met de Cyber Resilience Act een zorgplicht afdwingen bij Europese fabrikanten en leveranciers voor ICT-producten en diensten in de hele productlevenscyclus. Het gaat hierbij om producten die zijn verbonden aan het internet, zoals smart tv’s, auto’s, slimme koelkasten en wearable technologie en consumentenelektronica. “De gedachte achter het voorstel is hartstikke goed”, zegt Groothuis. “Want er komen heel veel slechte producten op de markt die onveilig zijn voor consumenten. Je kent de verhalen rondom het internet of sh*t.”, aldus Groothuis. 

Producten testen

Het probleem is volgens hem dat de EU niet alleen de consumentenproducten en IoT-toepassingen beter wil gaan reguleren, maar letterlijk alle producten meeneemt in de wetgeving. “Alles moet worden gereguleerd en dat gebeurt niet meer op basis van alleen een requirement-lijstje. De software en code van ieder Europees product met een microprocessor of een operating system wordt met de Cyber Resilience Act onderworpen aan een Europese 'conformative assesment' door een derde onafhankelijke partij.” 

Klap voor Europese innovatiekracht

Groothuis heeft grote zorgen bij een verplichte uitgebreide review. “Zie maar aan genoeg experts te komen die die dit moeten gaan doen. Het kan maanden langer duren voor een Europees product straks de markt op mag. Ik denk bovendien dat bedrijven daardoor Europa links laten liggen. Hij schetst een voorbeeld. “Stel je hebt als Europese fabrikant hebt een smart tv ontwikkeld. Dan wil je die met de snelheid van het licht de markt op brengen, omdat technologie razendsnel verouderd. Wanneer deze regels in deze vorm definitief zijn, moeten microprocessors en operating systems eerst door een keuring die maanden duurt en veel kost.

Verhuizen Europese bedrijven dan niet liever naar Azië of de VS omdat ze daar veel sneller de markt op kunnen en wél mogen experimenteren? "Dat zou een enorme klap zijn voor de innovatiekracht van Europa. Ook leidt de wet in deze vorm tot extra kosten. bijvoorbeeld een BMW van 50.000 euro; met deze wet door alle bureaucratische rompslomp 10% meer zal gaan kosten."

Kwetsbaarheden lokken hackers

Een ander probleem dat Groothuis benoemt zijn de voorgestelde Europese security-maatregelen. Deze maken Europa in de ogen Groothuis vooral meer kwetsbaar. “Alles moet worden gelogd volgens de voorgestelde regels. Dat klinkt behoorlijk logisch, je wil immers weten waar het misgaat, maar het is heel complex. Een kwetsbaarheid in de code of de software moet volgens de voorgestelde regels binnen 24 uur gemeld zijn bij ENISA, het Europese agentschap voor cybersecurity. Die verspreidt daarna de informatie. Maar dan krijg je duizenden Chinese hackers, die zo snel mogelijk exploits gaan ontwikkelen om in te kunnen breken, met alle gevolgen van dien.”

Groothuis mist in de voorgestelde regelgeving een sluitend systeem voor Coordinated Vulnerability Disclosure. “Ik maak me daar echt grote zorgen over, want zoals het nu is voorgesteld wordt software alleen maar onveiliger.”