Cyberveiligheid van producten en entiteiten wordt binnenkort verplicht binnen de EU
Bedrijven zijn nog steeds zorgwekkend onwetend op de vooravond van het verscherpen van de EU-wetgeving op het gebied van cyberveiligheid. Vooral voor industriële apparatuur en consumentenapparaten wordt herinrichting een urgente zaak. De komende jaren zal een tiental cyberveiligheidsrichtlijnen of -voorschriften van kracht worden. Als niet aan deze regels wordt voldaan, zal de verkoop van bestaande producten en digitale diensten illegaal worden. Daarom moeten besluitvormers en productontwikkelaars in zowel de apparaten- als dienstensectoren zorgen dat ze de nieuwe wetgeving begrijpen en de nodige voorbereidingen gaan treffen.
De eerste aanzienlijke aanscherping van de voorschriften met betrekking tot apparaten zal op 1 augustus 2024 via de Richtlijn voor radioapparatuur van kracht worden. Deze is van toepassing op apparaten met draadloze radiocommunicatie, zelfs draadloze koptelefoons. Op deze dag worden de huidige draadloze IoT-apparaten illegaal voor verkoop in de EU, omdat zij niet langer aan de Richtlijn voldoen. Als een bedrijf de huidige IoT-apparaten binnen de EU wil blijven verkopen, moet het de CE-markering zodanig vervangen, dat deze aan de nieuwe eisen voldoet.
De NIS2-richtlijn wordt eind 2024 van kracht. Hierin wordt de lijst van entiteiten die essentieel en belangrijk zijn voor de gemeenschap uitgebreid met sectoren zoals fabricage van elektrische apparaten, de chemische industrie en ICT-diensten. In principe zal NIS2 alleen gelden voor middelgrote en grote bedrijven, die zullen worden verplicht om systemen voor informatieveiligheidsbeheer in te voeren. In de praktijk zullen echter ook veel kleine bedrijven onder deze eisen vallen, aangezien de grotere bedrijven ook van hun toeleveranciers moeten eisen om met de juiste cyberveiligheidsprocessen te werken.
Nog ingrijpender is de Cyber Resilience Act, die in 2025-26 ingaat. Deze zal gelden voor alle producten met een digitale dimensie, d.w.z. alle apparaten, software en veel elektronische en software-onderdelen. Deze moeten aan de nieuwe CE-markering betreffende de eisen voor cyberveiligheid voldoen.
Daarom is het belangrijk op te merken dat deze veranderingen in de EU-wetgeving aandacht en actie vragen van zowel softwarebedrijven als fabrikanten van industriële apparatuur. Voor een agile softwarebedrijf kan, bijvoorbeeld, CE-markering een onbekend concept zijn.
Als een bedrijf zich hiervan niet op de hoogte stelt, zal het in grote problemen komen. Er bestaat een acuut gebrek aan mensen die de wetgeving begrijpen en die deze in de praktijk kunnen doorvoeren. Er moet veel worden bestudeerd.
Het is nu tijd om de juiste partners te zoeken en in samenwerking met hen de in verband met de veranderende wetgeving benodigde maatregelen te treffen. Het is belangrijk om met toeleveranciers en andere partners in gesprek te gaan over nieuwe eisen.
Door tijdig actie te ondernemen met betrekking tot de nieuwe cyberveiligheidswetgeving, kan een bedrijf zijn producten en diensten zonder onderbreking blijven verkopen. Daarnaast kan een bedrijf dat aan de eisen voldoet zichzelf beschermen tegen strafrechtelijke aansprakelijkheid en aanzienlijke administratieve boetes in geval van een schadelijk cyberveiligheidsincident, waarbij zijn aanbod en werkzaamheden worden getroffen.