Waarom er grote zorgen zijn over nieuwe Europese security-wetgeving

'Dit voorstel is duidelijk geschreven door ambtenaren en niet door IT-experts'

Onderkop

door Sjoerd Hartholt, beeld Shutterstock

De Europese Cyber Resilience Act moet Europese Internet of Things-toepassingen en consumentenelektronica veiligermaken, maar het huidige voorstel leidt vooralsnog tot grote zorgen. Onder meer bij Europarlementariër Bart Groothuis. “Het is duidelijk dat dit voorstel door ambtenaren is geschreven en niet door experts’. 

Groothuis, vorig jaar door AG Connect genomineerd als IT-politicus van het jaar, werd in Brussel benoemd tot cybersecurity rapporteur voor de vernieuwde NIB-richtlijn, een verzameling van cybersecurityregels. Hij stort zich ook op de Cyber Resilience Act, het voorstel dat de Europese Commissie in september deed. De nieuwe regelgeving moet ervoor zorgen dat Europese consumenten­elektronica en Internet of Things-toepassingen veiliger worden. Met de vele aangetroffen kwetsbaarheden die regelmatig in het nieuws komen een goed plan, zou je zeggen.

Meer aandacht nodig

Groothuis klinkt echter zowaar opgelucht wanneer AG Connect hem belt om de stand van zaken rondom de wet te bespreken. Het huidige voorstel heeft wat hem betreft goede intenties, maar zoals het er nu ligt leidt het alleen maar tot meer problemen. “Jullie zijn de eerste die mij vragen over deze wetgeving stellen. Dat is goed, want er is zeker aandacht voor nodig. En nu is er nog tijd om aanpassingen te doen.”

In het kort komt wil Europa met de Cyber Resiliance Act een zorgplicht afdwingen bij Europese fabrikanten en leveranciers voor ICT-producten en diensten in de hele productlevenscyclus. Het gaat hierbij om producten die zijn verbonden aan het internet, zoals smart tv’s, auto’s, slimme koelkasten en wearable technologie en consumentenelektronica. “De gedachte achter het voorstel is hartstikke goed”, zegt Groothuis. “Want er komen heel veel slechte producten op de markt die onveilig zijn voor consumenten. Je kent de verhalen rondom het internet of sh*t.”, aldus Groothuis.

'Deze regels zijn een enorme klap voor onze innovatiekracht'

Producten testen

Het probleem is volgens hem dat de EU niet alleen de consumentenproducten en IoT-toepassingen beter wil gaan reguleren, maar letterlijk alle producten meeneemt in de wetgeving. “Alles moet worden gereguleerd en dat gebeurt niet meer op basis van alleen een requirement-lijstje. De software en code van ieder Europees product met een microprocessor of een operating system wordt met de Cyber Resiliance Act onderworpen aan een Europese conformative assesment door een derde onafhankelijke partij.”

Klap voor Europese innovatiekracht

Groothuis heeft grote zorgen bij een verplichte uitgebreide review. “Zie maar aan genoeg experts te komen die die dit moeten gaan doen. Het kan maanden langer duren voor een Europees product straks de markt op mag. Ik denk bovendien dat bedrijven daardoor Europa links laten liggen. Hij schetst een voorbeeld. “Stel je hebt als Europese fabrikant hebt een smart tv ontwikkeld. Dan wil je die met de snelheid van het licht de markt op brengen, omdat technologie razendsnel verouderd. Wanneer deze regels in deze vorm definitief zijn, moeten microprocessors en operating systems eerst door een keuring die maanden duurt en veel kost.

Verhuizen Europese bedrijven dan niet liever naar Azië of de VS omdat ze daar veel sneller de markt op kunnen en wél mogen experimenteren? "Dat zou een enorme klap zijn voor de innovatiekracht van Europa. Ook leidt de wet in deze vorm tot extra kosten. bijvoorbeeld een BMW van 50.000 euro; met deze wet door alle bureaucratische rompslomp 10% meer zal gaan kosten."

'De software wordt alleen maar onveiliger'

Kwetsbaarheden lokken hackers

Een ander probleem dat Groothuis benoemt zijn de voorgestelde Europese security-maatregelen. Deze maken Europa in de ogen Groothuis vooral meer kwetsbaar. “Alles moet worden gelogd volgens de voorgestelde regels. Dat klinkt behoorlijk logisch, je wil immers weten waar het misgaat, maar het is heel complex. Een kwetsbaarheid in de code of de software moet volgens de voorgestelde regels binnen 24 uur gemeld zijn bij ENISA, het Europese agentschap voor cybersecurity. Die verspreidt daarna de informatie. Maar dan krijg je duizenden Chinese hackers, die zo snel mogelijk exploits gaan ontwikkelen om in te kunnen breken, met alle gevolgen van dien.”

Groothuis mist in de voorgestelde regelgeving een sluitend systeem voor Coordinated Vulnerability Disclosure. “Ik maak me daar echt grote zorgen over, want zoals het nu is voorgesteld wordt software alleen maar onveiliger.”

Er is nog tijd

Er is nog tijd om aanpassingen te doen. Op dit moment moet de Cyber Resiliance Act nog langs het Europees Parlement en de 27 lidstaten, waardoor nog de nodige aanpassingen gemaakt kunnen worden. Hoewel Groothuis het beoogde doel nog steeds van harte toejuicht, maakt hij zich grote zorgen over ‘overregulering’. Hij wil met de Nederlandse inzet het voorstel finetunen en afzwakken en de nodige amendementen gaan indienen.

De belangrijkste inzet voor Groothuis is dat de voorgestelde regels alleen voor consumentenelektronica en IoT gelden, zoals in onder meer Engeland en Singapore al gebeurt. “Bij vorige wetten moest er in mijn ogen een schepje bovenop worden gedaan qua regels”, nu juist eraf, zegt Groothuis. “Het is voor mij duidelijk dat het voorstel is geschreven door ambtenaren en niet door security-experts.”