Op 7 maart 2025 is de internetconsultatie van de concept-uitvoeringswet Verordening cyberweerbaarheid gestart. Dit wetsvoorstel regelt de uitvoering van de op 10 december 2024 in werking getreden Verordening cyberweerbaarheid, of Cyber Resilience Act, in Nederland. De consultatieperiode loopt tot en met 6 april 2025.
Consumenten, bedrijven en andere organisaties in de EU moeten er op kunnen vertrouwen dat de digitale producten die zij gebruiken veilig zijn. Dit is ook belangrijk voor de digitale weerbaarheid van Europa. De Europese Verordening cyberweerbaarheid (of Cyber Resilience Act, hierna: CRA) introduceert daarom cybersecurityeisen voor alle producten met digitale elementen. Hierbij gaat het om hardware, software en losse componenten die vanaf 11 december 2027 in de Europese Unie op de markt worden aangeboden. Vanaf 11 september 2026 geldt voor fabrikanten van deze producten een meldplicht bij actief uitgebuite kwetsbaarheden en ernstige incidenten. De verordening heeft rechtstreekse werking en wordt dus niet omgezet in nationale wetgeving. Wel dient er in een uitvoeringswet te worden bepaald wie wordt aangewezen voor de uitvoering, toezicht en handhaving van de CRA in Nederland, en dienen de bijbehorende boetebevoegdheden en rechtsbescherming te worden geregeld.
U kunt reageren op het concept-wetsvoorstel waarin deze zaken worden geregeld:
In de wet wordt de minister van Economische Zaken, in de praktijk de Rijksinspectie Digitale Infrastructuur (RDI), aangewezen als autoriteit die verantwoordelijk is voor de procedure om conformiteitsbeoordelingsinstanties te beoordelen, aan te melden en te monitoren. Het wetsvoorstel bepaalt daarbij dat de beoordeling en monitoring van deze instanties door middel van accreditatie dient plaats te vinden.
Daarnaast wordt toezicht en handhaving in het voorstel belegd bij de minister van Economische Zaken (RDI), als nationale markttoezichtautoriteit, die de bevoegdheid krijgt om bij overtreding bestuurlijke boetes met de in de verordening voorgeschreven maximumomvang op te leggen.
Ook wordt een beroepsprocedure voor de besluiten van de markttoezichthouder ingericht.
Tot slot wordt het Nationaal Cyber Security Centrum (NCSC) in het conceptvoorstel aangewezen als het Computer security incident response team (CSIRT) dat belast zal zijn met de inrichting en uitvoering van het meldloket voor de meldplicht bij actief uitgebuite kwetsbaarheden en ernstige incidenten.
Van 7 maart tot en met 4 april 2025 kan iedereen reageren op de concept-uitvoeringswet Verordening cyberweerbaarheid. Het doel van de consultatie is om belanghebbenden te betrekken bij de totstandkoming deze uitvoeringswet. Na afloop van de consultatieperiode worden alle reacties bekeken en waar nodig verwerkt in de uitvoeringswet.
Kijk op overheid.nl om de concept-uitvoeringswet in te zien om deel te nemen aan de consultatie.
