Het kabinet ziet niets in het plan van de Europese Commissie om de ondersteuningstermijn vast te leggen op slechts vijf jaar. Een maximale beschermingstermijn zou een ongewenste prikkel kunnen geven voor fabrikanten. Tevens schiet de termijn tekort om bescherming te bieden voor alle categorieën digitale producten.
Dat laat minister van Economische Zaken en Klimaat Micky Adriaansens weten in een brief (1) aan de vaste commissie voor Justitie en Veiligheid.
In september 2022 presenteerde de Europese Commissie een wetsvoorstel om smart devices en andere digitale producten beter te beschermen tegen hackers en cybercriminelen: de Cyber Resilience Act (2). “De EU wil de verantwoordelijkheid leggen bij hen die de producten op de markt brengen”, zei Eurocommissaris voor Mededinging Margrethe Vestager bij de presentatie van de Cyberweerbaarheidswet.
Met het wetsvoorstel wil de Europese Commissie bereiken dat fabrikanten minimaal vijf jaar ondersteuning bieden aan hun producten. Het uitrollen van software-updates en patches om kwetsbaarheden en andere beveiligingsproblemen aan te pakken is daar een belangrijk onderdeel van. Tevens legt het voorstel vast dat consumenten het recht hebben om goed geïnformeerd te worden over de beveiliging van digitale producten met een internetverbinding.
Tot slot is in het wetsvoorstel een boetclausule opgenomen. Fabrikanten die niet aan de minimumeisen op het gebied van beveiliging voldoen, riskeren een boete van maximaal 15 miljoen euro, of 2,5 procent van de wereldwijde omzet, afhankelijk van welk bedrag hoger is. In het ergste geval kan de Europese Commissie besluiten dat een specifiek product niet langer in de EU mag worden verkocht.
Een deel van de Tweede Kamer is echter niet te spreken over de beschermingstermijn van vijf jaar. Tijdens een vergadering van de vaste commissie voor Justitie en Veiligheid in november 2022, hebben GroenLinks, de PvdA, de SP en Partij voor de Dieren (PvdD) vragen gesteld over dit onderwerp. Deze vragen en de antwoorden daarop zijn maandag gepubliceerd door minister Adriaansens.
De Linkse oppositiepartijen vinden de termijn van vijf jaar ‘ongelukkig gekozen’. Ze vinden deze periode aan de korte kant en zijn bang dat deze verspilling in de hand werkt. “Veel fysieke producten zijn immers afhankelijk van veilige software en moet langer dan vijf jaar mee kunnen gaan. Een langere termijn zou kunnen zorgen voor meer ambitie en zo resulteren in veiligere én duurzamere producten”, schrijven de fracties.
De partijen zijn benieuwd of het kabinet het met hen eens is dat de beschermingstermijn van vijf jaar aan de korte kant is. De oppositiepartijen willen dat de regering zich in Brussel hard maakt om deze termijn te schrappen om zo verspilling te voorkomen en hergebruik te stimuleren.
In een reactie laat minister Adriaansens weten het eens te zijn met het linkse blok. “Een maximale beschermingstermijn van vijf jaar zou een ongewenste prikkel kunnen geven voor producenten om hun producten niet langer mee te laten gaan dan deze vijf jaar, hetgeen niet past bij de duurzaamheidsdoelen van Nederland en de EU”, aldus de bewindsvrouw.
Daarnaast benadrukt minister Adriaansens dat een termijn van vijf jaar onvoldoende bescherming biedt om de veiligheid van alle digitale producten te waarborgen. De regering zal bij de onderhandelingen over de Cyber Resilience Act daarom inzetten op een beschermingstermijn die aansluit bij de levensduur van een product.
“Het kabinet onderzoekt mogelijkheden om tot een effectievere ondersteuningstermijn te komen zodat gedurende de hele levenscyclus van een product veiligheidsupdates beschikbaar worden gesteld. Dit zou in combinatie met de in het voorstel opgenomen bepalingen voor handhaving en sancties voldoende moeten zijn om digitale veiligheid van producten te garanderen”, schrijft de minister.
https://www.rijksoverheid.nl/documenten/kamerstukken/2023/02/06/voorstel-voor-een-verordening-betreffende-horizontale-cyberbeveiligingsvereisten-com2022454
https://www.vpngids.nl/nieuws/europese-commissie-wil-iot-apparaten-met-slechte-beveiliging-weren/
