De Europese Commissie moet in het voorstel voor verplichte veiligheidsregels voor hard- en software ook het belang van encryptie noemen, alsmede 'data protection by design and by default'. Dat vindt de Europese privacytoezichthouder EDPS in een vandaag gepubliceerde opinie (pdf).

De Cyber Resilience Act die Brussel afgelopen september voorstelde moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software. Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren.

Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen.

De EDPS steunt het voorstel en stelt dat cybersecurity van zowel hard- als software van groot belang is om de fundamentele rechten van personen te beschermen. Toch zijn er verschillende zaken die de Europese privacytoezichthouder in het voorstel zou willen aanpassen. Zo moet het principe van "data protection by design and by default" in de verplichte eisen worden opgenomen.

Verder wil de EDPS dat Brussel in het voorstel het belang benoemt van encryptie voor informatiebeveiliging, privacy, cybersecurity en databescherming. Een ander belangrijk punt dat de toezichthouder aankaart is dat de voorgestelde certificering voor producten die aan de veiligheidseisen voldoen geen vervanging van de AVG-certificering is. Het voorstel moet dan ook duidelijk maken dat een cybersecurity-certificaat niet zegt dat het product ook aan de AVG voldoet.