image

Nederland steunt Europese meldplicht voor actief aangevallen kwetsbaarheden

dinsdag 29 november 2022, 10:05 door Redactie, 8 reacties

Het kabinet steunt 'in beginsel' plannen van Brussel om leveranciers van hard- en software te verplichten om actief aangevallen kwetsbaarheden binnen 24 uur te melden bij het Europese cyberagentschap ENISA. Dat laat minister Adriaansens van Economische Zaken weten op vragen vanuit de Tweede Kamer over de Cyber Resilience Act (CRA).

De Europese Commissie presenteerde de CRA afgelopen september. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates voor een periode van vijf jaar. De CRA moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software.

Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren.

Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen.

De CRA introduceert ook een meldplicht voor leveranciers van hard- en software. Actief aangevallen kwetsbaarheden moeten binnen 24 uur bij het Europees Agentschap voor cyberbeveiliging (ENISA) worden gerapporteerd, dat vervolgens nationale Cybersecurity Incident Response Teams (CSIRTs) kan informeren. "Het kabinet ziet het belang van het zo snel mogelijk melden van kwetsbaarheden en steunt daarom in beginsel een 24 uurs-termijn voor kwetsbaarheden die reeds actief misbruikt zijn", stelt minister Adriaansens.

De VVD had vragen gesteld hoe haalbaar het kabinet het acht om actief aangevallen kwetsbaarheden binnen 24 uur te melden, met name voor middelkleine en kleine fabrikanten, gegeven de nalevings- en handhavingskosten die dit met zich meebrengt. De minister erkent dat er spanning zit tussen het melden van kwetsbaarheden, bijvoorbeeld door het MKB, en de mogelijkheid die de melding biedt om tijdig te handelen om de negatieve gevolgen van misbruik zo veel mogelijk te beperken en slachtoffers te voorkomen. Het kabinet heeft de Europese Commissie gevraagd wat in de meldplicht precies wordt bedoeld met ‘onnodige vertraging’. Daarnaast wordt er nog met fabrikanten, de Commissie en lidstaten over de CRA-meldplicht gesproken.

Reacties (8)
29-11-2022, 10:21 door Anoniem
Verplicht, verplicht, verplicht.

De EUSSR doet z'n naam weer eer aan.
Kunnen ze daar niet gewoon eens wat zinnigs gaan doen?
29-11-2022, 11:26 door Anoniem
Door Anoniem: Verplicht, verplicht, verplicht.

De EUSSR doet z'n naam weer eer aan.
Kunnen ze daar niet gewoon eens wat zinnigs gaan doen?

Natuurlijk moet dat verplicht worden.
Denk even aan de consequenties die het kan hebben als er misbruik van gemaakt wordt.
29-11-2022, 11:47 door Anoniem
Door Anoniem:
Door Anoniem: Verplicht, verplicht, verplicht.

De EUSSR doet z'n naam weer eer aan.
Kunnen ze daar niet gewoon eens wat zinnigs gaan doen?

Natuurlijk moet dat verplicht worden.
Denk even aan de consequenties die het kan hebben als er misbruik van gemaakt wordt.

Het doet er niet toe of het wel of geen zinnige maatregel is, als het uit Brussel komt deugt het per definitie niet.
29-11-2022, 12:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Verplicht, verplicht, verplicht.

De EUSSR doet z'n naam weer eer aan.
Kunnen ze daar niet gewoon eens wat zinnigs gaan doen?

Natuurlijk moet dat verplicht worden.
Denk even aan de consequenties die het kan hebben als er misbruik van gemaakt wordt.

Het doet er niet toe of het wel of geen zinnige maatregel is, als het uit Brussel komt deugt het per definitie niet.

En dat is hoe je jezelf helemaal "buiten spel" zet...

beoordeel ALTIJD ideeën op hun eigen waarde. niet op waar ze vandaan komen of wie ze zegt.

dit geld voor plekken waar je "voor" bent en waar je "tegen" bent... als je alleen maar ideeën accepteert die uit jouw kamp komen dan ben je niet iemand die meerwaarde brengt naar een discussie.

De discussie de we moeten hebben is:
- is 24h een goede termijn.
- via welke weg moet dit gemeld worden.
- is een meld plicht gewenst (gezien history, ja. heeft bij andere branches in vergelijkbare zaken hen ook enorm geholpen om een publieke meld plicht te hebben voor problemen.)
- wie word bij een melding op de hoogte gebracht, en via welke weg.
- etc.

niet of het idee uit de juiste schuur komt.
We leven niet meer in een tijdperk van "ons" tegen "hun".... dus laat dat denken ook achterwegen.
29-11-2022, 12:54 door Anoniem
NCTV roept nu op om een noodpakket voor 48 uur in te slaan.
29-11-2022, 14:10 door Anoniem
En de maker mag het subjectieve "kwetsbaarheid" beoordelen?
29-11-2022, 15:28 door Anoniem
Voortaan alleen nog maar hele grote corporate want de kleintjes kunnen nooit meer compliant zijn met de 10000 EU verplichtingen, certificaten, bla bla officers etc etc etc

Ik kan zo ook nergens terug vinden hoe dit zou moeten gaan met kleine open-source projecten, verboden?
30-11-2022, 14:56 door Anoniem
En euh, worden de inlichtingendiensten ook verplicht om te melden of mogen ze er zo lang mogelijk gebruik van maken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.