Cyber Resilience Act in volgende fase ondanks grote kritiek

Ondanks forse kritiek uit de IT-wereld op de Cyber Resilience Act (CRA) lijkt de Europese Commissie toch door te willen zetten met deze verordening. Daarmee dreigt Europa een no-go-zone te worden voor softwareontwikkelaars van buiten het continent en wordt een molensteen om de nek van Europese softwaremakers gelegd, vrezen ingewijden.

Onveilige software

Afgelopen week is druk overleg geweest in Brussel over de Cyber Resilience Act, het voorstel voor een nieuwe verordening die ervoor moet zorgen dat burgers en bedrijven in Europa beschermd worden tegen onveilige software. Het voorstel daartoe werd in september door de Europese Commissie voor commentaar voorgelegd en dat is er ook gekomen. Hoewel niemand tegen maatregelen is die de veiligheid van software verbeteren en leveranciers daarvoor meer aansprakelijk maken, schiet het huidige voorstel zijn doel voorbij.

'Ondanks de kritiek gaan de ambtenaren nu verder met de volgende fase en alles wijst erop dat men niet van plan is het voorstel aan te passen,' zegt Bert Hubert, ondernemer, cybersecurity-expert en voormalig lid van de toetsingscommissie Inzet Bevoegdheden (TIB). Hij nam de afgelopen weken deel aan gesprekken met de Nederlandse en Europese autoriteiten.

Te breed en te vaag

'Het probleem is dat wetgevers die regels en documenten opstellen voor de veiligheid van staafmixers, nu ook opeens denken regels op te kunnen stellen voor hoe je veilige software schrijft. Ze hebben geen verstand van software en geven dat ook toe. Het voorstel is daardoor heel breed en vaag geformuleerd. Maar op overtreding staan heel hoge boetes. Dat creëert grote onzekerheid bij bedrijven.'

De leveranciers van software of producten waarin software is verwerkt, zullen zich daardoor afvragen of ze hun producten wel op de Europese markt moeten brengen. "Een workaround is dat ze er een sticker op plakken 'Niet te gebruiken in de EU' waarna ze illegaal toch in de EU gebruikt gaan worden.' Daarmee ontstaat opnieuw een situatie zoals met het delen van gegevens met Amerikaanse bedrijven na het schrappen van het Privacy Shield, dat toch op grote schaal gebeurt.

Ouderwetse wetgeving

Europese softwaremakers zien zich geconfronteerd met de plicht belangrijke software te laten controleren door een onafhankelijk keuringsinstituut zoals die voor andere producten bestaan zoals KEMA of het Duitse TüV. Dat softwarekeuringsinstituut staat voor een immense taak de soms miljarden regels code per product of dienst te gaan controleren. 'Europese keuringsinstituten geven nu al aan geen capaciteit te hebben voor alle keuringen die ze moeten doen. Met de krappe arbeidsmarkt voor IT'ers gaat het nooit lukken zo'n instituut op te tuigen dat de snelheid van de ontwikkelingen in de IT kan bijhouden. De CRA is wetgeving uit de jaren 80 die toegepast gaat worden in de jaren 30.'

Een van de redenen dat het zo mis kon gaan, is dat de industrie nauwelijks bij het opstellen van het voorstel betrokken is geweest. Hubert: 'De Europese regelgevers hebben in het verleden een aantal successen behaald met regelgeving die uiteindelijk wereldwijd wordt gevolgd. Denk aan het uitbannen van lood uit producten met de Restriction of Hazardous Substances (ROHS) en recenter met de GDPR. Ook daartegen werd veel geprotesteerd, maar iedereen schikte zich daarin. Dat heeft ze in Brussel de indruk gegeven dat hoe groot het protest uit de industrie ook is, die zich wel aanpast.'

Klein beginnen

Volgens Hubert kan de cyber resilience die iedereen wil, alleen worden bereikt door klein te beginnen. 'We hebben nu een heel streng gereguleerde auto-industrie waarbij iedere auto airbags en 3-puntsgordels moet hebben. Maar dat is een geleidelijk proces geweest.' Hij pleit ervoor dat te beginnen met drie simpele wettelijke verplichtingen, waarvan je weet dat iedereen er aan gehouden kan worden: 

• Dat software niet meer geleverd mag worden met default wachtwoorden.
• Dat bedrijven geen producten mogen leveren waarvan ze weten dat ze onveilig zijn
• Dat er regelmatig updates uitkomen.

En dat de regels alleen gelden voor de aanbieders met grote marktmacht. Daar is grote winst te behalen. In een later stadium kan die wetgeving dan verder worden aangescherpt.

Nu op de rem trappen

Hubert hoopt dat nu de industrie wakker is geworden - zoals grote partijen als SAP - die opstaat en op de rem trapt. 'Het idee in Brussel is dat deze verordening in juni door het Europees Parlement kan worden goedgekeurd. Er is ongelofelijke haast en haast is in dit soort zaken niet goed. Zelfs zonder haast is het al moeilijk genoeg. En we willen toch allemaal dat er veiliger software komt.'

Dit artikel verscheen eerder op AG Connect.