Inbreng verslag schriftelijk overleg : Inbreng verslag van een schriftelijk overleg over het Fiche: Verordening Cyber Resilience Act (CRA)
2022D45842 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om
enkele vragen en opmerkingen voor te leggen aan de Minister voor Economische Zaken
en Klimaat over het Fiche: Verordening Cyber Resilience Act (CRA).
De voorzitter van de commissie, Kamminga
De adjunct-griffier van de commissie, Van Tilburg
Inhoudsopgave
blz.
I
Vragen en opmerkingen vanuit de fracties
2
Vragen en opmerkingen van de leden van de VVD-fractie
2
Vragen en opmerkingen van de leden van de Volt-fractie
4
Vragen en opmerkingen van het lid van de BBB-fractie
4
II
Antwoord / Reactie van de Minister
5
I Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben kennisgenomen van de kabinetspositie inzake de
Verordening Cyber Resilience Act (CRA) en hebben hierover nog enkele vragen en opmerkingen.
De leden van de VVD-fractie achten het positief dat vanuit Europa het initiatief wordt
genomen om slimme apparaten (IoT apparaten) veiliger te maken zodat het aantal cyberaanvallen
verminderd kan worden. Deze leden zijn het eens met de constatering dat helaas te
vaak nog cyberaanvallen kunnen worden uitgevoerd via zwakke plekken in de software
en hardware van IoT apparaten. Deze leden achten het dan ook van belang om de beveiligingstandaarden
van IoT apparaten te verhogen om digitale deuren beter op slot te houden voor cybercriminelen.
De leden van de VVD-fractie lezen dat Standalone software, apps en Software als een
service (SaaS) niet onder de reikwijdte van de CRA vallen. Deze leden delen de twijfel
van het kabinet omtrent deze uitzondering. Gegeven dat bovenstaande digitale middelen
niet onder de CRA vallen, onder welke wettelijke scope wordt hun digitale beveiliging
wel voldoende geborgd? Wordt dit bijvoorbeeld geborgd via de NIS2-richtlijn? Welke
analyse vormt de basis van deze verdeling? In hoeverre zijn deze verordeningen toereikend
als het gaat om Standalone software, apps en Saas?
Daarnaast lezen de leden van de VVD-fractie dat de verantwoordelijkheid voor het verhogen
van de beveiligingseisen van slimme apparaten komt te liggen bij fabrikanten die producten
ontwikkelen, ontwerpen en beschikbaar stellen en leveranciers en importeurs die de
producten beschikbaar stellen in de interne markt. Hoe verhoudt deze verantwoordelijkheid
zich tot producten van buiten de Europese Unie die niet aan de gestelde beveiligingseisen
voldoen? In het geval er sprake is van niet veilige producten, wordt dan de betrokken
importeur van de producten verantwoordelijk gehouden? Zo ja, betekent dit ook dat
deze importeurs verplicht een toets moeten doen op de veiligheidseisen van slimme
apparaten vanuit derde landen? Moeten zij op basis van deze toets ook slimme apparaten
vanuit derde landen weigeren? Kan het kabinet de hier geldende procedure verduidelijken?
Naast dat het van belang is dat de cyberbeveiligingseisen voor slimme apparaten verhoogd
moeten worden, willen de leden van de VVD-fractie wijzen op de belangrijke complementaire
verantwoordelijkheid van consumenten om veilig en bewust om te gaan met (huidige)
slimme apparaten. Is het kabinet dit met deze leden eens? Zo ja, is zij bereid om
parallel aan de implementatie van de CRA in te zetten op een voorlichting/bewustwordingscampagne
rondom het verantwoordelijk gebruiken van slimme apparaten om consumenten tegelijkertijd
ook weerbaarder te maken? Zo nee, waarom niet?
Is het kabinet het met de leden van de VVD-fractie eens dat het net zo belangrijk
is om de beveiligingseisen van huidige slimme apparaten die al op de markt zijn gebracht,
te verhogen? Zo ja, welke mogelijkheden ziet zij, al dan niet via de CRA, om de beveiligingseisen
niet alleen voor toekomstige maar ook voor huidige slimme apparaten te verhogen? Is
zij ook voornemens om deze voorstellen kenbaar te maken in de onderhandelingen? Zo
nee, waarom niet?
Tevens lezen de leden van de VVD-fractie dat fabrikanten conform de CRA zonder onnodige
vertraging en binnen 24 uur ontdekte kwetsbaarheden in producten moeten melden bij
de European Union Agency for Cybersecurity (ENISA). Wat wordt bedoeld met «onnodige
vertraging» en hoe haalbaar acht het kabinet deze tijdspanne, in het bijzonder voor
middelkleine en kleine fabrikanten die deze meldingen moeten maken gegeven de nalevings-
en handhavingskosten die dit met zich meebrengt? Kunt het kabinet dit toelichten?
In het kader van de uitvoerbaarheid en proportionaliteit voor ondernemers hebben de
leden van de VVD-fractie de nodige zorgen en stellen daarom graag de volgende vragen.
De CRA in de huidige vorm stelt fabrikanten verplicht om elke actief misbruikte kwetsbaarheid
in een product te melden bij ENISA. In hoeverre acht het kabinet dit uitvoerbaar voor
ondernemers? Niet elke misbruikte kwetsbaarheid brengt significante veiligheidsrisico’s
met zich mee en daarmee zou het melden van elke misbruikte kwetsbaarheid ongeacht
zwaarte en risiconiveau een enorme druk leggen op de werkzaamheden van ondernemers
en dat achten deze leden onwenselijk zeker gezien de andere verplichtingen die gaan
gelden voor ondernemers als gevolg van andere Europese wetgeving zoals de NIS2-richtlijn,
de Cybersecurity Act en de AI Act, deelt het kabinet deze zorgen? Zo ja, ziet zij
mogelijkheden om de meldplicht te beperken tot significante incidenten waarbij aan
een bepaald risiconiveau moet worden voldaan? Zo nee, waarom niet? Zo ja, is het kabinet
bereid dit onder de aandacht te brengen in de onderhandelingen?
In het verlengde van het melding doen bij de ENISA, zouden de leden van de VVD-fractie
nog willen in gaan op de keuze voor de ENISA als toezichthouder ook in relatie tot
de nog aan te wijzen nationale markttoezichthouder. Hoe beoordeelt het kabinet het
feit dat aanbieders van slimme apparaten een melding moeten doen bij het Europese
ENISA en niet bij de nationale markttoezichthouder, gezien het feit dat de ENISA daarna
verplicht is om de melding door te zetten naar de nationale Cyber Security Incident
Response Team? Hoe beoordeelt het kabinet deze procedure en rolverdeling? Is zij het
met deze leden eens dat het inefficiënt en daarmee onverstandig is om de meldingen
bij de ENISA onder te brengen om ze vervolgens weer naar de nationale autoriteiten
door te sturen zoals bij het Nationaal Cyber Security Centrum (NCSC) of de CSIRT-DSP?
Zo ja, is het kabinet het met deze leden eens dat het verstandiger is om de procedure
te vereenvoudigen en efficiënter te maken door de meldingen eerst aan de nog aan te
wijzen nationale markttoezichthouder te doen en vervolgens de Nederlandse nationale
cybersecurity incident response teams op de hoogte moeten worden gebracht? Zo ja,
is het kabinet bereid om dit voorstel kenbaar te maken in de onderhandelingen? Zo
nee, waarom niet?
Ook willen de leden van de VVD-fractie nader ingaan op de bevoegdheid die de CRA aan
de Europese Commissie toekent, namelijk dat zij uitzonderlijke gevallen digitale producten
uit de Europese markt kan laten terugtrekken. Deze leden maken zich zorgen over deze
bevoegdheid gezien de onzekerheid die zich met zich meebrengt voor ondernemers. In
hoeverre worden de risico’s die ondernemers lopen door deze bevoegdheid adequaat ondervangen
door de CRA? Ziet het kabinet aanvullende mogelijkheden om deze risico’s te ondervangen?
Zo ja, welke?
Vragen en opmerkingen van de leden van de Volt-fractie
De leden van de Volt-fractie hebben met interesse kennisgenomen van het BNC-Fiche
met betrekking tot de Verordening Cyber Resilience Act. Daarover zijn deze leden in
principe positief gestemd. Zij kunnen zich vinden in een aanzienlijk deel van de posities
die het kabinet inneemt. Over de kabinetspositie hebben zij nog wel enkele vragen.
De leden van de Volt-fractie merken op dat een van de voornaamste standpunten die
het kabinet inneemt is dat de CRA niet alleen over digitale producten zou moeten gaan
maar ook over alle ICT-producten, processen en diensten, ongeacht of zij aan consumenten
of bedrijven worden aangeboden. Ziet het kabinet bij de andere lidstaten dezelfde
wens? Wat is hier het krachtenveld? Welke inspanningen levert het kabinet om dit doel
te bereiken? Kan het kabinet toelichten welke producten onder de reikwijdte van de
CRA zouden moeten vallen en welke producten specifiek niet?
De leden van de Volt-fractie merken op dat het kabinet in haar position paper, in
samenwerking met Denemarken en Duitsland, schrijft dat zij verheldering wenst te krijgen
ten aanzien van de verhouding tussen de CRA en andere (concept)wetgeving op het gebied
van cybersecurity. Van welke specifieke vragen en/of onduidelijkheden wenst het kabinet
verheldering te krijgen?
De leden van de Volt-fractie hebben ten aanzien van het beoogde toezicht op de CRA
en de meldplicht die de concepttekst voorschrijft ook nog enkele vragen. Allereerst
merken de leden op dat er een meldplicht komt voor hackincidenten. Daarbij is het
niet ondenkbaar dat samenloop ontstaat met de meldplicht voor datalekken in de AVG
en de meldplicht voor cyberincidenten in kritieke sectoren onder de NIB2-richtlijn.
Het toezicht op de verschillende wet- en regelgeving ligt in Nederland niet bij dezelfde
toezichthouder. Dat leidt – zo merkt het kabinet terecht op – tot meer administratieve
lasten. Het kabinet gaat de Europese Commissie hierop bevragen. Welke specifieke vragen
gaat het kabinet stellen? Voor bedrijven zou het contact met de (Nederlandse) overheid
zo simpel mogelijk moeten zijn. Om de meldingsbereidheid te vergroten – en daarmee
de risico’s van cyberincidenten voor de samenleving te verkleinen – kan het van waarde
zijn om het mogelijk te maken om de melding via één loket te doen. Is het kabinet
voornemens om het voor bedrijven mogelijk te maken om de verschillende meldingen via
één loket te doen? Zo niet, welke andere maatregelen zal zij treffen om de melding
zo simpel mogelijk te maken? In aanvulling op het bovenstaande: doordat het toezicht
is verdeeld over meerdere toezichthouders, wordt het toezichtslandschap niet overzichtelijker.
Deelt het kabinet dit standpunt? Welke inspanningen levert zij om de onoverzichtelijkheid
te beperken? Zijn er andere lidstaten in de EU die soortgelijke toezichtsconstructies
hebben of lidstaten die het juist anders doen? Wat kan Nederland daarvan leren?
Vragen en opmerkingen van het lid van de BBB-fractie
Algemeen
Het lid van de BBB-fractie heeft met interesse kennisgenomen van de Cyber Resilience
Act. Graag hoort het lid wat de stand van zaken in Nederland is van aan de CRA gerelateerde
wetgeving op het gebied van cybersecurity? En op welke wijze is of worden deze Europese
wetgeving (-svoorstellen) al dan niet omgezet in Nederlandse wetgeving?
Grondrechten
Het doel van de CRA is om de toename van cyberaanvallen in de afgelopen jaren een
halt toe te roepen. De CRA moet hiermee de digitale samenleving en de grondrechten,
zoals privacy en gegevensbescherming, beter beschermen. Het lid van de BBB-fractie
hoort graag in hoeverre de CRA regelt dat ook de bestaande slimme apparaten die al
bij consumenten thuis of bij bedrijven staan veilig zijn? Overweegt het kabinet een
bewustwordingscampagne voor consumenten en bedrijven gericht op onveilige slimme apparaten,
inclusief de apparaten die nu al bij consumenten thuis of bij bedrijven staan? Het
lid wil graag weten in hoeverre aanbieders van Europese portemonnees voor digitale
identiteit onder de CRA vallen en aan welke eisen moeten zij voldoen.
Administratieve lasten
Het lid van de BBB-fractie vraagt of met de CRA volgens het kabinet voldoende wordt
gestimuleerd dat bedrijven meer zullen investeren in veilig ontwerp en ontwikkeling
en het leveren van beveiligingsupdates? En hoe vindt het kabinet dat de meldplicht
verder kan worden afgebakend?
Toezicht en handhaving
Het lid van de BBB-fractie wil graag weten wie in Nederland toezicht gaat houden op
de CRA? En welke middelen deze toezichthouder heeft voor adequaat toezicht en of dat
voldoende is? Welke lidstaten vinden net als Nederland dat de versterkte rol van de
Europese Commissie op het toezicht verduidelijking behoeft?
Financiële gevolgen
Het lid van de BBB-fractie wil graag van het kabinet weten wanneer meer inzicht gegeven
kan worden in de financiële gevolgen van de CRA voor de Rijksbegroting en de budgettaire
gevolgen voor medeoverheden? En natuurlijk wil het lid ook weten wat de financiële
gevolgen voor producenten, importeurs en distributeurs/detailhandel zijn en welke
invloed dit gaat hebben op de verkoopprijzen van de producten.
II Antwoord / Reactie van de Minister
Ondertekenaars
-
Eerste ondertekenaar
R.J. Kamminga, voorzitter van de vaste commissie voor Digitale Zaken -
Mede ondertekenaar
I. van Tilburg, adjunct-griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.