"De Commissie heeft een voorstel ingediend voor een nieuwe wet inzake cyberveerkracht om consumenten en bedrijven te beschermen tegen producten met ontoereikende beveiligingsvoorzieningen. Dit is "de eerste wetgeving in zijn soort in de hele EU [die] verplichte cyberbeveiligingseisen invoert voor producten met digitale elementen, gedurende hun hele levenscyclus", aldus het uitvoerend orgaan van de EU in een verklaring.

De nieuwe wetgeving volgt op een cyberbeveiligingsstrategie die de EU-executieve een jaar geleden heeft uitgestippeld en moet ervoor zorgen dat "digitale producten, zoals draadloze en bedrade producten en software, veiliger zijn voor consumenten in de hele EU".

Meer bepaald "zal de wetgeving niet alleen de verantwoordelijkheid van fabrikanten vergroten door hen te verplichten beveiligingsondersteuning en software-updates te bieden om vastgestelde kwetsbaarheden te verhelpen, maar zal zij er ook voor zorgen dat consumenten voldoende informatie krijgen over de cyberveiligheid van de producten die zij kopen en gebruiken", aldus Brussel.

De voorgestelde verordening is van toepassing op alle producten die direct of indirect verbonden zijn met een ander apparaat of netwerk, hoewel er enkele uitzonderingen zijn voorzien voor producten waarvoor al cyberbeveiligingseisen zijn vastgelegd in bestaande EU-regels, bijvoorbeeld voor medische apparatuur, luchtvaart of auto's. Ook mobiele toepassingen en videospelletjes vallen eronder, aldus de instelling.

In de wetgeving is bepaald dat "om de effectieve handhaving van de in deze wet vastgestelde verplichtingen te waarborgen, elke markttoezichtautoriteit de bevoegdheid heeft om administratieve boetes op te leggen of om de oplegging daarvan te verzoeken".

In geval van niet-naleving van de essentiële eisen inzake cyberbeveiliging staan boetes tot 15 miljoen euro of, indien de overtreder een onderneming is, tot 2,5% van haar totale wereldwijde jaaromzet over het voorgaande boekjaar op het spel. Niet-naleving van andere verplichtingen uit hoofde van deze verordening wordt bestraft met administratieve boetes tot 10 miljoen euro of, indien de overtreder een onderneming is, tot 2% van haar jaaromzet.

Het verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties en markttoezichtautoriteiten in antwoord op een verzoek wordt daarentegen krachtens de voorgestelde verordening bestraft met boetes tot 5 miljoen euro of, indien de overtreder een onderneming is, tot 1% van haar jaaromzet.

Het is nu aan het Europees Parlement en de Raad om te beraadslagen over de voorgestelde cyberweerbaarheidswet, waarbij Brussel wijst op "de goede wil" van de medewetgevers en hoopt dat dit initiatief snel vooruitgang boekt.

Na de inwerkingtreding hebben belanghebbenden 24 maanden de tijd om zich aan de nieuwe eisen aan te passen, met uitzondering van een meer beperkte respijtperiode van 12 maanden met betrekking tot de rapportageverplichting voor fabrikanten.

Uit gegevens van het Gemeenschappelijk Centrum voor Onderzoek van de Europese Commissie voor 2021 blijkt dat ransomware-aanvallen wereldwijd elke 11 seconden een organisatie treffen en dat de jaarlijkse kosten van cybercriminaliteit naar schatting 5,5 biljoen euro bedragen.

De jaarlijkse kosten van datalekken worden eveneens geraamd op ten minste 10 miljard euro, terwijl de jaarlijkse kosten van kwaadaardige pogingen om het internetverkeer te verstoren worden geraamd op 65 miljard euro.