E220024
Laatste revisie: 13-12-2024

E220024 - Voorstel voor een Verordening betreffende horizontale cyberbeveiligingsvereisten



Verordening (EU) 2024/2847PDF-documentDe Europese Commissie heeft een voorstelPDF-document ingediend voor een nieuwe wet inzake cyberweerbaarheid om consumenten en bedrijven te beschermen tegen producten die onvoldoende beveiligd zijn.


Stand van zaken

Behandelfase Eerste Kamer: gepubliceerd in Europees publicatieblad.

nationaal

Op 10 oktober 2023 besloot de commissie de brieven voor kennisgeving aan te nemen en onder de aandacht te brengen van een eventueel in te stellen commissie Digitale Zaken.

Europees

Op 10 oktober 2024 stemde de Raad in met het voorlopig akkoord van 30 november 2023. De Verordening zal gepubliceerd worden in het Publicatieblad van de Europese Unie en vervolgens in werking treden.


Kerngegevens

volledige titel

Voorstel voor een Verordening betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordening (EU) 2019/1020

document Europese Commissie

COM(2022)454PDF-document, d.d. 15 september 2022

rechtsgrondslag

Artikel 114 VWEU

commissies Eerste Kamer

beleidsterreinen


Implementatie

Op 23 oktober 2024 werd de Verordening (EU) 2024/2847PDF-document gepubliceerd in het Publicatieblad van de Europese Unie en treedt op 12 november 2024 in werking. Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasbaar in elke lidstaat.


Behandeling Eerste Kamer

Op 10 oktober 2023 besloot de commissie de brieven voor kennisgeving aan te nemen en onder de aandacht te brengen van een eventueel in te stellen commissie Digitale Zaken.

Op 25 september 2023 stuurde de Europese Commissie een antwoord (EK, H) op de brief van 23 mei 2023.

Op 14 juli 2023 informeerde de minister van EZK de Kamer per brief over de compromistekst op de verordening die op 19 juli 2023 in Coreper besproken wordt. Zij gaf aan dat Nederland het voornemen heeft om in te stemmen met deze compromistekst (EK, G).

Op 4 juli 2023 besloot commissie de bespreking van het antwoord van de minister aan te houden en opnieuw te agenderen wanneer de Europese Commissie een reactie heeft gegeven op de nadere vragen van 23 mei 2023.

Op 19 juni 2023 stuurde de minister van EZK een antwoord op de brief van 17 mei 2023. Op 21 juni 2023 werd het verslag van een nader schriftelijk overleg (EK, F) vastgesteld.

Op 23 mei 2023 is een brief met nadere vragen (EK, E) van de fracties van GroenLinks, de PvdA, de SP en de PvdD gezamenlijk verstuurd aan de Europese Commissie.

Op 17 mei 2023 is de brief met nadere vragen van de fracties van GroenLinks, PvdA, SP en PvdD gezamenlijk en de PVV verstuurd naar de minister van Economische Zaken en Klimaat.

Op 9 mei 2023 leverden de fracties van GroenLinks, PvdA, SP en PvdD gezamenlijk en de PVV inbreng voor nader schriftelijk overleg met de regering en/of de Europese Commissie.

Op 11 april 2023 besprak de commissie de antwoorden van de regering en de Europese Commissie. De commissie besloot 9 mei 2023 gelegenheid te bieden tot het leveren van inbreng voor nader schriftelijk overleg met de regering en/of de Europese Commissie.

Op 31 maart 2023 stuurde de Europese Commissie een antwoord (EK, D) op de brief van 13 december 2022.

Op 21 februari 2023 besloot de commissie de bespreking van het verslag van een schriftelijk overleg aan te houden tot de Europese Commissie een reactie heeft gegeven op de brief met vragen van december 2022.

Op 14 februari 2023 besloot de commissie de bespreking van het verslag van een schriftelijk overleg aan te houden tot de volgende vergadering.

Op 6 februari 2023 stuurde de minister een antwoord op de brief met vragen van 6 december 2022. Op 7 februari 2023 werd het verslag van een schriftelijk overleg (EK, C) vastgesteld.

Op 23 december 2022 liet de minister van Economische Zaken en Klimaat per brief weten dat de vragen van 6 december 2022 niet binnen de termijn van vier weken beantwoord kunnen worden. De Kamer ontvangt de antwoorden zo spoedig mogelijk.

Op 13 december 2022 is een brief met vragen (EK, B) van de fracties van GroenLinks, PvdA, SP, PvdD en OSF verstuurd aan de Europese Commissie.

Op 6 december 2022 is de brief met vragen van de fracties van GroenLinks, PvdA, SP en PvdD gezamenlijk, en van de fracties van D66, PVV en OSF verstuurd naar de minister van Economische Zaken en Klimaat.

Op 15 november 2022 leverden de fracties van GroenLinks, D66, PVV en OSF inbreng voor schriftelijk overleg.

Op 1 november 2022 besloot de commissie om op 15 november 2022 gelegenheid te bieden voor het leveren van inbreng voor schriftelijk overleg met de regering en/of de Europese Commissie.

Op 21 oktober 2022 ontving de Kamer het BNC-fiche (EK, A).

Op 4 oktober 2022 besloot de commissie het agendapunt aan te houden en opnieuw te agenderen wanneer het BNC-fiche is ontvangen.


Behandeling Tweede Kamer

Op 19 april 2023 stelde de commissie DiZa het eindverslag (21.501-33, 1015) van de rapporteurs over het voorstel vast. De commissie DiZa besloot het rapporteurschap te beëndigen en het verslag te betrekken bij het commissiedebat op 30 mei 2023 over de Telecomraad van 1-2 juni 2023.

Op 30 maart 2023 ontving de Kamer een brief (22.112, 3637) van de minister van Economische Zaken en Klimaat met een aanbod voor een technische briefing over het voorstel en met een non-paperPDF-document op het initiatief van Nederland dat is ingebracht in de raadwerkgroep. Op 19 april 2023 besloot de commissie DiZa de brief te agenderen voor het commissiedebat op 30 mei 2023 over de Telecomraad van 1-2 juni 2023. Daarnaast wenst de commissie in te gaan op het aanbod voor een technische briefing voorafgaand aan het commissiedebat.

Op 7 november 2022 leverde de commissie Digitale Zaken inbreng voor schriftelijk overleg met de regering over het BNC-fiche. Op 28 november 2022 stuurde de minister van Economische Zaken en Klimaat een antwoord en op 30 november 2022 werd het verslag van een schriftelijk overleg vastgesteld (22.112, 3555). De commissie DiZa betrekt het verslag van een schriftelijk overleg bij het commissiedebat op 30 mei 2023 over de Telecomraad.

Op 21 oktober 2022 stuurde de minister van Economische Zaken en Klimaat het Nederlandse non-paper (22.112/26.643, 3523) over het voorstel samen met Denemarken en Duitsland aan de Tweede Kamer. Op 9 november 2022 besloot de commissie Digitale Zaken om dit te agenderen voor het commissiedebat op 30 november 2022 ter voorbereiding op de Telecomraad van 6 december 2022.

Op 19 oktober 2022 heeft de commissie Digitale Zaken de leden Rajkowski en Van Ginneken aangewezen als rapporteurs op het voorstel. Ook stemde de commissie in met het organiseren van een technische briefing met ambtenaren van de Europese Commissie.


Standpunt Nederlandse regering

Op 21 oktober 2022 ontving de Kamer het BNC-fiche (EK, A), met daarin het standpunt van het kabinet over het voorstel. Het kabinet steunt de doelstelling van het voorstel om de cybersecurity van producten met digitale elementen in de Europese digitale interne markt te vergroten. Op een aantal onderdelen ziet het kabinet nog onduidelijkheid. Het kabinet gaat nadere uitleg vragen over de exacte reikwijdte van het begrip producten met digitale elementen, de relatie tussen het voorstel en andere sectorale wetgeving, de totstandkoming van de lijst van kritieke producten in Annex III, de keuze voor de kortste termijn waarop kwetsbaarheden moeten worden verholpen en de rol en bevoegdheden van de Europese Commissie en ENISA (het EU-agentschap voor cyberbeveiliging).

Het kabinet heeft een positief oordeel over bevoegdheid, subsidiariteit en proportionaliteit. Het kabinet kan zich vinden in de rechtsgrondslag artikel 114 VWEU betreffende de werking van de interne markt, aangezien het voorstel betrekking heeft op het ontwikkelen van robuuste cybersecurity voorwaarden voor alle producten met digitale elementen op de interne markt.

Het kabinet geeft aan dat cyberveiligheid een grensoverschrijdende karakter heeft. Het aantal incidenten met impact in meerdere landen neemt toe en marktspelers zijn over het algemeen actief in meerdere lidstaten of zijn mondiale marktpartijen, aldus het kabinet. Daarom vindt het kabinet dat een gezamenlijke EU-aanpak nodig is.

Het voorstel is volgens het kabinet geschikt om de doelstelling te bereiken, omdat de verordening zal fungeren als vangnet voor producten die vallen buiten sectorale wet- en regelgeving op dit terrein. Dit draagt bij aan de digitaal eengemaakte markt, de rechtszekerheid en de voorspelbaarheid van wetgeving binnen de Unie, aldus het kabinet. Het voorstel sluit ook aan op bestaande wetgeving. Bovendien gaat het voorgestelde optreden niet verder dan noodzakelijk, omdat het optreden beperkt blijft tot het verschaffen van dit vangnet, zegt het kabinet.

De meeste lidstaten lijken het voorstel in de basis te steunen. Andere lidstaten delen de vragen van Nederland rondom de reikwijdte, definities, de verhouding met andere Europese wet- en regelgeving, en de voorziene rol van de Europese Commissie en ENISA. Op het moment van schrijven van het BNC-fiche is het standpunt van het Europees Parlement nog niet bekend.


Samenvatting voorstel Europese Commissie

De Europese Commissie heeft een voorstelPDF-document ingediend voor een nieuwe wet inzake cyberweerbaarheid om consumenten en bedrijven te beschermen tegen producten die onvoldoende beveiligd zijn. Het is de eerste EU-brede wetgeving in zijn soort en voert vereisten in op het gebied van cyberbeveiliging gedurende de hele levenscyclus van producten met digitale elementen.

Dit voorstel bouwt voort op de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk van 2020 en de EU-strategie voor de veiligheidsunie. Dankzij de wet zullen digitale producten, zoals al dan niet draadloze producten en software, beter beveiligd worden voor consumenten in de hele EU. De wet zal er niet alleen voor zorgen dat fabrikanten zich verantwoordelijker moeten opstellen door beveiligingsondersteuning en software-updates tegen vastgestelde kwetsbaarheden aan te bieden, maar ook dat consumenten genoeg informatie krijgen over de cyber beveiliging van de producten die zij kopen.

De voorgestelde regels leggen de verantwoordelijkheid opnieuw bij de fabrikanten, die ervoor moeten zorgen dat producten met digitale elementen die op de EU-markt worden aangeboden, aan de beveiligingsvereisten beantwoorden. Zo komen de regels ten goede aan consumenten, burgers en ondernemingen die digitale producten gebruiken, doordat de transparantie van de beveiligingskenmerken en het vertrouwen in producten met digitale elementen worden vergroot, en doordat grondrechten zoals privacy en gegevensbescherming beter worden beschermd.

De voorgestelde verordening zal van toepassing zijn op alle producten die direct of indirect met een ander apparaat of netwerk zijn geconnecteerd. Voor sommige producten, waarvoor reeds cyberbeveiligingsvereisten zijn opgenomen in bestaande EU-regels, zijn er een aantal uitzonderingen, bijvoorbeeld voor medische hulpmiddelen, producten voor de luchtvaart en auto's.

Bron: persbericht Europese Commissie


Behandeling Raad

Op 10 oktober 2024 stemde de Raad in met het voorlopig akkoord van 30 november 2023. De Verordening zal gepubliceerd worden in het Publicatieblad van de Europese Unie en vervolgens in werking treden.

Op 30 november 2023 bereikten het Europees Parlement en de Raad van de Europese Unie een voorlopig akkoord op het voorstel.

Op 19 juli 2023 bereikten de lidstaten een algemene oriëntatie over het voorstel.

Het Zweedse voorzitterschap presenteerde tijdens de Telecomraad van 2 juni 2023 een voortgangsrapportage over het voorstel. Nederland vroeg in de Raad bijzonder aandacht voor twee punten. Ten eerste pleitte het voor het behoud van een betrouwbare en goed uitvoerbare conformiteitstoets door derde partijen voor meer gevoelige producten. Ten tweede heeft Nederland het belang benoemd van rapportageverplichtingen op basis van centrale nationale systemen.

Tijdens de Telecomraad van 6 december 2022 (21.501-33, 1001) presenteerde het Tsjechisch Voorzitterschap van de Raad een voortgangsrapportage over het voorstel. In de afgelopen periode is het gehele voorstel voor een eerste keer besproken door de lidstaten. Onder het inkomende Zweedse voorzitterschap worden de onderhandelingen voortgezet.

In de databank EUR-Lex wordt de laatste stand van zaken in de Europese behandeling van het voorstel weergegeven.


Behandeling Europees Parlement

Op 12 maart 2024 stemde het Europees Parlement in met het voorlopig akkoord door middel van een wetgevingsresolutie.

Op 23 januari 2024 stemde de commissie ITRE in met het voorlopig akkoord van 30 november 2023.

Op 30 november 2023 bereikten het Europees Parlement en de Raad van de Europese Unie een voorlopig akkoord op het voorstel.

Op 19 juli 2023 stemde de commissie ITRE in met het openen van de onderhandelingen tussen de EU-instellingen.

Op 30 juni 2023 publiceerde de commissie IMCO een opiniePDF-document over het voorstel.

Op 31 maart 2023 bracht de commissie ITRE het ontwerpverslagPDF-document uit over het voorstel.

De commissie Industrie, onderzoek en energie (ITRE) behandelt het voorstel. De commissies Interne markt en consumentenbescherming (IMCO) en Burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) zijn aangesteld als adviescommissies.

Dit voorstel behoort tot de wetgevingsprioriteiten van de drie EU-instellingen voor 2023-24. Op dit dossier willen zij aanzienlijke vooruitgang boeken.

In de databank OEIL van het Europees Parlement wordt de laatste stand van zaken in de behandeling van het voorstel weergegeven.


Behandeling EESC

Op 16 maart 2023 publiceerde he Europees Economisch en Sociaal Comité een adviesPDF-document over het voorstel.


Standpunten andere lidstaten (IPEX)

Op 19 december 2022 stuurde de Bulgaarse Nationale Vergadering een standpuntPDF-document aan de Europese instellingen in het kader van de politieke dialoog.

De deadline voor het indienen van een subsidiariteitsbezwaar is op 19 december 2022.

Op 2 oktober 2022 nam de commissie Europese Zaken van de Tsjechische Kamer van Afgevaardigden een resolutiePDF-document aan over het voorstel. Deze is in het kader van de politieke dialoog gedeeld met de Europese Commissie.

In de databank IPEX wordt de behandeling van het voorstel in de diverse (kandidaat) lidstaatparlementen weergegeven.


Reacties Derden

Op 9 november 2022 publiceerde de Europese Toezichthouder voor Gegevensbescherming (EDPS) een adviesPDF-document over het voorstel.


Alle bronnen