De inkt van het werkprogramma van de Commissie is nog maar enkele weken droog; toch gaat ook de implementatie van de wetgeving uit het Digitale Decennium door. Hiervoor legt de Europese Commissie in de huidige en komende tijd verscheidene wetgevings- en beleidsinitiatieven voor aan het publiek. Twee van deze zogeheten “Have your says” springen in het oog, namelijk die over de uitvoeringshandeling op grond van de Cyberweerbaarheidsverordening en plannen voor een nieuwe EU Cyberbeveiligingsverordening.
Cyberweerbaarheidsverordening
De Cyberweerbaarheidsverordening verplicht de Europese Commissie om uiterlijk 11 december 2025 bij uitvoeringshandeling technische beschrijvingen te geven van categorieën ‘producten met digitale elementen’. Deze staan kort opgesomd op een lijst in Bijlagen III en IV van de Verordening. De Cyberweerbaarheidsverordening kadert namelijk minimale cyberbeveiligingsvereisten af voor producten met digitale elementen die in verbinding staan met een netwerk of één of meerdere andere apparaten, ook wel bekend als het internet der dingen (‘Internet of Things’). Die wet is relevant voor medeoverheden, omdat zij via hun inkoopbeleid kunnen eisen dat te leveren digitale producten aan de verplichtingen uit artikel 6 en 7 van de Verordening voldoen. Momenteel werkt de Commissie deze handeling uit, en verzoekt om commentaar op een ontwerp-uitvoeringsverordening.
U hebt nog tot 18 april 2025 middernacht om te reageren.
EU Cyberbeveiligingsverordening
Mede opgeroepen vanuit de Raadsconclusies van 6 december 2024 overweegt de Europese Commissie aanpassing van de bestaande Cyberbeveiligingsverordening (Verordening (EU) 2019/881). De reden hiertoe is de wens tot het stroomlijnen van cyberveiligheidsmaatregelen, versterken van cyberweerbaarheid, en het bereiken van een hoog niveau van cyberveiligheid, onder andere door het mandaat van het Europese cyberbeveiligingsagentschap ENISA en het Europese Cyberveiligheidscertificeringskader (ECCF) te herzien. Hiertoe overweegt de Europese Commissie vier opties:
- de Verordening onveranderd laten.
- niet-wetgevende maatregelen nemen om de implementatie van het ECCF en rapportageverplichtingen te stroomlijnen.
- meer gerichte aanpassingen, bijvoorbeeld verscherping van ENISA’s taken en verduidelijken en formaliseren van het certificeringskader.
- de Verordening volledig vervangen voor een breed regelgevend initiatief dat ENISA’s rol versterkt, het ECCF uitbreidt en risico’s in ICT-toeleveringsketens aanpakt – met versimpeling van rapportage als rode draad.
De Commissie verzoekt specifiek feedback op deze opties en andere suggesties tot vereenvoudiging van de Cyberbeveiligingsverordening.
U hebt nog tot 20 juni 2025 middernacht om hierop te reageren.
Meer informatie
Cyberweerbaarheidsverordening, Kenniscentrum Europa Decentraal
Cyberbeveiligingsverordening, Kenniscentrum Europa Decentraal
