Om de EU-verordening over cyberweerbaarheid goed uit te voeren, stelt het kabinet eisen aan het toezicht op de veiligheid van ICT-producten. Met dat doel worden organisaties aangewezen die een rol krijgen bij dat toezicht. De regeldrukberekening van deze implementatie van Europese regelgeving is nog niet compleet. Ook de werkbaarheid van het verplichte toezicht vraagt om aanvullende toelichting. Dat schrijft ATR in een advies aan de minister van Economische Zaken (EZ).
Context
Doel van de Europese wetgeving is via fabrikanten, distributeurs en importeurs van hardware en software te zorgen dat digitale producten veiliger worden. Zowel tijdens de ontwikkeling als gedurende hun levenscyclus. Het is aan de lidstaten om organisaties aan te wijzen die een rol en verantwoordelijkheid krijgen bij het toezicht. Dat gebeurt nu voor Nederland met deze uitvoeringswet.
Accreditatie
De bureaus die gaan controleren of de ICT-producten daadwerkelijk veilig zijn worden zelf ook aan toezicht onderworpen. Met de uitvoeringswet wordt een systeem van accreditatie ingesteld om deze bureaus te toetsen op deskundigheid en onafhankelijkheid.
Regeldruk
De regeldruk van die accreditatie wordt in de toelichting wel beschreven, maar niet concreet berekend. Ook de totale regeldruk van de verplichtingen voor Nederlandse bedrijven zijn niet in beeld gebracht. Bovendien besteedt het kabinet in de toelichting geen aandacht aan de behoefte van bedrijven voor ondersteuning. Bijvoorbeeld bij onduidelijkheid rond het toezicht waar zij verantwoordelijk voor worden gehouden. Op deze punten vraagt het voorstel om nadere onderbouwing en toelichting.
De formele titel van de regeling luidt: Wet tot uitvoering van Verordening (EU) 2024/2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828.