De Europese Commissie heeft zijn voorstel gepubliceerd voor regelgeving rondom verplichte beveiliging van apparaten. De regels gaan gelden voor elk apparaat dat verbinding kan maken met een ander apparaat of met internet.
De Europese Commissie noemt het de Cyber Resilience Act en de regels in hun huidige vorm stellen fabrikanten van apparatuur verantwoordelijk voor de beveiliging ervan. Als de apparaten niet voldoen, kunnen fabrikanten een boete krijgen en kunnen overheidsinstanties apparaten van de markt halen.
De regels gelden voor elk apparaat, waarvoor niet al regels gelden. Daarbij gaat het onder meer over iot-apparaten als thermostaten en beveiligingscamera's, maar het geldt ook voor bijvoorbeeld speelgoed met een internetverbinding. De ondersteuning moet vijf jaar duren vanaf de release, tenzij de verwachte levensduur van het apparaat korter is dan dat. De exacte typen van apparaten zijn niet precies gespecificeerd. De regels gelden voor hardware en software voor zakelijke producten en producten voor consumenten.
De regels schrijven voor dat fabrikanten goed beveiligde apparatuur op de markt brengen. Als die data versturen, moeten ze dat met adequate beveiliging doen, bijvoorbeeld sterke versleuteling. Als er na de release beveiligingslekken in de software blijken te zitten, moeten fabrikanten patches verspreiden, consumenten daarvan op de hoogte stellen en changelogs beschikbaar stellen met details over de kwetsbaarheden.
De nieuwe regels moeten ertoe leiden dat onveilige apparaten niet langer op de Europese markt komen of blijven. Het Europees Parlement gaat zich nu buigen over het voorstel en daarna moet de Raad van Ministers het ook nog goedkeuren. Daarbij kunnen er nog wijzigingen komen. Als dat allemaal rond is, hebben lidstaten twee jaar om de regels te implementeren. Het kan dus nog meerdere jaren duren voordat de regels echt van kracht worden.