Europese Cyber Resilience Act is in werking getreden

De Europese Cyber Resilience Act, ofwel CRA, is dinsdag in werking getreden. De wet verplicht techproducenten onder meer om hardware en software die verbonden zijn met het internet vijf jaar lang van beveiligingsupdates te voorzien.

De Rijksinspectie Digitale Infrastructuur schrijft dat met de inwerkingtreding van de CRA 'de officiële richtlijnen en tijdschema's vastgesteld' zijn. De Europese lidstaten kunnen nu zelf toezichthouders aanstellen. Daarnaast begint de Europese Commissie met het 'formuleren van implementatiewetgeving en het laten opstellen van noodzakelijke standaarden en eisen'.

Fabrikanten hoeven nog niet aan de nieuwe wet te voldoen, ook al is de CRA in werking getreden. De volledige naleving van de wet is verplicht vanaf 11 december 2027. Vanaf 11 juni 2026 geldt er wel al een meldplicht voor fabrikanten als ze een groot beveiligingslek in hun hardware of software ontdekken, staat in een oktober gepubliceerde wettekst.

IT-banen

Reacties (57)

ShadLink 10 december 2024 22:29

En dit is dus een doodsteek voor Open Source software, want je moet externe partijen inschakelen om je software te laten keuren op "veiligheid". Meeste communities hebben daar het geld niet voor.

R4gnax

Europese unie

@ShadLink • 11 december 2024 19:44

En dit is dus een doodsteek voor Open Source software, want je moet externe partijen inschakelen om je software te laten keuren op "veiligheid". Meeste communities hebben daar het geld niet voor.

Deze wetgeving is alleen van toepassing op fabrikanten die producten in de handel brengen, en hun vertegenwoordigers; en op 'open-source software stewards' - te weten: organisaties die tot doel hebben systematisch ondersteuning te bieden aan ontwikkeling van commerciële handelsproducten die open source software bevatten. en die tot doel hebben de levensvatbaarheid van die producten te waarborgen.

Denk bijv. aan organisaties die op commercieel niveau ondersteuning voor Linux distributies bieden.
Maar ook aan bijv. de .NET Foundation en Microsoft's eigen gebruik van een boel projecten die onder de mantel van die stichting vallen.

Individuele open-source ontwikkelaars vallen hier niet onder.
Er moet sprake zijn van een commercieel oogmerk.

Wo3ps @ShadLink • 11 december 2024 11:34

Is dat zo?

Zo ver ik begrepen heb is dit alleen van toepassing als je een comercieel doel hebt met je software. Al zitten er wel een paar punten aan die een beetje ... troebel zijn

Een bron die hier op ingaat is bijvoorbeeld:
https://berthub.eu/articl...-it-mean-for-open-source/

ShadLink @Wo3ps • 11 december 2024 12:41

Maar wat is een commercieel doel? Bv een website met een "donate" knop kan je al als commercieel aanzien. Plus zal dat alsnog een doodsteek zijn voor kleine commerciële partijen.

Deze wetgeving is vrijwel volledig gericht in voordeel van grote software bedrijven die dergelijke maatregelen en audits makkelijk zelf kunnen betalen. Maar stel je voor je bent een kleine ontwikkelaar met een bvtje en 2 medewerkers. Je verkoopt een stuk software voor 10 euro/licentie. Je verkoopt 10.000 licenties per jaar (100.000 euro). Van dit geld moet je zowel de lonen van deze mensen betalen (ong. 90.000 euro) plus vaste lasten (zeg zo'n 5.000 euro) en dan moet je nog een audit betalen (laten we zeggen 1.000 euro) plus moet je ook nog extra werk steken in het aanpassen van de software (2.000-3.000 euro). Vrij snel zal je zien dat je winst geheel vervliegt.

Je zult dan de prijzen van de software moeten gaan verhogen waardoor de klant (de consument) uiteindelijk voor deze idiote wetgeving gaat betalen.

[Reactie gewijzigd door ShadLink op 11 december 2024 12:47]

brobro @ShadLink • 11 december 2024 12:58

Het is ook niet het doelv an de website, maar de verkoper van de website. Halve internet draait op Wordpress, niet zelden gemaakt door kleine bedrijven. Die makers hebben zeker wel een commercieel doel. Als die garant moeten staan voor software waar ze eigenlijk niet garant voor kunnen staan...

R4gnax

Europese unie

@ShadLink • 11 december 2024 19:46

Maar wat is een commercieel doel?

Handel. Je moet producten op de markt brengen cq op de markt aanbieden, wat ook daadwerkelijk in de verordening als term gedefinieerd is: "het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een product met digitale elementen met het oog op distributie of gebruik op de markt van de Unie"

[Reactie gewijzigd door R4gnax op 11 december 2024 19:50]

NLxDoDge @ShadLink • 11 december 2024 09:37

Oke, maar elke softwarepackage in NPM/Java/Rust/Packagemanger of choice is toch open source? Dan moeten er miljoenen dan wel miljarden packages gekeurd worden. Dat moet toch wel iemand hebben zien aankomen?

ShadLink @NLxDoDge • 11 december 2024 10:17

Ze hebben wetgeving gemaakt met letterlijk 0,0001% kennis van de techniek en hoe software werkt. Waardoor het gewoon wéér een gigantische clusterfuck is geworden (vergelijkbaar met de GDPR). Uiteindelijk zullen veel bedrijven de EU gaan verlaten (gebeurt al) en veel projecten zullen niet of laat naar de EU komen. Zie bv. Apple AI wat pas véél later naar de EU komt.

Maar verder is dit voor een groot bedrijf (lees Apple, Microsoft, Google, Oracle, etc) natuurlijk geen enkel probleem. Zij laten hun code controleren en gaan gewoon op zelfde voet verder. Kleine bedrijven en communities hebben hier geen geld voor. Dus die zullen genoodzaakt zijn om de EU te blokkeren / verlaten. Maw. dit bereikt OPNIEUW exact het tegenovergestelde van wat er bedoeld was met dergelijke wetgeving.

[Reactie gewijzigd door ShadLink op 11 december 2024 10:20]

Myri 10 december 2024 17:59

Mooi, dit is exact een voorbeeld waarvoor je de kracht van Europa wil gebruiken. Als individueel landje krijg je dit onmogelijk voor mekaar. En alle burgers worden automatisch beetje beter beschermd ookal zijn ze er niet mee bezig.

Orangelights23 @Myri • 10 december 2024 18:18

Eens, alhoewel ik steeds meer mensen hoor roepen dat Europa te veel reguleert en daarom de VS en China ons totaal inhalen. Er zijn nu al voorbeelden van producten die uitgesteld geïntroduceerd worden in Europa vanwege de wetgeving hier. En hoewel ik de CRA snap (ik werk zelf in de cyber security), hoop ik niet dat bedrijven buiten de EU afgeschrikt ipv uitgedaagd worden.

CAPSLOCK2000

Politiek en recht
Europa
Europese unie
Europese Commissie

@Orangelights23 • 10 december 2024 19:27

Eens, alhoewel ik steeds meer mensen hoor roepen dat Europa te veel reguleert en daarom de VS en China ons totaal inhalen. Er zijn nu al voorbeelden van producten die uitgesteld geïntroduceerd worden in Europa vanwege de wetgeving hier.

Die producten zijn op de vingers van één hand te tellen en persoonlijk heb ik nog niks gemist waar geen redelijk alternatief voor is. In mijn beleving zijn het vooral diensten van Apple die hier nog niet zijn uitgebracht. De redenen waarom er geaarzeld wordt lijken mij precies de juiste: ze kunnen niet beloven wat er met onze gegevens gebeurt en vinden het risico te groot om daar mee te gokken.

Mooi, ik wil niet dat er met mijn gegevens gegokt. Fijn dat die bedrijven nieuwe producten maken maar het ondernemersrisico dragen ze maar lekker zelf. Als ze het niet kunnen zonder gratis proefkonijnen, dan maar niet. Ik ga ook geen crossmoteren testen als de fabrikant twijfels heeft over de remmen.

In Europa kunnen we ook niet concurreren met Aziatische kledingfabrieken die kinderarbeid en slavernij gebruiken en hun afval in de natuur durmpen. De oplossing is niet om onze standaarden aan te passen aan de praktijken daar, dat is een race naar de bodem die alleen maar verliezers kent.

En hoewel ik de CRA snap (ik werk zelf in de cyber security), hoop ik niet dat bedrijven buiten de EU afgeschrikt ipv uitgedaagd worden.

Ik ga voor de derde optie: gerustgesteld. Bedrijven kunnen er op vertrouwen dat ze in een stabiele omgeving werken die niet wankelt bij iedere grote bug.

DarkForce @CAPSLOCK2000 • 10 december 2024 20:28

Volgens mij is het vooral voor eind-apparatuur verbonden met internet bij consumenten. Bedrijven hebben vaak al apparatuur aangesloten die wel een tikkeltje professioneler zijn.

Met deze act, moet TP-Link straks dus zorgen dat je router tenminste 5 jaar lang voorzien wordt van updates maar moet de fabrikanten van je televisie, ontvanger etc. moeten hieraan voldoen.

In principe is het eigenlijk een wassenneus aangezien de meeste fabrikanten daar al aan voldoen, die fabrikanten die dit niet doen zijn vaak te vinden in de webshops van bol, amazon, wish, temu en aliexpress en die lachen zich kapot aangezien het opleggen van sancties geen enkele zin zal hebben.

Zie het gerust als het CE keurmerk, officieel wettelijk verplicht en toch zie je bij ontzettend veel mensen een nep CE-keurmerk waarbij het product afkomstig is van o.a. genoemde webshops. En als je dan een klacht indient bij (voor Nederland de Nederlandse Voedsel- en Warenautoriteit) dan hoor je over het algemeen dat ze er niets tegen kunnen doen.

En dan natuurlijk niet te vergeten ... het belangrijkste feit, leuk die 5 jarige ondersteuning maar de zwakste schakel is de gebruiker en zolang menig gebruiker niet continue haar apparaten voorziet van updates en deze niet opgedrongen/geforceerd worden.... {vul de rest maar in}

Overigens vrees ik dat de cliënten in onze klantenbestand liever voor AliExpress gaan dan dat ze voor een product waarvoor ze nu € 50,00 moeten betalen, straks € 75,00 mogen aftikken omdat het door allerlei extra procedures heen moet. Want linksom of rechtsom komen de kosten om door die hele CRA procedure te komen voor rekening van de consument. En een heel groot deel van de 1,4 miljoen andere mensen die financiëel in de ellende zitten zullen er hetzelfde over besluiten.

[Reactie gewijzigd door DarkForce op 10 december 2024 20:30]

supersnathan94

@DarkForce • 10 december 2024 20:49

In principe is het eigenlijk een wassenneus aangezien de meeste fabrikanten daar al aan voldoen,

You sure bout that? Samsung voldoet hier echt nog maar net aan bij de topmodellen en alle andere modellen kunnen een stuk minder support verwachten. En dan heb je het over een super populaire en grote speler in de EU markt.

Voor kleinere bedrijven is dit echt wel een ding hoor. 5 jaar is best wel lang en veelal niet eens nodig.

DarkForce @supersnathan94 • 10 december 2024 22:56

You sure bout that? Samsung voldoet hier echt nog maar net aan bij de topmodellen en alle andere modellen kunnen een stuk minder support verwachten. En dan heb je het over een super populaire en grote speler in de EU markt.

Ah inderdaad, smartphones en tablets vallen er inderdaad ook onder.

Dat wordt dus geen € 199,00 betalen voor de goedkoopste Smartphone (die dit wel zou kosten zonder al deze onzin) maar € 299,00. Dat wordt straks dus voor velen een AliExpress smartphone.

Voor kleinere bedrijven is dit echt wel een ding hoor. 5 jaar is best wel lang en veelal niet eens nodig.

Nodig of niet het wordt wel verplicht (en dus verwacht), dus binnen de EU zullen de kleinere bedrijven die hier straks aan moeten voldoen tegen de nodige problemen gaan lopen.

[Reactie gewijzigd door DarkForce op 10 december 2024 23:03]

computerjunky @DarkForce • 11 december 2024 03:16

Ik importeer ze nu al jaren uit hong kong. Scheelt de helft en ze doen alles wat een "a merk" doet.

CivLord

Europese unie

@DarkForce • 11 december 2024 13:00

En waarom zou een paar jaar extra ondersteuning € 100 per verkocht exemplaar moeten kosten?
Nieuwe beveiligingsupdate van Google of Qualcomm aan de bestaande firmware toevoegen, nieuwe image maken en op de update-server plaatsen.
Dit gaat enkel over beveiligingsupdates, er hoeft niet elk jaar naar de nieuwste versie van Android geüpgradet te worden waarvoor de launcher en andere eigen apps van de fabrikant aangepast moeten worden.

Webber @DarkForce • 11 december 2024 01:43

Een beetje kort door de bocht en ook een tikkeltje negatief vind ik.

Zelf zou ik het sentiment, dat producenten die wel aan de standaard kwaliteit in Europa willen voldoen zich nu moeten bekommeren met updates voor een langere periode dan voorheen, geen wassen neus noemen.

Je noemt dat het niet effectief zou zijn omdat de nieuwe maatregel niet garandeert dat eindgebruikers de updates ook daadwerkelijk zullen installeren 'het belangrijkste feit'. Dat is wat mij betreft überhaupt geen argument voor of tegen de maatregel.

In principe vragen we bedrijven om mindset-shift te maken bij het maken van nieuwe producten. Dat hoeft, zeker voor grote bedrijven, niet voor oneindig hoge kosten te zorgen lijkt me.

Wat er verandert is dat de waarde van devices en hun software groter wordt, omdat er de mogelijkheid wordt gegeven het apparaat tenminste 5 jaar te gebruiken mét de laatste security updates.

Zeker een stap in de goede richting voor eindgebruikers lijkt me.

R4gnax

Europese unie

@DarkForce • 11 december 2024 19:28

In principe is het eigenlijk een wassenneus aangezien de meeste fabrikanten daar al aan voldoen

5 jaar is de absolute ondergrens. Deze wordt vermeerderd met de werkelijk te verwachten levensduur van een product. Een huiskamer TV kan makkelijk 10 jaar mee; dus zou 10 jaar beveiligingsupdates ook wettelijk vereist zijn. Ik vermoed dat geen enkele fabrikant dat haalt.

Slimme thermostaten?
Slimme combi magnetron ovens?
Slimme koelkasten?

Allemaal producten die makkelijk een decennium mee horen te gaan.

En wat dacht je van zaken als zonnepanelen?
Het gemiddelde digitale beheer daarvan is ... nou ja; dat kun je niet eens meer zo lek als een vergiet noemen. Als je alle gaten bij elkaar op telt heb je geen vergietkom meer over.

WhatsappHack

Politiek en recht
Europese unie
Europese Commissie
Europa

@CAPSLOCK2000 • 10 december 2024 22:20

“De redenen waarom er geaarzeld wordt lijken mij precies de juiste: ze kunnen niet beloven wat er met onze gegevens gebeurt en vinden het risico te groot om daar mee te gokken.”

Maar dat is dus juist het resultaat van slecht geschreven wetgeving die veel te ambigu is, geschreven door een instantie die de boel al eerder genaaid heeft (zie bijv. Ierland situatie) en nu maar niet over de brug wil komen met duidelijkheid vooraf. (Wat sowieso een slecht teken is.)

Ik juich dat echt in de verste verte niet toe en niet in de laatste plaats omdat wetgeving gewoon kraakhelder moet zijn en overheden betrouwbaar moet zijn; ja ook naar bedrijven toe. Zeker als het om onze privacy en veiligheid gaat, die mogelijk door toedoen van de EU in het geding kan komen. Dit werkt dan precies averechts van het doel dat je volgens mij juist beweert te willen bereiken.

bramv101 @WhatsappHack • 11 december 2024 12:09

Probleem is dat men dit niet kraakhelder krijgt wegens gebrek aan kennis, dat zie je in alle aspecten van de EU. De enigen juiste oplossing is om zulke halfbakken wetgeving achterwege te laten en de markt te laten spelen.

Het is een verhaal zo oud als de Romeinen - politiek wilt zich met alles bemoeien maar het echte talent zit ergens anders en als gevolg krijg je een wildgroei aan wetten die weinig relevant, incompleet en vaak vrij snel achterhaald.

CAPSLOCK2000

Politiek en recht
Europa
Europese unie
Europese Commissie

@bramv101 • 11 december 2024 15:03

Probleem is dat men dit niet kraakhelder krijgt wegens gebrek aan kennis, dat zie je in alle aspecten van de EU. De enigen juiste oplossing is om zulke halfbakken wetgeving achterwege te laten en de markt te laten spelen.

Als de risico's niet duidelijk zijn kun je imho beter voorzichtig zijn dan de dobbelsteen gooien en hopen dat het goed komt.

Het is een verhaal zo oud als de Romeinen - politiek wilt zich met alles bemoeien maar het echte talent zit ergens anders en als gevolg krijg je een wildgroei aan wetten die weinig relevant, incompleet en vaak vrij snel achterhaald.

Ook zou oud als de Romeinen is dat bedrijven makkelijk risico's nemen als anderen opdraaien voor de gevolgen. Goede wetgeving is moeilijk en een wet geeft altijd beperkingen, maar zonder is het nog slechter.

nonzzz @Orangelights23 • 10 december 2024 18:52

De vraag is of we er zoveel slechter van worden als die producten niet binnen de EU worden aangeboden. Bedrijven schermen er ook vaak mee dat "innovatie" wordt tegen gehouden. Maar over welke innovatie gaat het dan? De innovatie om social media apps zo verslavend mogelijk te maken, zodat er zoveel mogelijk advertenties kunnen worden verkocht?

Orangelights23 @nonzzz • 10 december 2024 19:06

Goede vraag. Het antwoord: ja, we worden er slechter van.

Ik denk dat het feit dat de meeste Europese start-ups naar de VS gaan, omdat daar simpelweg geld te halen is, al een goed voorbeeld is dat de strenge wetgeving innovatie in de weg staat. Ik ben zelf een investeerder, zowel direct bij start-ups als via investeringspartijen (o.a. OpenAI), en alles loopt via de VS, van gezocht personeel, netwerk en productaanbod. Allemaal zaken die (nog) niet aangeboden worden in Europa of in beperkte vorm. Mijn investeringen gaan makkelijker x2, x3, x4 etc. in de VS door het investeringsklimaat, waar in Europa het echt vele malen lastiger is. En dat is niet alleen vanuit het perspectief van de investeerder.

Of denk aan de miljarden die Google en Microsoft krijgen vanuit de Amerikaanse overheid om chips en kwantumpc’s te ontwikkelen. Google heeft hier wat aankondigingen voor gedaan die een grote impact kunnen hebben op de medische wereld. Maar, Europa kan alleen maar mee als ze de producten afnemen bij Google - alle Europese alternatieven zijn niet half zo goed.

Al deze innovatie zorgt ervoor dat we afhankelijk worden van de VS. Het is nu zelfs het geval dat de Amerikaanse overheid bij alle data van zo’n beetje elk bedrijf in Europa kan komen, omdat de grote datacenters Amerikaanse partijen zijn (ja, ook als je dc in Ierland staat, kunnen ze erbij).

Allerlei vormen van innovatie die zich niet in de EU afspeelt en tot een directe afhankelijkheid leidt.

Thekilldevilhil @Orangelights23 • 10 december 2024 19:21

Dat is wel een verdomd eenzijdige manier van kijken. En ook vooral heel veel vaag taalgebruik zonder concrete cijfers.

Misschien doet de EU wel aan overregulatie, maar aan de andere kant is er een reden dat het "Brussels effect" een wikipedia pagina heeft. Het is echt lang niet zo eenzijdig als jij nu doet geloven.

Orangelights23 @Thekilldevilhil • 10 december 2024 21:40

Nogmaals, ik schrijf het vanuit wat ik hoor om mij heen, ik deel niet mijn eigen mening.

Tweakers is een forum, niet een wetenschappelijk iets waarbij alles onderbouwd moet worden met cijfers, maar waar men ideeën kan delen zonder met een belerend vingertje te wijzen. Jammer dat je niet de inhoud op wil.

DeltaJuliett @Orangelights23 • 10 december 2024 22:58

Inhoud is juist de onderbouwing. Niet vanhorenzeggen. Dat heet ongefundeerd. Jammer dat je niet op de inhoud wilt.

supersnathan94

@Thekilldevilhil • 11 december 2024 00:46

En ook vooral heel veel vaag taalgebruik zonder concrete cijfers.

Er zijn al heel wat artikelen geschreven over het investeringsklimaat in de EU en dat dit eigenlijk heel slecht is in innovatie stimuleren en technisch leider te worden.

Investeerders uit Nederland kunnen hun geld slecht kwijt in andere landen en vice versa. Dat is heel anders dan de VS waar durf kapitaal vaak ontmoet wordt door een hele snelle ROI.

DrWaltman @Orangelights23 • 10 december 2024 19:59

Is het niet eigenlijk kwalijk dat je dan over de rug van de gebruikers extra zou kunnen innoveren? Het staat wellicht huidige ai innovatie in de weg, maar ik ben daar als gebruiker echt niet rouwig om.

Proton is een bedrijf dat juist erg aan de weg timmert qua innovatie maar dan vanuit privacy oogpunt en daarna pas kijken hoe er winst gemaakt kan worden. Dit is echt privacy first, in de rest van de wereld is dit niet aan de orde, dat is money first.

Dit bedrijf laat zien dat het ook anders kan, hopelijk krijgt het veel gebruik in Europa en de wereld, om te laten zien dat het echt anders kan dan wat de meeste tech in de usa doet. Ook de startups daar, vraag me echt af waarom startups zonodig weg moeten om buiten regels te kunnen werken. Ethisch allemaal nogal verwerpelijk me dunkt.

Welke regels houden het precies tegen om grote datacenters in Europees beheer te hebben?

Ik laat me oprecht graag bijpraten hoor, dit is hoe ik het zie, maar kan ook grote valkuilen missen. Ook subtiliteiten 😎

[Reactie gewijzigd door DrWaltman op 10 december 2024 20:05]

CapnCrinkle @Orangelights23 • 11 december 2024 02:26

Idk. Als we anekdotisch gaan spreken, run ik een bedrijf waar veel mensen in wilden investeren (heb niets aangenomen) en als ik iets had aangenomen, hadden hun investeringen wel heel wat meer dan een x4 gedaan. Grote kans dat mijn bedrijf trouwens nog veel sneller gegroeid was en nu mogelijk nog veel groter was geweest, maar dat weet je natuurlijk niet vantevoren. Het niet hebben van investeerders wint veel vertrouwen in de branches waar ik mij in beweeg. Voornamelijk dat er geen keuzes "voor" mij worden gemaakt, ipv door mij.

Intussen is mijn product heerlijk moeiteloos verspreid door heel de EU (want lekker makkelijk), maar ook Australië en we krijgen al behoorlijk wat aanvragen om naar de VS te komen.
Omdat de regels binnen de EU relatief streng zijn, is uitbreiden naar landen buiten de EU eigenlijk relatief simpel. Er zijn weinig eisen waar wij niet al aan voldoen. Meestal is het enkel wat kleinschalig papierwerk. Uiteraard denk ik hiermee even niet aan China ofzo.

Vanuit mijn perspectief, heb ik dus een kleine innovatie verzorgd en kan ik door het succes van mijn product de hele wereld over zonder teveel gedoe. Het feit dat mijn bedrijf in NL zit lijkt hier en daar zelfs enthousiasme met zich mee te nemen. Ik leef dus niet wat jij beweert.
Als het op investeren aankomt denk ik dat de VS deels aantrekkelijk is voor bedrijven omdat de VS gewoon dominant is waar het aankomt op de aandelenmarkt.

Nu ben ik zelf ook niet zo enorm fan van alle regeltjes. Ik zou b.v. maar al te graag gewoon lunch op maat kopen voor mijn werknemers, maar dat mag in NL weer niet zomaar want dat is "loon in natura" ofzo en dat betekent weer een berg extra administratie. Om maar even één voorbeeldje te noemen van stomme regels... Desondanks; Anekdotisch tegenover anekdotisch.

CivLord

Europese unie

@Orangelights23 • 11 december 2024 12:51

Goede vraag. Het antwoord: ja, we worden er slechter van.

Worden we er daadwerkelijk slechter van wanneer we bedrijven niet toestaan ongebreideld gegevens te verzamelen en onze privacy te schenden? Op sommige fronten misschien wel, maar op ander fronten weer niet.
De vraag is wil jij een product en melkkoe van grote bedrijven zijn met een overheid die enkel van grote afstand toekijkt en pas ingrijpt wanneer het op grote schaal misgaat? Of wil je een overheid die al beperkingen instelt wanneer het mis kan gaan?

Lek @Orangelights23 • 12 december 2024 13:50

Dat startups in Europa moeilijker aan kapitaal kunnen komen dan in de VS, is juist een argument voor meer EU integratie. Sommige landen hebben namelijk het vrije verkeer van kapitaal uitgesloten uit de EU verdragen. Hopelijk gaat dat ooit veranderen.

Orangelights23 @Lek • 12 december 2024 14:27

Hoop ik inderdaad ook, het is bijna niet werkbaar binnen Europa om kapitaal te vergaren in andere lidstaten. Zo moet je bijvoorbeeld een BV hebben in Zwitserland om aanspraak te maken op bepaalde subsidies en grants.

DarkForce @nonzzz • 10 december 2024 20:05

De vraag is of we er zoveel slechter van worden als die producten niet binnen de EU worden aangeboden.

Zeg jij, als je vervolgens rondkijkt zie je op sites van bol tot Amazon genoeg routers die gewoon door AliExpress verkopers worden verkocht en bij de simpele boerenlul achter de bank of in de meterkast staat omdat "ie zo goedkoop is en betere wifi heeft dan die experiabox of zyxel van {provider}".

Als je de consument dan zegt dat ie niet gekeurd is lachen ze hard en wijzen ze naar de neppe CE die op de doos of de router gedrukt staat.

Mortov Molotov @Orangelights23 • 10 december 2024 19:47

De EU als grote boeman, hoofdstuk 37.

Als ik de maatschappijen van de VS en China bekijk, dan verkies ik de EU hoor. Gebrek aan regulering bracht ons de kredietcrisis in 2008, zijn we dat allemaal vergeten intussen?

Kijk, de EU heeft veel regels, dat is waar. Maar die regels beschermen consumenten, zorgen voor fatsoenlijke arbeidsomstandigheden en houden het milieu nog enigszins leefbaar. In China heb je dat allemaal niet; daar knallen ze fabrieken uit de grond zonder te kijken naar de gevolgen. En in de VS? Die hebben 'minder regulering' als mantra, totdat de boel in elkaar dondert zoals in 2008. Ja, je kunt snel groeien zonder regels, maar dat is bouwen op drijfzand.

Ik snap dat mensen vinden dat de EU efficiënter moet worden. Prima, laat die regelgeving slanker en moderner worden. Maar laten we alsjeblieft niet vergeten waarom die regels er zijn: om ons te beschermen tegen de chaos waar anderen zich zo makkelijk in storten.

Minoesh @Mortov Molotov • 10 december 2024 20:59

Mee eens.

Laten we ook niet vergeten waarom de regels zo complex zijn, vaak lastig te lezen en zoveel rompslomp hebben: omdat veel bedrijven (mensen) er onderuit proberen te komen met allerlei truken. Als dat niet de normale gang van zaken was zou dat veel gedoe schelen voor iedereen.

CapnCrinkle @Minoesh • 11 december 2024 02:33

Ik geloof dat deze regeltjes voornamelijk zo complex zijn omdat ze alsmaar worden toegevoegd aan een pan die overloopt met spaghetti.

Ze zouden gewoon binnen categorieën, de regels helemaal van 0 opnieuw moeten schrijven zodat ze simpeler en duidelijker kunnen zijn.

Er zijn zó enorm veel dingen in NL en de EU welke écht versimpeld kunnen worden en bakken met administratief/onnodig werk kunnen verdampen, maar dit wordt niet gedaan omdat alles weer afhankelijk moet zijn van oude regeltjes.

Een frisse start zou ons veel goed doen op meer dan genoeg plekken.

Ik heb eens een appje gemaakt om de nodige tijd voor het administratieve werk van verpleegkundigen en andere soorten zorgmedewerkers aanzienlijk te verminderen (wat de hoofdreden is dat veel zorgmedewerk(st)ers stoppen) en ze vonden het allemaal geweldig. Helaas werd het al snel tot een halt geroepen vanwege onnodige regeltjes die al lang niet meer relevant zijn in deze tijd.
Één klein dingetje had miljarden kunnen schelen en een onmeetbare hoeveelheid levens kunnen verbeteren, maar i.p.v. een "Hmm, misschien moeten we eens gaan praten met de mensen die de regels maken" krijg je dan een "Hmm, tsjah, de regels zijn de regels, helaas. Wij zijn er ook niet blij mee, maar het is nou eenmaal gewoon zo".

Wat ik voorstel is natuurlijk erg radicaal, maar die pan met spaghetti wordt nooit meer netjes en recht terug in verpakkingen gestopt...

Helium-3

@Orangelights23 • 10 december 2024 19:51

Ik ervaar een bijzonder goed, veilig en luxueus leven op tech gebied. Als dat betekent dat ik onveilige spullen, apparaten of software pas krijg een jaartje nadat er in Amerika persoonsgegevens door zijn gelekt of wat dan ook, lijkt me dat er daar juist de EU om mogen prijzen! We zijn geen proefkonijnen!

DarkForce @Helium-3 • 10 december 2024 23:19

Ik ervaar een bijzonder goed, veilig en luxueus leven op tech gebied. Als dat betekent dat ik onveilige spullen, apparaten of software pas krijg een jaartje nadat er in Amerika persoonsgegevens door zijn gelekt of wat dan ook, lijkt me dat er daar juist de EU om mogen prijzen! We zijn geen proefkonijnen!

Ook dan ben je nog steeds proefkonijn, want zoals met allerlei software al blijkt betekent het niet dat deze veilig is als het al een jaar getest of in gebruik is. Kwetsbaarheden kunnen (lees komen) ook later nog altijd aan het licht.

Of te wel wat jij zegt is, je bent bereid een jaar te wachten in de hoop dat het veilig is, maar als het toch niet veilig is ben je bereid nog een jaar te wachten in de hoop dat die update dan wel veilig is en als ook dan weer blijkt dat het onveilig is ........ lees deze tekst opnieuw want vicieuze cirkel.

Wat wel prachtig is, is dat bedrijven deze kosten doorrekenen aan de importeurs en die het op hun beurt weer doorrekenen naar de verkopers en dus uiteindelijk eindgebruikers. Dus terwijl jij steeds een jaartje (of wat dan ook) langer wacht en nog steeds met (schijn)veiligheid zit betaal je er ook meteen meer voor.

Honytawk @DarkForce • 11 december 2024 12:02

Niets is perfect en dat zeggen we ook niet.
Maar er is een groot verschil met de veiligheid tussen versie 1.0.0 en 1.5.7

Guru Evi @Orangelights23 • 10 december 2024 20:05

De vraag is of dit nog steeds telt voor open source software, want dan zie ik wel een vertrek van grote en kleine projecten. Er was een paar maand geleden toch een rel dat dit op toepassing was van iedereen met een GitHub repo.

Ook als klein bedrijf, ik ken enkele Duitse systemen die vandaag nog steeds op Windows 7 (*ahem* Siemens *ahem*) draaien - als in, we kopen "vandaag" nog steeds nieuwe medische systemen met Windows 7. Ook andere die blijkbaar een heel warenhuis OpenVMS en Itanium systemen hebben en tot vandaag blijven draaien - veel veiligheidsondersteuning zal er wel niet komen van die kanten en om zo'n dingen te upgraden komt er nog meer dan een OS upgrade aan toepassing, namelijk testen voor veiligheid van mens/dier. Ik weet dat in andere industrie (CNC, horeca etc) die nog steeds met DOS en 486-klonen draaien (vb. esapcsolutions.com).

[Reactie gewijzigd door Guru Evi op 10 december 2024 20:13]

magician2000 @Orangelights23 • 10 december 2024 22:30

Dat is enkel machtsvertoon van dat soort bedrijven omdat die willen bepalen wat er gebeurd en dat het volgens hun regels gaat.Laat die bedrijven dan maar mooi helemaal vertrekken hier uit Europa, kijken hoe snel ze bijdraaien.

Genosha @Orangelights23 • 10 december 2024 22:35

De VS en China halen Europa in omdat wij, Europa, onze eigen markt niet beschermen. Trump is best wel een natte kaars in het donker, maar zijn idee voor hogere tariffs op producten uit China is helemaal zo gek niet. Als de EU dit ook zou doen, dan zou een mega werkgever zoals Volkswagen niet in de problemen zitten door oneerlijke concurrentie. Helaas snijd dat mes aan twee kanten. Want heel veel grote fabrikanten in Europa hebben hun bulkproductie verplaatst naar China. Desalniettemin is de CRA een goede actie, misschien een beetje te laat maar zeker een goed ding. Al is het alleen maar om alle e-waste tegen te gaan.

morphje @Orangelights23 • 11 december 2024 12:59

Europa reguleert ook veel te veel. Maar dit is juist een voorbeeld van zaken die de EU zou moeten reguleren en net zoals de NIS2 sta ik er ook volledig achter dat een groot machtig overheidsorgaan tegenwicht kan bieden tegen andere landen en grote techreuzen. Waar ik persoonlijk wel een bezwaar op heb, is de bemoeienis op lokale wetgeving/regels. Wat mijh betreft hoe kleiner de situatie hoe kleiner de overheid regels en dus overhead.

Bijvoorbeeld basisschool onderwijs. De EU zegt "moet gebeuren en dit is het basisniveau waar alle EU staten aan moeten voldoen", Tegelijkertijd wel voldoende ruimte laten voor lokale invulling. Bijvoorbeeld rekenen, geschiedenis en lokale taalbeheersing. Geen onzin als maatschappijleer met specifieke eisen, want de maatschappij is in elk land anders.

De lidstaten werken dat uit naar individueel beleid en geven de scholen een kader waaraan ze moeten voldoen, inclusief het toezicht en parameters waaraan gemeten wordt. Maar ook hier ruimte laten voor de scholen om eigen invulling te geven, zoals christelijk, islamitisch onderwijs. Jenaplan of openbare basisschool.

En dan de lokale school/gemeente die het restant mag invullen, samen met een gekozen raad, zodat de ouders invloed kunnen uitoefenen op het beleid.Maar vooral geen eindeloze rapporten en commisies die te veel tijd/personeel en geld kosten.

Of een ander voorbeeld dat Frankrijk pulsvissen gaat reguleren/verbieden om hun eigen visindustrie te beschermen, terwijl pulsvissen op alle fronten superieur is. Inclusief milieu. Of dat de EU verplichtingen inclusief micromanagement oplegt over asielopvang. Dat soort bemoeizucht, ja daar is men klaar mee.

Bottomline is vooral: elimineer zoveel mogelijk van de overbodige controle regeltjes en vervang ze door eenvoudige KPI's. Dan kunnen de scholen meer tijd besteden aan lesgeven in plaats van formulieren invullen en de toezichtslaag bij de overheid kan dan ook iets anders nuttigs doen voor de maatschappij in plaats van scholen frustreren omdat een formulier niet is ingevuld met het juiste font. Dubbele besparing aan beide kanten, maar vooral om de overige tekorten elders op de arbeidsmarkt op te vullen.

DutchManticore @Myri • 10 december 2024 18:07

Fijn dat Europa dit regelt maar een politieke unie waarbij lidstaten hun soevereiniteit (deels) moeten afstaan is niet nodig daarvoor hoor.

Dat kan ook prima met multilaterale verdragen, zoals het ook voor de EU ging.

86ul @DutchManticore • 10 december 2024 18:33

Dat kan ook prima met multilaterale verdragen, zoals het ook voor de EU ging.

Cyber resiliency was in pre-EU tijdperk inderdaad een hot item

DutchManticore @86ul • 10 december 2024 19:34

Nee, maar het ging dan ook over "complexe zaken afstemmen" in plaats van om cyber resilience. En dat begreep jij ook prima

batjes @DutchManticore • 10 december 2024 19:00

Gelukkig wel, want mijn privacy wordt niet beschermd door onze eigen overheid die o.a. het AP enorm verkreupelt door deze amper tot geen budget te geven voor hun werkzaamheden.

Keer op keer grijpen de organisaties van onze Europese buren in. Zo is Valve onze koop of afstand wet in Steam pas gaan honoreren nadat de Duitse BfDI (dacht ik) moeilijk begon te doen.

Zo heeft Google vrij recent nog hun dark pattern cookie walls aangepast nadat het Franse CNIL ze aan begon te klagen.

We hoeven al jaren niet echt naar onze eigen overheid te kijken voor betere consumentenrechten en komen de betere voorstellen (zoals dit nieuwsbericht) veelal juist uit de EU.

Ergens ben ik juist wel blij dat we enige soevereiniteit hebben opgegeven.

Snow_King

@DutchManticore • 10 december 2024 23:54

Ik stem per direct voor een United States of Europe. Al die kleine lidstaten in de EU stellen amper wat voor. Willen we echt een vuist maken moeten we nog veel verder en sneller integreren.

DutchManticore @Snow_King • 11 december 2024 10:27

Dat is allang besloten dat dat er gaat komen. Of daar nu democratische steun voor is of niet

Pasteis @Myri • 11 december 2024 08:24

Mooi, dit is exact een voorbeeld waarvoor je de kracht van Europa wil gebruiken. Als individueel landje krijg je dit onmogelijk voor mekaar. En alle burgers worden automatisch beetje beter beschermd ookal zijn ze er niet mee bezig.

Helemaal mee eens, maar waar ik wel bang voor ben is dat we over een paar decennia veel minder druk kunnen uitoefenen omdat we een veel minder belangrijke speler gaan zijn omdat VS aan zichzelf denkt en Azië ons keihard voorbij streeft.... Er zal dan veel minder urgentie gevoeld worden om aan Europese regelgeving.

PacinoAllstars @Myri • 11 december 2024 08:25

Niet mee eens, eerder een wassen neus. De voordelen? Die zijn zo minimaal dat je ze nauwelijks kunt zien door de berg nadelen heen. Ja, we krijgen misschien iets veiligere producten, maar t.o.v. welke kosten? Bedrijven moeten nu een fortuin uitgeven om aan al die regels te voldoen, en dat gaat vooral ten koste van innovatie.

Innovatie is waar het om draait, toch? Maar met deze wet wordt dat gewoon de nek omgedraaid. Kleine bedrijven en start-ups die iets nieuws willen proberen, worden nu geconfronteerd met een muur van bureaucratie en kosten. Het idee dat iedereen zijn producten moet laten certificeren, updates moet verstrekken en kwetsbaarheden moet melden, klinkt goed op papier, maar in de praktijk is het een nachtmerrie.

Het is alsof de EU met een stoomwals over de creativiteit en snelheid van de techsector heen rijdt. Open source projecten, die vaak de basis vormen voor innovatie, worden ook in een lastig pakket geduwd, ondanks de uitzonderingen. En laten we eerlijk zijn, de boetes die eraan komen als je niet voldoet, zijn zo hoog dat bedrijven meer tijd en geld gaan besteden aan compliance dan aan het ontwikkelen van iets echt baanbrekends.

Kortom, deze CRA is meer een rem op vooruitgang dan een stap naar meer veiligheid. Het lijkt wel of de mensen die dit hebben bedacht nooit in de echte wereld van tech hebben gewerkt. Innovatie te niet doen, dat is precies wat de CRA doet.

R4gnax

Europese unie

@PacinoAllstars • 11 december 2024 19:30

Security-by-design is nochtans ook een vorm van innovatie. Hangt er vanaf hoe je het verkoopt.

[Reactie gewijzigd door R4gnax op 11 december 2024 19:30]

blorf @Myri • 11 december 2024 09:09

Ik vind het maar een gebrekkige regel. Het probleem is meestal niet het uitblijven van systeem-updates maar de afwezigheid van alle andere opties buiten de meegeleverde software.
Softwarematig afgesloten computers... De fabrikant verplichten om updates aan te bieden is plakband.

Henk Jan Ober 10 december 2024 19:05

Ik ben groot voorstander van zorgen dat de embedded software veilig is, en dat updates goed geregeld worden.

Het meest lastige van deze wetgeving voor software is dat het een stuk minder duidelijk is dan de wetgeving voor hardware.

Voor hardware zijn er standaard testen waar je met je product naar een testhuis kunt gaan en dan een mooie uitdraai of certificaat kunt krijgen.

Hoe gaan we dit voor software regelen? Moet je dan naar KIWA die een audit op je sourcecode gaat doen?
Of hebben we een checklist waaraan we moeten voldoen?

Vooral voor de kleinere bedrijven gaat dit flink wat extra werk opleveren, niet zozeer het veilig maken van het product, maar het op de juiste manier kunnen aantonen dat het veilig is. En als je wel naar KIWA moet reken er dan maar op dat wat kleinere projecten gecancelled worden omdat de kosten niet meer tegen de baten op gaan wegen.

Dus misschien dat een Nederlands klein bedrijf nieuwe producten eerst buiten de EU proberen en als het aanslaat we er dan de tijd en geld voor over hebben om de certificering/het dossier voor de CRA op orde te hebben voor verkoop in de EU.

CapnCrinkle @Henk Jan Ober • 11 december 2024 02:37

"Aantonen dat het veilig is" blijft nog altijd een discussie natuurlijk. Daar verschillen nogal wat meningen over ook.

Ik neem aan dat het grootste deel van software melding-gebaseerd zal zijn met mogelijk wat steekproeven.
Verder geen sterke onderbouwing om dit te denken, behalve gewoon te zien hoe dit soort zaken meestal gaan.

Mayonaise 10 december 2024 19:47

Een mooiere wet zou zijn om fabrikanten te verplichten om gebruikers toe te staan om hun eigen servers te draaien, wanneer ze beslissen om apparaten niet meer te ondersteunen.

cricque 10 december 2024 20:19

Maar wie valt er wel en niet onder ? Want dat is toch wel zeer onduidelijk en wat met saas applicaties ? Uiteraard dienen die altijd up to date zijn, maar stel je stopt met je bedrijf. Ik ga nadien geen 5 jaar meer updates doen. En als die "website bouwers" die wix & wordpress sites leveren, maar geen kaas gegeten van de rest, gewoon wat klikken. Moeten deze ook verplicht updates uitvoeren ?

De hardware is duidelijk, maar software lijkt me wel heel bizar en er is verschil tussen verkopen of een abonnement. En zoals ik reeds aangaf, wat met de stopzetting van een bedrijf ?

En die wettekst leest uiteraard heel vlot ! Zoals altijd. Maar bitter weinig dus over software. En wie gaat er bepalen wat je moet updaten ? Er zijn nog zat applicaties die draaien op programmeeromgevingen die 10-15 jaar oud zijn en ook een verbinding met internet hebben. Moet je dan alles gaan upgraden ? Ken zo een bedrijf waar ik ooit gewerkt heb, de main app is nog altijd met Delphi 2007 gemaakt bijvoorbeeld. De nieuwe versie die 1/10de heeft van de main app is een web applicatie. Die kunnen gewoon hun oude applicatie niet upgraden want ik heb dat ooit bekeken en was 1,5 tot 2 jaar werk door de opbouw om alles om te zetten (unicode crap). Dan de overheden en software ... Er zijn genoeg overheidsdiensten die nog draaien op windows 7 of 10. Mogen zij dan ook een stamp krijgen om te updaten ? Want de leveranciers moeten het wel doen, maar dan moet de rest ook wel meegaan met de updates. En dat is niet alleen overheden.

Neem nu bijvoorbeeld Python, vorig jaar (in december dacht ik) is 3.12 uitgekomen, sommige libraries hebben nog maar net support voor die versie. Als jij nou net van die libraries gebruikt dan kon je nog niet updaten. Neem C# daar heb je de LTS en de "tussenrelease" veel mensen upgraden van LTS naar LTS en slagen de tussenversie over. En zo ken ik tal van voorbeelden.

Ik ben er zeker niet tegen dat dit er komt, maar er moeten duidelijke omschrijvingen komen. En net zoals met elke wet hebben daar een paar mensen iets bedacht, een paar werkgroepen gemaakt met mensen die er geen bal verstand van hebben. We mixen dit allemaal et voila we hebben iets gedaan. Net zoals E10 en E5 voor benzine en B voor diesel. Dit heeft 4 jaar in beslag genomen .... Maar als er geen duidelijke omschrijvingen komen dan gaan de meesten dit gewoon helemaal negeren.

En wat valt onder internet connectie ? Bijvoorbeeld ik maak een desktop app en ik kan van daaruit een mailtje opstarten in Outlook en jij moet nog op send drukken. Is dat ook een internet app dan ? Als iemand niks van IT kent dan zal zijn antwoord ja zijn. Ik ben van mening totaal niet. Uiteraard zijn desktop apps minder en minder populair aan het worden (al jaren). Nog zo een ding ... een desktop app heeft een auto update feature. Die gaat gewoon een update downloaden en installeren. Is dat dan ook een "internet" app ?

Maar zoals ik dus zei, ik ben er zeker voor, maar dan moeten ook de regeltjes duidelijk beschreven worden en VERSTAANBAAR voor iedereen. Geen advocaten jargon, want die kennen toch niks van IT.

Op dit item kan niet meer gereageerd worden.

Europese Cyber Resilience Act is in werking getreden

Lees meer

IT-banen

Reacties (57)

Sorteer op:

Weergave: