Europese regels nodig voor aanpak onveilige software

Marietje

Vandaag stelt de Task Force van het Centre for European Policy Studies een nieuw rapport voor dat beschrijft hoe Europese landen nu omgaan met kwetsbaarheden in de beveiliging van software en hardware. D66-Europarlementariër Marietje Schaake gaf leiding aan de Task Force.

Schaake: “Gaten in software en hardware worden steeds vaker misbruikt voor cyberaanvallen, zowel door criminelen als door geheime diensten. Als we die gaten niet dichten, kunnen we nooit een echt veilige digitale samenleving hebben. Dan blijft het dweilen met de kraan open. Daarom moet er een duidelijk wettelijk kader zijn om gevaren te melden aan de verkopers en makers van die digitale producten, zodat ze daar een spreekwoordelijke pleister op kunnen plakken. Om het net van cybersecurity sluitend te maken, moeten we dus ook de mazen in de wet dichten.”

Nederland koploper

Schaake: “In de meeste Europese landen staat het beleid rond het omgaan met digitale kwetsbaarheden nog in de kinderschoenen. In dertien Europese landen is het echt het Wilde Westen: daar kunnen onderzoekers zelfs vervolgd worden als ze met goede bedoelingen een veiligheidslek in software melden aan een bedrijf. Nederland heeft daar wel goede richtlijnen voor. Wij lopen voorop.”

Oplossingen

Schaake: “Om Europese cybersecurity overal te verbeteren kan het Europese Cybersecurity agentschap (ENISA) landen specifiek ondersteunen om goede regels over het melden van kwetsbaarheden vast te leggen. Een Nederlandse onderzoeker die een kwetsbaarheid in Spaanse software vindt, moet niet anders behandeld worden dan een Spanjaard die een zwakke plek in Nederlandse software blootlegt. Veiligere software is ook een prioriteit in de nieuwe Europese cybersecuritywetgeving waar momenteel aan wordt gewerkt.”

Momenteel wordt er in de Europese Unie onderhandeld over nieuwe cybersecuritywetgeving. Schaake diende amendementen in op de wetsvoorstellen.

Schaake: “Naast die extra taak voor ENISA, moeten lidstaten ook een toetsingskader maken dat duidelijk maakt wat geheime diensten moeten doen als ze nieuwe kwetsbaarheden vinden. Juist omdat die gaatjes zowel door criminelen als door inlichtingendiensten gebruikt kunnen worden, moet er een fundamenteel en transparant debat worden gehouden over hoe we hier als samenleving mee willen omgaan. Ook moeten we in Europa een omgeving creëren die het vinden en rapporteren van die gaatjes door cybersecurityexperts aanmoedigt. Dat kan door op termijn de Europese wetgeving te harmoniseren die duidelijk maakt wanneer iets een illegale inbraak in een computersysteem is en wanneer niet."