De komende jaren treden verschillende nieuwe Europese cyberwetten in werking. Deze regelgeving heeft betrekking op de beveiliging van software, digitale producten en online diensten en kan gevolgen hebben voor bedrijven, ontwikkelaars en andere organisaties die actief zijn in de digitale sector.
Onlangs publiceerde de Kamer van Koophandel informatie over deze nieuwe regels. Maar wat houden ze precies in? En moet jij als websitebeheerder, WordPress-gebruiker of ontwikkelaar van online platforms je zorgen maken?
In dit artikel leg ik het in begrijpelijke taal uit.
Waarom komen er nieuwe cyberwetten?
Cyberaanvallen, datalekken en beveiligingsproblemen komen steeds vaker voor. Veel bedrijven en organisaties zijn afhankelijk van software, cloudoplossingen en online diensten. Wanneer software kwetsbaarheden bevat, kunnen kwaadwillenden daar misbruik van maken.
De nieuwe regelgeving is opgesteld als reactie op de toenemende afhankelijkheid van digitale systemen en de groei van cybercriminaliteit. Het doel van de wetgeving is om hogere eisen te stellen aan de beveiliging van software en digitale producten en om kwetsbaarheden sneller aan te pakken.
De twee belangrijkste ontwikkelingen zijn:
- “De Cyber Resilience Act (CRA)”
- “De NIS2-richtlijn”
De Cyber Resilience Act (CRA)
De Cyber Resilience Act richt zich op producten met digitale elementen. Denk hierbij aan:
- Software
- Apps
- Plugins
- Scripts
- Slimme apparaten
- Internet of Things (IoT)-apparatuur
De wet legt aanvullende verplichtingen op aan leveranciers en ontwikkelaars op het gebied van beveiliging en het melden van kwetsbaarheden.
Wat verandert er?
Softwareleveranciers moeten onder andere:
- Beveiligingsrisico’s beoordelen
- Kwetsbaarheden melden
- Beveiligingsupdates beschikbaar stellen
- Producten veiliger ontwerpen
De eerste meldplicht gaat in op 11 september 2026. De meeste verplichtingen worden vanaf 11 december 2027 volledig van kracht.
De NIS2-richtlijn
Naast de CRA bestaat ook de NIS2-richtlijn.
Deze richtlijn richt zich vooral op organisaties die een belangrijke rol spelen in de samenleving, zoals:
- Energiebedrijven
- Telecombedrijven
- Cloudproviders
- Datacenters
- Zorginstellingen
- Overheidsorganisaties
Voor veel kleine websites, blogs en communityplatforms lijken de directe gevolgen van NIS2 vooralsnog beperkt.
Wat betekent dit voor WordPress-gebruikers?
Op het moment van schrijven lijkt het erop dat de meeste WordPress-gebruikers en beheerders van kleinere websites niet rechtstreeks met de zwaarste verplichtingen van deze regelgeving te maken krijgen. De exacte uitwerking van de regels zal de komende jaren echter verder duidelijk worden.
Wel wordt het steeds belangrijker om:
- WordPress up-to-date te houden
- Plugins regelmatig bij te werken
- Verouderde software te verwijderen
- Sterke wachtwoorden te gebruiken
- Back-ups te maken
Dit waren eigenlijk altijd al goede beveiligingsmaatregelen, maar de nieuwe regelgeving onderstreept het belang ervan nog eens extra.
Hoe zit het met software van derden?
Veel website-eigenaren maken gebruik van software die zij niet zelf hebben ontwikkeld. Denk bijvoorbeeld aan:
- WordPress-plugins
- Thema’s
- Forumsoftware
- Webshopsoftware
- Boekhoudprogramma’s
- CRM-systemen
- Andere commerciële of open source toepassingen
Een veelgestelde vraag is:
Ben ik verantwoordelijk als een programma dat ik gebruik een beveiligingslek bevat?
In de meeste gevallen ligt de verantwoordelijkheid voor de ontwikkeling en het onderhoud van de software bij de leverancier of ontwikkelaar van het product.
Dat betekent echter niet dat gebruikers helemaal geen verantwoordelijkheid hebben. Het blijft belangrijk om software zorgvuldig te kiezen en goed te onderhouden.
Let daarom op zaken zoals:
- Regelmatige updates
- Actieve ondersteuning
- Een duidelijke changelog
- Een goede reputatie van de leverancier
- Snelheid waarmee beveiligingsproblemen worden opgelost
Software die jarenlang niet wordt bijgewerkt kan op termijn een beveiligingsrisico vormen, ongeacht of het gaat om een website, webshop of bedrijfsapplicatie.
Een goede vuistregel is daarom: gebruik alleen software die actief wordt onderhouden en installeer beveiligingsupdates zo snel mogelijk.
Meer informatie
Voor dit artikel is gebruikgemaakt van informatie van:
Kamer van Koophandel – Nieuwe cyberwetten: dit moet je weten
Dit artikel is bedoeld als algemene uitleg en vormt geen juridisch advies. De exacte toepassing van de regelgeving kan afhankelijk zijn van de situatie en kan in de toekomst verder worden verduidelijkt.
