"Kommissionen lade fram ett förslag till en ny lag om cyberresiliens för att skydda konsumenter och företag från produkter med otillräckliga säkerhetsfunktioner." Detta är "den första lagstiftningen i sitt slag i hela EU [som] inför obligatoriska krav på cybersäkerhet för produkter med digitala element under hela deras livscykel", meddelar EU:s verkställande organ i ett uttalande.
Efter en strategi för cybersäkerhet som EU:s verkställande organ lade fram för ett år sedan syftar den nya lagstiftningen till att se till att "digitala produkter, t.ex. trådlösa och trådbundna produkter och programvara, är säkrare för konsumenter i hela EU".
"Förutom att öka tillverkarnas ansvar genom att tvinga dem att tillhandahålla säkerhetsstöd och programvaruuppdateringar för att åtgärda identifierade sårbarheter, kommer den att göra det möjligt för konsumenterna att få tillräcklig information om cybersäkerheten hos de produkter som de köper och använder", tillägger Bryssel.
Den föreslagna förordningen gäller alla produkter som är direkt eller indirekt anslutna till en annan enhet eller ett annat nätverk, även om vissa undantag föreskrivs för produkter för vilka krav på cybersäkerhet redan fastställs i befintliga EU-regler, till exempel för medicintekniska produkter, luftfart eller bilar. Mobilapplikationer och videospel omfattas också, enligt institutionen.
I lagstiftningen föreskrivs att "för att säkerställa en effektiv tillämpning av de skyldigheter som fastställs i denna lag ska varje marknadskontrollmyndighet ha befogenhet att ålägga eller begära att administrativa böter åläggs".
Om de grundläggande kraven på cybersäkerhet inte uppfylls kan böter på upp till 15 miljoner euro eller, om gärningsmannen är ett företag, upp till 2,5 % av dess totala globala årsomsättning för föregående räkenskapsår utdömas. Om andra skyldigheter enligt denna förordning inte uppfylls kan administrativa böter på upp till 10 miljoner euro eller, om gärningsmannen är ett företag, upp till 2 % av dess årsomsättning utdömas.
Att lämna felaktig, ofullständig eller vilseledande information till anmälda organ och marknadsövervakningsmyndigheter på begäran kan å andra sidan enligt förslaget till förordning leda till böter på upp till 5 miljoner euro eller, om gärningsmannen är ett företag, upp till 1 % av dess årsomsättning.
Det är nu upp till Europaparlamentet och rådet att diskutera den föreslagna lagen om cyberresiliens, och Bryssel framhåller "den goda viljan" hos medlagstiftarna och hoppas att initiativet kommer att gå snabbt framåt.
Efter ikraftträdandet kommer intressenterna att ha 24 månader på sig att anpassa sig till de nya kraven, med undantag för en mer begränsad tidsfrist på 12 månader när det gäller rapporteringsskyldigheten för tillverkare.
Uppgifter från Europeiska kommissionens gemensamma forskningscentrum för 2021 visar att attacker med utpressningstrojaner drabbar en organisation var elfte sekund i världen och att den globala årliga kostnaden för cyberbrottslighet beräknas uppgå till 5,5 biljoner euro.
De årliga kostnaderna för dataintrång beräknas också uppgå till minst 10 miljarder euro, medan de årliga kostnaderna för skadliga försök att störa internettrafiken beräknas uppgå till 65 miljarder euro.