Bedrijven riskeren boetes tot 15 miljoen euro (15 miljoen dollar) of tot 2,5% van hun totale wereldwijde omzet als ze dit niet doen volgens het wetsvoorstel van de Europese Commissie dat bekend staat als de Cyber Resilience Act.
Bedrijven zouden jaarlijks maar liefst 290 miljard euro kunnen besparen op cyberincidenten tegenover nalevingskosten van ongeveer 29 miljard euro, aldus de EU-executieve.
Een reeks geruchtmakende incidenten waarbij hackers bedrijven schade toebrachten en enorme losgelden eisten, heeft de afgelopen jaren de bezorgdheid over de kwetsbaarheid van besturingssystemen, netwerkapparatuur en software doen toenemen.
"Deze wet legt de verantwoordelijkheid waar zij hoort, namelijk bij degenen die de producten op de markt brengen", aldus Margrethe Vestager, EU-commissaris voor digitale aangelegenheden, in een verklaring.
Thierry Breton, EU-industriechef, wees op talrijke apparaten die kwetsbaar zijn voor hacking.
"Computers, telefoons, huishoudelijke apparaten, virtuele hulpapparaten, auto's, speelgoed... elk van deze honderden miljoenen verbonden producten is een potentiële ingang voor een cyberaanval", zei hij.
Fabrikanten moeten de risico's van hun producten op het gebied van cyberbeveiliging beoordelen en passende maatregelen nemen om problemen gedurende vijf jaar of tijdens de verwachte levensduur van het product te verhelpen.
De bedrijven moeten het EU-agentschap voor cyberbeveiliging ENISA binnen 24 uur op de hoogte brengen van incidenten zodra zij op de hoogte zijn van problemen, en maatregelen nemen om deze op te lossen.
Importeurs en distributeurs moeten controleren of de producten aan de EU-regels voldoen.
Als bedrijven de regels niet naleven, kunnen de nationale toezichthoudende autoriteiten het op de nationale markt aanbieden van een bepaald product verbieden of beperken.
De ontwerpregels moeten worden goedgekeurd door de EU-landen en de EU-wetgevers voordat ze wet kunnen worden.
(1 dollar = 1,0013 euro)
