De Europese Commissie werkt aan wetgeving om Internet of Things (IoT) apparaten met zwakke beveiliging uit de verkoop te halen. Fabrikanten die hun zaakjes op het gebied van security niet op orde hebben, riskeren een boete. De nieuwe regels gelden vanaf 2024.
Dat schrijft The Financial Times (1). De Britse zakenkrant wist de hand te leggen op een conceptversie van de wetgeving.
Smart devices en IoT-toepassingen als slimme speakers, beveiligingscamera’s, rookmelders of thermostaten worden alsmaar populairder. Volgens het Centraal Bureau voor de Statistiek (CBS) heeft driekwart van de Nederlandse huishoudens minimaal één smart device in huis. Op dit moment zijn er wereldwijd naar schatting zo’n 35 miljard smart devices in omloop. Marktonderzoekers voorspellen dat dit aantal in 2025 oploopt tot ruim 75 miljard apparaten.
Slimme apparatuur maakt ons leven makkelijker, maar brengt tevens risico’s met zich mee. Als je je slimme camera’s bijvoorbeeld niet goed beveiligd, kunnen anderen stiekem meekijken. En je wilt ook niet dat hackers of cybercriminelen je apparatuur van afstand overnemen of tegen je gebruiken.
Om dergelijke toestanden te voorkomen werkt de Europese Commissie aan wetgeving die strengere eisen stelt aan smart devices. Als het aan het dagelijks bestuur van de EU ligt, mogen dergelijke producten straks niet langer een zwak wachtwoord als standaard gebruiken. Verder moeten fabrikanten hun producten testen op veiligheidslekken, persoonlijke en financiële informatie afschermen en consumenten en organisaties de mogelijkheid geven om deze data te beheren.
Volgens The Financial Times wil de Europese Commissie nog een stap verder gaan. Zo zou de Commissie de verkoop van slimme apparatuur en IoT-toepassingen willen verbieden als de beveiliging niet op orde is. Verder wil ze een boetesysteem introduceren. In het conceptvoorstel staat dat boetes kunnen oplopen tot 15 miljoen euro, of 2,5 procent van de wereldwijde jaaromzet, afhankelijk van welke hoger is.
Tot slot wil de Europese Commissie een meldingsplicht voor beveiligingslekken in het leven roepen en fabrikanten verplichten om updates uit te brengen. Hoelang deze updateplicht zou moeten gelden, is onbekend. Eerder deze maand introduceerde de Commissie een conceptwetsvoorstel om het recht op reparaties en updates vast te leggen. Daarin had de Commissie het over een updateperiode van vijf jaar voor smartphoneproducenten.
Oud-minister van Economische Zaken en Klimaat Stef Blok noemde cybersecurity eind vorig jaar een sluitpost voor fabrikanten van smart devices. “We zien dat onveilige producten een ideale toegangsdeur zijn voor criminelen om persoonlijke of bankgegevens buit te maken. Of om de besturing over te nemen, waardoor een apparaat kan worden gebruikt voor een hackaanval op andere consumenten of bedrijven. Daarom is het essentieel dat het IoT veilig is en vertrouwd kan worden gebruikt”, zo zei de bewindsman.
In Nederland kijkt Agentschap Telecom of IT-producten en diensten voldoen aan minimale veiligheidseisen. In april van dit jaar werd de instantie benoemd tot de Nationale Cybersecurity Certificeringsautoriteit (NCCA). “Dit nieuwe stelsel maakt voor iedereen inzichtelijk hoe veilig en weerbaar producten en diensten zijn. De consument kan straks een bewustere keuze maken: kies ik voor een gecertificeerd product, of niet? Gecertificeerde producten zijn veiliger in gebruik en weerbaarder tegen cybercriminaliteit”, zei Angelina van Dijk, directeur-hoofdinspecteur van Agentschap Telecom, over de benoeming.
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) speelt eveneens een rol om te waken over de beveiliging van slimme apparaten. Samen met Agentschap Telecom kijkt de dienst of de bijgevoegde documentatie van smart devices in orde is, hoe het ontwikkel- en ontwerpproces plaatsvond, en nemen ze de productiemethode en testprocedures onder de loep. Producten die een certificaat ontvangen, zijn veilig in gebruik en weerbaarder tegen cyberaanvallen en andere digitale dreigingen.
“Door wederzijdse uitwisseling van kennis en informatie kunnen beide organisaties hun taken beter vervullen. Zo vergroten zij gezamenlijk de digitale weerbaarheid van Nederland”, aldus Agentschap Telecom.
https://www.ft.com/content/cfa2e2be-8871-4b56-b7bf-c5d2c55e8ed5
