In vrijwel elk huishouden zijn tegenwoordig meerdere smart devices te vinden. Vaak verzamelen, bewaren en verzenden deze apparaten gegevens van de gebruiker. Nog té vaak zijn deze apparaten echter standaard niet of niet voldoende beveiligd tegen hacks, datalekken en ander digitale dreigingen. Het Europees Telecommunicatie en Standaardisatie Instituut (ETSI) heeft daarom de standaard ETSI EN 303 645 ontwikkeld. Deze bevat eisen en procedures voor de cyberveiligheid van IoT-consumentenprodukten. Het gaat daarbij niet alleen om smart devices zelf, maar ook om sensoren en bedieningsonderdelen van deze apparaten.
Cyberveiligheid en privacybescherming
In de ETSI EN 303 645 hebben de deelnemers van het ETSI (fabrikanten, leveranciers van netwerkdiensten, overheden, telecomtoezichthouders en eindgebruikers) generieke, doelmatige eisen en best practices vastgelegd rondom cyberveiligheid en privacybescherming van consumentenelectonica met een internetverbinding. De standaard beoogt alle partijen die betrokken zijn bij de ontwikkeling en productie van een IoT-product te voorzien van richtlijnen voor de beveiliging van dat product. Hiervoor bevat de standaard essentiële beveiligingseisen op een aantal onderwerpen. Er zijn onder meer richtlijnen voor:
- Rapportage van implementatie;
- Wachtwoorden;
- Mechanismen voor het rapporteren van kwetsbaarheden;
- Communicatieveiligheid;
- Software-integriteit;
- Installatie en onderhoud van apparatuur;
- De procedure voor het omgaan met persoonlijke data
Voor fabrikanten van IoT consumentenelektronica
Certificering door Kiwa volgens de ETSI EN 303 645 is van toegevoegde waarde voor ontwikkelaars en fabrikanten van consumtentenelektronica die verbonden kan worden met het web. Voorbeelden zijn onder meer babyfoons, slimme deurbellen, cameras, tv’s en speakers, wearable health trackers en connected huishoudelijke apparatuur als wasmachines en koelkasten. Produktontwikkeling volgens de ETSI EN 303 645 draagt bij aan betere veiligheid, updatebaarheid, transparantie, structuur, etc.
Vaak kunnen dergelijke apparaten ook bediend worden met een smartphone-app. De veiligheid van deze app wordt niet door de ETSI EN 303 645 afgedekt, maar als optionele service kan Kiwa aan de hand van het RARS-schema de veiligheid hiervan beoordelen.
ETSI EN 303 645-certificatie
Er zijn twee mogelijkheden wat betreft certificatie volgens de ETSI EN 303 645. Als het product voldoet aan de eisen van de norm kan de fabrikant kiezen voor een Certificate of Conformity volgens de standaard of een Radio Equipment Directive 2014/53/EU (RED)-certificaat met vermelding voor compliance aan artikelen 3.3 d, e en f. Compliance volgens de RED-artikelen 3.3 d, e en f wordt vanaf 2024 verplicht. De EU heeft dit in 2021 geregeld in een Delegated Act. Hierin zijn minimale eisen vastgelegd voor de cyberveiligheid van radioproducten die bestemd zijn voor de Europese markt.
Kiwa kan u ondersteunen bij RED-certificatie inclusief artikelen 3.3 d, e en f. Als de fabrikant een RED-certificaat heeft aangevraagd, wordt conformiteit met de ETSI EN 303 645 hierop vermeld. Hiermee kan de fabrikant aantonen dat het product voldoet aan basiseisen op het gebied van IoT en cybersecurity die steeds belangrijker worden. Zo wekt een fabrikant niet alleen vertrouwen bij de (potentiële) gebruikers van zijn product, maar kan hij zich ook onderscheiden van andere fabrikanten.