Wees voorbereid op nieuwe EU-regels IoT-consumentenproducten

Door Bart Scholten

Thermostaten, sensoren, deurbellen, beveiligingscamera’s en andere draadloos verbonden ‘slimme’ apparaten die niet voldoen aan minimale eisen op het gebied van cyberveiligheid mogen vanaf augustus 2025 niet meer worden verkocht op de Europese markt. Dat is het gevolg van een uitbreiding van het Radio Equipment Directive (RED) (2014/53/EU), de Europese wetgeving voor radio- en andere zendapparatuur. Die moet ervoor zorgen dat gebruikers beter worden beschermd tegen cybercriminaliteit via elektronica die verbonden is met het internet.

Delegated Act

De nieuwe wetgeving is vastgelegd in een zogeheten ‘Delegated Act’ die voorziet in drie nieuwe RED-artikelen op het gebied van cybersecurity: 3.3 d, e en f. Met uitbreiding van de RED wil de EU de kwaliteit en veiligheid van Europese communicatienetwerken verbeteren, de privacy van de gebruiker beter beschermen en het risico verkleinen op, met name financiële, fraude. De nieuwe EU-wetgeving voor de cyberveiligheid van IoT-consumentenproducten werd ruim een jaar geleden aangenomen en voorziet in een overgangsperiode van dertig maanden. Dat betekent dat apparatuur die per 1 augustus 2025 op de markt komt verplicht moet voldoen aan de nieuwe wetgeving.

Minimaal veiligheidsniveau

Nou lijkt augustus 2025 nog ver weg, maar iedereen met kennis van productontwikkelings- en ‘time-to-market’-trajecten weet dat de tijd razendsnel voorbij kan vliegen. Niet vreemd dus dat een aantal producenten van IoT-producten er nu al voor kiest om apparatuur te voorzien van het in de nieuwe wetgeving geëiste minimale cyberveiligheidsniveau en dit te laten certificeren tegen de relevante kwaliteitsnormen. Zo hebben we bij Kiwa in ons cybersecuritytestlab al voor tal van opdrachtgevers beoordelingen uitgevoerd tegen de standaarden ETSI EN 303 645 of IEC 62443-4-2, op basis waarvan conformiteit aan de RED-artikelen 3.3 d, e en f kan worden aangetoond.

Lunch & Learn-sessies

De kennis die we daarbij hebben opgedaan, delen we graag met onze klanten en andere stakeholders. Zo organiseerden we in november 2022 een tweetal Lunch & Learn-sessies. De eerste daarvan, speciaal bestemd voor fabrikanten van IoT-consumentenproducten, vond plaats op 1 november. Tijdens deze sessie werden de aanpassingen in de RED toegelicht en werd dieper ingegaan op de standaard ETSI EN 303 645. Ook belichtten we wat fabrikanten zelf kunnen doen om hun producten veiliger te maken door een inkijkje te geven hoe hackers te werk gaan en wat de risico’s zijn op dit gebied. Speciale gast tijdens de bijeenkomst was Ben Kokx, voorzitter van de werkgroep RED Standardisation Request, die een presentatie gaf over de ontwikkeling van drie nieuwe standaarden door CEN/CENELEC.

Hackdemo industriële IoT-omgeving

Onze tweede Lunch & Learn-sessie was op 22 november. Bij deze bijeenkomst lag de focus op cyberveiligheid in industriële omgevingen. Cybersecurity is ook in deze branche nog lang niet altijd ‘volwassen’. Industriële assets die soms decennialang standalone draaiden, worden steeds vaker ‘slim’ gemaakt door ze te koppelen aan het internet. In een demo lieten we zien hoe een hacker een slecht beveiligde bewakingscamera kan gebruiken om bij een bedrijf in de industriële sector binnen te komen en met een paar drukken op de knop desastreuze schade kan veroorzaken. De digitalisering van de industrie brengt naast innovatie ook forse beveiligingsrisico’s met zich mee. Mede daarom worden er op nationaal en Europees niveau regels en richtlijnen ontwikkeld die de cyberweerbaarheid van de industrie moeten vergroten. Over deze wet- en regelgeving, zoals RED, NIS2, WBI en CRA, werd in tijdens de Lunch & Learn-sessie meer verteld door Michael Theuerzeit, senior consultant bij Hudson Cybertec B.V.

Groeiende belangstelling

Ook tijdens het Industrial Cybersecurity Event van de federatie van technologiebranches FHI, op 8 november 2022 in Nijkerk, ging het over de groeiende belangstelling voor industriële IoT-producten en de veranderende wet- en regelgeving op dit gebied. Dit event werd niet alleen bezocht door fabrikanten van IoT-producten, maar ook door zogeheten system integrators en asset-eigenaren als bedrijven in de energiesector, overheidsinstanties en andere sectoren in de Nederlandse vitale infrastructuur. Ook daar merkten we dat de belangstelling voor cybersecurity groeit en dat het aantoonbaar maken van digitale weerbaarheid daarvan door middel van certificering weliswaar steeds belangrijker wordt, maar ook nog achterblijft.  

Bij Kiwa zijn we volop actief op het gebied van cybersecurity. Met services op het gebied van IoT-consumentenproducten en industriële cybersecurity én door de markt te informeren over nieuwe ontwikkelingen op het gebied van wet- en regelgeving. We zullen dat ook in 2023 blijven doen om zo een stapje dichterbij een digitaal weerbare wereld te komen. Neem gerust contact met me op als u meer wilt weten over de toegevoegde waarde van certificering voor de cybersecurity voor uw organisatie. Onze experts zijn u ook graag van dienst als u zélf een kennissessie wilt organiseren over dit onderwerp!