Internet van Dingen 10-07-2022

EU wil cybersecurity voor het IoT wettelijk gaan voorschrijven

Mike Nelson
digicert-blogimages-mar22

Dit betekent de EU Wet inzake cyberweerbaarheid voor IoT-beveiliging

De Wet inzake cyberweerbaarheid is de eerste Europese wetgeving die cybersecurityverplichtingen gaat opleggen aan fabrikanten. De nieuwe wet heeft betrekking op zowel hardware als software en op zowel fabrikanten als ontwikkelaars, die verantwoordelijk worden gemaakt voor de beveiliging van verbonden apparaten. Volgens de Europese Commissie worden met deze wetgeving twee problemen aangepakt: enerzijds de beperkte cybersecurity van veel van deze producten en anderzijds het feit dat veel fabrikanten geen updates bieden waarmee kwetsbaarheden worden verholpen.

Wat gaat deze nieuwe wet zoal voorschrijven?

Het venijn zal vooral zitten in de details van de vereisten, die nu worden uitgewerkt. We verwachten dat die vereisten net als bij andere wetten niet voorschrijvend zullen zijn, maar formuleringen zullen bevatten zoals 'gevoelige gegevens moeten worden versleuteld', 'het updaten van apparaten moet mogelijk zijn', 'de integriteit van software en firmware moet zijn gewaarborgd', enzovoort. Maar om boetes te rechtvaardigen, moet de aanpak deels meetbaar zijn. Er komt waarschijnlijk een verplichting tot regelmatige updates, een van de pijnpunten die door de Europese Commissie specifiek zijn genoemd. Het verzenden van automatische updates naar grote hoeveelheden apparaten is een uitdaging zolang er geen oplossing is waarmee fabrikanten de levensvatbaarheid van hun apparaten kunnen waarborgen en taken kunnen automatiseren. Daarnaast heeft de commissie gezegd dat er meer informatie beschikbaar moet zijn voor consumenten, zodat ze geïnformeerde aankoopbeslissingen kunnen nemen en hun apparaten veilig kunnen installeren.

Welke impact heeft de nieuwe wet op fabrikanten van IoT-apparaten?

Als producenten van IoT-apparaten zich niet houden aan de voorschriften in de nieuwe Wet inzake cyberweerbaarheid, zouden weleens hoge boetes kunnen worden opgelegd. Dit is een van de eerste keren dat in de wetgeving wordt gesproken van financiële boetes voor non-compliance. Hiermee maakt de EU duidelijk dat fabrikanten en ontwikkelaars de financiële lasten van hun apparaten zullen moeten dragen.

Bovendien mogen producten die niet voldoen aan de 'essentiële' vereisten op het gebied van cybersecurity niet op de markt worden gebracht. Dit betekent dat fabrikanten de beveiliging nu al in het ontwerp van hun apparaten moeten integreren, om ervoor te zorgen dat de producten die ze de komende jaren in de markt gaan zetten, voldoen aan de beveiligingseisen. De toezichthoudende autoriteiten in de verschillende lidstaten worden verantwoordelijk voor het uitdelen van boetes, waarvan het maximale bedrag in de wet wordt vastgelegd. Ook moeten die autoriteiten ervoor zorgen dat apparaten die niet aan de voorschriften voldoen, niet op de markt worden gebracht. Tegelijkertijd biedt een eenduidige Europese norm voor cybersecurity fabrikanten meer duidelijkheid over hoe ze de voorschriften kunnen naleven.

Welke impact heeft de nieuwe wet op consumenten?

Dankzij de Europese Wet inzake cyberweerbaarheid kunnen consumenten betere aankoopbeslissingen nemen en neemt het vertrouwen in apparaten toe, omdat fabrikanten verplicht worden informatie te bieden over de beveiliging ervan. De regels vereisen meer kennis over het selecteren van producten die veilig zijn en het op een veilige manier installeren daarvan. Bij voedingsmiddelen staat de samenstelling van het product op het etiket vermeld, zodat consumenten weten wat ze kopen. Op dezelfde manier kunnen ze beter geïnformeerde aankoopbeslissingen nemen als er van tevoren informatie wordt verschaft over de beveiliging van apparaten.

Naarmate fabrikanten transparanter moeten zijn over de cybersecurity van hun apparatuur, zullen consumenten meer vertrouwen krijgen in de verbonden apparaten die er te koop zijn. Bovendien verwacht de Europese Commissie dat de vraag naar 'producten met digitale elementen' zelfs zal stijgen wanneer consumenten meer vertrouwen krijgen in de beveiliging ervan.

IoT moet 'beveiliging door ontwerp' bieden

Eigenlijk zouden regelgevende instanties niet moeten hoeven dreigen met boetes en consequenties om goede beveiliging te stimuleren. Maar helaas is beveiliging bij de ontwikkeling van apparaten maar al te vaak bijzaak. In de ideale wereld zouden bedrijven zelf inzien hoe belangrijk het is om hun assets, klanten, reputatie en medewerkers te beschermen en beveiliging meteen goed aanpakken; simpelweg omdat dat nu eenmaal het beste voor ons allemaal is. Maar totdat het zover is, zullen we het moeten doen met toezichthouders die dreigen met repercussies. Daarnaast is het feit dat nationale toezichthouders de verkoop van producten die niet aan de regels voldoen aan banden kunnen leggen, ook een dreigement dat het gebruik van betere beveiliging zal stimuleren.

Wanneer wordt de Wet inzake cyberweerbaarheid van kracht?

Momenteel ligt de wet ter behandeling en goedkeuring bij het Europees Parlement en de Raad. Wanneer de wet is goedgekeurd, krijgen de lidstaten maximaal twee jaar de tijd om de nieuwe vereisten te implementeren. Dit betekent dat fabrikanten erop voorbereid moeten zijn dat ze ergens in de komende jaren aan de wet moeten voldoen.

Maar er gaat nog meer regelgeving voor verbonden apparaten komen. De Wet inzake cyberweerbaarheid is de eerste stap en we verwachten dat deze wet een richtlijn gaat worden voor de ontwikkeling van gelijksoortige normen. In de toekomst zal er dus meer regulering komen van het IoT en het ontwerp daarvan, niet minder. Daarom is het belangrijk dat fabrikanten nu al cybersecurity door ontwerp implementeren, zodat ze klaar zijn voor die toekomstige regulering.

Naast meer wetgeving voor het IoT wordt er ook in meerdere bedrijfstakken gewerkt aan betere apparaatbeveiliging. Zo wordt binnenkort het Matter-protocol geïntroduceerd, dat moet zorgen voor betere interoperabiliteit, beveiliging en betrouwbaarheid van smarthomeapparaten, en dat als een voorbeeld kan dienen voor betere beveiliging van IoT-apparaten. Hoewel nog lang niet alle details van het wetsvoorstel bekend zijn, is de kans groot dat fabrikanten die beveiliging bieden op basis van Matter, met behulp van apparaatcertificaten en tussenliggende productcertificaten, al voldoen aan de vereisten van de nieuwe Europese wetgeving. Bovendien biedt dit hun de kans om consumenten te laten zien dat hun apparaten veilig zijn, omdat compliance met Matter wordt aangeduid door het Matter-logo op apparaten.

Cyberweerbaarheid met DigiCert

DigiCert is ervan overtuigd dat de Europese Wet inzake cyberweerbaarheid het digitaal vertrouwen in de verbonden wereld kan vergroten. Wij zijn al lang voorstander van beveiliging door ontwerp en bieden de expertise en oplossingen waarmee fabrikanten dit kunnen realiseren. Met DigiCert voor verbonden apparaten in combinatie met de bekroonde oplossing Device Trust Manager en Mocana kunnen fabrikanten de complete levenscyclus van hun apparaten beheren en veilige updates verzenden. Neem contact op via https://www.digicert.com/iot/trust-for-connected-devices voor meer informatie over hoe u, vooruitlopend op de nieuwe wet, uw IoT-beveiliging kunt verbeteren en meer digitaal vertrouwen kunt bieden.

About DigiCert® DigiCert Device Trust Manager

DigiCert Device Trust Manager biedt een uitgebreide geautomatiseerde workflow waarmee bedrijven hun IoT-apparaten kunnen beheren met behulp van certificaten, van de fabricage tot aan de installatie op locatie. Het biedt de schaalbaarheid, flexibiliteit, controle en efficiëntie die noodzakelijk is in een netwerk van verbonden apparaten. Beheerders kunnen de complete levenscyclus van certificaten monitoren, veilige updates faciliteren, metagegevens van apparaten binnen certificaten aanpassen en compliance garanderen. In plaats van een zelf beheerde PKI te bouwen en te onderhouden, beschikt u met IoT Device Manager over compleet geautomatiseerde PKI-implementaties. Dat maakt het beheer van omvangrijke netwerken met apparaten zeer eenvoudig. Beheerders kunnen dankzij aangepaste machtigingen en toegangscontroles het beheer van de verschillende gebruikersgroepen segmenteren. Omdat IoT Device Manager deel uitmaakt van DigiCert ONE™ is het flexibel genoeg voor implementatie on-premises, binnen de landsgrenzen of in de cloud en voldoet het aan allerlei vereisten met betrekking tot maatwerkintegratie en fysiek gescheiden omgevingen.

Uitgelichte verhalen

08-31-2021

DMARC instellen om uw domein in aanmerking te laten komen voor VMC

05-11-2021

Hoeveel verified mark certificates (VMC’S) heb ik nodig?

11-16-2021

Voorspellingen voor 2022 op het gebied van beveiliging