De Europese Commissie presenteert volgende week een wetsvoorstel om elementaire veiligheidsnormen voor cyberproducten verplicht te stellen. Deze zogenaamde ‘Cyber Resilience Act’ moet ervoor zorgen dat kwetsbaarheden in de ‘Internet of Things’-sector aangepakt worden. Als het aan de Europese Commissie ligt, kunnen bedrijven die zich niet aan de veiligheidsnormen houden een stevige boete verwachten.

Het ‘Internet of Things’ is het geheel van apparaten dat via een internetverbinding met andere apparaten in contact staat en daarbij gegevens uitwisselt. Voorbeelden zijn een thermostaat die je via je telefoon kunt verbinden, een deurbel met videoverbinding of een spelcomputer waarmee je online kunt gamen.

Dat is een kwetsbaar systeem: wordt één apparaat gehackt (bijvoorbeeld die thermostaat), dan heeft dat gevolgen voor alle apparaten die op hetzelfde internetnetwerk zijn aangesloten. Kort gezegd: een hacker kan via een slecht beveiligde babyfoon bij kostbare data op je laptop komen.

Updates

Daar wil de Europese Commissie wat aan doen. Door veiligheidseisen te stellen aan alle apparaten die op dit Internet of Things zijn aangesloten. Wat de eisen concreet zijn, wordt volgende week bekend. Daarnaast moeten er voor de gehele levensduur van de producten gratis automatische veiligheidsupdates beschikbaar zijn, om te voorkomen dat de bescherming met de tijd afneemt.

De Europese Commissie heeft het over een ‘passende’ beveiliging en verbiedt fabrikanten om producten te lanceren waarvan het bekend is dat ze kwetsbaar zijn voor hacks. Ook mogen de producten alleen gegevens opslaan die strikt noodzakelijk zijn voor de werking ervan. Mocht er zich dan toch een incident voordoen, dan blijft de schade beperkt. Daarnaast zijn fabrikanten verplicht om kwetsbaarheden en incidenten te melden.

Risicocategorieën

Behalve wetgeving die voor alle Internet of Things-producten geldt, benoemt de Europese Commissie in het wetsvoorstel aanvullende vereisten voor een aantal producten. Die vallen binnen een risicocategorie: als ze gehackt worden, zijn de gevolgen extra groot. Daarbij gaat het onder andere om routers, wachtwoordmanagers, antivirusprogramma’s, alle besturingssystemen en microprocessors. Ook computers, mobiele apparaten, kaartlezers en slimme meter vallen onder deze categorie. Die aanvullende vereisten zijn nog niet gepresenteerd, maar het wetsvoorstel van de Commissie benoemt expliciet dat de mogelijkheid bestaat extra wetgeving voor deze producten aan te nemen.

Tot slot wil de Europese Commissie dat de controle op de naleving van de veiligheidsnormen wordt uitgevoerd door gecertificeerde instanties. Als het aan de Commissie ligt, moet er een derde partij opgericht worden om hierop toe te zien. Een deel van de controle komt ook in handen van de lidstaten.

Een bedrijf dat zich niet aan de regels houdt, kan een boete van maximaal 15 miljoen euro verwachten, of 2.5 procent van de jaaromzet. De regels moeten 24 maanden na de inwerkingtreding van het wetsvoorstel van kracht worden – als het wetsvoorstel wordt aangenomen. Na 12 maanden geldt er een rapportageverplichting voor fabrikanten. Ze moeten dan onder andere kwetsbaarheden verplicht melden.