Ingebed in de Radio Equipment Directive (RED) liggen drie nieuwe essentiële eisen op het gebied van cybersecurity. Fabrikanten moeten daar straks aan voldoen om hun producten te beschermen tegen cybercriminelen. Maar ze moeten al verder kijken, zo zegt Ben Kokx. ‘Ook de fabrikanten zelf zullen straks aan allerlei security-eisen moeten voldoen.’
Ben Kokx houdt zich binnen Philips bezig met product security en de daaraan gerelateerde wetgeving en normen. ‘Onze afdeling helpt om te zorgen dat de producten aan alle securityvereisten voldoen. Denk daarbij aan medische systemen, clouddiensten of consumentengoederen die met internet verbonden zijn. We willen zorgen dat die producten veilig te gebruiken zijn en voldoen aan de lokale wet- en regelgeving.
Standaardisatie speelt daar een belangrijke rol in.’ Kokx heeft dus een sterk extern gerichte rol. ‘Ik zit vanuit die hoedanigheid in de CEN-CENELEC Joint Technical Commissie 13. Deze Europese technische commissie houdt zich bezig met het ontwikkelen van veiligheidsstandaarden. Met ‘ontwikkelen’ bedoel ik voor een deel het simpelweg adopteren van internationale ISO en IEC normen, maar in andere gevallen wordt ons ook gevraagd ze te schrijven.’ Dat schrijven gebeurt voornamelijk op verzoek van de Europese Commissie. Ook nu ligt er bij CEN-CENELEC een verzoek om voor de Radio Equipment Directive in het kader van de Delegated Regulation nieuwe normen te ontwikkelen.
RED als redmiddel
De Radio Equipment Directive is ooit in het leven geroepen om te zorgen dat radioapparatuur aan afspraken voldoet over bijvoorbeeld frequenties, antennevermogen, EMC en veiligheid. Maar door de komst van draadloze communicatie zoals WiFi en Bluetooth vallen steeds meer soorten producten onder de Directive en worden nu ook zaken opgenomen over cybersecurity.
Zo moesten er maatregelen komen om het netwerk te beschermen, bescherming van persoonlijke data en bescherming tegen fraude op te tuigen. Die stappen zijn genomen door de Europese Commissie onder andere vanwege het schandaal met de speelgoedpop My Friend Cayla. ‘Dit stuk speelgoed kon met de gebruiker communiceren via een app op de mobiele telefoon en het gebruik van bluetooth en internet. Helaas bleek het heel gemakkelijk om via die pop verbinding te maken en te luisteren naar de omgeving of zelfs praten met het kind dat hem gebruikte. De veiligheid was dus echt niet op orde. De markttoezichthouders konden er echter niet op acteren omdat er behalve in Duitsland simpelweg geen wetgeving was op dit gebied. In de RED stonden echter al de eisen voor netwerkbescherming opgenomen, maar die waren nog niet geactiveerd. Dat wil zeggen dat ze er wel in stonden maar dat producten er nog niet aan hoefden te voldoen.
Inmiddels zijn we vijf jaar verder en zijn we volop bezig met deze nieuwe normen klaar te maken. Er komt inmiddels zelfs nieuwe wetgeving aan wat dit in zijn geheel gaat vervangen, de Cyber Resilience Act. Die kan nog gerichter zaken als cybersecurity goed aanpakken. Maar zo ver is het nog niet. Vanuit Brussel is de snelste stap om dit eerst via de RED aan te pakken.’