(Blog Mike Nelson) De Europese Cyber Resilience Act is de eerste EU-brede wetgeving die fabrikanten eisen oplegt voor een betere cyberbeveiliging. Deze wet heeft zowel betrekking op hardware als software en is bedoeld om fabrikanten en ontwikkelaars verantwoordelijk te maken voor de beveiliging van met Internet verbonden apparaten. Volgens de Europese Commissie gaat de nieuwe cyberwet twee problemen aanpakken, namelijk het lage beveiligingsniveau van veel producten en het feit dat veel fabrikanten geen updates leveren om ontdekte kwetsbaarheden op te lossen.
Wat vereist de EU Cyber Resilience Act?
De duivel zit vaak in details als wetgeving wordt ontwikkeld en vrijgegeven. We verwachten dat het een vergelijkbare benadering wordt als wat we zien bij andere regelgeving, zoals ‘versleutelen van gevoelige gegevens’, ‘apparaten moeten kunnen worden bijgewerkt’, ‘waarborgen voor de integriteit van software en firmware’, enzovoort. Echter, om straffen te rechtvaardigen, moet een wet ook meetbare criteria en eisen bevatten. Er komt waarschijnlijk een vereiste voor regelmatige updates, want dat is een van de pijnpunten die de Europese Commissie al naar voren heeft gebracht. Het verzenden van automatische updates naar grote aantallen apparaten is echter moeilijk te realiseren zonder een oplossing die fabrikanten helpt dit proces te managen en te automatiseren. De EU-commissie heeft ook verklaard dat er meer informatie beschikbaar moet zijn voor consumenten om weloverwogen koopbeslissingen te nemen en hun apparaten veilig in te stellen.
Gevolgen voor IoT-fabrikanten
Fabrikanten van IoT-apparaten kunnen fikse boetes en straffen krijgen bij het niet naleven van de opgestelde EU Cyber Resilience Act. Dit is namelijk een van de eerste wetten die een financiële sanctie oplegt bij niet-naleving. Het is duidelijk dat de EU met deze voorgestelde wet de financiële gevolgen van slecht beveiligde apparaten bij de fabrikanten en ontwikkelaars in rekening wil brengen.
Tevens mogen producten die niet voldoen aan de ‘essentiële eisen’ voor cyberbeveiliging niet op de Europese markt komen. Fabrikanten moeten dus nu al beginnen met het toevoegen van betere beveiliging aan het ontwerp van hun producten, om ervoor te zorgen dat apparaten die de komende jaren op de markt komen voldoen aan de EU Cyber Resilience Act. Toezichthouders in de EU-lidstaten worden verantwoordelijk om niet-conforme bedrijven te beboeten, tot een limiet die in de wet is vastgelegd. Ook kunnen zij verbieden dat niet-conforme apparaten op de markt komen. De nieuwe EU-brede standaard voor cyberbeveiliging gaat het voor fabrikanten tevens duidelijker maken hoe ze de naleving ervan kunnen handhaven.
Gevolgen voor consumenten
De EU Cyber Resilience Act gaat consumenten helpen betere koopbeslissingen te nemen en meer vertrouwen te krijgen in de apparaten van fabrikanten, door vooraf meer informatie over de beveiliging ervan te verstrekken. Dat vereist natuurlijk wel meer kennis over het kiezen van veilige producten en het op een veilige wijze configureren van apparaten. Net zoals consumenten naar de etiketten op voedselproducten kijken om te begrijpen waar ze van gemaakt zijn, gaat het vooraf verstrekken van beveiligingsinformatie op apparaten consumenten in staat stellen beter geïnformeerd beslissingen te nemen.
Omdat fabrikanten transparanter moeten zijn over de cyberbeveiliging van hun apparaten, kunnen consumenten ook meer vertrouwen hebben in de verbonden apparaten die wel op de markt komen. Tevens verwacht de EU-commissie dat de vraag naar ´producten met digitale elementen’ mogelijk toeneemt als consumenten meer vertrouwen krijgen in de productbeveiliging.
Cybersecurity by design
Het zou niet nodig moeten zijn dat regelgevers fikse boetes kunnen opleggen om de beveiliging van IoT-apparaten te verbeteren. Tot nu toe is die beveiliging echter te vaak een bijzaak tijdens het ontwikkelen van nieuwe apparaten. In een perfecte wereld zien bedrijven zelf al het belang van het beschermen van hun producten, klanten, reputatie en medewerkers, omdat het de beste keuze is en ‘cybersecurity by design’ een onderscheidend voordeel kan opleveren. Zolang die situatie echter nog niet is bereikt, zullen we moeten tolereren dat toezichthouders een stok achter de deur hebben. Ook is de mogelijkheid voor nationale toezichthouders om de verkoop van niet-conforme producten te verbieden, of te beperken, een effectieve maatregel om een betere beveiliging af te dwingen.
Wanneer van kracht?
Momenteel ligt de EU Cyber Resilience Act bij het Europees Parlement en de Raad om te beoordelen en vervolgens aan te nemen. Na vaststelling hebben alle lidstaten nog maximaal twee jaar de tijd om de vereisten goed te keuren. Fabrikanten die op de Europese markt hun producten willen leveren moeten dus bereid zijn om de komende jaren aan deze nieuwe wet te gaan voldoen.
De trend richting meer regelgeving voor verbonden apparaten zal zich verder blijven voortzetten. De EU Cyber Resilience Act is slechts een eerste stap, omdat we verwachten dat deze verordening ook richtinggevend wordt voor andere regelgevers om vergelijkbare beveiligingsnormen te ontwikkelen. In de toekomst worden er steeds meer eisen gesteld aan IoT-apparaten en het ontwerp daarvan, zeker niet minder. Daarom is het belangrijk dat fabrikanten nu al ‘cybersecurity by design’ gaan implementeren, om zich voor te bereiden op de toekomst van meer IoT-regulering.
Parallel aan de toenemende IoT-regulering, zien we ook dat marktpartijen samenwerken om oplossingen te ontwikkelen voor een betere apparaatbeveiliging. Zoals de Matter-standaard die binnenkort beschikbaar komt voor interoperabiliteit. Eisen voor de beveiliging en betrouwbaarheid van slimme apparaten voor thuisgebruik kunnen fungeren als een door de industrie gestuurde routekaart naar meer vertrouwen in IoT-apparaten. Hoewel alle details van de voorgestelde EU-wetgeving nog moeten verschijnen, is het waarschijnlijk dat fabrikanten die voldoen aan de Matter-beveiliging tevens zullen voldoen aan de EU-vereisten. Verder krijgen ze de mogelijkheid om consumenten te informeren over het belang van veiligheid, omdat apparaten die aan Matter voldoen het Matter-keurmerk zullen dragen.
Met DigiCert voldoen aan regelgeving
DigiCert is van mening dat de EU Cyber Resilience Act het digitale vertrouwen in onze verbonden wereld kan vergroten. We zijn al lang voorstander van de noodzaak om beveiliging mee te nemen vanaf de ontwerpfase en hebben zowel de expertise als oplossingen die nodig zijn om fabrikanten te helpen dit te bereiken. DigiCert’s Digital Trust for IoT & Connected Devices, met onze IoT Device Manager en Mocana, kan fabrikanten helpen de volledige levenscyclus van apparaten te beheren, inclusief het periodiek verzenden van veilige updates.