Minimumeisen aan digitale veiligheid slimme apparaten

Minimumeisen aan digitale veiligheid slimme apparaten

Voor de digitale veiligheid van apparaten die met het internet zijn verbonden - het zogenoemde Internet-of-Things (IoT) - komen minimumeisen.

Producten die hier niet aan voldoen zijn vanaf medio 2024 op de gehele EU-markt verboden. Het Nederlandse kabinet heeft zich in Europa stevig ingezet voor de vandaag aangekondigde Europese maatregelen om consumenten en bedrijven actief te beschermen tegen cyberaanvallen.

De nieuwe regels gelden voor alle draadloze communicerende apparaten die met het internet zijn verbonden zoals routers, beveiligingscamera’s, slimme thermostaten, koelkasten, verlichting en deurbellen. Het verbod op onveilige apparaten geldt eveneens voor producten als speelgoed en babyfoons: ook als die alleen binnen een thuisnetwerk communiceren. Er zijn naar schatting inmiddels al 35 miljard IoT-apparaten wereldwijd.

Dergelijke slimme apparaten mogen straks niet meer met zwakke, standaard paswoorden zijn uitgerust: een consument moet eerst zelf een sterk wachtwoord instellen voor ingebruikname. Ook moeten de producten onder meer software updates ondersteunen, getest zijn op veiligheidslekken, opgeslagen persoonlijke- en financiële gegevens afschermen en de consument de mogelijkheid geven om deze data te beheren en te verwijderen.

Minister Stef Blok (Economische Zaken en Klimaat): “Cyberveiligheid is te vaak een sluitpost voor fabrikanten en importeurs van draadloze apparaten. Tegelijkertijd zien we dat juist deze onveilige producten een ideale toegangsdeur zijn voor criminelen om persoonlijke of bankgegevens buit te maken. Of om de besturing over te nemen, waardoor een apparaat kan worden gebruikt voor een hackaanval op andere consumenten of bedrijven. Daarom is het essentieel dat het IoT veilig is en vertrouwd kan worden gebruikt. Dat gaat niet vanzelf. Basis veiligheidseisen aan producten op de Europese markt zijn een eerste stap, maar het blijft belangrijk om als consument en bedrijf ook jezelf digitaal te beschermen.”

Veel apparaten maken nu nog gebruik van slecht beveiligde verbindingen en standaardinstellingen die niet veilig zijn. Het uitvoeren van een update is vaak omslachtig. Hierdoor zijn persoonlijke gegevens of zelfs wachtwoorden te bekijken en kan de besturing worden overgenomen. Dat maakt apparaten kwetsbaar voor infecties en ongewenste toegang. Ook kunnen criminelen via thuiswerkende consumenten toegang krijgen tot bedrijfsnetwerken.

Het kabinet heeft eerder via de Roadmap Digitaal Veilige Hard- en Software mogelijke maatregelen voorgesteld waaronder basisveiligheidseisen. Deze zijn nu voor een belangrijk deel overgenomen in het vandaag aangekondigde besluit onder de Europese Radio Equipment Directive. Dit besluit betreft een verordening waarover de EU Raad van Ministers en het Europees Parlement nog een oordeel kunnen geven.

Nederland blijft zich in de EU hard maken voor het invoeren van standaarden en certificering van digitale diensten, producten en software om de cyberveiligheid van de digitale economie breed op een hoger niveau te brengen.
 
Gebruikers van IoT-apparatuur kunnen zelf veel doen om hun apparatuur minder kwetsbaar te maken voor ongewenste toegang en cyberaanvallen. Voer als consument of bedrijf regelmatig updates uit, kies een sterk wachtwoord, deel zo min mogelijk informatie met het apparaat en koppel het apparaat niet onnodig aan een thuis- of bedrijfsnetwerk. Veel apparaten hoeven voor gebruik niet eens voortdurend met het internet verbonden zijn.