Nieuwe cyberveiligheidseisen voor IoT-apparaten: dit moet je weten
Wat is RED?
RED staat voor Radio Equipment Directive: de Europese richtlijn voor radio- en draadloze apparaten. Deze wet bepaalt welke eisen fabrikanten, importeurs en distributeurs moeten volgen voordat een apparaat in de EU verkocht mag worden. Denk aan apparaten die gebruikmaken van wifi, bluetooth, 4G of 5G. Met artikel 3.3 zijn daar nu ook verplichte regels voor cyberveiligheid bijgekomen. Zo wil de EU voorkomen dat onveilige apparaten het netwerk of gebruikers in gevaar brengen.
3 nieuwe basisregels voor IoT-beveiliging
De RED 3.3 bevat 3 nieuwe basisregels voor cyberveiligheid. Niet elk apparaat hoeft aan alle 3 te voldoen. Dat hangt af van de functies. Maar elk IoT-apparaat dat verbinding maakt met internet moet aan 1 of meerdere van deze eisen voldoen:
Netwerkbescherming
Apparaten mogen het netwerk niet verstoren of misbruiken. Dat betekent: geen onnodige belasting van het internet en geen risico dat het apparaat wordt misbruikt voor aanvallen op andere systemen.
Voorbeeld: een slimme camera die meerdere keren per seconde een nieuwe verbinding opbouwt, kan een netwerk overbelasten; zeker als een cluster van meerdere camera’s dit doet.
Bescherming van persoonsgegevens en privacy
Verwerkt je apparaat gegevens van gebruikers, zoals locatie, verkeersdata of persoonlijke informatie? Dan moet het die informatie goed beveiligen. Denk aan versleuteling, veilige opslag en gecontroleerde toegang.
Voorbeeld: een smartwatch die hartslag en locatie meet, moet zorgen dat die data niet zomaar uitlekken.
Bescherming tegen fraude
Apparaten die betalingen of digitale waarde mogelijk maken, moeten ingebouwde beveiliging hebben om fraude tegen te gaan.
Voorbeeld: een connected laadpaal voor elektrische auto’s waarmee gebruikers direct betalen, moet fraude-proof zijn zodat kwaadwillenden geen gratis stroom kunnen aftappen.
Kort gezegd: de EU wil voorkomen dat onveilige apparaten het netwerk platleggen, persoonsgegevens laten lekken of fraude in de hand werken.
Voor wie geldt dit?
Fabrikanten en importeurs moeten zorgen dat hun apparaten aan de eisen voldoen. Ook distributeurs mogen geen apparaten meer op de markt brengen die niet aan de eisen voldoen. Dit betekent dat de hele keten verantwoordelijkheid draagt.
Voorbeelden van producten die hieronder vallen zijn:
- Zonnepanelen met internetverbinding
- Slimme sensoren in de
logistiek - Wearables
- Apparaten die via wifi, bluetooth of 4G/5G communiceren
Wat gebeurt er als je niet voldoet?
Cyberveiligheid klinkt misschien als iets voor later, maar de gevolgen zijn heel concreet. Stel je voor: een zonnepaneel dat onveilig verbonden is met internet. Dat kan leiden tot datalekken of storingen in de energievoorziening. Of een slimme sensor in de logistiek die gehackt wordt, waardoor je voorraadbeheer stilvalt.
RED 3.3 moet dit soort risico’s voorkomen door basisbeveiliging verplicht te maken. Voor fabrikanten en jonge bedrijven betekent dit: je moet nu aantonen dat jouw product veilig is. Voldoe je niet, dan mag je product niet meer op de Europese markt verkocht worden.
De kernvraag die je jezelf moet stellen is: ‘Wat gebeurt er als mijn product niet veilig genoeg is en het alsnog op de markt komt?’ Het antwoord is simpel: je loopt risico op boetes, een verkoopverbod of reputatieschade.
Wat kan je doen?
Breng je product in kaart
Kijk kritisch naar je apparaat: maakt het verbinding met internet? Worden er persoonsgegevens, locatiegegevens of betaalgegevens verwerkt? Als het antwoord ja is, valt je product onder RED 3.3.
Bepaal welke eisen gelden
Afhankelijk van de functies van je apparaat gelden er andere regels. Is het vooral netwerkverbonden? Dan gaat het om netwerkbescherming. Verwerk je persoonsgegevens? Dan draait het om privacy. Faciliteert je product betalingen of waardeoverdracht? Dan moet het fraude voorkomen. Soms geldt een combinatie van deze eisen.
Toets je product
Gebruik de officiële Europese normen om je product te testen. Deze normen zijn via NEN-EN 18031 beschikbaar en helpen om aan te tonen dat je voldoet aan de wet. Zo verklein je risico’s én weet je zeker dat je product klaar is voor de markt.
Aan de slag met IoT-beveiliging
Wil je zeker weten dat jouw apparaat aan RED 3.3 voldoet?
