Ingebed in de Radio Equipment Directive (RED) liggen drie nieuwe essentiële eisen op het gebied van cybersecurity. Fabrikanten moeten daar straks aan voldoen om hun producten te beschermen tegen cybercriminelen. Maar ze moeten al verder kijken, zo zegt Ben Kokx. ‘Ook de fabrikanten zelf zullen straks aan allerlei security-eisen moeten voldoen.’
Ben Kokx houdt zich binnen Philips bezig met product security en de daaraan gerelateerde wetgeving en normen. ‘Onze afdeling helpt om te zorgen dat de producten aan alle securityvereisten voldoen. Denk daarbij aan medische systemen, clouddiensten of consumentengoederen die met internet verbonden zijn. We willen zorgen dat die producten veilig te gebruiken zijn en voldoen aan de lokale wet- en regelgeving. Standaardisatie speelt daar een belangrijke rol in.’
Kokx heeft dus een sterk extern gerichte rol. ‘Ik zit vanuit die hoedanigheid in de CEN-CENELEC Joint Technical Commissie 13. Deze Europese technische commissie houdt zich bezig met het ontwikkelen van veiligheidsstandaarden. Met “ontwikkelen” bedoel ik voor een deel het simpelweg adopteren van internationale ISO en IEC-normen, maar in andere gevallen wordt ons ook gevraagd ze te schrijven.’ Dat schrijven gebeurt voornamelijk op verzoek van de Europese Commissie. Ook nu ligt er bij CEN-CENELEC een verzoek om voor de Radio Equipment Directive in het kader van de Delegated Regulation nieuwe normen te ontwikkelen.
RED als redmiddel
De Radio Equipment Directive is ooit in het leven geroepen om te zorgen dat radioapparatuur aan afspraken voldoet over bijvoorbeeld frequenties, antennevermogen, EMC en veiligheid. Maar door de komst van draadloze communicatie zoals WiFi en Bluetooth vallen steeds meer soorten producten onder de Directive en worden nu ook zaken opgenomen over cybersecurity.
We willen zorgen dat die producten veilig te gebruiken zijn en voldoen aan de lokale wet- en regelgeving. Standaardisatie speelt daar een belangrijke rol in
Ben Kokx – Director Standardization Product Security Formal Standards & Regulations Philips Tweet
Zo moesten er maatregelen komen om het netwerk te beschermen, bescherming van persoonlijke data en bescherming tegen fraude op te tuigen. Die stappen zijn genomen door de Europese Commissie onder andere vanwege het schandaal met de speelgoedpop My Friend Cayla. ‘Dit stuk speelgoed kon met de gebruiker communiceren via een app op de mobiele telefoon en het gebruik van bluetooth en internet. Helaas bleek het heel gemakkelijk om via die pop verbinding te maken en te luisteren naar de omgeving of zelfs praten met het kind dat hem gebruikte. De veiligheid was dus echt niet op orde. De markttoezichthouders konden er echter niet op acteren omdat er behalve in Duitsland simpelweg geen wetgeving was op dit gebied. In de RED stonden echter al de eisen voor netwerkbescherming opgenomen, maar die waren nog niet geactiveerd. Dat wil zeggen dat ze er wel in stonden maar dat producten er nog niet aan hoefden te voldoen.
Inmiddels zijn we vijf jaar verder en zijn we volop bezig met deze nieuwe normen klaar te maken. Er komt inmiddels zelfs nieuwe wetgeving aan wat dit in zijn geheel gaat vervangen, de Cyber Resilience Act. Die kan nog gerichter zaken als cybersecurity goed aanpakken. Maar zo ver is het nog niet. Vanuit Brussel is de snelste stap om dit eerst via de RED aan te pakken.’
Nieuwe artikelen
Vanuit de Europese Commissie is een nieuwe Delegated Regulation afgekondigd, die van kracht is geworden in 2022. Deze Delegated Act is een aanvulling op de al bestaande RED die de essentiële eisen 3.3.d, e en f activeert. Dit betekent dat producten er vanaf de invoering, augustus 2025, wel aan moeten voldoen.
Het gaat bij de drie artikelen om de bescherming van het netwerk zodat je bijvoorbeeld geen onderdeel kunt worden van een netwerk dat kritische infrastructuur kan aanvallen. Het tweede artikel betreft bescherming van persoonsgegevens en het derde gaat over financiële fraudebescherming. ‘Het is belangrijk dat er normen komen die invulling geven aan deze bescherming omdat er nu nog producten op de markt kunnen komen die geen enkele bescherming bieden wat cybersecurity betreft. Als jij een webcam koopt en de standaardinstellingen voor het wachtwoord niet verandert, is het een koud kunstje voor een hacker om met jou mee te kijken. Of neem de slimme deurbellen of automatische deursloten die je met je mobiel kunt aansturen. Die zijn vaak heel gemakkelijk te hacken. De gevolgen laten zich natuurlijk raden.
En het meest recente voorbeeld zijn uiteraard de velden met zonnepanelen waarvan de omvormers gehackt kunnen worden. Stel je eens voor dat criminelen hier toegang toe krijgen, wat dat zou betekenen voor onze energievoorziening. We moeten ons echt beter wapenen tegen cybercriminelen of staten die kwaad in de zin hebben.’
"We moeten ons echt beter wapenen tegen cybercriminelen of staten die kwaad in de zin hebben"
Ben Kokx Tweet
Werk te doen
Kokx roept fabrikanten op om nu al serieus aan de slag te gaan met de nieuwe eisen die straks in de normen staan. ‘De RED is heel breed en omvat heel veel producten. Al die producten moeten straks aan al die nieuwe eisen voldoen. En daar komt nog bij dat in de toekomst ook security by design in het proces erbij komt vanwege de komst van de Cyber Resilience Act. Dan moeten niet alleen de producten aan de eisen voldoen, maar ook de processen van de bedrijven waar ze gemaakt worden. Er is dus echt werk aan de winkel voor de fabrikanten.’
Testen
Een uitdaging bij het maken van de nieuwe normen is het testen, zo zegt Kokx. ‘Daar zijn we nog druk over in gesprek met de Europese Commissie, de markttoezichthouders en verschillende testhuizen. De uitdaging is dat security niet meetbaar is, in tegenstelling tot zaken als antennefrequentie of de hitte die een apparaat mag uitstralen. Zeker bij een horizontale standaard is het echter van belang te kijken naar het type product, hoe en waar wordt het gebruikt? Daar hangt de zwaarte van de security-eisen van af die in zo’n product moeten komen.
Het is lastig om een algemene standaard zo te schrijven dat we alle eisen consistent kunnen afdekken. Dit is wel een probleem dat we moeten oplossen, anders hebben we straks geen geharmoniseerde norm waardoor fabrikanten niet zelf een conformiteitsverklaring kunnen afgeven en dan langs een Notified Body moeten, die hebben daar straks mogelijk niet de capaciteit voor.’
De nieuwe eisen zouden op 1 augustus 2024 van kracht worden maar dit is nu verzet naar 1 augustus 2025 om iedereen meer tijd te geven. De normen moeten op 30 juni 2024 beschikbaar zijn. De markt heeft dus nog even om zich voor te bereiden, maar moet wel snel aan de slag met product security. Wilt u meer weten of bijdragen aan deze standaarden? Neem dan contact op via iiv@nen.nl.