Jean-Paul van Assche heeft de nodige ervaring als het gaat om telecommunicatie, opgedaan tijdens zijn studie Electrical Engineering en bij werkgevers als TNO en Defensie. In zijn huidige rol als senior adviseur bij toezicht- en uitvoeringsorganisatie Agentschap Telecom (AT) heeft hij een aantal cruciale thema’s in zijn portefeuille: spectrum management, productregulering en normalisatie. AT is verantwoordelijk voor de uitvoering van de telecommunicatiewet in Nederland. De instantie houdt toezicht op het goede gebruik van radiofrequenties en ziet er verder op toe dat fabrikanten aan apparatuur eisen (met name voor draadloze communicatie) voldoen. AT heeft ook een toezichthoudende rol gekregen op het gebied van cybersecurity.
Daarnaast is Van Assche het hoofd van de Nederlandse delegatie bij de vergaderingen van de Telecommunication Conformity Assessment and Market Surveillance Committee (TCAM), een Europees overlegorgaan dat zich met telecommunicatie en cybersecurity bezighoudt. En hij is lid van de NEN-werkgroep ‘IoT Security en Privacy’.
Zijn ‘overheidscollega’ Alexander van den Anker is na zijn studie rechten (met een master in informatierecht) bij de overheid gestart als Rijkstrainee, waar hij onder andere ervaring heeft opgedaan bij de permanente Nederlandse vertegenwoordiging in Brussel. Tegenwoordig is Van den Anker als beleidsmedewerker verbonden aan de Directie Digitale Economie van het ministerie van Economische Zaken en Klimaat. Daar houdt hij zich binnen het cluster continuiteit en internetveiligheid bezig met diverse dossiers op het gebied van cybersecurity. Een voorbeeld daarvan betreft de in november 2018 in werking getreden Wet Bescherming Netwerk- en Informatiesystemen. In die wet is onder andere bepaald dat organisaties ‘van groot maatschappelijk belang’ voor Nederland een zorg- en meldplicht hebben op het gebied van cybersecurity. Agentschap Telecom is recentelijk aangewezen als instantie voor het toezicht op en de uitvoering van deze regelgeving.
‘Veiligheidsniveau onvoldoende’
Zowel Jean-Paul van Assche als Alexander van den Anker zien nog de nodige verbeteringspunten voor fabrikanten als het gaat om de cybersecurity-aspecten van IoT-producten. Van Assche: “Het veiligheidsniveau is onvoldoende. Er zijn helaas voorbeelden te noemen van producten waarbij fabrikanten geen of te weinig rekening hielden met de digitale veiligheid daar van.
Dan gaat het om bijvoorbeeld standaardwachtwoorden die gemakkelijk zijn te hacken, software updates die niet worden uitgevoerd en netwerkpoorten die onnodig open staan. Wij hebben in inmiddels gezien hoe dat fout kan gaan. Denk aan de makkelijk te hacken speelgoedpop My friend Cayla die een paar jaren geleden noodgedwongen uit de winkelschappen is gehaald. De industrie krijgt te weinig prikkels om aan cybersecurity-eisen te voldoen. Daar komt bij dat consumenten ook niet weten of een apparaat veilig is.”
Alexander van den Anker: “Het kabinet spant zich om de beveiliging van IoT-producten te verbeteren. Dit komt ook naar voren in het Nederlandse Digitaliseringsstrategie en de Roadmap Digitaal Veilige Hard- en Software. Een van de genoemde maatregelen betreft de verplichting om op internet aangesloten apparaten verplicht te certificeren op Europees niveau. Nederland heeft tijdens de onderhandelingen inzake de Cybersecurity Act (CSA, red.) hiervoor ingezet. Weliswaar heeft de CSA vooralsnog geen verplichtend karakter als het gaat om certificering, maar in 2023 wordt door de Europese Commissie geëvalueerd welke certificatieschema’s wel of niet een verplicht karakter krijgen. Dan heeft de industrie geen keuze meer. Verder zet het kabinet er zich toe in om via (een mogelijke wijziging) van de Radio Equipment Directive al verplichte basiseisen te stellen aan apparatuur op het gebied van digitale veiligheid.”
‘Convergentie van normen noodzakelijk’
Het is al even aan de orde gekomen: certificering en normalisatie. Volgens zowel Van Assche als Van den Anker zijn het twee zaken die van groot belang zijn bij het borgen van veilige IoT-producten en -diensten. “Op Europees niveau vormen de Cybersecurity Act en de Radio Equipment Directive goede hulpmiddelen voor fabrikanten om aan te tonen dat zij aan bepaalde veiligheidseisen voldoen”, constateert Van Assche. “Tegelijkertijd zie ik dat er op dit moment echter nog wel erg veel standaarden bestaan. Er loopt ook een behoorlijk aantal initiatieven voor normalisatie op dit gebied. Wat mij betreft, behouden wij uiteindelijk alleen die normen die er toe doen. Convergentie is noodzakelijk: van meer naar minder normen. Het verlaagt de kosten voor fabrikanten en vergroot het vertrouwen bij de consument.”
‘Brede aanpak’
De overheid, op nationaal en Europees niveau, heeft een belangrijke rol te spelen bij certificering en normalisatie. Zowel bij het opstellen van regelgeving als het toezicht houden op de goede naleving ervan en het creëren van bewustwording bij bedrijfsleven en burgers. “De overheid pakt dit actief op: zij wijst bijvoorbeeld op de noodzaak om tot een brede aanpak van IoT en veiligheid te komen”, zegt Van Assche. “Dat is terug te zien in de Roadmap Digitaal Veilige Hard- en Software die het ministerie van EZK in april 2018 heeft gepubliceerd. Daarin staan diverse uitgangspunten: van een productielevenscyclus-benadering tot een cybersecurity-onderzoek en het monitoren van digitale veiligheid van producten. De Roadmap besteedt ook de nodige aandacht aan het belang van standaarden en certificering.”
De brede aanpak van de Nederlandse overheid wordt ook door Van den Anker benadrukt: “Het is goed om bij het komen tot normalisatie zoveel mogelijk belanghebbenden te betrekken: fabrikanten, telecomoperators, consumenten en zakelijke afnemers. De overheid heeft zijn uiterste best gedaan om cybersecurity op de agenda’s te krijgen en te adresseren. Dat is inclusief verplichtingen: als apparaten niet voldoen, dan moeten zij uit de handel worden genomen. Het traject (dat betrekking heeft op de Radio Equipment Directive) is twee jaar geleden ingezet en heeft zich succesvol getoond.”
‘Digitalisering in een stroomversnelling’
Beide heren voorzien dat de aandacht voor cybersecurity in de IoT-markt de komende jaren alleen groter zal worden. Alexander van den Anker: “De digitalisering zit in een stroomversnelling, met IoT als één van de speerpunten. Dat biedt mooie kansen, maar brengt ook grote risico’s op het gebied van security en privacy voor bedrijven en consumenten met zich mee. Het betekent dat het publiek belang voor (verplichte) certificering van IoT-producten groter kan worden. De aandacht van de overheid voor certificering en normalisatie zal hierdoor alleen toenemen. Overigens kan ik mij voorstellen dat ondernemingen dat willen. Zij krijgen dan de mogelijkheid om zich gunstig te onderscheiden door het kunnen tonen van een veiligheidscertificaat.”
Jean-Paul van Assche ziet nog wel wat uitdagingen in de toekomst als het gaat om IoT en cybersecurity: “De convergentie van normen en certificatieschema’s, zowel nationaal als internationaal, is noodzakelijk. Maar dat betekent ook dat je daar keuzes in moet maken. En dat is best lastig. Er zou voor alle fabrikanten sowieso minimaal één verplicht veiligheidsniveau voor IoT-producten moeten komen. Als er dan vanuit de markt behoefte is om daarboven hogere veiligheidsniveaus te hebben, dan zou dat eveneens mogelijk moeten zijn. Een andere belangrijke kwestie is die van het goed informeren van de burger en het bedrijfsleven over de certificatieschema’s. Zodat iedereen uiteindelijk in staat is om tot een goede keuze te komen.”
