Zogenaamde ‘slimme’ producten (apparaten verbonden met internet of op afstand bedienbaar) zijn niet meer weg te denken uit onze omgeving. Deurbellen, thermostaten, babyfoons en beveiligingscamera’s worden dan wel steeds slimmer, de beveiliging is vaak verre van goed geregeld. Maar dat gaat snel veranderen. Slimme producten worden daarmee een stuk veiliger in gebruik. Standaardisatie speelt daarbij een sleutelrol.

Jean-Paul van Assche is senior adviseur bij Agentschap Telecom, dat onderdeel is van het ministerie van Economische Zaken en Klimaat. Het Agentschap houdt toezicht op de beschikbaarheid en veiligheid van onze digitale infrastructuur. Van Assche houdt zich vooral bezig met de Radio Equipment Directive (RED) en standaardisatie. Hij legt allereerst kort uit wat ‘slimme’ producten eigenlijk zijn. ‘Het betreft eigenlijk een containerbegrip maar er wordt vaak onder verstaan dat het producten betreft die met het internet verbonden zijn. Maar dat is niet per definitie een noodzaak om ‘slim’ te zijn. Ook apparaten die op afstand bedienbaar of uitleesbaar zijn, vallen onder deze categorie.’ Voorbeelden van slimme producten zijn deurbellen, thermostaten, babyfoons, wearables, beveiligingscamera’s, maar ook installaties voor zonnepanelen vallen eronder.

Risico’s

Het gebruik van slimme producten is dan weliswaar handig voor consumenten, de veiligheidsrisico’s zijn momenteel best groot. ‘Apparaten kunnen gehackt worden en onder controle komen van de hackers. Dat kan allerlei gevolgen hebben, zowel privé als maatschappelijk. Je wilt niet dat iemand anders kan meekijken met jouw babyfoon. Of dat je organisatie plat komt te liggen door een ddos-aanval. En als een zonnepaneleninstallatie wordt gehackt kan dat ook allerlei ernstige gevolgen hebben voor de hele elektriciteitsvoorziening. De samenleving zou er zelfs door ontwricht kunnen raken. Dat zou ook kunnen als er monetaire fraude in het spel is, dus als apparaten die zijn bedoeld voor geldoverdracht worden gehackt.’ De risico’s zijn dus groot. En echte wetgeving op dit gebied bestaat niet. Volgens Van Assche is er bovendien sprake van een zogenaamde informatie asymmetrie. ‘Fabrikanten weten best of hun producten veilig zijn maar consumenten kunnen dat onmogelijk zelf achterhalen en willen ook niet meer geld betalen als onduidelijk is of het apparaat een stukje  veiligheid biedt. Het gevolg is dat mensen kiezen voor het apparaat met de meeste snufjes voor de laagste prijs. Als die apparaten het beste verkocht worden, hebben fabrikanten geen stimulans om apparaten te maken die veiliger zijn. Om die cirkel te doorbreken is overheidsingrijpen noodzakelijk.’

Nieuwe wetgeving

Gerard Pepping werkt bij het ministerie van Economische Zaken en Klimaat onder de directie Digitale Economie. Ook veiligheid en consumentenbeleid binnen de digitale economie valt daaronder. Pepping weet dus veel van de regelgeving over elektronische apparatuur en ook over de nieuwe regels die vanuit de EU worden ingevoerd. ‘Vanuit de Radio Equipment Directive komen nu eigenlijk pas de eerste regels voor slimme apparaten die echt voor fabrikanten gelden. Er is weliswaar al regelgeving, maar die is voor partijen die de datadiensten leveren. Er is tot op heden nog geen regelgeving die kan zorgen dat onveilige apparaten ook echt uit de handel kunnen worden genomen.’ De nieuwe wetgeving vanuit de RED gaat dat veranderen. De RED is een Europese productrichtlijn met een sterke horizontale werking waaraan fabrikanten en distributeurs moeten voldoen om hun producten met een CE-markering op de Europese markt te mogen verkopen. De nieuwe regels staan in een zogenaamde Delegated Act, een onderdeel van de RED. ‘De Europese Commissie moet in de vorm van zo’n Delegated Act een besluit nemen om bepaalde eisen uit de RED te activeren.’

Bescherming

De nieuwe regels gaan consumenten beter beschermen, denkt Van Assche. Met deze nieuwe wetgeving wil de EU allereerst de veiligheid van netwerken verbeteren, zegt hij. ‘Draadloze producten moeten voorzieningen bevatten die voorkomen dat communicatienetwerken worden beschadigd en de functionaliteit van websites of andere diensten wordt verstoord.’ Ook gaan de nieuwe regels de privacy van de consument beter beschermen. ‘Draadloze producten moeten voorzieningen hebben die de bescherming van persoonsgegevens (met name die van kinderen) waarborgen. Fabrikanten moeten maatregelen nemen om ongeoorloofde toegang tot of overdracht van persoonsgegevens te voorkomen.’ Tot slot moeten de nieuwe regels het risico van financiële fraude verminderen. ‘Draadloze producten moeten voorzieningen bevatten om het risico op fraude bij elektronische betalingen tot een minimum te beperken, bijvoorbeeld betere authenticatiecontroles om frauduleuze betalingen te voorkomen.’ De nieuwe eisen zijn doelstellingseisen. ‘Hoe deze doelen bereikt worden, is aan de fabrikant zelf. Hij kan daarbij gebruik maken van de geharmoniseerde norm. Daarin staat precies hoe hij aan de doelstelling kan voldoen. Een norm is dus erg belangrijk.’

Ook interessant

Heldere afspraken essentieel voor vertrouwen en samenwerking.

Overgangstermijn

Wanneer de nieuwe regels precies ingaan is nog niet duidelijk. Gerard Pepping denkt dat het besluit van de Europese Commissie eind 2021 of begin 2022 gepubliceerd gaat worden. ‘Op dat moment gaat de overgangstermijn van dertig maanden lopen waarin fabrikanten en distributeurs hun zaakjes op orde moeten krijgen. Dat zou betekenen dat de nieuwe regels in 2024 ingaan. Vanaf dat moment hebben alle slimme producten dus ook de CE-markering en zijn consumenten ervan verzekerd dat nieuwe producten voldoen aan alle cyberveiligheidseisen.’ Agentschap Telecom gaat vanaf dat moment ook actief controleren of dat zo is, zegt Van Assche. ‘We gaan steekproefsgewijs kijken of producten aan de eisen voldoen. Dat kan willekeurig gebeuren maar ook concreet op basis van klachten. Als wij vaststellen dat een product niet veilig is kunnen we het uit de handel laten nemen of een andere sanctie opleggen zoals een boete. Die hangt af van hoe zwaar de overtreding is en of er bijvoorbeeld sprake is van opzet.’

Standaardisatie is belangrijk

De nieuwe wetgeving is belangrijk voor Nederland omdat veel consumenten slimme producten gebruiken, maar ook omdat ons land vooraan staat als het gaat om kennis en innovatie van het Internet of Things (IoT). ‘In veel sectoren dring het IoT steeds verder door in de bedrijfsvoering. Alle risico’s afdekken is dus enorm belangrijk.’ Van Assche ziet dat ook in het buitenland slimme producten een steeds grotere rol spelen. ‘Het is een Europees probleem. En nu er nieuwe doeleisen komen, is het zaak om zo veel mogelijk met alle stakeholders samen concrete afspraken te maken over hoe je die doelen gaat halen. Standaardisatie speelt daarbij een sleutelrol.’

Praat mee over normen

Het is een mooie kans om vanuit Nederland input te geven op het implementatiekader dat geschreven zal worden rondom de herziene versie van de RED. Dit kader, bestaande uit een set normen, zal richtlijnen geven voor de implementatie van de nieuwe RED. Door aan te sluiten bij de overleggen van de IoT Product Security werkgroep kunnen deelnemers dus direct invloed uitoefenen op de wijze waarop nieuwe wetgeving in de toekomst bij de eigen organisatie concreet zullen worden.