EU wil minimumeisen voor beveiliging van gadgets invoeren
De Europese Commissie wil minimumeisen voor de beveiliging van 'draadloze apparaten' gaan invoeren. Fabrikanten zouden daar vanaf medio 2024 aan moeten voldoen als ze hun producten in de EU willen verkopen.
De Europese Commissie maakte de plannen voor de minimale veiligheidseisen voor elektronica vandaag bekend. De nieuwe verordening moet gaan gelden voor alle apparaten die via internet of draadloze netwerken kunnen communiceren. Het gaat bijvoorbeeld om smartphones, tablets en smartwatches, maar ook om apparaten voor het Internet of Things (IoT), zoals slimme lampen, thermostaten, beveiligingscamera’s en deurbellen.
Ook apparaten die alleen binnen een thuisnetwerk communiceren, zoals babyfoons en speelgoed, moeten onder de nieuwe regels gaan vallen. Als producten vanaf medio 2024 niet aan voldoen aan de minimumeisen, kunnen ze in de hele EU verboden worden.
"Dit is een belangrijke stap in de totstandkoming van gemeenschappelijke Europese normen voor cyberbeveiliging", zegt eurocommissaris Thierry Breton (Interne Markt).
Sterke wachtwoorden en testen op lekken
Apparaten mogen straks niet meer met een zwak wachtwoord worden beveiligd. Ook moeten apparaten onder andere gegevens goed afschermen, software-updates ondersteunen en getest zijn op allerlei beveiligingslekken. Consumenten moeten ook de opgeslagen data van de apparaten kunnen beheren en verwijderen.
Nederland pleitte al jaren voor de minimumeisen. Minister Stef Blok (Economische Zaken en Klimaat) noemt het voorstel van de Commissie een goede eerste stap. “Cyberveiligheid is te vaak een sluitpost voor fabrikanten en importeurs van draadloze apparaten”, aldus Blok. "Basiseisen zijn een eerste stap, maar het blijft belangrijk om als consument en bedrijf ook jezelf digitaal te beschermen."
Kwetsbare thuiswerkers
De nieuwe regels moeten voorkomen dat apparaten bijvoorbeeld slecht beveiligde verbindingen en onveilige standaardinstellingen gebruiken. Daardoor zijn ze kwetsbaar voor hackers, die ook op afstand de besturing zouden kunnen overnemen. Het kabinet wijst ook op het groeiende gevaar dat "criminelen via thuiswerkende consumenten toegang krijgen tot bedrijfsnetwerken".
De Raad van Ministers en het Europees Parlement moeten nog hun oordeel geven over het nieuwe voorstel. Zodra ze hun goedkeuring hebben gegeven, krijgen fabrikanten een overgangsperiode van 30 maanden om aan de nieuwe vereisten te voldoen.
De Europese Commissie werkt hiernaast ook nog aan een andere nieuwe wet rond cyberbeveiliging, de Cyber Resilience Act, die voor 'meer producten' moet gaan gelden tijdens 'hun hele levenscyclus'.