image

Brussel wil verplichte veiligheidsregels voor hardware en software invoeren

donderdag 15 september 2022, 14:01 door Redactie, 20 reacties

De Europese Commissie heeft vandaag een voorstel gepresenteerd dat leveranciers van hardware en software verplicht om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates voor een periode van vijf jaar. De Cyber Resilience Act moet gaan gelden voor producten met digitale elementen en beslaat zowel hardware als software.

Het wetsvoorstel stelt verschillende verplichtingen aan leveranciers. Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden. Ook moeten alle cyberrisico's zijn gedocumenteerd en moeten leveranciers actief aangevallen kwetsbaarheden en beveiligingsincidenten rapporteren.

Zodra een product eenmaal op de markt wordt aangeboden moet het minstens vijf jaar van beveiligingsupdates worden voorzien. Ook moeten leveranciers duidelijke en begrijpelijke instructies geven voor het gebruik van producten met digitale elementen. Producten mogen straks alleen op de Europese markt worden aangeboden wanneer ze aan de "essentiële cybersecurity-verplichtingen" voldoen.

Volgens de Europese Commissie zal de Cyber Resilience Act voor minder cybersecurity-incidenten gaan zorgen, en daarmee de kosten van het afhandelen van incidenten en reputatieschade voor bedrijven doen afnemen. Daarnaast zullen leveranciers binnen de gehele EU aan dezelfde serie cybersecurity-regels moeten voldoen. Verder krijgen eindgebruikers meer informatie over het gebruik van het product.

Het Europees Parlement en de Europese Raad zullen zich nu over het voorstel buigen. Wanneer de Cyber Resilience Act is aangenomen zullen lidstaten twee jaar de tijd hebben om de nieuwe regels door te voeren. Onlangs vroeg de Europese Commissie al om feedback op het voorstel.

Reacties (20)
15-09-2022, 14:17 door Anoniem
"Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden."

Dat impliceert dat we een heel nieuwe generatie OS technologie nodig hebben. In Unix noch haar erven heeft "cyberwatdanook" een rol gespeeld bij planning en ontwerp; om over Windows nog maar te zwijgen.
15-09-2022, 14:26 door Anoniem
Apple heeft hier al een antwoord op. Neem een abonnement op je iPhone 14! https://www.apple.com/shop/iphone/iphone-upgrade-program Nooit meer end-of-life. Altijd updates. Altijd moderne hardware (met USB C aansluiting).
15-09-2022, 14:35 door Anoniem
Updates voor 5 jaar is = V

Opensourge = V

Geen backdoors = X

Programmeren op een wijze waarmee
je privacy en vrijheden terug krijgt op software en hardware
een vrije manier zonder tegenzin te moeten gaan programmeren
voor de grote techbedrijven,verlaat die bedrijven en ga opensourge
geef burgers en de samenleving hun vrijheden terug

Go texas
15-09-2022, 15:07 door Anoniem
Het is heel belangrijk voor hun, eu-digid en hun eu-digi-euro, dan pas hebben ze grip.
15-09-2022, 15:18 door Anoniem
Dit is best ingrijpend. Het is niet ongebruikelijk om bij softwareontwikkeling allerlei gratis en open source libraries te gebruiken. Als daar qua beveiliging iets mis mee is en de ontwikkelaar patcht niet, dan zal je zelf in de code moeten duiken. Of geen gebruik mee maken van die libraries of dat soort libraries in het algemeen. Ook dwingt dit leveranciers van hardware om opeens support te leveren voor de software in hun hardware. Een hardwareleverancier is niet altijd een goede softwareontwikkelaar, dus daar gaat werk voor hen inzitten. Ik juich dit zeker toe, maar het is best ingrijpend.
15-09-2022, 15:54 door Anoniem
Het is inderdaad ingrijpend.
En ook beschermend voor de maatschappij.

Het is ook ingrijpend gebleken dat de wegen-verkeerswetten vereisen dat voertuigen aantoonbaar inherent veilig moeten zijn.
Ik ben blij met de wegen-verkeerswetten. Die maken het mij uiteindelijk mogelijk om veilig van Zuid Portugal naar Noord Zweden te rijden. En ook nog eens redelijke aankomstverwachting kan voorspellen.

Overigens kan je nog steeds je eigen auto bouwen. En de veiligheid moet je dan zelf aantonen. Zover is het in de softwarewereld nog niet. Maar toch.
15-09-2022, 15:56 door Quink
Door Anoniem: Het is heel belangrijk voor hun, eu-digid en hun eu-digi-euro, dan pas hebben ze grip.

Huh? Zie jij beren vliegen of zo?

(Sommige mensen schakelen helemaal in een stuip bij het zien van alleen al het logo van de EU)
15-09-2022, 16:02 door Anoniem
Door Quink:
Door Anoniem: Het is heel belangrijk voor hun, eu-digid en hun eu-digi-euro, dan pas hebben ze grip.

Huh? Zie jij beren vliegen of zo?

(Sommige mensen schakelen helemaal in een stuip bij het zien van alleen al het logo van de EU)
Nee, het lijkt dan net of ze betrokken zijn. Voor de rest snappen ze vaak niet, waar het over gaat.
15-09-2022, 16:05 door Anoniem
Ik vind het verplichten een beetje kort door de bocht. Maar het duidelijk communiceren zou al een goede stap zijn. Wij supporten product X tot eind volgende week. En dan is het aan de koper of het daarmee geschikt is waarvoor de koper het wil gebruiken.

Voor sommige producten is het acceptabel dat er maar 1 jaar updates bij zitten. Voor de rest moet je extra betalen bijvoorbeeld.

Ik zou blij zijn als bedrijven via een standaard hun software updates moeten communiceren. (releases.txt :D). Zodat makkelijk gecontroleerd kan worden of je de laatste versie draait. Ook voor firmware en dingen die misschien niet makkelijk updatebaar zijn of standaard geen internet hebben. Een update functie is niet voldoende. Een offline update functie verplicht stellen is misschien ook wel een goede optie.
15-09-2022, 16:09 door Anoniem
Als een van de vereiste is dat alle leveranciers hun personeel moet opleiden dat ze secure coding doen zouden al een redelijk groot aantal standaard programmeerfouten die tot veel van de bugs en lekken leid zou al helpen. er is een rede waarom vele standaardfouten al 10 jaar in de owasp top 10 staan zonder dat er ook maar enige verbetering in lijkt te komen.
15-09-2022, 16:12 door gradje71
Door Anoniem: Updates voor 5 jaar is = V

Opensourge = V

Geen backdoors = X

Programmeren op een wijze waarmee
je privacy en vrijheden terug krijgt op software en hardware
een vrije manier zonder tegenzin te moeten gaan programmeren
voor de grote techbedrijven,verlaat die bedrijven en ga opensourge
geef burgers en de samenleving hun vrijheden terug

Go texas

Ik zou het heel graag willen, maar ik geloof het niet zo, simpelweg vanwege Amerikaanse belangen zoals MS, Oracle, Apple, Google enz.
15-09-2022, 17:14 door Anoniem
Kan ik hierbij concluderen dat de meeste (chinese) rotzooi niet meer verkocht mag worden?

Zelf niet zo'n zin in al dat papierwerk maar als dit er voor nodig is dan moet het maar.
15-09-2022, 19:23 door Anoniem
Krijgen we eerst eens een set veiligheidsregels voor Brussel?
De schade die dat reeds heeft aangericht is nu al groter dan wat hard- en software ooit gaat aanrichten.
16-09-2022, 11:44 door Anoniem
Ja en zelf wat open source software schrijven kun je dan toch vergeten of ligt dit aan mij?
16-09-2022, 13:34 door Anoniem
Open source software schrijven en verspreiden kan nog steeds hoor. Pas als die software onderdeel uitmaakt van een verdienmodel, pas dan zullen de verplichte veiligheidssregels gelden.

Ja, dat kan een uitdaging zijn voor een commercieel bedrijf dat open source software opneemt in haar producten of diensten.
Ja, dat kan een uitdaging zijn voor een open source community.
Dan nog is de verplichting voor veiligheidsregels helpend voor de maatschappij.

Mening: ik meen dat juist de belangrijkste reden voor een community er daarin ligt dat aan veiligheidsregels invulling wordt gegeven.
Mening: en als commerciële bedrijven gebruik maken van open software inhumaan producten, dan kunnen die commerciële bedrijven direct om de goede redenen (financiële) bijdragen leveren aan die community.

Iedereen wint
16-09-2022, 14:49 door karma4
Door Anoniem: "Zo moeten die bij de planning, ontwerp, ontwikkeling, productie, levering en beheer rekening met cybersecurity houden."

Dat impliceert dat we een heel nieuwe generatie OS technologie nodig hebben. In Unix noch haar erven heeft "cyberwatdanook" een rol gespeeld bij planning en ontwerp; om over Windows nog maar te zwijgen.

Je mist de history van https://en.wikipedia.org/wiki/Dave_Cutler de security context voor objecten is wel degelijk ingezet.
Dat er bij uitrol en gebruik nog het nodige fout gaat is wat anders. Wat dat betreft is linux ool selinux achtergebleven
16-09-2022, 20:15 door Quink
Vandaag, 14:49 uur: 'Linux'

Volgens mij kan er een 'derde wet van Godwin' worden geïntroduceerd:

Naarmate een IT discussie vordert, of vanaf aanvang, zal op doordringende, soms zelfs provocatieve wijze negatief of positief een Operating System ter sprake worden gebracht, waarna zeer waarschijnlijk de aandacht op het nominale onderwerp zal worden gedeformeerd of beëindigd.
17-09-2022, 11:44 door Anoniem
Door Quink: Vandaag, 14:49 uur: 'Linux'

Volgens mij kan er een 'derde wet van Godwin' worden geïntroduceerd:

Naarmate een IT discussie vordert, of vanaf aanvang, zal op doordringende, soms zelfs provocatieve wijze negatief of positief een Operating System ter sprake worden gebracht, waarna zeer waarschijnlijk de aandacht op het nominale onderwerp zal worden gedeformeerd of beëindigd.
Dat werd in de eerste reactie al gedeponeerd en ontopic want het gaat voornamelijk over het aanbieden van beveiligingsupdates voor een periode van vijf jaar.
Voor IoT apparaten en smartphones zijn het vaak de (hardware) makers van die apparaten die in gebreke blijven.
De ontwikkelaar van de basis software levert de beveiligingsupdates die elke dag verschijnen, maar de leverancier van de hardware voert deze om verschillende redenen niet door en komt niet met updates van hun eigen (onnodige) software die je er ook niet eens kan afhalen.
Daarnaast heb je software die wel wordt ge-update gedurende een lange tijd maar elke maand kritisch lek blijkt te zijn.
Hier zou je kunnen overwegen om deze software verplicht van de markt te laten halen wegens ondeugdelijk en onveilig functioneren of in ieder geval verboden zou moeten worden te gebruiken in kritische sectoren. Voor hardware geldt dit al wel.

Wat ook een securityprobleem gebleken is, is het hebben van backdoors in gesloten software. Daarom vind ik dat software verplicht open source moet zijn om het te kunnen laten inspecteren door gespecialiseerde partijen.
17-09-2022, 19:42 door Anoniem
Het valt of staat dus feitelijk allemaal met handhaven of niet handhaven.

Vroeger had je in de Sovjet-tijd koelkasten, die met het grootste gemak dertig jaar probleemloos draaiden.
Dit gold bevoorlijk ook voor wasmachines, maar de netstroomkabels binnenshuis was weer prut - van aluminium.

Hier ligt en lag het anders. Hier gingen kabels eerst in een zuurbad om te kijken of ze niet al te lang mee zouden gaan.
En nu moeten we weer terug vanuit de wegwerp-maatschappij naar verduurzaming?

Wie houden we eigenlijk massaal voor het lapje? De eindgebruikers natuurlijk.

#obserwator
18-09-2022, 17:47 door Anoniem
Door Anoniem: Vroeger had je in de Sovjet-tijd koelkasten, die met het grootste gemak dertig jaar ...

Afvoeren dat lelijke schroot, en meteen vervangen door een modern, duurzaam Duits exemplaar met energielabel A.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.