IoT-apparaten moeten vanaf nu aan nieuwe cybersecurity-eisen voldoen
Internet of Things (IoT) apparaten, zoals smartphones, deurbelcamera's en modems, moeten vanaf vandaag aan nieuwe Europese cybersecurity-eisen voldoen, waaronder het beschermen van persoonsgegevens en de privacy van gebruikers. Dat laat de Rijksinspectie Digitale Infrastructuur weten. De eisen zijn onderdeel van een nieuw artikel van de Radioapparatuurrichtlijn (RED), beter bekend als de Richtlijn voor Radioapparatuur. Deze richtlijn gaat over allerlei veiligheidsaspecten en het goed functioneren van radioapparatuur die in Europa wordt aangeboden.
Een nieuw artikel van de RED, dat vanaf vandaag van toepassing is, stelt ook eisen op het gebied van cybersecurity. Deze eisen zijn over drie subonderdelen verdeeld. Het eerste subonderdeel geldt voor alle radioapparatuur die met het internet kan communiceren, ook als het apparaat niet direct met het internet communiceert maar bijvoorbeeld via een router of gateway. Voor dergelijke apparatuur geldt nu de eis dat deze apparaten de werking van het netwerk niet mogen schaden. Oom mogen ze geen misbruik van netwerkmiddelen maken waardoor er een "onaanvaardbare achteruitgang" van de dienst wordt veroorzaakt.
Het tweede subonderdeel is van toepassing op met internet verbonden apparaten die persoonsgegevens, verkeersgegevens of locatiegegevens verwerken. Die moeten beveiligingen bevatten om persoonsgegevens en de privacy van de gebruiker te beschermen. Deze eis geldt ook voor apparatuur die bedoeld is voor kinderzorg, speelgoed en draagbare producten (wearables) die in staat zijn deze gegevens te verwerken, ongeacht of ze met internet communiceren.
Het derde en laatste subonderdeel heeft betrekking op met internet verbonden apparaten die gebruikers in staat stellen om geld, monetaire waarde of virtuele valuta over te maken. Deze apparaten moeten over bepaalde mogelijkheden beschikken om fraude tegen te gaan. De richtlijn bevat geen technische uitwerking van de eisen.
Leveranciers, distributeurs en fabrikanten
De cybersecurity-eisen gelden voor fabrikanten die apparatuur ontwikkelen waarop de richtlijn van toepassing is. Daarnaast mogen importeurs alleen apparaten in de handel brengen die aan de eisen voldoen. Distributeurs mogen apparaten die niet aan de cybersecurity-eisen voldoen niet op de markt aanbieden. De Rijksinspectie Digitale Infrastructuur (RDI) adviseert fabrikanten, importeurs en distributeurs te controleren of hun producten aan de eisen voldoen. De RDI houdt vanaf nu toezicht op naleving van de eisen.Reacties (22)
Gisteren, 10:19 door
Anoniem
Dit is leuk voor de mensen die via de tussenhandelaren hun spullen bestellen, maar er is een legio aan mensen die direct vanuit landen buiten Europa bestellen welke deze service niet hanteren. Dus wederom schijnveiligheid. Maar ook, als je niet ergens begint kom je er ook nooit.
Gisteren, 10:22 door
Anoniem
Zie ook ETSI EN 303 645 (PDF alert)
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/03.01.03_60/en_303645v030103p.pdf
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/03.01.03_60/en_303645v030103p.pdf
Gisteren, 10:39 door
Anoniem
mogelijk dat ik dit niet goed begrijp, maar is dit niet exact waar de CRA al over gaat? of is dit een nationale implementatie van de CRA?
Gisteren, 10:56 door
Anoniem
Ik had eigenlijk verwacht dat de Mediamarkt en coolblue nu alle tv’s en smart koelkasten niet meer verkoopt maar ze gaan gewoon door.
Gisteren, 11:08 door
Anoniem
Door Anoniem: Dit is leuk voor de mensen die via de tussenhandelaren hun spullen bestellen, maar er is een legio aan mensen die direct vanuit landen buiten Europa bestellen welke deze service niet hanteren. Dus wederom schijnveiligheid. Maar ook, als je niet ergens begint kom je er ook nooit.
Juridisch gesproken mogen die bedrijven dergelijke producten niet aan EUropeanen aanbieden. De bedrijven kunnen hiervoor boetes krijgen, de douane kan de producten in beslag nemen...Maar het belangrijkste van deze regels is dat een groot deel van de grootste bagger nu tegengehouden wordt. Wat je in winkels vindt zal een zekere minimum kwaliteit hebben.
Gisteren, 11:54 door
Anoniem
Dit heeft helemaal niets met IoT te maken. Ook professionele apparatuur valt eronder. En niet-IoT spullen.
En dit is niet waar de CRA over gaat; RED is alleen voor draadlozige spullen. Als de CRA van kracht wordt, vervalt de RED. RED is namelijk een "vertikale" standaard, alleen voor draadloos; RED is een "horizontale" stamdaard, dus voor alles wat idigitale elementen bevat (draadloos of niet).
En dit is niet waar de CRA over gaat; RED is alleen voor draadlozige spullen. Als de CRA van kracht wordt, vervalt de RED. RED is namelijk een "vertikale" standaard, alleen voor draadloos; RED is een "horizontale" stamdaard, dus voor alles wat idigitale elementen bevat (draadloos of niet).
Gisteren, 11:55 door
Anoniem
>De RDI houdt vanaf nu toezicht op naleving van de eisen.
Het wachten is op het eerste slachtoffer, welke met veel tamtam en publiciteit aangepakt gaat worden.
Iets uit China denk ik.
Het wachten is op het eerste slachtoffer, welke met veel tamtam en publiciteit aangepakt gaat worden.
Iets uit China denk ik.
Gisteren, 11:57 door
Anoniem
Door Anoniem: mogelijk dat ik dit niet goed begrijp, maar is dit niet exact waar de CRA al over gaat? of is dit een nationale implementatie van de CRA?
Nee, beide zijn Europees. RED gaat vandaag in (1 Augustus), CRA per eind 2027 (en dan vervalt de RED weer).
Gisteren, 12:43 door
Anoniem
Ik kan het niet meteen lezen, maar behelst de wet ook het "niet goed, geld terug"-recht?
Dat je gewoon, zoals met normale producten ook al heel lang geldt, je vrij bent om te kiezen, ik date up, of ik wil gewoon mijn geld terug want ik vertrouw het niet meer. Ik blijf niet aan de gang met dat geupdate. Ook als in het aankoopcontract staat dat ik van dat recht afzie? Omdat je met een contractbepaling nooit de wet kan afschaffen?
Een belangrijk principe waarvoor wetten worden gemaakt ook.
Dat je gewoon, zoals met normale producten ook al heel lang geldt, je vrij bent om te kiezen, ik date up, of ik wil gewoon mijn geld terug want ik vertrouw het niet meer. Ik blijf niet aan de gang met dat geupdate. Ook als in het aankoopcontract staat dat ik van dat recht afzie? Omdat je met een contractbepaling nooit de wet kan afschaffen?
Een belangrijk principe waarvoor wetten worden gemaakt ook.
Gisteren, 12:47 door
Anoniem
Voor zover ik weet is een richtlijn niet bindend, dus hoeft niemand daaraan te voldoen. Kijk maar naar de BIO, wat ook een richtlijn is die nauwelijks wordt toegepast.
Daarbij krijg je vast ook hier weer een uitzondering voor ‘legitiem belang’, waardoor privacy alsnog niks voorstelt.
Daarbij krijg je vast ook hier weer een uitzondering voor ‘legitiem belang’, waardoor privacy alsnog niks voorstelt.
Gisteren, 13:42 door
Anoniem
Door Anoniem: mogelijk dat ik dit niet goed begrijp, maar is dit niet exact waar de CRA al over gaat? of is dit een nationale implementatie van de CRA?
Inderdaad, goed gezien, ze hangen met elkaar samen, ze overlappen. De CRA stelt in overweging 30: De bij deze verordening vastgestelde essentiële cyberbeveiligingsvereisten omvatten alle elementen van de in artikel 3, lid 3, punten d), e) en f), van Richtlijn 2014/53/EU bedoelde essentiële eisen.
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=OJ:L_202402847#rct_30Dat is precies de toevoeging aan RED waar het hier over gaat, die is daarmee ook onderdeel van de CRA.
Kijk naar de jaartallen. Het jaartal in de URL van CRA is 2024 (in de tekst heet hij 2024/2847). Het jaartal van RED, in 2014/53/EU dus, is 2014. RED was er al tien jaar voor CRA, dus het is niet CRA die er al over ging, RED ging er al over. Kennelijk vond men dat deze toevoeging dan ook beter in RED dan in CRA geplaatst kon worden, en heeft men de toevoeging met die verwijzing ook onderdeel van CRA gemaakt.
Zo ingewikkeld zijn wetten ;-).
Gisteren, 14:02 door
Proton
Door Anoniem: mogelijk dat ik dit niet goed begrijp, maar is dit niet exact waar de CRA al over gaat? of is dit een nationale implementatie van de CRA?
Naast alle andere antwoorden op je vraag:
Cyber Resilience Act is verordening (directe werking) dit is gebaseerd op implementatie van een richtlijn van 16 april 2014 in nationale wetgeving (resultaatverplichting)
https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=celex%3A32014L0053
https://european-union.europa.eu/institutions-law-budget/law/types-legislation_nl
Gisteren, 15:20 door
Anoniem
aan de ene kant maakt de EU zich hard voor het beschermen van vrijheid en privacy van burgers, en aan de andere kant zagen ze diezelfde privacy weg door zich hard te maken voor zaken als chatcontrole.
De Paradox van Brussel
De Paradox van Brussel
Gisteren, 15:23 door
Anoniem
Door Anoniem:
Dat is precies de toevoeging aan RED waar het hier over gaat, die is daarmee ook onderdeel van de CRA.
Kijk naar de jaartallen. Het jaartal in de URL van CRA is 2024 (in de tekst heet hij 2024/2847). Het jaartal van RED, in 2014/53/EU dus, is 2014. RED was er al tien jaar voor CRA, dus het is niet CRA die er al over ging, RED ging er al over. Kennelijk vond men dat deze toevoeging dan ook beter in RED dan in CRA geplaatst kon worden, en heeft men de toevoeging met die verwijzing ook onderdeel van CRA gemaakt.
Zo ingewikkeld zijn wetten ;-).
Inderdaad was de RED er al 10 jaar, maar die ene paragraaf (over cyber dus) was buiten werking gesteld. En dat is dus per vandaag (1 aug) niet meer zo. De rest van de RED gaat meer over hardware, antennes, zendvermogens, cohabitatie, etc.Door Anoniem: mogelijk dat ik dit niet goed begrijp, maar is dit niet exact waar de CRA al over gaat? of is dit een nationale implementatie van de CRA?
Inderdaad, goed gezien, ze hangen met elkaar samen, ze overlappen. De CRA stelt in overweging 30: De bij deze verordening vastgestelde essentiële cyberbeveiligingsvereisten omvatten alle elementen van de in artikel 3, lid 3, punten d), e) en f), van Richtlijn 2014/53/EU bedoelde essentiële eisen.
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=OJ:L_202402847#rct_30Dat is precies de toevoeging aan RED waar het hier over gaat, die is daarmee ook onderdeel van de CRA.
Kijk naar de jaartallen. Het jaartal in de URL van CRA is 2024 (in de tekst heet hij 2024/2847). Het jaartal van RED, in 2014/53/EU dus, is 2014. RED was er al tien jaar voor CRA, dus het is niet CRA die er al over ging, RED ging er al over. Kennelijk vond men dat deze toevoeging dan ook beter in RED dan in CRA geplaatst kon worden, en heeft men de toevoeging met die verwijzing ook onderdeel van CRA gemaakt.
Zo ingewikkeld zijn wetten ;-).
Gisteren, 15:26 door
Anoniem
Door Anoniem: Voor zover ik weet is een richtlijn niet bindend, dus hoeft niemand daaraan te voldoen. Kijk maar naar de BIO, wat ook een richtlijn is die nauwelijks wordt toegepast.
Het is wel bindend, want gekoppeld aan het "CE" (de Europese, niet de Chinese) merk.
Geen CE, dan mag je het niet verkopen.
Wel CE, en er zijn problemen, dan kan de toezichthouder (= RDI) de leverancier dwingen om een aanpassing te doen, of een recall te doen (zullen de klanten blij mee zijn), of het product van de markt te halen (idem blije klanten, al dan niet voorzien van een stevige boete.
Gisteren, 15:27 door
Anoniem
Door Anoniem: Ik had eigenlijk verwacht dat de Mediamarkt en coolblue nu alle tv’s en smart koelkasten niet meer verkoopt maar ze gaan gewoon door.
Alles wat al in de markt gebracht was, mag nog gewoon verkocht worden.
Gisteren, 15:29 door
Anoniem
Door Anoniem: Ik kan het niet meteen lezen, maar behelst de wet ook het "niet goed, geld terug"-recht?
Dat je gewoon, zoals met normale producten ook al heel lang geldt, je vrij bent om te kiezen, ik date up, of ik wil gewoon mijn geld terug want ik vertrouw het niet meer. Ik blijf niet aan de gang met dat geupdate. Ook als in het aankoopcontract staat dat ik van dat recht afzie? Omdat je met een contractbepaling nooit de wet kan afschaffen?
Een belangrijk principe waarvoor wetten worden gemaakt ook.
Nee het gaat niet om consumentenrecht. Wel zou je denk ik (maar vraag je persoonlijke advocaat) wat mogelijk als je een apparaat koopt dat later niet aan de CE-regels (volgens de RED) voldoet. Dan had het niet verkocht mogen worden.Dat je gewoon, zoals met normale producten ook al heel lang geldt, je vrij bent om te kiezen, ik date up, of ik wil gewoon mijn geld terug want ik vertrouw het niet meer. Ik blijf niet aan de gang met dat geupdate. Ook als in het aankoopcontract staat dat ik van dat recht afzie? Omdat je met een contractbepaling nooit de wet kan afschaffen?
Een belangrijk principe waarvoor wetten worden gemaakt ook.
Gisteren, 15:39 door
Anoniem
UIt wiens koker komt dit? en waarom valt Microsft's windows er niet onder. Deze ellende wordt standaard meegeleverd met apparaten die deel gaan uitmaken van hetzelfde netwerk! Kunnen wij anders ook eens gaan eisen dat er geen OS wordt meegeleverd op zo'n apparaat, want het lukt mij niet om het zonder mee te krijgen omdat ik weiger MS te sponseren.
Gisteren, 16:01 door
Anoniem
Door Anoniem: aan de ene kant maakt de EU zich hard voor het beschermen van vrijheid en privacy van burgers, en aan de andere kant zagen ze diezelfde privacy weg door zich hard te maken voor zaken als chatcontrole.
De Paradox van Brussel
De Paradox van Brussel
Er is gewoon geen visie in Brussel. Althans, niet één. Ik heb het gevoel dat er allemaal losse partijtjes als debielen rondrennen, veel schreeuwen en weinig doen.
Ondanks dit, vind ik dit helemaal geen verkeerde eis. Zelfs een kapotte klok heeft twee keer per dag gelijk.
Gisteren, 16:15 door
Anoniem
Door Anoniem: Dit is leuk voor de mensen die via de tussenhandelaren hun spullen bestellen, maar er is een legio aan mensen die direct vanuit landen buiten Europa bestellen welke deze service niet hanteren. Dus wederom schijnveiligheid. Maar ook, als je niet ergens begint kom je er ook nooit.
Niet helemaal waar, verkoop jij je producten in Europa (dus dat je kunt leveren in Europa) dan val je onder deze wet. Dus moet je aan deze eisen voldoen.
Gisteren, 16:18 door
Anoniem
Door Anoniem:
Door Anoniem: Ik kan het niet meteen lezen, maar behelst de wet ook het "niet goed, geld terug"-recht?
Dat je gewoon, zoals met normale producten ook al heel lang geldt, je vrij bent om te kiezen, ik date up, of ik wil gewoon mijn geld terug want ik vertrouw het niet meer. Ik blijf niet aan de gang met dat geupdate. Ook als in het aankoopcontract staat dat ik van dat recht afzie? Omdat je met een contractbepaling nooit de wet kan afschaffen?
Een belangrijk principe waarvoor wetten worden gemaakt ook.
Nee het gaat niet om consumentenrecht. Wel zou je denk ik (maar vraag je persoonlijke advocaat) wat mogelijk als je een apparaat koopt dat later niet aan de CE-regels (volgens de RED) voldoet. Dan had het niet verkocht mogen worden.Dat je gewoon, zoals met normale producten ook al heel lang geldt, je vrij bent om te kiezen, ik date up, of ik wil gewoon mijn geld terug want ik vertrouw het niet meer. Ik blijf niet aan de gang met dat geupdate. Ook als in het aankoopcontract staat dat ik van dat recht afzie? Omdat je met een contractbepaling nooit de wet kan afschaffen?
Een belangrijk principe waarvoor wetten worden gemaakt ook.
Dus een wasmachine valt onder consumentenrecht, maar een Wifiwasmachine niet? Of breder gevraagd als consumenten iets in overdonderende hoofdzaak kopen, hoe kan consumentenrecht dan niet van toepassing zijn, zeekuu waarom heet het dan zo? Is dat niet valsheid in geschrifte van de wetgever dan? (Handig om te weten, want dan kan ik het mijn advocaat uitleggen, dus dan is hij technisch mij een vergoeding schuldig. Maken we trouwens meestal goed met een biertje.)
Gisteren, 16:44 door
Anoniem
Door Anoniem: aan de ene kant maakt de EU zich hard voor het beschermen van vrijheid en privacy van burgers, en aan de andere kant zagen ze diezelfde privacy weg door zich hard te maken voor zaken als chatcontrole.
De Paradox van Brussel
Brussel is een grote stad en de EU is zelfs nog groter. Zoveel mensen, zoveel meningen.De Paradox van Brussel
In de EU politiek heb je mensen die zaken vanuit hun eigen vakgebied of politieke overtuigingen bekijken. Maar het nu eenmaal zo dat privacybescherming misdaadbestrijding lastiger lijkt te maken. Het is niet bij voorbaat duidelijk waar de optimale balans ligt en dat maakt het een politiek onderwerp. Een onderwerp waar je met one-liners de aandacht trekt, maar afleid van een goede oplossing. Zoals Einstein gezegd zou hebben: Ieder complex probleem heeft een simpele oplossing, die compleet fout is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?