Internet of Things (IoT) apparaten, zoals smartphones, deurbelcamera's en modems, moeten vanaf vandaag aan nieuwe Europese cybersecurity-eisen voldoen, waaronder het beschermen van persoonsgegevens en de privacy van gebruikers. Dat laat de Rijksinspectie Digitale Infrastructuur weten. De eisen zijn onderdeel van een nieuw artikel van de Radioapparatuurrichtlijn (RED), beter bekend als de Richtlijn voor Radioapparatuur. Deze richtlijn gaat over allerlei veiligheidsaspecten en het goed functioneren van radioapparatuur die in Europa wordt aangeboden.

Een nieuw artikel van de RED, dat vanaf vandaag van toepassing is, stelt ook eisen op het gebied van cybersecurity. Deze eisen zijn over drie subonderdelen verdeeld. Het eerste subonderdeel geldt voor alle radioapparatuur die met het internet kan communiceren, ook als het apparaat niet direct met het internet communiceert maar bijvoorbeeld via een router of gateway. Voor dergelijke apparatuur geldt nu de eis dat deze apparaten de werking van het netwerk niet mogen schaden. Oom mogen ze geen misbruik van netwerkmiddelen maken waardoor er een "onaanvaardbare achteruitgang" van de dienst wordt veroorzaakt.

Het tweede subonderdeel is van toepassing op met internet verbonden apparaten die persoonsgegevens, verkeersgegevens of locatiegegevens verwerken. Die moeten beveiligingen bevatten om persoonsgegevens en de privacy van de gebruiker te beschermen. Deze eis geldt ook voor apparatuur die bedoeld is voor kinderzorg, speelgoed en draagbare producten (wearables) die in staat zijn deze gegevens te verwerken, ongeacht of ze met internet communiceren.

Het derde en laatste subonderdeel heeft betrekking op met internet verbonden apparaten die gebruikers in staat stellen om geld, monetaire waarde of virtuele valuta over te maken. Deze apparaten moeten over bepaalde mogelijkheden beschikken om fraude tegen te gaan. De richtlijn bevat geen technische uitwerking van de eisen.

Leveranciers, distributeurs en fabrikanten

De cybersecurity-eisen gelden voor fabrikanten die apparatuur ontwikkelen waarop de richtlijn van toepassing is. Daarnaast mogen importeurs alleen apparaten in de handel brengen die aan de eisen voldoen. Distributeurs mogen apparaten die niet aan de cybersecurity-eisen voldoen niet op de markt aanbieden. De Rijksinspectie Digitale Infrastructuur (RDI) adviseert fabrikanten, importeurs en distributeurs te controleren of hun producten aan de eisen voldoen. De RDI houdt vanaf nu toezicht op naleving van de eisen.