image

Kabinet presenteert voorstel voor veiligheidskeurmerk IoT-apparaten en it-diensten

donderdag 25 juni 2020, 15:00 door Redactie, 10 reacties

Het kabinet heeft het wetsvoorstel gepresenteerd dat een veiligheidskeurmerk voor IoT-apparaten en it-diensten mogelijk maakt en vraagt het publiek om hierop te reageren. De uitvoeringswet cyberbeveiligingsverordening is de implementatie van een Europese verordening. Deze verordening introduceert een "cyberbeveiligingscertificering" die voor veiligere producten en diensten in Europa moet zorgen.

De certificering van producten zal op drie niveaus plaatsvinden: basis, substantieel en hoog. Het zekerheidsniveau geeft aan op welk niveau het betrokken product, dienst of proces is geëvalueerd, maar is als zodanig geen maatstaf voor de beveiliging van het betrokken product, dienst of proces, zo laat het ministerie van Economische Zaken weten.

Er zijn straks twee manieren waarop fabrikanten en leveranciers hun apparaten en diensten kunnen laten certificeren. De eerste is door een geaccrediteerde instantie, die controleert of er is voldaan aan de gespecificeerde (technische) voorschriften met betrekking tot een ict-product of -dienst. Daarnaast is er de mogelijkheid van een "conformiteitszelfbeoordeling". Fabrikanten kunnen dan zelf aangeven dat ze aan de voorschriften voldoen. Deze optie is alleen beschikbaar voor producten en diensten met een laag risico, alsmede voor het certificeringsniveau basis.

Een nationale toezichthouder zal toezicht op de certificeringen houden. Daarnaast zal de nationale autoriteit certificaten op het zekerheidsniveau "hoog" uitgeven. De certificeringen moeten de digitale weerbaarheid van de EU verhogen. Daarnaast is het de verwachting dat het apparaten en diensten veiliger maakt, aangezien meer fabrikanten en leveranciers voor een certificering zullen kiezen. Verder moeten de certificeringen het vertrouwen in de beveiliging van producten en diensten vergroten.

Deelname van fabrikanten en aanbieders aan de certificeringsregelingen is vooralsnog vrijwillig. De Europese Commissie kan echter een regeling verplicht stellen. Burgers, bedrijven en organisaties kunnen tot 16 augustus via Internetconsultatie.nl op het voorstel reageren.

Reacties (10)
25-06-2020, 15:51 door Anoniem
Dit klinkt als vreselijk vaag en nietszeggend. Dus wat moet je daar nu tegen zeggen?

Dus wordt het, wat het ook is, ingevoerd en kan de overheid zeggen dat ze toch iets gedaan hebben, ook al zegt het niets.

Chapeau dan maar weer. Is ook echt niet de eerste keer.
25-06-2020, 18:48 door Anoniem
wie gaat die keuringen doen? Rian van Rijtbroek?
25-06-2020, 19:18 door souplost
Maatstaaf ontbreekt. Het levert weer werk op zullen we maar zeggen. Misschien kan het ook nog even worden doorgetrokken naar de desktop software.
25-06-2020, 20:25 door Anoniem
"conformiteitszelfbeoordeling" dat is wat we ook al met CE hebben.
het is natuurlijk de vraag wat dat toevoegt aan het eigen merk logo wat de fabrikant er al op zet....
het is dan eigenlijk alleen een "markering", geen "keurmerk". eventuele controle en repercussie volgt pas als
het kwaad geschied is.
25-06-2020, 21:44 door Anoniem
Ik lees even niets terug over een mogelijke verplichting die erbij komt over dat je een meldpunt kwetsbaarheden opent, om zo ook meldingen te kunnen ontvangen en iedereen de kans geeft het zelf te testen.

Zit het er niet in? Of kijk ik niet goed?
25-06-2020, 22:43 door Anoniem
Door Anoniem: wie gaat die keuringen doen? Rian van Rijtbroek?

Dat zou vermakelijk zijn inderdaad
26-06-2020, 09:45 door Anoniem
Door Anoniem: "conformiteitszelfbeoordeling" dat is wat we ook al met CE hebben.
het is natuurlijk de vraag wat dat toevoegt aan het eigen merk logo wat de fabrikant er al op zet....
het is dan eigenlijk alleen een "markering", geen "keurmerk". eventuele controle en repercussie volgt pas als
het kwaad geschied is.
Je weet duidelijk niet wat een CE markering in houdt. Het betekent dat je moet aantonen
a) dat je product bij introductie voldoet aan de opgelegde eisen
b) dat het product gedurende de hele life cycle hieraan voldoet

Dus als bv. een onderdeel van de eisen wordt:moet tot 5 jaar na introductie beveiligingspatches door voeren

dan moet zo'n leverancier daar voor zorgen, op straffe van boetes. Een onderdeel in dit geval zou bv. het hebben van een escrow contract met source code hebben zodat als ze te vroeg ter ziele gaan iemand anders in staat gesteld kan worden voor beveiliging te zorgen.

Is echt niet iets waar bedrijven lichtvaardig over denken, en geeft echt garantie aan de afnemers (gebruikers).

Mits natuurlijk wel de eisen goed zijn :-) maar daar zijn al voorzetten voor (patches, wachtwoorden etc.)
26-06-2020, 22:23 door Anoniem
Door souplost: Maatstaaf ontbreekt. Het levert weer werk op zullen we maar zeggen. Misschien kan het ook nog even worden doorgetrokken naar de desktop software.
Zou best kunnen. Ik voorzie geen problemen bij de grote leveranciers. Komen genoeg updates uit voor jaren ondersteuning.
28-06-2020, 14:37 door Anoniem
Zegt de EU wat met een buitenlands OS leverancier werkt.


De certificering van producten zal op drie niveaus plaatsvinden: basis, substantieel en hoog. Het zekerheidsniveau geeft aan op welk niveau het betrokken product, dienst of proces is geëvalueerd, maar is als zodanig geen maatstaf voor de beveiliging van het betrokken product, dienst of proces,

De certificeringen moeten de digitale weerbaarheid van de EU verhogen. Daarnaast is het de verwachting dat het apparaten en diensten veiliger maakt, aangezien meer fabrikanten en leveranciers voor een certificering zullen kiezen. Verder moeten de certificeringen het vertrouwen in de beveiliging van producten en diensten vergroten.



Mis ik er nu eentje?
28-06-2020, 14:41 door Anoniem
Doet me denken aan die niveaus van extremisme...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.