De Europose Commissie heeft een wetsvoorstel klaar waarin het strenge veiligheidsmaatregelen inzake cybersecurity oplegt aan makers van internet of things-producten.
Het wetsvoorstel, met boetes tot 5 miljoen euro, komt exact een jaar nadat EU-commissaris voor interne zaken Thierry Breton verklaarde dat nieuwe en strenge regels zich opdrongen. Die regels moeten cyberaanvallen in de steeds groeiende markt van IoT’s verminderen.
Internet of Things is de verzamelnaam van alle mensen, dieren en producten die via een unique identifier (UID) data via een netwerk versturen naar een ander apparaat. Een ingebouwde hartmonitor maakt van een persoon in principe een IoT-apparaat. Hetzelfde geldt voor sensoren in een auto.
Meer cyberaanvallen via IoT
De markt van IoT’s is het voorbije jaar sterk gegroeid. En dus nemen de kansen op cyberaanvallen ook toe. Volgens een studie van EU-regulatoren zijn er op dit moment ruim 23.000 hardwareproducenten actief op de markt, goed voor een jaarlijkse omzet van 285 miljard euro. 270.000 softwaremakers zorgen dan weer voor een jaarlijkse omzet van 265 miljard euro.
Volgens het onderzoek zijn de cybermaatregelen slechts bij de helft van de aanbieders voldoende. Net daarom zijn IoT-producten steeds vaker slachtoffer van hackers. Die komen in twee op drie gevallen binnen langs een eerder gemelde maar slecht gepatcht lek. De EU-regulatoren schatten dat dergelijke aanvallen in 2021 ongeveer 5,5 biljoen euro hebben gekost. In juli lanceerde Microsoft nog een Defender-variant voor IoT-toepassingen.
lees ook
Miljoenen routers en IoT-toestellen kwetsbaar voor onopgeloste DNS-bug
Strenge maatregelen en hoge boetes vanaf 2024
De Europese Commissie zal het wetsvoorstel volgende week toelichten, weet de Financial Times. In elk geval zijn er bijzonder strenge maatregelen op komst voor de producenten van IoT’s. Zo moeten die producenten verplicht certificaten voorleggen waarin ze aantonen aan alle basisvoorwaarden te voldoen. Het wetsvoorstel zal de commissie de macht geven om producten die niet voldoen uit de handel te nemen.
Bovendien riskeren aanbieders van slecht beveiligde IoT’s torenhoge boetes. Die kunnen oplopen tot 15 miljoen euro of 2,5 procent van de omzet in het voorbije jaar, afhankelijk van wat het hoogste bedrag is. De verwachting is dat de wet zal ingaan vanaf 2024. Producenten zullen vanaf dan ook verplicht worden om elke (poging tot) aanval te melden aan overheden en gebruikers. Op die manier wil de EU snelle reacties en herstellingen mogelijk maken.