'IoT-makers moeten consumenten vanaf 2024 informeren over aanvallen'

Al in 2021 werd duidelijk dat apparaten die met het internet verbonden zijn een eigen plek krijgen onder het CE-keurmerk. Daarmee wordt gegarandeerd dat de apparatuur aan bepaalde eisen op het gebied van security voldoet. Het was tot nu toe echter nog niet duidelijk aan welke eisen IoT-devices dan moeten voldoen.

Daar komt binnenkort verandering in, schrijft de Financial Times. De Britse zakenkrant heeft al inzage gehad in de conceptversie van de toekomstige regels. Dat concept wordt volgende week gepubliceerd. Uit dat document blijkt dus dat fabrikanten certificaten moeten behalen en dat ze een meldplicht krijgen rondom hackaanvallen. Daarnaast moeten ze snel fixes kunnen implementeren, aldus het EU-voorstel.

De regels worden pas in 2024 van kracht. Bedrijven die er dan niet aan voldoen, zouden volgens het voorstel een boete krijgen. Die bedraagt dan maximaal 15 miljoen euro of 2,5% van de wereldwijde omzet die een jaar eerder is behaald.

'Security nu ondermaats'

Het vertrouwelijke document stelt volgens de Financial Times ook dat de beveiliging van IoT-apparatuur nog vaak te wensen overlaat. Zo zou uit onderzoek blijken dat slechts de helft van de IoT-leveranciers adequate maatregelen neemt om zich en hun producten tegen aanvallen te beschermen. Tweederde van de cyberaanvallen zou bovendien via al eerder ontdekte en geopenbaarde gaten verlopen, die nog niet door de fabrikanten zijn gedicht. Hierbij speelt ook de problematiek van support voor IoT-hardware en gebruiksvriendelijkheid van het updateproces.