EU-Raad wil standaard automatische updates voor IoT-apparaten

[Captain Kirk]

De EU-Raad wil dat Internet of Things (IoT) apparaten standaard automatisch beveiligingsupdates ontvangen. Daarnaast moeten producten met digitale elementen langer dan vijf jaar met patches worden ondersteund. Dat blijkt uit een nieuwe tekst van de Europese Cyber Resilience Act (CRA), zo stelt Euractiv.

De Europese Commissie presenteerde afgelopen september de CRA, die voor veiligere hardware en software moet zorgen. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates. Oorspronkelijk werd hiervoor een maximale termijn van vijf jaar gehanteerd, maar in de nieuwe tekst is die termijn nu komen te vervallen.

Verder is er in de nieuw tekst opgenomen dat IoT-apparaten en andere "connected devices" standaard automatisch beveiligingsupdates moeten ontvangen. Fabrikanten moeten wel een duidelijk en eenvoudig opt-out-mechanisme aanbieden. De nieuwe tekst maakt ook duidelijk dat de CRA niet voor alle opensourcesoftware geldt. Iets waar eerder nog onduidelijk over was.

Nu is duidelijk gemaakt dat de CRA alleen van toepassing is op connected producten die op de Europese markt zijn uitgebracht om geld mee te verdienen. De voorwaarden waaronder het product is ontwikkeld spelen daarbij geen rol. Daardoor blijft de CRA wel geld voor opensourcesoftware zoals Android, aldus Euractiv. Deze week vond er overleg plaats over het voorstel. Daar kleven volgens critici ook allerlei bezwaren aan.

"Ondanks de kritiek gaan de ambtenaren nu verder met de volgende fase en alles wijst erop dat men niet van plan is het voorstel aan te passen", zegt beveiligingsexpert Bert Hubert tegenover Binnenlands Bestuur. "Het probleem is dat wetgevers die regels en documenten opstellen voor de veiligheid van staafmixers, nu ook opeens denken regels op te kunnen stellen voor hoe je veilige software schrijft. Ze hebben geen verstand van software en geven dat ook toe." Doordat het wetsvoorstel breed en vaag is geformuleerd en op overtredingen hoge boetes staan, zorgt dit volgens Hubert voor onzekerheid bij bedrijven.

 

bron: https://www.security.nl