'Europese Commissie kan iot-apparaten met zwakke beveiliging van de markt halen'

De Europese Commissie werkt aan regelgeving die het mogelijk maakt om iot-apparaten met zwakke beveiliging van de markt te halen. Dat schrijft zakenkrant Financial Times. Ook kunnen makers van die apparaten miljoenenboetes krijgen als zij de beveiliging niet op orde hebben.

Bij een aangetoonde zwakke beveiliging is een recall van producten door de Europese Commissie mogelijk, meldt Financial Times. Ook kan de Commissie producten verbieden in de Europese Unie bij zware overtredingen. Daarnaast gaan er boetes gelden van 15 miljoen euro of 2,5 procent van de jaaromzet, afhankelijk van welke hoger is. Ook zou er een meldplicht komen voor beveiligingslekken en moeten fabrikanten met patches komen.

De krant heeft een kladversie van de wetgeving ingezien. Volgende week zou de Europese Commissie de regelgeving willen presenteren, waarna de regels per 2024 zouden moeten gaan gelden. Het is onbekend wat precies wel en niet onder de regels zou vallen, maar Financial Times noemt onder meer slimme waterkokers en koelkasten als voorbeelden. Ook gelden vaak thermostaten, beveiligingscamera's en andere smarthome-apparatuur als iot-apparaten. Het was al bekend dat de Commissie aan de regels werkte.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 08-09-2022 14:41 55

08-09-2022 • 14:41

55

Lees meer

EU-Raad bepaalt standpunt over beveiligingseisen voor digitale producten
EU-Raad bepaalt standpunt over beveiligingseisen voor digitale producten Nieuws van 19 juli 2023
Europese Commissie komt met voorstel voor verplichte beveiliging apparaten
Europese Commissie komt met voorstel voor verplichte beveiliging apparaten Nieuws van 15 september 2022
'GlobalFoundries en STMicro overwegen chipfabriek in Frankrijk te bouwen'
'GlobalFoundries en STMicro overwegen chipfabriek in Frankrijk te bouwen' Nieuws van 13 juni 2022
Europese Commissie wil met Dataverordening burgers meer controle geven over data
Europese Commissie wil met Dataverordening burgers meer controle geven over data Nieuws van 23 februari 2022
Verenigd Koninkrijk gaat Arm-overname door Nvidia diepgaander onderzoeken
Verenigd Koninkrijk gaat Arm-overname door Nvidia diepgaander onderzoeken Nieuws van 16 november 2021
Europese Commissie komt met minimumeisen voor veiligheid slimme apparaten
Europese Commissie komt met minimumeisen voor veiligheid slimme apparaten Nieuws van 29 oktober 2021
Meer producten en artikelen
Politiek en recht Europa internet of things Wetgeving

Reacties (55)

-Moderatie-faq
55
51
22
5
0
24
Wijzig sortering

Sorteer op:

Weergave:
Cyb 8 september 2022 14:51
Het lastige is dat veel fabrikanten (in met name China) gespecialiseerd zijn in white-labeling, waarbij de fabrikant bijvoorbeeld een security camera produceert, en een ander bedrijf het product dan een andere naam mag geven en mag rebranden. Dit proces is soms dusdanig geoptimaliseerd, dat je (als rebrander) binnen een paar minuten je eigen app kan lanceren voor de camera op een app store. Ik hoop dat de Europese Commissie rekening gaat houden met dit soort taktieken.
Gamebuster @Cyb8 september 2022 14:55
De EC hoeft daar helemaal niet rekening mee te houden; de "rebrander" moet hier gewoon verantwoordelijk voor gehouden worden.
Cyb @Gamebuster8 september 2022 16:10
Dat klinkt gemakkelijker gezegd dan in de praktijk gedaan. De rebranders kunnen immers ook buiten de EU zitten (bijv. in China), en binnen enkele minuten een nieuwe brand produceren. Daar is die hele business op gebaseerd: maximale flexibiliteit en snelheid, één product dat verkocht wordt onder tientallen verschillende namen en bedrijfsnamen.
Frame164 @Cyb8 september 2022 20:26
Als je als consument bewust buiten een EU land spullen gaat kopen dan weet je dat je niet kunt terugvallen op EU richtlijnen. Dat zie je nu ook al met mensen die goedkoop elders bestellen en dan verbaasd zijn dat de EU garantieregels niet gelden.
JackBol @Cyb8 september 2022 16:40
We hebben nog altijd een douane die de import van producten controleert en reguleert.
rob12424 @JackBol8 september 2022 18:19
Weet je nog dat de Hema opladers had die brandgevaarlijk waren! (En niet alleen de Hema)

Suc6 dus!
avlt @JackBol8 september 2022 17:27
Heb je wel eens gezien wat er in Rotterdam binnenkomt? Ik denk dat de prioriteit van de douane cq politie niet bij de import van lekke IOT-devices ligt...
mikesmit @avlt8 september 2022 19:07
Een container vol met IoT apparaten moet wel nog verkocht worden. Dit is niet zo als de drugs handel waar de haven de enige plek is waar ze echt kunnen onderscheppen.

Geen consument koopt 15000 slimme thermostaten. Veel onveilige IoT apparaten liggen gewoon in de standaard gerenommeerde 13 in dozijn winkel in het land
mare @avlt9 september 2022 13:16
Misschien komen ze wel met een publieke lijst welke apparaten niet ok zijn zodat de consumenten zelf ook stukje verantwoordelijkheid kunnen nemen. Ik neem aan dat het standaard wachtwoord niet wijzigen ook niet door de douane gecontroleerd wordt bij elk apparaat.
bzzzt @Cyb8 september 2022 15:29
Tsja, als ik 300km/uur mag rijden ben ik ook snel thuis. Dat maakt het nog geen goed idee.
Geen nette software 'bill of materials' bijhouden die terug te traceren is naar gebruikte componenten en veiligheidsissues is totaal niet handig als iets veilig moet zijn. Dozenschuivers die snel even apparaten af willen zetten en er dan de handen af trekken moet je niet op de markt willen.
Iblies @Cyb8 september 2022 15:06
Want Chinees betekent onveilig ?

Newsflash,
nieuws: 'Duitsland stuurt binnen EU aan op zeven jaar updates voor smartphones'


De vraag is welke norm zal worden gesteld.
Is het een serieuze maatregel voor veiligheid, of is het verkapte manier om hoofdzakelijk chinese hardware te weren.


Ondertussen heeft China al zelf al sinds 2021 een eigen privacy-programma om fouten te melden wat serieuzer kan worden genomen dan dit voorstel mbt apparatuur en bijbehorende software waar men zelf geen verstand van heeft.
MazDaMan1970 @Iblies8 september 2022 15:57
Over het algemeen krijg je bij Chinese hardware weinig tot geen (security) updates. Dan kan China nog zo'n mooi privacy-programma hebben, maar zonder security updates is die hardware binnen korte tijd zo lek als een mandje...
mikesmit @MazDaMan19708 september 2022 19:09
Ondersteuning kost geld. Chinese bedrijven richten zich vooral op prijs en dat uit zich in matige ondersteuning en matige bouwkwaliteit
Frame164 @mikesmit8 september 2022 20:29
Kleine correctie: consumenten die zelf goedkope meuk uit China halen kopen slechts spullen (en denken dan slim te zijn omdat het zoveel goedkoper is dan spullen hier). Chinese bedrijven kunnen gewoon goede spullen malen maar die heb je niet meer voor bodemprijzen. Producten van bijvoorbeeld Huawei, ZTE, Oppo e.d. kan je moeilijk slecht spul noemen. En dat is toch 100% Chinees.
mare @Frame1649 september 2022 13:19
Jullie hebben beide gelijk dus het ligt wat genuanceerder dan alles uit China is troep. Alleen een privacy programma in China stelt natuurlijk niks voor, want misschien wel goed tegen hackers maar de overheid is geen hacker. ;)
mikesmit @Frame1649 september 2022 17:42
Chinezen maken wat wij willen. Willen we zo goedkoop mogelijk, dan bouwen ze dat. Willen we uitstekende kwaliteit dan bouwen ze dat. Maar als je kijkt hoe de markt er gemiddeld uitziet dan zie je dat consumenten vooral prijs heel belangrijk vinden en vooral de Chinezen zijn bereid om die zo laag mogelijk te maken (ergo, lage kwaliteit producten)
dasiro 8 september 2022 15:23
waarom zouden ze zich beperken tot IoT-devices :? Je router zou er dan niet onder vallen, terwijl je lamp er wel onder valt, terwijl die eerste een pak krachtiger is en veel meer impact kan hebben
Het.Draakje @dasiro8 september 2022 16:00
Ik denk dat, afgezien bij dat stelletje nerds (/tweakers), de meeste routers aangeschaft worden door professionele bedrijven (zoals een internet provider). Die kunnen wat makkelijker eisen stellen aan router-leveranciers dan zo'n nerd.

KPN heeft wel een belang dat zijn klanten niet massaal gehackt worden en dus zal KPN dat met een router-leverancier afdekken.

Die IoT apparatuur wordt voor een groot deel juist aangeschaft door de onkundige hobbyist en soms door een nerd. Professionele bedrijven (ik noem maar bijvoorbeeld Schiphol) kan ook daar wat makkelijker eisen stellen, maar die kopen ook voornamelijk apparatuur die buiten het budget van de hobbyist valt.

Een CCTV met vier camera's van totaal zo'n 800 Euro kan ik wel veroorloven (WAF factor). Op het moment dat een enkele camera al boven de 800 euro uitkomt dan wordt dat een andere zaak.

Een robotstofzuiger van 100 Euro, ze vindt het prachtig. Eentje van 2.000 euro en ze boekt (voor mij) een enkele reis psychiatrische inrichting.
Annihlator @Het.Draakje8 september 2022 19:53
Ahja, omdat ook Ziggo zulke eisen stelt, hebben we al jaren te maken met multifunctionele modems die stabiliteitsproblemen krijgen zogauw je zelfs het netmask/ip-range probeert aan te passen (met soms zelfs als gevolg dat de instellingenpagina nginx-errors gooit of heel dhcp plat blijft)
En een aardig aantal modems dat zogauw je 2.4ghz en 5ghz op hetzelfde SSID instelt de modem ongeveer elke week vastloopt...

Een daadwerkelijk custom product met eisen kost eigenlijk te veel geld, dus gebeurt het maar el-cheapo/halfbakken.

[Reactie gewijzigd door Annihlator op 23 juli 2024 23:52]

Het.Draakje @Annihlator9 september 2022 06:02
Het kan best zijn dat Ziggo geen eisen stelt. Of andere eisen dan jij. (Waarom zou een klant in de instellingen van een modem moeten kunnen komen, als bedrijf wil je juist eenheidsworst, want dat is makkelijker te beheren (en te vervangen bij defect).

Dat gezegd hebbend; de wet beschermt de 'gewone consument' een heel stuk meer dan een bedrijf. Bedrijven worden geacht in staat te zijn om hun eigen boontjes te doppen terwijl de consument vaak nog aan het handje vastgehouden wordt.
Verwijderd @dasiro8 september 2022 16:19
dasiro schreef:
waarom zouden ze zich beperken tot IoT-devices :? Je router zou er dan niet onder vallen [...]
Als een IoT device een device met (potentieel) internetconnectiviteit is, zie ik niet waarom een router hier niet onder zou vallen.

Integendeel, het Mirai botnet bestond voor een groot deel uit consumentenrouters. En als er in een land veel thuisrouters gebackdoored zijn, kan dat grote impact hebben voor dat land (voorbeeld of zoek naar iets als brazil routers compromised).

Los van wat onze mening is, kan de definitie (van wat wel of niet een IoT device is) die de EC hanteert, simpelweg afwijken van wat wie dan ook vindt.
DefaultError @dasiro8 september 2022 21:58
Hier draait de router zo traag, dat je 21 jaar bezig bent met een ‘bruteforce’;-/
Internet draait wel gewoon full throtlle.
dasiro @DefaultError8 september 2022 23:13
en internet zal nog altijd full throttle draaien als er een andere route naar een fake paypal site in staat. Het is niet omdat ze weinig compute-power hebben dat ze geen andere foute dingen kunnen doen met je internetverkeer
SilentDecode 8 september 2022 14:52
Als ze het nou maar gewoon NoT hadden genoemd, ipv IoT.. Network of Things..
Al mijn "IoT" spul blijft namelijk BINNEN mijn netwerk. Het gaat niet naar buiten. Kan het niet lokaal werken? Oke, dan koop ik het niet. Simpel.
Bulkzooi @SilentDecode8 september 2022 15:54
Als ze het nou maar gewoon NoT hadden genoemd, ipv IoT.. Network of Things..
Al mijn "IoT" spul blijft namelijk BINNEN mijn netwerk. Het gaat niet naar buiten. Kan het niet lokaal werken? Oke, dan koop ik het niet. Simpel.
Da's vrij knap. Heb je 100% grip op dat netwerkverkeer? Hier op Win10 is het een chaos met onbekend data-verkeer van allerlei vaag genaamde services.
SilentDecode @Bulkzooi8 september 2022 18:46
Heb je 100% grip op dat netwerkverkeer?
Dat netwerkverkeer wel ja. Al het IoT spul zit in een apart VLAN wat nergens anders naartoe kan behalve het apparaat wat dat spul moet aanspreken: Home Assistant.
Bulkzooi @SilentDecode8 september 2022 19:00
[...]

Dat netwerkverkeer wel ja. Al het IoT spul zit in een apart VLAN wat nergens anders naartoe kan behalve het apparaat wat dat spul moet aanspreken: Home Assistant.
Ah, ja. Ik had dit zien gebeuren. Ik ben blij dat ik al eerder oplossingen had gemaakt.

Anyway, die IoT-regels gaan pas globaal werken als ipv4 en tcp zijn uitgeschakeld en al het verkeer over udp en ipv6 gerouteerd wordt. Op je (W)LAN moet je het gewoon zelf regelen en niet van die gevaarlijke producten als Home Assistent gebruiken.

Tot die tijd is het net zo onveilig als tcp/ip. En qua LAN kies ik ervoor om het simpel te houden.
Met udp, smb, ftp, rtsmp & upnp kom je een heel eind.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 23:52]

kaaas @Bulkzooi8 september 2022 21:50
Ik kan echt geen enkele chocolade maken van wat je hier post
dutchnltweaker 8 september 2022 14:45
Het is onbekend wat precies wel en niet onder de regels zou vallen, maar Financial Times noemt onder meer slimme waterkokers en koelkasten als voorbeelden. Ook gelden vaak thermostaten, beveiligingscamera's en andere smarthome-apparatuur als iot-apparaten. Het was al bekend dat de Commissie aan de regels werkte.
Ben benieuwd, wie gaat dit controleren bij alle bedrijven die er zijn? volgens mij zijn er nu problemen om controle te houden over de GDPR wetgeving, wetgeving is goed natuurlijk voor dit soort dingen. Maar hoe of wie gaat dit controleren en of uitvoeren? Dan lijkt het me dat je als commissie afspraken met tech bedrijven moet maken die dat dan voor de commissie gaan controleren niet?
GarBaGe 8 september 2022 14:55
Daar gaan alle Chinese webcams :)
Maar via grijze import via AliExpres kan iedereen toch alsnog zo'n apparaat kopen?
Het.Draakje @GarBaGe8 september 2022 15:08
AliExpres is volgens mij niet een europees bedrijf. Als jij persoonlijk en/of via internet iets koopt van buiten de EU dan gelden die europese wetten niet. (Als jij het voor je neefje bestelt, echter dan ben jij de importeur, en europeaan dus voor jouw transactie gelden de regels wel). Is het product dan onveilig dan mag jij het aan je neefje vergoeden.

Uiteraard kan de douane onveilige artikelen tegenhouden. Sta je op schiphol, mag je jouw super-de-luxe ip-camera meteen in de prullenbak gooien. En inderdaad, de douane kan ook postpakketten tegenhouden. Dumpen zij het artikel in de prullenbak.
GarBaGe @Het.Draakje8 september 2022 15:13
Eens, maar je kan kiezen om je Ali producten te laten leveren vanuit een Europees warenhuis en daarmee de import/douane te omzeilen...
Het.Draakje @GarBaGe8 september 2022 15:18
En jij denkt dat Ali zijn waarhuis kan vullen met artikelen die niet aan de Europese wetgeving voldoen? Ik denk dat Ali wel zo slim is om dat niet te proberen. Anders houdt de douane Ali wel tegen. Zeker bij grotere verzendingen is de douane best wel een obstakel.
MsG @Het.Draakje9 september 2022 00:55
Zo werkt het zeker niet. Als je als bedrijf spullen aanbiedt op de Europese markt val je onder die wetgeving. AliExpress biedt Nederlandse vertalingen aan en je kan ook nog eens met het oerhollandse iDeal betalen. Dat zijn genoeg signalen dat ze zich expliciet op de Europese/Nederlandse markt begeven en dus onderhevig zijn aan de wetgeving van hier.
Het.Draakje @MsG9 september 2022 05:53
Klopt dat zijn ze in principe ook. Of dat af te dwingen is een tweede. Dat ze ook artikelen, officieel bestemd voor klanten in (bijv.) China op hun website hebben, die niet aan de Europese wetgeving voldoen, kan niemand ze verbieden. Als een Europese klant dat vervolgens bestelt (omdat het zo goedkoop is) is toch echt het probleem van die klant. En is hij gewoon de importeur.

Alleen levering van het Europese magazijn zal wat lastig zijn. Maar vanuit het hoofdmagazijn is dat (voor Ali) geen enkel probleem.
Frame164 @GarBaGe8 september 2022 20:31
Maar dan moet je ook niet klagen als het niet aan EU regels voldoet. Misschien moet de richtlijn dan worden uitgebreid dat als particulieren zelf importeren ze volledig aansprakelijk zijn mocht zo'n product schade toebrengen aan derden. Dus gewoon dezelfde consequenties als bedrijven die slecht spul naar de markt brengen.
timeraider 8 september 2022 16:28
Goed idee? Sure
Te handhaven? HAHAHAHAHA. Nee, ze komen al duizenden medewerkers tekort om huidige wetten aangaande IT tot een normale maat te handhaven, laat staan dat dit ook verwerkt moet gaan worden.
Frame164 @timeraider8 september 2022 20:33
Je hieft niet per se te handhaven. Maar als je geen wetten maakt waaraan iets moet voldoen kan je ook niet optreden als iemand zich er niet aan zou houden. Wetten die diefstal en moord illegaal maken voorkomen niet dat er gestolen en gemoord wordt, maar zonder die wetten kan het ook niet bestraffen.
ocf81 8 september 2022 14:50
En wat gebeurt er dan als je al een IoT apparaat hebt gekocht waarvan blijkt dat het slecht te zijn beveiligd? Krijg ik dan mijn geld terug? Ga je dan fabrikanten verplichten om te updates te maken? Wat als er te weinig apparaten worden bijgewerkt en het probleem blijft bestaan? Op zich is de gedachte van de EC begrijpelijk, maar ik zou eerder willen zien dat het een vereiste wordt dat IoT apparaten een veiligheidskeuring krijgen voordat ze een CE keurmerk ontvangen.
Het.Draakje @ocf818 september 2022 15:01
Regelgeving werkt, voor zover ik weet, niet met terugwerkende kracht. Alle apparatuur die je voor 2024 aanschaft (even de streefdatum van de nieuwe wet aanhouden) valt niet onder deze regelgeving.

Als de (na 2024 aangeschafte) goederen ondeugdelijk zijn dan krijgt de leverancier een boete, mag hij geen nieuw apparaat meer mogen verkopen en moet hij bestaande apparaten (die verkocht zijn na 2024) moeten terugnemen. En dan zal hij dus inderdaad ook naar de klant met geld over de brug moeten kopen. (Edit: Dat is uiteraard de worst case scenario voor de leverancier, er kan ook een minder slecht scenario voor hem uitkomen).

Een (veiligheids)keuring is een momentopname, het apparaat kan in 2024 veilig zijn, maar door nieuwere software-technieken in 2025 toch te hacken zijn. Dan is de leverancier verplicht om dat te repareren. (Met dezelfde sanctie's als hierboven). Deze wet gaat dus wel een flink stuk verder dan een veiligheidskeuring vooraf.

[Reactie gewijzigd door Het.Draakje op 23 juli 2024 23:52]

ocf81 @Het.Draakje8 september 2022 15:03
Een (veiligheids)keuring is een momentopname, het apparaat kan in 2024 veilig zijn, maar door nieuwere software-technieken in 2025 toch te hacken zijn. Dan is de leverancier verplicht om dat te repareren. (Met dezelfde sanctie's als hierboven). Deze wet gaat dus wel een flink stuk verder dan een veiligheidskeuring vooraf.
Op zich eens met je stelling dat een keuring een momentopname is, maar tegelijkertijd zijn de meeste fouten ook het gevolg van slordig programmeerwerk waardoor je er al wel veel leed mee kan voorkomen.
Het.Draakje @ocf818 september 2022 15:14
Ga er maar rustig vanuit dat een leverancier (afgezien van de bekende AliExpres c.s) het risico niet gaan lopen dat ze bij introductie al een recall o.i.d. moeten doen. Die gaan echt wel iets doen aan slordig programmeerwerk.

De keuring voor het CE aanduiding wordt ook door het bedrijf zelf uitgevoerd.
ocf81 @Het.Draakje8 september 2022 15:20
Ik weet dat CE voor een groot deel zelfcertificering is, maar voor bepaalde typen is wel extra keuring nodig. Voor IoT zou dat dus ook van toepassing moeten zijn.
Jewest @ocf819 september 2022 12:33
CE is zelf certificering. De vraag is alleen hoe ga je bewijzen dat je voldoet.
Voor meerdere aspecten kun je externe bedrijven inhuren, die een deel van het werk overnemen.
Hiermee kun je dit afdekken, als je bijvoorbeeld niet beschikt over de kennis of apparatuur om metingen te doen.
ocf81 @Jewest9 september 2022 14:08
Bij sommige productcategorieën is een onafhankelijke toetsing vereist. Dat zou hier dus ook verplicht kunnen worden gemaakt.

[Reactie gewijzigd door ocf81 op 23 juli 2024 23:52]

Jewest @ocf8115 september 2022 12:27
Je hebt gelijk, bedankt voor je reactie. weer wat geleerd vandaag. :)
Maurits van Baerle
@ocf818 september 2022 15:04
Volgens mij wordt er op Europees niveau ook al gewerkt aan een standaard met minimumeisen. Dit lijkt me eerder flankerend beleid, iets om naast de verplichting te hebben, als stok achter de deur.
Empheria @ocf818 september 2022 15:07
Lijkt mij in zo'n geval zinvol om ook de cloud-infrastructuur achter het product offline te halen. Zodat er voor gebruikers een reden is om het product ook echt los te koppelen.

Het is een harde les voor de fabrikanten en zuur voor de gebruiker, maar uiteindelijk heb je er als eindgebruiker ook geen baat bij dat je interne netwerk binnengedrongen is. Of het doel nou botnet is of het stelen van informatie van losse personen.
ocf81 @Empheria8 september 2022 15:23
Lang niet alle apparaten zullen van een cloud afhankelijk zijn, dus dat gaat maar beperkt op.
Xander2 @ocf818 september 2022 17:45
Op zich is de gedachte van de EC begrijpelijk, maar ik zou eerder willen zien dat het een vereiste wordt dat IoT apparaten een veiligheidskeuring krijgen voordat ze een CE keurmerk ontvangen.
Dat gaat ook exact gebeuren volgens het artikel van FT.

Producenten moeten certificaten behalen om te exporteren naar de EU.
DefaultError 8 september 2022 15:06
Ik denk dat een beetje Tweaker lezer, schrijver en of tester op deze post een melding kan maken aan nationaal cyber security centrum. NCSC.

https://www.ncsc.nl/contact/kwetsbaarheid-melden

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq