Europese Commissie komt met voorstel voor verplichte beveiliging apparaten

De Europese Commissie heeft zijn voorstel gepubliceerd voor regelgeving rondom verplichte beveiliging van apparaten. De regels gaan gelden voor elk apparaat dat verbinding kan maken met een ander apparaat of met internet.

EU Cyber Resilience ActDe Europese Commissie noemt het de Cyber Resilience Act en de regels in hun huidige vorm stellen fabrikanten van apparatuur verantwoordelijk voor de beveiliging ervan. Als de apparaten niet voldoen, kunnen fabrikanten een boete krijgen en kunnen overheidsinstanties apparaten van de markt halen.

De regels gelden voor elk apparaat, waarvoor niet al regels gelden. Daarbij gaat het onder meer over iot-apparaten als thermostaten en beveiligingscamera's, maar het geldt ook voor bijvoorbeeld speelgoed met een internetverbinding. De ondersteuning moet vijf jaar duren vanaf de release, tenzij de verwachte levensduur van het apparaat korter is dan dat. De exacte typen van apparaten zijn niet precies gespecificeerd. De regels gelden voor hardware en software voor zakelijke producten en producten voor consumenten.

De regels schrijven voor dat fabrikanten goed beveiligde apparatuur op de markt brengen. Als die data versturen, moeten ze dat met adequate beveiliging doen, bijvoorbeeld sterke versleuteling. Als er na de release beveiligingslekken in de software blijken te zitten, moeten fabrikanten patches verspreiden, consumenten daarvan op de hoogte stellen en changelogs beschikbaar stellen met details over de kwetsbaarheden.

De nieuwe regels moeten ertoe leiden dat onveilige apparaten niet langer op de Europese markt komen of blijven. Het Europees Parlement gaat zich nu buigen over het voorstel en daarna moet de Raad van Ministers het ook nog goedkeuren. Daarbij kunnen er nog wijzigingen komen. Als dat allemaal rond is, hebben lidstaten twee jaar om de regels te implementeren. Het kan dus nog meerdere jaren duren voordat de regels echt van kracht worden.

Door Arnoud Wokke

Redacteur Tweakers

15-09-2022 • 13:30

87

Reacties (87)

Sorteer op:

Weergave:

Lovenswaardig initiatief, in de praktijk lijkt me het volslagen onuitvoerbaar. Wie gaat die miljoenen(cq miljarden) aparaten die per containerschip in Rotterdam aankomen controleren?

De merknaam/typenummer van de meeste van die aparaten verandert per batch gemaakte producten.
Die verantwoordelijkheid legt het voorstel bij de Europese importeur, aangezien die hier in Europa zit en gewoon beboet kan worden. Hij kan het contractueel met de fabrikant weer oplossen.

Volgens het voorstel kan de toezichthouder (bij ons de ACM) tot tien jaar teruggaan met het verzoek te bewijzen dat het product veilig was op straffe van boetes tot 15 miljoen euro per productlijn of 2.5% van je wereldwijde omzet. Ik zou als Media Markt of Coolblue die producten dus niet in het schap willen hebben.
Net als bij het "CE" label? Dan kan het zelfs schijnveiligheid bieden

[Reactie gewijzigd door litebyte op 23 juli 2024 01:07]

Exact zoals bij het CE label, je kunt deze verordening mede zien als een aanscherping van de eisen om het CE logo te mogen voeren (Richtlijn 2006/42/EG). Nieuw is dat er boetes komen te staan op het ten onrechte voeren van dit logo.
Nieuw is dat er boetes komen te staan op het ten onrechte voeren van dit logo.
Wow. Ein-de-lijk. Het zou eens tijd worden dat de wetgeving daar een paar tanden krijgt om te tonen.
niet waarschijnlijk met een keurmerk. Als je die wat betaald krijg je een keurmerkje.
mijn eigen oplossing

ik gebruik domoticz, ga niet in een chinese cloud zitten
heb IOT wifi SSID gemaakt die ik gebruik voor MQTT en in firewall regels aangemaakt dat het alleen OTA mag doen en NTP mag doen en de rest niet.

Als de devices internet op moeten dan is het raadzaam om iets van certificaat te gebruiken, ik gebruik Tasmota en op ESP8266 kan niet de CA chain geladen worden wel op de ESP32 waar er meer van komen nu
certificate fingerprint is niet zo veilig als full chain.

ik wil dan een wildcard certificate kopen omdat ik niet elk apparaat een certificaat voor wil kopen dat is ook weer een dingetje.

,Maar hoe gaat men dit handhaven vraag ik me af.


.
In de kern goed. Als de verplichte beveiligingen/veiligheidsniveaus dan regelmatig met audits door onafhankelijke instanties worden gecontroleerd, wie bepaalt de standaarden?
Dit is wel aardig leesvoer als je meer details wil:
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020

ANNEXES to the PROPOSAL FOR A REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020

Er is al een rol neergelegd voor ENISA (het cybersecurity agentschap van de EU) bij het bepalen welk type apparaat in welke categorie valt en er wordt gesproken over betrokkenheid van de European Data Protection Board (EDPB). Verder krijgt ENISA ook de leiding bij een gedwongen 'product recall' als een product niet aan de eisen blijkt te voldoen nadat het al op de markt is toegelaten.

Ik verwacht dan ook dat ENISA degene is die de standaarden gaat bepalen. De kunst zal overigens zijn om de standaarden zo vast te leggen dat ze niet te gedetailleerd zijn dat ze snel verouderen. In de standaard vast leggen dat minstens 192 bits AES-CBC gebruikt moet worden is niet erg handig als volgend jaar ineens een zwakte ontdekt wordt. Een aantal zaken zijn prima algemeen vast te leggen (verbieden van een standaard wachtwoord dat identiek is op ieder apparaat, verbod op het versturen van data zonder encryptie, een paar verplichte default opties) en een aantal zaken zul je nader moeten specificeren.

Ik heb er ooit wel eens aan gedacht dat je hetzelfde zou kunnen doen als we nu met auto's (Euro 4, Euro 5 etc.) en vrachtwagens (Euro V, Euro VI etc.) doen waarbij eens in de zoveel jaar de eisen strenger worden. Als je dat ruim van tevoren aankondigt dan moet dat best te doen zijn.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 01:07]

Dank, helder! Persoonlijk denk ik dat het van belang is om een consortium te vormen, ook van niet-gelieerde EU org. (lees onafhankelijk) De EU is nu eenmaal feitelijk een lobbycratie en het kan best zo zijn dat hierdoor bepaalde bedrijven/org. ui bepaalde landen voorrang krijgen of uitzonderingsposities.
De kunst zal overigens zijn om de standaarden zo vast te leggen dat ze niet te gedetailleerd zijn dat ze snel verouderen. In de standaard vast leggen dat minstens 192 bits AES-CBC gebruikt moet worden is niet erg handig als volgend jaar ineens een zwakte ontdekt wordt. Een aantal zaken zijn prima algemeen vast te leggen (verbieden van een standaard wachtwoord dat identiek is op ieder apparaat, verbod op het versturen van data zonder encryptie, een paar verplichte default opties) en een aantal zaken zul je nader moeten specificeren.
Het lijkt me juist handig om standaarden gedetailleerd vast te leggen in een afzonderlijke standaard en ernaar te refereren, dat maakt het mogelijk te controleren.

Een eenmaal goedgekeurd veiligheidsslot is niet altijd veilig, door technische- en maatschappelijke nieuwe inzichten komt een nieuwe standaard waaraan veiligheidssloten moeten voldoen, dat is niet af te vangen met een alomvattende, toekomstbestendige regel anders dan sloten moeten aan laatste standaard X voldoen om als veilig beschouwd te worden.
Gezien het document meldt dat ze maar 7 FTE nodig hebben voor 'enforcement of regulations' denk ik niet dat er veel terecht komt van boetes, controles, etc.
En hoe snel moet een fabrikant een update uitbrengen? Anders kunnen ze zich jarenlang verschuilen achter "We zijn ermee bezig"
shall immediately take the corrective measures necessary to bring that product with digital
elements or the manufacturer’s processes into conformity, to withdraw or to recall
the product, as appropriate.
Direct dus. Overigens staat er niet dat de fabrikant die beschikbaar moet stellen zodat de gebruiker het zelf kan doen. Een recall mag dus ook. Als jij daar als consument niet op reageert heb je pech gehad. En zo'n recall hoeft ook niet groot in het nieuws, in het document staat dat een berichtje op je website voldoende is.
Ik zie ook wel wat andere hindernissen. Merken uit bepaalde landen bestaan vaak maar een korte tijd. Met het CE logo is het eigenlijk ook een bende. (zie m'n vraag/antwoord door dhr. Engelfried hierboven ergens) dit is vergelijkbaar. Dreigen met boetes is sowieso al nutteloos voor heel veel producten zoals uit China. Dat is natuurlijk ook een van de doelstellingen van dit voorstel .

Je kan natuurlijk de complete verantwoordelijkheid bij de EUmporteur leggen, om hiermee eignelijk aan te geven, wij willen niet dat je Chinees merk X of Y meer verkoopt maar alleen van 'betrouwbare' producenten uit 'betrouwbare' landen anders ben jij straks verantwoordelijk.

Daarnaast kan het eisen pakket worden uitgebreid met bijv. een apparaat moet om veiligheidsredenen altijd een backdoor hebben/ altijd te decrypten zijn. Zeg niet dat dit nooit gebeurd in een democratie als de EU, want daar gaan nu al stemmen voor op bij tal van politici.
Er is wat mij betreft niets mis met het verantwoordelijk stellen van de importeur voor datgene wat hij/zij importeert. Anders kan iedereen zomaar snel even beginnen met importeren en alle vormen van verantwoordelijkheid op een ander afschuiven. Jij wil iets verkopen? Dan moet jij er voor zorgen dat het voldoet aan de geldende regelgeving.

En een backdoor, ben je gek?
https://www.youtube.com/watch?v=CINVwWHlzTY
Klopt, "ook" verantwoordelijk ben ik het ook wel mee eens. Maar hoeverre laat je dit doorlopen.
De ondersteuning moet vijf jaar duren vanaf de release, tenzij de verwachte levensduur van het apparaat korter is dan dat.
Die fabrikanten maken meteen alleen nog maar apparaten met een kortere levensduur. Dat is niet goed voor de afvalhoop. Ik zou zeggen dat die termijn minstens verplicht moet worden zonder uitzonderingen. Minimaal vijf jaar onderhoud lijkt mij niet onredelijk.
Waar maak je uit op dat fabrikanten zelf mogen definieren wat de levensduur van hun producten is? In consumentenrecht is de verwachte levensduur onder andere gebaseerd op uitingen van de fabrikant en verkoper, maar ook van wat de levensduur van vergelijkbare producten is. Dus als TV-fabrikant kun je niet in de kleine lettertjes verstoppen dat je TV maar twee weken mee hoeft te gaan, dat is in de huidige markt namelijk onredelijk.
De huidige markt kan gestuurd worden door de fabrikanten. Dus ze kunnen die termijn echt wel omlaag krijgen and ze willen. Fabrikanten zullen altijd sturen op meeste winst. Onderhoud kost geld dus zullen ze proberen om er onderuit te komen.
Heb liever een IoT verplicht local access wet. Ben wel een beetje klaar met die via onze cloud shit.
En behalve een paar tweakers /hobbyisten zal het gros van de mensen dit totaal niet boeien. Die willen lekker gemakkelijk via hun app alles kunnen regelen zonder lokale apparatuur.
Helemaal met je eens. Een app kan er echter wel voor kiezen (zo gemaakt worden) om gewoon via local access (het lokale netwerk) een verbinding te maken. Zoals HUE bijvoorbeeld ook doet, de besturing van de ventilatie in mijn huis (Zehnder) en ook de bediening van mijn garagedeur (Maveo).

Op de ondergrond kan een app dus prima lokaal verbinden zonder dat de cloud perse nodig is.
Ben er ook zeker voorstander van, maar zolang het gros van de consumenten hier niet om maalt zal een fabrikant er geen resources in steken.
En dan stopt de ondersteuning via Cloud omdat het bedrijf failliet gaat en werkt je apparaat niet meer. Dat is in het verleden al gebeurd (ik herinner me niet het exacte product) en werd erover hier op tweakers bericht. Kan het dan ook niet anders dan helemaal eens zijn met Lordsauron dat dat minstens zo belangrijk is, al is het maar voor de realiteit dat bedrijven niet voor altijd hoeven blijven bestaan.

Mijn grootste vrees hierbij is op dit moment voor bijvoorbeeld Tado. Je merkt gewoon dat daar extreem weinig gebeurd op het vlak van naar gebruikers luisteren en dat er ook weinig hardware development plaats vindt (al was het maar voor een pompschakelaar of multi-home support). De hele bediening via de telefoon/app verloopt via een cloud verbinding ondanks dat je thuis een zogenaamde "bridge" hebt hangen. Als Tado klapt, dan is het bye bye bediening en functionaliteit.

[Reactie gewijzigd door thomasv op 23 juli 2024 01:07]

Het was een bedrijf dat door Nest/Google is opgekocht. Ben de naam even vergeten.
En daarom dus bij wet afdwingen ;)

En ik verwacht dat indien het er eenmaal is en de API's een beetje bekend worden bij ontwikkelaars of er volgt standaardisering dat mensen zelf een home gateway kunnen kopen die alle lokale units aan elkaar knoopt. Oh wait, dat is er al, Home-Assistant. Mooi, hebben we enkel nog de verplichte local-access nodig.
En behalve een paar tweakers /hobbyisten zal het gros van de mensen dit totaal niet boeien. Die willen lekker gemakkelijk via hun app alles kunnen regelen zonder lokale apparatuur.
En voor hen is dit ook een goed idee. Dan kunnen ontwikkelaars met apps komen die in één app alle hardware aankan, kunnen hardware leveranciers een apparaat op de markt brengen die de centrale hub voor alle domotica kan dienen, etc. etc. etc. Als je dat nu wil, dan moet je ofwel zelf liggen klooien ofwel een apparaat kopen en dan hopen dat je spullen het daarmee doen en vooral blijven doen.
Ik denk eigenlijk dat de gewone man ook helemaal niet blij is dat hun Philips lamp niet met hun Ikea lichtknopje werkt maar dat ze gewoon niet beter weten. Homey was wel goed bezig op dit punt, en lag zelfs bij de mediamarkt in de schappen.
Van zodra er local access is, kunnen app makers daarmee aan de slag en er meer mensen warm voor maken om het te gebruiken.
Dat komt er dus op neer dat oude telefoons veel langer van beveiligingsupdates moeten worden voorzien. Ik ben benieuwd of en waar de grens ligt, hoe lang een apparaat nog updates krijgt. Op een gegeven moment houdt het op lijkt me.
Mijn laptop uit 2015 krijgt nog gewoon OS-updates t/m 2025, en tegen die tijd kan ik ook kiezen om een alternatief OS (= Linux) te installeren en zo nog langer updates te krijgen. Waarom zou dat voor telefoons anders moeten zijn?
Omdat een x86-64-laptop met een UEFI een open platform is waar jij als eindgebruiker mee kunt doen en laten wat je wilt, en waarbij functionaliteit in de software zit en universeel toepasbaar is. Dat is bij een telefoon niet zo.

Zaken zoals bijvoorbeeld batterijmanagement zijn bij elke telefoon anders, daarom is het bijv. gelukt om iPhones op Android te laten draaien, immers is de Arm-architectuur van Apple daarmee compatible, maar heb je er in de praktijk niks aan, want dat ding is in no time leeg.
En wat maakt een telefoon dan zo anders dan een laptop, dat het geen open platform zou moeten zijn? Batterijmanagement is toch ook iets waarmee elke laptop te maken heeft?

Uiteindelijk zijn zowel telefoons en laptops 'gewoon' een CPU, RAM en opslag met wat I/O devices (waaronder een scherm).

Kijk ook even naar Apple: Macs en iPads draaien op exact dezelfde processor (M1), maar op een Mac kan je wel (Asahi) Linux draaien, terwijl je dat op een iPad niet lukt. Waarom? Omdat Apple bepaald heeft dat de bootloader van een Mac open en van een iPad gesloten is.
Ik heb het woord 'moeten' niet gebruikt. Zoals ik al zei, het zou technisch allemaal wel mogelijk zijn, maar fabrikanten doen dat nu eenmaal niet en telefoons hebben geen UEFI/bootloader waarmee jij makkelijk een standaard OS kunt installeren.

De designfilosofie achter smartphones is anders dan die achter computers.
Ja, en zoals ik in de laatste alinea van mijn vorige reactie uitlegde, hebben ze dat niet omdat de fabrikant dat zo bepaald heeft.

De reden dat de designfilosofie anders is is omdat het voor de fabrikant lucratiever is als je verplicht bent hun OS te gebruiken. Niets anders.
Zo heel open zijn die laptops niet als platform. Elke fabrikant heeft eigen batterijmanagement bijvoorbeeld.

Maar Microsoft heeft een andere aanpak, na al het gezeik van 3.* en 9x Windows, zijn ze heel streng geworden met richtlijnen toepassen. Leuk dat fabrikanten hun eigen shit ontwikkelen, zolang ze maar om kunnen gaan met een basis API aan requests. Zodat Microsoft met een handje vol standaard drivers, de meeste hardware in de basis kan ondersteunen.

Windows Phone 8 kon ook gewoon updaten, ondanks dat Qualcomm of andere fabrikanten geen nieuwe updates voor hun drivers uitbracht. We zijn ondertussen zo'n 10 jaar verder en Android kan dat nog steeds niet.

Google heeft met Android bepaalde keuzes gemaakt, om markt terrein te winnen, door de verantwoordelijkheid van updates zo veel mogelijk bij de fabrikanten te leggen. Iets dat al ver voor de oprichting van Google bekend was, dat dat geen verstandige keuze zou zijn.

Maar door een beetje (boel) machtsmisbruik en zulke (idiote) keuzes heeft Google de smartphonemarkt wel weten te winnen van Blackberry en Microsoft.
Dat batterijmanagement van een laptop is hardwarematig geregeld, en werkt ook gewoon onder een normale Windows-installatie ipv. de specifieke versie die bij je laptop hoort. Je accu gaat zelfs langer mee, omdat al die digitale geslachtsziektes (bloatware) dan niet worden mee geïnstalleerd.

Bij telefoons is dat niet het geval, en dat zal hoofdzakelijk komen omdat zulke zaken softwarematig regelen betekent dat je minder elektronische componenten gebruikt, en een telefoon nu eenmaal veel compacter is dan zelfs de dunste laptop.

Laptops, mits ze een UEFI hebben, kun jij gewoon compleet softwarematig gebruiken zoals je wil. Telefoons hebben geen UEFI en wil je op hetzelfde niveau allerlei configuratiedingen gaan aanpassen dan zul je serieuze IT-skills moeten bezitten.

Net zoals je serieuze skills moet bezitten om een x86-64-laptop zonder UEFI, die gemaakt is om als Chromebook te gebruiken, van Windows te voorzien.

Dus ja, een gewone laptop is een open platform. Net zoals je desktop-PC dat is.

Overigens heeft het machtsmisbruik van Google hun dominantie op de smartphonemarkt wel makkelijker tot stand doen komen, maar het is absoluut niet de primaire oorzaak ervan: dat is de horizontale integratie, namelijk dat een bedrijf extreem dominant in een bedrijfstak, in een nauw verwante bedrijfstak die echter niet direct deel van dezelfde productieketen uit maakt, is ingestapt.

De primaire drijfveer van het succes van Google op de smartphonemarkt is hun dominantie van de zoekmachine- en browsermarkt.

[Reactie gewijzigd door Pianist1985 op 23 juli 2024 01:07]

Veel telefoons ontvangen nog maar voor een of twee jaar updates. Na die tijd is de fabrikant meer bezig met nieuwe modellen, dan het ondersteunen van de oude.
Omdat smartphones hun maatschappelijke verspreiding te danken hebben aan het feit dat ze gebruikt kunnen worden voor toepassingen waarbij vereist is dat ze beveiligd zijn tegen de gebruiker.

Een smartphone die updates zou kunnen krijgen zolang er een community is die ze wil voorzien is leuk voor tweakers, maar dat is uiteindelijk nooit meer dan het smartphone-equivalent van een wagen aangepast is om op oude frituurolie te rijden. Zoiets gaat nooit bruikbaar zijn voor iets waarvoor Henk en Ingrid het zouden willen gebruiken, want het zal de vereiste integriteits-API niet mogen ondersteunen. En dus loont het niet dat de overheid regels hierover maakt.
Mooi eufemisme, iets beveiligen tegen de eigenaar van dat ding. Een telefoon met een alternatief OS schaadt mens noch milieu, dus de vergelijking met een wagen op frituurolie slaat kant noch wal.

Ik ben benieuwd wat er op een telefoon zo integer moet zijn dat Apple en Google daar meer controle over moeten hebben dan de eigenaar van de telefoon. Alles wat we vandaag de dag op een telefoon doen hebben we decennialang ook op de pc gedaan (inclusief internetbankieren).

En vergis je niet, dat je wagen niet op frituurolie mag rijden is vastgelegd door onze (democratisch verkozen) overheid. Dat je geen alternatief OS op je telefoon mag installeren is echter bepaald door de aandeelhouders van een select aantal bedrijven aan de andere kant van de wereld.
In begrijp het argument heus wel hoor :) . 10 of 20 jaar geleden zou ik het zelf ook gemaakt hebben.

Laten we het personal computing noemen: het idee dat wanneer je een digitaal toestel koopt, je hardware koopt die je voor om het even wat zou moeten kunnen gebruiken. De software die er op staat is gewoon een standaardomgeving waar de gemiddelde niet-technische persoon tevreden mee is, maar die je perfect zou kunnen vervangen door iets anders.

Heel nobel idee, helaas niet realistisch. Waarom? Omdat je de wensen van een kleine groep normatief wil maken voor massaproductie, en daarmee impliciet ook de digitale economie competitiever wil maken. Digitale economieën zijn echter inherent monopolistisch, dus elke poging om dat te keren door de marktwerking te stimuleren via juridisch ingrijpen vertraagt slechts het onvermijdelijke.
Digitale economieën zijn echter inherent monopolistisch, dus elke poging om dat te keren door de marktwerking te stimuleren via juridisch ingrijpen vertraagt slechts het onvermijdelijke.
En toch zie je dat het gewoon werkt. Elke telefoonfabrikant had zijn eigen lader, totdat de EU ingreep.

En dat de hobbyisten een kleine groep zijn is natuurlijk de verkeerde framing. De mensen die zich tegen bijv. onze koning willen uitspreken zijn misschien ook maar een kleine groep. Toch hebben we democratisch besloten dat het belangrijk is dat die vrijheid bestaat.
En toch zie je dat het gewoon werkt. Elke telefoonfabrikant had zijn eigen lader, totdat de EU ingreep.
En net doordat het werkt (t.t.z. doordat smartphones dankzij regulering objectief beter worden) kunnen de monopolisten verder groeien. Als tech een kluwen van incompatibele standaarden zou gebleven zijn, dan zou dat de groei van bedrijven als Apple en Google geremd hebben. Als de kleintjes meer risico durven nemen dan de groten, omdat ze het terrein efficiënter kunnen navigeren, dan is een jungle, paradoxaal genoeg, sociaal rechtvaardiger en economisch duurzamer dan een "eerlijk", vlak speelveld.
En dat de hobbyisten een kleine groep zijn is natuurlijk de verkeerde framing. De mensen die zich tegen bijv. onze koning willen uitspreken zijn misschien ook maar een kleine groep. Toch hebben we democratisch besloten dat het belangrijk is dat die vrijheid bestaat.
Dat doet me denken aan een quote die vaak aan anarchiste Emma Goldman wordt toegeschreven: "If voting changed anything, they'd make it illegal."

[Reactie gewijzigd door EmbarrassedBit op 23 juli 2024 01:07]

Je mag hopen dat er ook wat realisme in zit.
Mooi excuus voor providers om bijvoorbeeld 3G sneller de nek om te kunnen draaien. Want nieuwere toestellen zouden minimaal 4G aan moeten kunnen.
Gho, langs de andere kant als een fabrikant verplicht is om bv 4-6 jaar updates moet voorzien dan gaan ze mischien niet 100 verschillende modellen uitbrengen met elke maand een nieuwe versie en gaan we mischien wat langer doen met een telefoon wat natuurlijk voor het milieu een stuk beter is.

Als een fabrikant dan een beetje creatief is beginnen ze misschien met een modulaire telefoon waarbij je bv de camera eens vervangt als er een deftige update is of om de paar jaar een batterij update.

De laatste jaren heb ik niet de indruk dat er met elk nieuw model iphone of Galaxy zo'n grote vernieuwingen zijn die niet met updates of via modules naar een oude telefoon zouden kunnen gebracht worden.
Maar hoe verschillend zijn al die modellen nu echt vanuit het software perspectief? Verschillende kleuren van de behuizing maakt niets uit. Verschillen in accucapaciteit, schermgrote, hoeveelheid storage en zelf kloksnelheid maken relatief weinig uit. Pas als je naar een andere SOC gaat wordt het anders.
Even uitgegaan van wat er in het artikel staat: 5 jaar updates op de beveiliging. Tenzij je er vanuit wilt gaan dat een telefoon minder dan 5 jaar meegaat.

Het betekent trouwens niet dat ze ook vijf jaar nieuwe functionaliteit moeten krijgen.
De grens is vaag, maar maximaal 5 jaar...
When placing a product with digital elements on the market, and for the expected
product lifetime or for a period of five years from the placing of the product on the
market, whichever is shorter, manufacturers shall ensure that vulnerabilities of that
product are handled effectively and in accordance with the essential requirements set
out in Section 2 of Annex I
De vraag is wat precies 'expected product lifetime' is. Dat staat niet gedefinieerd. Is dat een lifetime die de fabrikant vermeld of de technische levensduur? Dat zal veel uitmaken.

Daarnaast staat dat een fabrikant in die 'lifetime' moet zorgen dat kwetsbaarheden zo snel mogelijk worden opgelost. Dus in principe spreken we alleen over security updates, niet om andere zaken. Een telefoon kan dus makkelijk 5 jaar op Android 12 blijven hangen, zolang die maar beveiligingsupdates krijgt op het moment dat er een groot beveiligingsprobleem is.

[Reactie gewijzigd door SunnieNL op 23 juli 2024 01:07]

Ik kan niks vinden of het verplicht wordt zodat het product ook zonder cloud werkt. Anders heb je zo dadelijk een product wat niet meer werkt. En hierdoor wordt de afvel berg groter en het is ook minder veilig. Want een hoop smart devices hebben echt geen cloud nodig. Als ze lokaal werken in je eigen netwerk is dat vaak voldoende.
Dat is meer iets wat de markt op kan lossen. Koop geen producten die cloud nodig hebben. We hoeven toch niet alles vast te leggen in wetten. Daar worden mensen alleen maar lui van.
Dat is meer iets wat de markt op kan lossen.
Klinkt leuk, gebeurd in de praktijk alleen amper. Mensen kopen die rommel toch wel en snappen er überhaupt de ballen van.
Dat klopt alleen vaak heb je geen keuze. Zoek maar is voor verwarming. De enigste die ik kon vinden zonder cloud was plugwise. En dat is vaak ook lastig uit te vinden van een product als je in de winkel staat.

[Reactie gewijzigd door TheDudez op 23 juli 2024 01:07]

Koop geen producten die cloud nodig hebben.
Daar kom je meestal pas achter als je het product al gekocht hebt en voor de eerste keer aanzet.

Zelf heb ik pas nog een gimbol gekocht, die ook gedwongen geregisteerd werd via het internet en bluetooth.
De ondersteuning moet vijf jaar duren vanaf de release, tenzij de verwachte levensduur van het apparaat korter is dan dat.
En wat als een model al 5 jaar op de markt is en nog steeds verkocht wordt? Krijg je dan geen ondersteuning meer? Of wordt vanaf verkoopdatum bedoeld?
Er staat in het artikel toch echt release datum en ik verwacht dat dat in het voorstel ook zo zal zijn. Je kan daarnaast ook een fabrikant niet verantwoordelijk houden voor een verkoper die te veel voorraad heeft ingekocht en jaren na het einde van productie alsnog je product nieuw verkoopt.

Ik zou dan ook liever zien dat fabrikanten verplicht zouden zijn om op de verpakking van het product een minimale einddatum van ondersteuning te moeten printen, zodat het duidelijk is voor de consument tot wanneer er ondersteuning is.
Je kan daarnaast ook een fabrikant niet verantwoordelijk houden voor een verkoper die te veel voorraad heeft ingekocht en jaren na het einde van productie alsnog je product nieuw verkoopt.
Dat hoeft ook niet. Ik ben geen specialist consumentenrecht, maar ik weet wel dat de verkoper altijd verantwoordelijk is voor het product. Die mag het dan weer uitvechten met de groothandel/importeur/fabrikant.

Maar wat ik eigenlijk bedoel is: Een bepaald model product kan ook nog na een jaar, meerdere jaren, in principe zelfs na meer dan vijf jaar na de introductiedatum geproduceerd blijven worden.

Stel, je koopt een cheapo dashcam met wifi die al 6 jaar verkocht wordt. Dan zou daarvoor geen ondersteuning meer verplicht zijn, want de releasedatum is al meer dan 5 jaar geleden.

Zo’n verplichte ‘beveiligingshoudbaarheidsdatum’ is wat dat betreft best een goed idee. Dan ben je alles voor.
Hoe sneller hoe beter. Heeft nog best lang geduurd sinds ik IoT apparaten al in de begin dagen van Google gewoon kon opzoeken om over te nemen. De hele waslijsten aan Cisco of overige routers met hun default passwordjes die je in kon zetten voor proxies en DDOS geouwehoer.

Tegenwoordig kloot ik niet zo veel meer op het internet, maar met de brakke beveiliging en hoe ver IoT doorgedrongen is in de gemiddelde huishoudens. Het verbaast me eigenlijk hoe weinig misbruik er eigenlijk van gemaakt wordt, of hoe weinig mensen het nog steeds doorhebben.
Ja en nee. Komt er een nieuw apparaat op de markt dat enkel en alleen werkt na connectie met cloudopslag. Waarbij elke connectie over de cloudservice gaat om het extra, super veilig te houden.
Na 3 jaar gaat daar de stekker uit. Maar door de extra beveiliging kun je als eindgebruiker er helemaal niets mee mee.

Graag in de zelfde wed ook de verplichting voor de mogelijkheid lokaal op het apparaat in te loggen. Desnoods door een reset of vasthouden van 1 of meerdere knoppen.
Dat heeft er ook mee te maken dat de beveiliging van een hoop van die dingen inderdaad slecht is, maar dat je er verder weinig mee kan. Het is misschien leuk om remote de thermostaat van iemand op 30 te zetten (of juist uit) en om de zonwering omhoog of omlaag te kunnen doen, maar als dat het enige is wat je daadwerkelijk kan, dan valt het allemaal wel mee en is de lol er ook snel af. Het wordt pas gevaarlijk als het gaat om camera's, routers of als de software van zo'n zonwering misbruikt kan worden om verder binnen te dringen in een netwerk. Dan wordt het interessant voor "professionals". Die gaan namelijk alleen dingen doen als ze daar wat aan kunnen verdienen.
Nu nog een verplichting voor het openstellen van alle protocollen zodat je niet voor elk ecosysteem een bridge of ander milieuvervuilende oplossing nodig hebt en het begind ergens op te lijken.

Op dit item kan niet meer gereageerd worden.