Duitse overheid introduceert IT-keurmerk voor slimme beveiligingsapparaten

De Duitse overheid introduceert een IT-keurmerk voor slimme beveiligingstechnologie, zoals alarmsystemen en slimme sloten. Fabrikanten moeten aan veiligheidsnormen en ondersteuningseisen voldoen om in aanmerking te komen voor het keurmerk.

Smartlock
Bron: Elementen Envato

Het keurmerk is gebaseerd op de VdS 6063-veiligheidsnormen en is bedoeld om de veiligheid van beveiligingstechnologie inzichtelijk te maken voor consumenten. Fabrikanten van deze apparaten moeten onder meer kwetsbaarheden bij het Bundesamt für Sicherheit in der Informationstechnik melden en beveiligingsupdates blijven uitbrengen zolang het keurmerk van toepassing is, zo merkt Security.nl op.

Daarnaast moet een fabrikant volgens de eisen ervoor zorgen dat de toegang tot deze apparaten beveiligd is, dat communicatie met de apparaten via een versleutelde verbinding verloopt en dat gebruikers de apparaten gemakkelijk kunnen resetten, aanpassen en 'zonder geavanceerde kennis' up-to-date kunnen houden.

Fabrikanten moeten zelf uitzoeken of zij in aanmerking komen voor het label, waarna de BSI aanvragen steekproefsgewijs controleert, bijvoorbeeld wanneer een nieuwe kwetsbaarheid voor een product of technologie bekend wordt. De maker van een product met een dergelijk keurmerk mag het label op productpagina's tonen en kan een QR-code weergeven met extra informatie over de keurmerkeisen.

Het keurmerk is bedoeld voor uiteenlopende 'slimme' beveiligingsapparaten, waaronder overval- en inbraakalarmsystemen, slimme sloten, beveiligingscamera's, bewegingssensoren en netwerkrookmelders. Ook bijbehorende apps, waaronder die voor web- en cloudomgevingen, vallen onder het keurmerk. Eerder bracht de Duitse overheid al een keurmerk voor iot-apparaten uit.

Door Yannick Spinner

Redacteur

18-08-2025 • 19:53

38

Submitter: wildhagen

Reacties (38)

Sorteer op:

Weergave:

Dit zou dus eigenlijk Europees geregeld moeten worden.

Straks introduceert elk land zijn eigen keurmerk met bijbehorende eisen

//edit: typo

[Reactie gewijzigd door metalmania_666 op 18 augustus 2025 20:01]

Hoewel ik geen expert ben in keurmerken lijkt dit gewoon de Duitse implementatie van een Europese standaard.

“This specification is a version of the VdS 3836 regulations for fire protection and security technology tailored to the end user. It covers all requirements for smart consumer devices in accordance with ETSI EN 303 645 in conjunction with ETSI TS 103 701 and the national supplementary document BSI TR-03173.”

https://www.etsi.org/deli..._60/en_303645v020101p.pdf
Die Europese standaarden zijn weer bedoeld om in de nationale wetgeving van de lidstaten op te nemen.
Precies. Een recent voorbeeld is NIS2, wat in Nederland de Cyberbeveiligingswet heet. Op nationaal niveau zijn de Europese richtlijnen/standaarden vertaald naar Nederlandse wetgeving. En dat is niet handig, want veel bedrijven werken niet alleen maar binnen één land. Ik ondersteun verschillende bedrijven binnen Europa met hun voorbereiding op NIS2 en er zitten kleine tegenstrijdige dingen in de nationale implementatie, waardoor dit alleen maar voor administratief geneuzel leidt.
Dat is bij de regelgeving voor CE markering niet anders. Vaak begint EU regelgeving in de vorm van richtlijn (die omgezet moet worden in nationale wetgeving) en volgt dan een aantal jaren later een EU verordening die gelijk wetgeving is in alle lidstaten. Overigens is er ook dan sprake van vertaalfouten of verschil in nuance, omdat ook EU verordeningen in 27 talen gepubliceerd worden die theoretisch onderling inhoudelijk gelijk zouden moeten zijn.

[Reactie gewijzigd door MOmax op 19 augustus 2025 09:42]

Klopt helemaal wat je schrijft - het mooie én verschrikkelijke van de Europese Unie mbt regelgeving ;)
Lang niet alle richtlijnen worden uiteindelijk in verordeningen omgezet. Als de nationale wetgevingen voldoen en de situatie niet veranderd is (lees geen aanpassingen in de richtlijn noodzakelijk), dan is er geen rede om de richtlijn om te zetten in een verordening.

Zelfs bij een verordening hebben de lidstaten de mogelijkheid om in de eigen wetgeving zaken toe te voegen die de wet strenger maken. De straffen zijn, zeker voor binnenlandse overtredingen, grotendeels aan de lidstaten.
Ach, het is met de Deutsche Industrie Normierung ook best goedgekomen. ;)
Dit wordt ook al gewoon Europees geregeld in de naderende Cyber Resilience Act (verordening cyberweerbaarheid), die per 11 december 2027 volledig van toepassing is op alle zogeheten producten met digitale elementen (zeg maar kort: alles met software). Dit lijkt me een oplossing om die 2 jaar te overbruggen en de overstap wat gemakkelijker te maken voor producenten. Ik verwacht ook niet dat men dit in stand houdt vanaf eind 2027.

Onder de CRA vallen (heel toevallig) ook bijbehorende apps, cloudomgevingen en andere remote services (zogeheten remote data processing solutions), daarnaast is er ook een meldplicht voor kwetsbaarheden en incidenten, een zorgplicht gedurende de levensduur van het product en worden allerlei eisen gesteld aan het product. Zo moeten risico's gemitigeerd zijn (binnen redelijkheid), security updates voor kwetsbaarheden gratis, gesplitst van feature updates en idealiter automatisch beschikbaar komen en geïnstalleerd kunnen worden, en wordt ook het opstellen van een SBOM verplicht.
Dit lijkt me juist bedoelt om met een keurmerk, dat door een officiële keuringsinstantie is afgegeven, aan te kunnen geven dat je aan die EU-eisen voldoet.
Zo werkt het stelsel alleen niet, helaas. Ze zijn ook geen officiële keuringsinstantie, maar een overheidspartij. Een officiële keuring (zogeheten conformiteitbeoordeling) zou zich baseren op de wettelijke eisen, waarna de producent zelf de bekende CE-markering op het product aanbrengt.
De CE-markering werkt juist niet met een officiële keuring door een (van de fabrikant) onafhankelijke instantie. Het is meer een mededeling van de fabrikant dat het product voldoet aan de eisen die er aan worden gesteld.
Prima als je het ook goed vindt dat Nederlandse producten bijvoorbeeld niet meer in Duitsland verkocht mogen worden omdat ze niet aan alle eisen voldoen omdat ze tegen Nederlandse eisen in gaan (ook al willen beide landen hetzelfde bewerkstelligen).

Eén set met eisen kan ook nog eens een stuk veiliger zijn; ieder land heeft er dan baat bij dat de voor hen belangrijke dingen in deze set met eisen opgenomen is. Stelt Nederland zelf eisen op die een ander land niet heeft, maar verzaakt het weer eisen die andere landen wel kennen, dan gaan hackers zich specifiek op de landen met de zwakste eisen richten (waar ze waarschijnlijk wel iets voor elkaar kunnen krijgen), wat net zo goed Nederland als elk ander land kan zijn.
Prima als je het ook goed vindt dat Nederlandse producten bijvoorbeeld niet meer in Duitsland verkocht mogen worden omdat ze niet aan alle eisen voldoen omdat ze tegen Nederlandse eisen in gaan (ook al willen beide landen hetzelfde bewerkstelligen)
Zal niet zo'n vaart lopen.

Ten eerste: Het keurmerk is niet verplicht. Dus apparaten die niet aan het keurmerk voldoen mogen nog steeds verkocht worden.

Ten tweede: Er is geen enkele fabrikant die een apparaat gaat ontwikkelen die alleen maar in NL gebruikt kan worden. Er zal gewoon een grootste gemene deler ontstaan van eisen waaraan het apparaat moet voldoen. En dat zal gewoon een superset zijn van NL / BE / DE (etc).

Ten derde: Er zijn niet veel (zinnige) strijdiende eisen te bedenken voor een apparaat. Ondersteunig voor 3 jaar (bijv NL) en ondersteuning voor 8 jaar (DE) is niet strijdig. Paswoord van 8 karakters en 25 karakters is niet strijdig. Een verplicht 'geen paswoord' is dat wel, maar dat zal (hoogst waarschijnlijk) geen eis zijn.

Uiteraard zullen hackers zich richten op de minst beveiligde systemen. Dat is momenteel: geen eisen (waar dan ook in de EU). Iedere eis die een lidstaat bedenkt is dus per definitie een verbetering (van de beveiliging). (Vooropgesteld dat een politicus geen idioot is, wat soms wel wat veel gevraagd is).
Ten tweede: Er is geen enkele fabrikant die een apparaat gaat ontwikkelen die alleen maar in NL gebruikt kan worden. Er zal gewoon een grootste gemene deler ontstaan van eisen waaraan het apparaat moet voldoen. En dat zal gewoon een superset zijn van NL / BE / DE (etc).
Of de eisen voor Nederland zijn (tegen die tijd, want dit gaat om Duitsland maar het idee blijft hetzelfde) zo specifiek dat fabrikanten het land links laten liggen, zeker als zo een keurmerk op termijn wel verplicht zou worden. Dan kan je hoog en laag springen als (klein) land, maar de producenten gaan je dan uiteindelijk dwingen om je eisen te verlagen.

Stel je een lijst met eisen op als EU als geheel, is de markt zo groot dat bedrijven er niet omheen kunnen.

Strijdige eisen kunnen zijn dat één land automatische updates via internet verplicht stelt, terwijl de ander juist zou kunnen eisen dat dit juist niet mag (ivm mogelijke dependency injection).
Wat dit onderwerp betreft hebben we in de EU gelukkig een vrij Handelsverdrag van diensten en goederen en wordt een verbod op producten over het algemeen gezamenlijk geregeld. Nationale keurmerken bestaan en dat is soms onhandig, maar verre van problematisch
Het is toch prima dat als je je slot o.i.d. wil verkopen in DE dat je je dan aan hun regels moet gaan houden. Er komt best wat kijken bij productie, ontwikkeling, retail, etc.. Zouden er echt dingen in de richtlijn staan die onredelijk zijn? Zoals het artikel aanhaalt, gaat deze nieuwe richtlijn vooral verder op de huidige en gaat over disclosure en updates. Goede zaak.
Er zullen geen onredelijke eisen in staan.

Het is meer iets waar een merk dat zijn zaken beter op orde geeft, maar duurder is zich zichtbaar kan onderscheiden van een generiek goedkoop Chinees merk in de winkelschappen of in een webshop.
Het is nu vaak lasting om zonder diep in de site van de everancier te duiken wat het verschil is tussen een slimme deurbel van merk A en een tweemaal zo dure van merk B. B kan beter zijn, maar kan ook van een Europese fabriek zijn die producten van vergelijkbare kwalitet als A uit China of Vietnam inkoopt, maar deze in Europa in een andere verpakking stopt. (Met een TüV stickertje er op omdat TüV heeft getest of het appaaat geen brandgevaar oplevert.)
Fabrikanten moeten zelf uitzoeken of zij in aanmerking komen voor het label, waarna de BSI aanvragen steekproefsgewijs controleert
LOL,

Dat is zoals de nieuwe "herstelbaarheidsindex" die momenteel in België in voegen is voor stofzuigers, vaatwassers, laptops, hogedrukreinigers en grasmaaiers.

Daar mogen de fabrikanten ook gewoon zelf het labeltje op kleven ROFL, aan ons (de effectieve herstellers) is niemand komen vragen welk labeltje wij ze geven hoor :)
Het zijn meer de gevolgen, het hoeft niet bij aanvang gecontroleerd te worden maar zodra er een probleem is dan ligt er veel meer verantwoordelijkheid bij de fabrikant er verkoper ipv consument.

Is er een onopgeloste beveiligingslek en is het product verkocht met het certificaat dan is het product niet meer conform en kan je hem als consument terugbrengen naar de verkoper of fabrikant en je geld terugkrijgen. Werken ze niet mee heb je ook meer legale basis om een rechtszaak te beginnen of voor een consumentenorganisatie een collectieve rechtsgang
Zo werkt het bijna altijd. Er is gedefinieerd waar je aan moet voldoen en als fabrikant vinkt de eigenschappen al dan niet af om tot een classificatie te komen. Het is onmogelijk om een onafhankelijke organisatie iedere product op de markt door te lichten.
Begrijp ik,

Maar in dit geval is het super belachelijk, aangezien er niets gevraagd wordt aan de mensen die effectief de herstelling uitvoeren.
Nee, zoals gezegd is dat normaal. Sloten met een keurmerk brengt de fabrikant ook op de markt op basis van specs en eisen en die gaan ook niet allemaal langs slotenmakers/krakers. Hotels die sterren voeren worden ook niet bezocht door specialisten op het gebied van hotelinrichting.
En platform-neutraliteit? Of blijven we gewoon vasthouden aan de verplichting gesloten Amerikaanse besturingssystemen te moeten gebruiken om onze apparaten te gebruiken en updaten?

Ik had eens gehoopt dat het verplicht wordt om communicatieprotocollen te publiceren, zodat als het bedrijf over 3 jaar ophoudt te bestaan er tenminste nog een kans is dat je het kunt blijven gebruiken. En het helpt bij implementatie door derde partijen en privacy.

[Reactie gewijzigd door Fuzzillogic op 18 augustus 2025 21:21]

Kan dit europees gemaakt worden? Graag.
RED Wikipedia: Radio Equipment Directive (2014) heeft vorig jaar een Cybersecurity update gekregen die 1-8-2025 in werking is getreden voor producten met Wifi, BT en andere draadloze verbindingen. Dit is verwerkt in het CE keurmerk.

Ik had wel verwacht dat tweakers hier een artikel over zou maken en zelfs een tip ingediend.

Publieke sites van fabrikanten hebben nog niet veel gepubliceerd. Maar als je op LinkedIn op Radio Equipment Directive zoekt krijg je veel meer info.

[Reactie gewijzigd door superduper1969 op 19 augustus 2025 07:12]

Bijzonder voor een land dat qua technologie op veel vlakken ver achterloopt.
Ik wou net zeggen. Als er een van de top Europese landen is die achter loopt op gebied van IT, dan is dat Duitsland wel.

Het keurmerk zegt helemaal niets over veiligheid. In de afbeelding die in het artikel staat is een "slim" slot te zien. Wedden dat je die met een sterke magneet opent? Zo heeft de wel bekende lockpicking lawyer heel wat elektronische sloten weten te openen.
Aan de andere kant was er een slim slot dat de (Servische?) collega van de lock picking lawyer gewoon niet open kreeg, behalve met zeer grof geweld.
Ga eens kijken in Berlijn bij startups. Ga naar CCC en dan horen we graag je bevinden met hoe veel ze achterlopen. Zeker op security is er geweldig onderzoek uit Duitsland. Een aantal Spectre en Meltdown papers is geschreven n.a.v. onderzoek gedaan bij ... DE universiteiten.
Aber dar ist nur barzahlung möglich.
Wat ik in dit hele verhaal nog een beetje mis, is iets voor de gebruiker zelf. Nu ligt alles bij fabrikanten en het BSI, maar je ziet als consument niet of jouw apparaat nog netjes updates krijgt of kwetsbaarheden heeft. Een centrale database waar je dat realtime kunt checken zou het keurmerk veel sterker maken. Dan heb je als gebruiker ook echt inzicht.
Het woord "slim" betekent in het Nederlands iemand die intelligent, scherpzinnig en snel van begrip is. Een slim persoon kan goed problemen oplossen, snel iets begrijpen en heeft vaak een groot leervermogen. Het kan ook betekenen dat iemand verstandige en handige beslissingen neemt.

Daarnaast kan "slim" ook wijzen op vindingrijkheid, oftewel het vermogen om creatieve en effectieve oplossingen te bedenken. Synoniemen zijn onder andere pienter, schrander, handig, gevat en intelligent.

Hoe is dit van toepassing op alarmsystemen en sloten?
Omdat zo'n apparaat voor de gebruikr handig is.
Zo een keurmerk, heeft dat een jaartal in de keuring staan? Dan kunnen we over een paar jaar zien dat het keurmerk een paar jaar oud is en mogelijk verlopen.
Wil een fabrikant dat keurmerk dan bijhouden, dan moet ze dus ook de software en dergelijke bijwerken.
En als het keurmerk wordt aangepast dat we dan ook zien dat het aan het nieuwe keurmerk voldoet.

Kijk ik naar de energie labels, dan zie ik dat daar vaak veel te laat iets aan gebeurt. En zodra dat gebeurt dan zien we nog niet goed of het oude dan wel het nieuwe label gebruikt wordt.
Van het einde van de vorige eeuw herinner ik mij dat de beeldbuis-beeldschermen (vga en omstreken) een keurmerk hadden rond het energie verbruik en de licht-intensiteit die ze uitstraalden. Die hadden een jaar-nummer in het keurmerk (vesa'95 of zo staat op mijn netvlies).
dat oude keurmerk herinner ik me als "EnergyStar"....maar dan heb ik het over CRT-monitoren.

Jouw voorbeeld kan inderdaad van VESA zijn....die doen ook HDR standaarden..je kent de club ook wel van de geuniformeerde montagegaten achter op monitoren en TV's....VESA300 of VESA400...voor beugels of voeten.
Opzich slim maar hoe wordt dit geïntrigeerd in de rest van de EU ? ben de laatste tijd bezig met informatie over hoe de EU meer onafhankelijk kan zijn van producten en services buiten ons met name Amerika, China, Rusland, Israël enz. lijken mij geen goede bedoelingen te hebben en wij blijken wel bezig te zijn waar je amper iets van hoort op de media zoals ruimtevaart, satellieten, Cloud, AI, chips etc. zijn er projecten die gesteund worden in Europa.

In sommige gevallen lopen wij zelfs voorop de concurrentie maar het grote probleem van de EU is al die verschillende regels en wetten van technologie tot veiligheid het is een bureaucratische nachtmerrie wat onnodig miljarden per jaar kost dus weer aparte keurmerken erbij per land lijkt mij een extra onkosten post dus wat mij betreft wordt dit een Duits voorbeeld en dat andere landen iets toevoegen en dat het dan een Europees keurmerk wordt en ook met andere zaken het moet een Europees Universeel worden.

Op dit item kan niet meer gereageerd worden.