Nieuwe RED regelgeving voor IoT devices – wij zijn er klaar voor!

Vanaf 1 augustus 2024 moeten alle verkochte IoT producten aan de vernieuwde RED regelgeving voldoen. De nieuwe wetgeving is opgesteld om de cyber risico’s te verkleinen en persoonsgegevens beter te beschermen. In dit artikel vertellen we meer over de nieuwe wetgeving en wat voor impact dit heeft bij nieuw te ontwikkelen IoT producten. Inventeers heeft de eerste producten al volgens de nieuwe RED regelgeving gecertificeerd en in deze blog delen we graag onze inzichten.

Radio Equipment Directive (RED), wat is nieuw?

De RED is in 2014 gepubliceerd en de opvolger van de R&TTE regelgeving. Deze wetgeving zorgt ervoor dat de producten met een radio die op de markt komen veilig zijn, geen verstoringen veroorzaken en van het juiste radio spectrum gebruik maken. De ontwikkelingen gaan razendsnel en we worden allemaal steeds digitaler, dit brengt ook nieuwe risico’s met zich mee. In de extra nieuwe artikelen RED 3.3 artikelen d,e,f zijn er nu ook extra regels cybersecurity en de bescherming van persoonsgegevens opgenomen.

RED: Cybersecurity

Internet of Things apparaten worden door hackers steeds vaker ingezet voor DDOS aanvallen. Hackers infecteren de apparaten en zetten alle apparaten tegelijk in om een netwerk te benaderen. Hun doel is zoveel verkeer te creëren dat een netwerk (bedrijfsnetwerk of website) overbelast raakt en uitvalt. Om deze risico’s te beperken en ook andere cyber security dreigingen tegen te gaan mogen door de nieuwe regelgeving er geen apparaten meer worden verkocht met bekende software en hardware beveiligingslekken. Ook moeten de apparaten zo zijn ontwikkeld dat de mogelijkheden voor een DDOS aanval beperkt zijn.

RED: Bescherming van persoonsgegevens    

Veel IoT apparaten zijn er om ons leven eenvoudiger te maken door rekening te houden met onze voorkeuren, plaats waar we zijn en onze dagelijkse routines. Licht en thermostaat wordt automatisch  ingeschakeld als we thuiskomen en betalen gebeurt steeds vaker met een telefoon of horloge. Deze verregaande digitalisering brengt ook gevaren met zich mee in de vorm van fraude of het ongeoorloofd gebruik van de persoonsgegevens. In de nieuwe RED directive is er veel aandacht voor de privacyregelgeving. In de nieuwe regels wordt er gekeken naar opslag, verwerking, toegang en openbaarmaking van de data. Er wordt op toegezien dat alleen bevoegde personen, programma’s en machines toegang hebben tot de persoonsgegevens waartoe zij rechten hebben. Om dit te waarborgen moet dit ook via de software te checken en te configureren zijn. Daarnaast moet de software ook zo zijn gebouwd dat tijdens het opstarten wordt gekeken of er mogelijke veiligheidslekken zijn. Mocht dit zo zijn dan moet de gebruiker direct een waarschuwing krijgen.

Inventeers en RED: Ontwikkeling, Certificering en FOTA

Inventeers wil voor opdrachtgevers succesvolle producten ontwikkelen. Voor succes zijn veiligheid en certificering van cruciaal belang. Vanaf de start van de ontwikkeling houden we in het hardware en software ontwerp rekening met zowel de certificering als de veiligheid. Wanneer het design is afgerond nemen we ook vaak het hele certificeringsproces voor onze rekening. Ons doel is direct door de certificering heen te komen, first time right / right first time! Mochten er desondanks aanpassingen in het ontwerp nodig zijn dan voeren we deze door. Iets wat volgens de nieuwe RED richtlijn verplicht is en wat we bij ieder project meenemen is FOTA (Firmware over the Air). Als er een issue is met één van de programmeerbare chips op de printplaat, dan kan door FOTA deze chip online een software update krijgen. Eventuele beveiligingslekken behoren dan weer tot het verleden!

Meer informatie?

Inmiddels heeft Inventeers al de nodige apparaten laten certificeren volgens de nieuwe RED richtlijnen. Heb je naar aanleiding van dit artikel vragen? Neem contact op!