Britten willen IoT aan banden leggen

Het wetsvoorstel komt na een poging de industrie via zelfregulatie aan te zetten tot meer aandacht voor de beveiliging van IoT-apparatuur. Die heeft niet het beoogde effect gehad. Het ministerie van Cultuur, Media en Sport (DCMS) heeft het wetsvoorstel opgezet in samenwerking met het NCSC. Ook is er een consultatieronde geweest waarin onder meer informatiebeveiligers en producenten zijn gehoord, meldt ZDNet.

Met het wetsvoorstel wil de Britse overheid afdwingen dat producenten en verkopers zich houden aan drie regels:

• Alle consumenten-apparatuur die met internet is verbonden moet een uniek wachtwoord krijgen dat niet is terug te zetten naar universele fabrieksinstellingen.

• De makers van IoT-apparatuur voor consumenten moeten een contactpunt inrichten zodat iedereen een kwetsbaarheid kan rapporteren waar dan op gepaste tijd op wordt gereageerd.

• De producenten van consumenten IoT-apparatuur moeten expliciet een minimumperiode aangeven gedurende welke het betreffende apparaat beveiligingsupdates ontvangt, via het verkoopkanaal of direct via een online-verbinding.

Er is nog veel onduidelijkheid over de status van het wetsvoorstel. De regering wil wel regelgeving in deze richting maar heeft geen tijdpad aangegeven. Ook is niet duidelijk hoe de overheid de nieuwe verplichtingen wil gaan handhaven.

EU wil IoT-beveiliging inbedden in groter initiatief

De Britten lopen op dit vlak vooruit op ontwikkelingen in Europees verband. Het Nederlands Agentschap Telecom pleit ook al langer voor een keurmerk voor IoT-apparatuur. De Nederlandse overheid wil echter wachten op een initiatief in Europees verband, dat is gebaseerd op een rapport van European Union Agency for Cybersecurity (ENISA).

De EU heeft het raamwerk dat daarvoor in ontwikkeling is, onderdeel gemaakt van een groter initiatief om cybersecurity naar een hoger plan te tillen. De Europese Commissie zou daarbij wel een hoge prioriteit geven aan de beveiliging van IoT.