EU skærper sikkerhedskrav til IoT-produkter
En ny tekst fra EU-rådet som en del af Cyber Resilience Act fjerner femårsgrænsen for produkters levetid, præciserer lovgivningens omfang og gør automatiske sikkerhedsopdateringer standard for opkoblede enheder.
Cyber Resilience Act er et lovforslag, der skal indføre essentielle sikkerhedskrav for enheder koblet til internettet, hvor de sender og modtager data, også kaldet Internet of Things (IoT).
Det svenske formandskab udsendte endnu en omarbejdet version af den nye cybersikkerhedslov, der blev diskuteret onsdag ved Cyber Working Party, et teknisk organ under EU’s Ministerråd. Teksten indeholder en del ændringer i kategoriseringen af kritiske og yderst kritiske produkter inden for Cyber Resilience Act.
Se også: Guides til de bedste smart home produkter
IoT-produkter skal gøres mere sikre i længere tid
Det oprindelige forslag lød på, at producenterne af produkterne systematisk bedømmer risici i sikkerheden og ruller sikkerhedsforbedringer ud inden for produktets forventede levetid eller fem år, alt efter hvad der er kortest.
Grænsen på fem år er blevet fjernet, hvilket formentlig gør producenterne ansvarlige i en længere periode. Det er ikke et krav, at producenterne angiver en forventet levetid for sine produkter, så forbrugerne ved, hvornår de skal forvente sikkerhedsopdateringer.
I den nye tekst præciseres det også, at websider, der ikke supporter de opkoblede enheders funktionalitet, og cloudtjenester udviklet uden for producentens ansvarsområde, ikke omfattes af lovgivningen.
En ny paragraf betyder due diligence-forpligtelser for de producenter, der har tredjepartskomponenter med i sine enheder.
Med andre ord skal producenterne verificere, at komponenterne lever op til kravene til cybersikkerhed, og at de ikke har sårbarheder, der er kendt i offentligt tilgængelige databaser.
Se også: Derfor er IT-sikkerhed vigtigere end nogensinde
Særlige regler for databehandling
Fjernlagring af data og behandlingstjenester er kun medregnet, hvis de er nødvendige for funktionaliteten af IoT-produktet. Det gælder for eksempel, hvis en enhed har brug for adgang til en database udviklet af producenten for at kunne fungere.
Med andre ord gælder lovgivningen ikke, hvis producenten bruger en tredjepartsapp for at behandle data, men hvis samme selskab udvikler softwaren, skal websiden leve op til lovgivningens krav til cybersikkerheden.
Ifølge den nye tekst gælder Cyber Resilience Act kun for opkoblede produkter, der er lanceret på det europæiske marked for at tjene penge.
Det spiller underligt nok ingen rolle, under hvilke omstændigheder produktet er udviklet, noget der lader til at skulle sikre, at open-source software som Android fortsat forbliver inden for lovens rammer.
Derimod omfattes produkter leveret af offentlige myndigheder mod et gebyr, der dækker driften, ikke af lovgivningen.
Teksten er blevet ændret for at sikre, at sikkerhedsopdateringer automatiske er installeret som standard med en klar og let måde til at takke nej til til datasamtykke.
Se også: Fordele og ulemper ved smart home