De standaard ETSI EN 303 645 bevat richtlijnen voor de beveiliging van consumentenelectronica die gebruik maakt van online toepassingen zoals bijvoorbeeld services over het internet en daarom onderdeel is van het Internet of Things. Kiwa test en toetst op basis van de ETSI EN 303 645 of IoT-producten voldoen aan deze norm en voldoende veilig zijn voor gebruikers.

In vrijwel elk huishouden zijn tegenwoordig meerdere smart devices te vinden. Vaak verzamelen, bewaren en verzenden deze apparaten gegevens van de gebruiker. Nog té vaak zijn deze apparaten echter standaard niet of niet voldoende beveiligd tegen hacks, datalekken en ander digitale dreigingen. Het Europees Telecommunicatie en Standaardisatie Instituut (ETSI) heeft daarom de standaard ETSI EN 303 645 ontwikkeld. Deze bevat eisen en procedures voor de cyberveiligheid van IoT-consumentenprodukten. Het gaat daarbij niet alleen om smart devices zelf, maar ook om sensoren en bedieningsonderdelen van deze apparaten.

In de ETSI EN 303 645 hebben de deelnemers van het ETSI (fabrikanten, leveranciers van netwerkdiensten, overheden, telecomtoezichthouders en eindgebruikers) generieke, doelmatige best practices vastgelegd rondom cyberveiligheid en privacybescherming van consumentenelectonica met een internetverbinding. De standaard  beoogt alle partijen die betrokken zijn bij de ontwikkeling en productie van een IoT-product te voorzien van richtlijnen voor de beveiliging van dat product. Hiervoor bevat de standaard essentiële beveiligingseisen op een aantal onderwerpen. Er zijn onder meer richtlijnen voor:

  • Rapportage van implementatie;
  • Wachtwoorden;
  • Mechanismen voor het rapporteren van kwetsbaarheden;
  • Communicatieveiligheid;
  • Software-integriteit;
  • Installatie en onderhoud van apparatuur;
  • De procedure voor het omgaan met persoonlijke data

Voor fabrikanten van IoT consumentenelektronica

Testen door Kiwa volgens de ETSI EN 303 645 is van toegevoegde waarde voor ontwikkelaars en fabrikanten van consumtentenelektronica die verbonden kan worden met het web. Voorbeelden zijn onder meer babyfoons, slimme deurbellen, cameras, tv’s en speakers, wearable health trackers en connected huishoudelijke apparatuur als wasmachines en koelkasten. Produktontwikkeling volgens de ETSI EN 303 645 draagt bij aan betere veiligheid, updatebaarheid, transparantie, structuur, etc.

Hoe ziet een ETSI EN 303645-traject eruit?

  1. De standaard maakt een onderscheid in verplichte en aanbevolen requirements. Samen met de klant gaat een expert van Kiwa na welke requirements van toepassing kunnen zijn op het product.
  2. Op basis van de verzameling requirements die zijn bepaald in stap 1 stelt Kiwa een beoordelingsplan op.
  3. Om de beoordeling uit te kunnen voeren hebben de testers van Kiwa documentatie, technische informatie en een werkende sample van het product nodig. Dit alles wordt in deze stap verzameld, bijgewerkt en gereedgemaakt.
  4. Kiwa voert de beoordeling uit. Indien er zaken worden geconstateerd waarbij het blijkt dat een product een bepaalde test niet gaat halen wordt de klant tijdig op de hoogte gebracht omtrent mogelijke vervolgstappen.
  5. Na het uitvoeren van de beoordelingen levert Kiwa een geaccrediteerd testrapport op wat ook gebruikt kan worden als basis voor RED certificatie van artikel 3.3.

Onafhankelijke beoordeling

Voor het onafhankelijk beoordelen en certificeren van IoT-apparaten op aspecten rondom cybersecurity werkt Kiwa samen met KPN Security. De twee partijen hebben hiervoor op 2 november 2021 een samenwerkingsovereenkomst getekend. Leveranciers en fabrikanten kunnen hierdoor hun IoT-apparaten bij één loket onafhankelijk laten certificeren, waardoor dit proces snel verloopt en zij deze nieuwe producten snel naar de markt kunnen brengen.

Hoogwaardige testfaciliteiten

KPN Security toetst in zijn hoogwaardige testfaciliteiten of IoT-apparaten voldoen aan de ETSI EN 303 645-standaard en ze dus in de basis voldoende cyberveilig zijn voor consumenten. Daarbij wordt onder andere gekeken naar encryptie, updatemechanismen, standaardwachtwoorden en andere belangrijke bescherming tegen cyberaanvallen.

Onafhankelijke testresultaten

Zowel de testfaciliteiten als het kwaliteitssysteem van KPN Security voldoen aan hoge kwaliteitseisen en worden door Kiwa als onafhankelijke toetsingsinstelling gemonitord. Kwaliteit, onafhankelijkheid en onpartijdigheid blijven daardoor gewaarborgd. Kiwa kan daardoor de testresultaten accepteren voor het uitgeven van een productcertificaat. Met het productcertificaat is de producent ervan verzekerd het product te mogen verkopen op de Europese markt en daarbuiten.

Certificatie

Er zijn twee mogelijkheden wat betreft certificatie volgens de ETSI EN 303 645. Als het product voldoet aan de eisen van de norm kan de fabrikant kiezen voor een Certificate of Conformity volgens de standaard of een Radio Equipment Directive 2014/53/EU (RED)-certificaat met vermelding voor compliance aan artikelen 3.3 d, e en f. Compliance volgens de RED-artikelen 3.3 d, e en f is vanaf augustus 2025 verplicht. Hierin zijn minimale eisen vastgelegd voor de cyberveiligheid van radioproducten die bestemd zijn voor de Europese markt.

Kiwa kan u ondersteunen bij RED-certificatie inclusief artikelen 3.3 d, e en f. Als de fabrikant een RED-certificaat heeft aangevraagd, wordt conformiteit met de ETSI EN 303 645 hierop vermeld. Hiermee kan de fabrikant aantonen dat het product voldoet aan basiseisen op het gebied van IoT en cybersecurity die steeds belangrijker worden. Zo wekt een fabrikant niet alleen vertrouwen bij de (potentiële) gebruikers van zijn product, maar kan hij zich ook onderscheiden in de markt.