4 aug. 2025
1 minuut
Fabrikanten van slimme apparaten met radioverbinding mogen hun producten sinds 1 augustus 2025 alleen nog in de EU verkopen als ze voldoen aan verplichte cyberbeveiligingsregels. Deze eisen komen voort uit de Radio Equipment Directive (RED) en gelden voor elk apparaat dat verbinding maakt met een netwerk of persoonsgegevens verwerkt. Zonder naleving is CE-markering niet meer mogelijk.
De regels zijn vastgelegd in Delegated Regulation (EU) 2022/30 en breiden de RED-richtlijn (2014/53/EU) uit met drie cyberveiligheidseisen. Die zijn gericht op:
- Bescherming van netwerken tegen schadelijk gedrag en overbelasting
- Bescherming van persoonsgegevens en privacy (volgens de AVG)
- Voorkomen van datadiefstal, fraude en manipulatie
De verplichtingen zijn opgenomen in artikelen 3.3(d), (e) en (f) van de richtlijn. Ze gelden ook wanneer gebruikers zich niet bewust zijn van een netwerkverbinding, zoals bij ingebouwde wifi of bluetooth.
Voor welke producten geldt dit?
De regels zijn van toepassing op vrijwel alle apparaten met radiofunctionaliteit die (direct of indirect) met een netwerk communiceren. Denk aan:
- Slimme huishoudelijke apparatuur
- Wearables zoals sporthorloges
- Speelgoed met onlinefunctionaliteit
- Industriële of medische systemen met netwerktoegang
- Apparaten voor digitale betalingen of transacties
Wereldwijd zijn naar schatting zo’n 20 miljard IoT-apparaten in gebruik. In de komende jaren zal dat aantal verder stijgen.
Voldoen via EN 18031
Om te voldoen aan de nieuwe eisen kunnen fabrikanten gebruikmaken van de geharmoniseerde normenreeks EN 18031. Deze is begin 2025 gepubliceerd en bestaat uit drie delen:
- EN 18031-1: veilige netwerkinteractie
- EN 18031-2: bescherming van persoonsgegevens
- EN 18031-3: beveiliging van betaalfunctionaliteit
Wie deze normen toepast, krijgt het zogeheten ‘vermoeden van conformiteit’. Dit betekent dat geen aanvullende beoordeling door een notified body nodig is.
Notified body vereist bij afwijking
Wanneer een fabrikant niet (volledig) volgens de geharmoniseerde normen werkt, is toetsing door een notified body verplicht. Deze beoordeelt of het product alsnog aan de cybersecurityvereisten voldoet.
‘Notified Bodies spelen een cruciale rol in het valideren van producten waarvoor geen volledige normdekking geldt. Hoe zij de regelgeving interpreteren, bepaalt mede de toelating tot de markt’, aldus Eurofins.
Eerste stap: evaluatie van cyberrisico’s
Veel fabrikanten starten met een zogeheten Phase 1 Cybersecurity Evaluation. Daarbij worden de softwarearchitectuur, netwerkstructuur en datastromen van een product doorgelicht. Het invullen van zogeheten Cyber Forms maakt deel uit van dit proces.
Met deze wetgeving heeft de EU een nieuwe ondergrens gesteld voor cyberveiligheid in verbonden apparaten. Voor ontwikkelaars betekent dat: cybersecurity moet vanaf het ontwerp integraal deel uitmaken van het product.
Het laatste nieuws
Uitgelichte vacatures
- Technisch projectmanager (Haarlem)
Bedrijf: Akos - Engineer / Lead Engineer
Bedrijf: Polem