De ETSI EN 303 645 standaard
Cybersecurity voor fabrikanten van IoT consumentenelektronica
Steeds meer apparaten in huis (en industrie) maken verbinding met het internet. Mensen, bedrijven en instellingen vertrouwen hun persoonlijke gegevens en de besturing van apparaten toe aan deze ‘slimme’ online apparaten en diensten. Het is daarom van groot belang dat producten die voorheen offline waren, nu zo worden ontworpen dat ze cyber gevaren kunnen weerstaan.
Als IoT-fabrikant wil je het vertrouwen van de consument én je goede naam behouden; dan moet je aandacht besteden aan hun zorgen over hardware toegang, dataprivacy en dataveiligheid.
Het European Telecommunications Standards Institute (ETSI) heeft de ETSI EN 303 645 norm ontwikkeld zodat fabrikanten kunnen bewijzen dat ze voldoen aan de eisen voor cyberbeveiliging van het Internet of Things (IoT)
ETSI EN 303 645
De ETSI 303 645 norm is gemaakt om alle partijen die betrokken zijn bij de ontwikkeling en productie van IoT-apparaten voor consumenten (CIoT) te ondersteunen in het beveiligen van hun producten.
Wat is ETSI EN 303 645?
ETSI EN 303 645 is een standaard en een methode waarmee TÜV NORD Nederland als certificeringsautoriteit de veiligheid van IoT-apparaten kan evalueren. De ETSI-norm is ontwikkeld als een internationaal toepasbare standaard en geeft fabrikanten een basis voor beveiliging in plaats van een uitgebreide reeks precieze richtlijnen. De standaard kan ook de basis leggen voor verschillende toekomstige IoT-cyberbeveiligingscertificeringen in de VS, de EU en de rest van de wereld.
De ETSI-norm omvat de beveiligingsvereisten voor apparatuur, communicatie en bescherming van persoonlijke gegevens. ETSI EN 303 645 draagt ook bij aan het vertrouwen van de consument in de veiligheid van alledaagse producten die verbinding maken met het internet. Het is een indicator dat het product aan een aantal cyberbeveiligingsnormen voldoet om een zekere mate van veiligheid tegen cyberdreigingen te garanderen.
Voor welke apparatuur geldt ETSI EN 303 645?
Van de meest geavanceerde slimme apparaten tot de kleinste wearables. TÜV NORD kan bijvoorbeeld tests uitvoeren en certificering verzorgen voor:
- Connected domotica- en alarmsystemen;
- Slimme huishoudelijke apparaten, zoals wasmachines en koelkasten;
- Draagbare gezondheidstrackers en andere wearables;
- Slimme camera's, smart-tv's en luidsprekers;
- Connected rookmelders, deursloten en raamsensoren;
- Slimme huisassistenten;
- Aangesloten kinderspeelgoed en babyfoons;
- IoT-gateways, basisstations en hubs waarmee meerdere apparaten verbinding maken;
- Diverse andere netwerkapparatuur, apparaten en systemen.
Wat zijn de eisen van de ETSI EN 303 645 norm?
Enkele security vereisten in de ETSI standaard liggen voor de hand. Bij andere eisen is het nodig dat tijdens het ontwerpen van deze apparatuur al rekening wordt gehouden met diepgaande beveiliging van soft- en hardware. De eisen komen (heel kort omschreven) neer op:
- Geen universele standaardwachtwoorden;
- Het melden en beheren van kwetsbaarheden;
- Het tijdig aanpakken van kwetsbaarheden;
- Toezicht op beveiligingsproblemen;
- Software update beleid;
- Beveiliging en privacy van gebruikersdata.
Voordelen van ETSI EN 303 645
Een verbeterde beveiliging en het minimaliseren van risico’s
Concurrentievoordeel ten opzichte van niet-geteste producten
Bewijs van kwaliteit en vertrouwen voor je klanten.
Radio Equipment Directive (RED)
Compliance aan ETSI EN 303 645 opent de deur naar RED-certificering. De ETSI-norm is ontwikkeld om de basis te leggen voor de IoT-borging op basisniveau onder de EU Cybersecurity Act (CSA). Het zal waarschijnlijk ook deel uitmaken van de basis voor een toekomstige geharmoniseerde norm om te voldoen aan de wettelijke vereisten van artikel 3, lid 3 van de Radio Equipment Directive (RED). Wanneer je niet alleen conform RED, maar ook conform deze cybersecurity norm produceert, biedt dit voor je consumentenproducten een voordeel ten opzichte van de concurrentie.
Hoe voldoe je aan de ETSI EN 303 645 norm?
Het implementeren van deze norm is een gestructureerd proces, van ontwikkeling tot eindproduct, om de hoogste standaarden te handhaven. Wij controleren je processen en documentatie aan de hand van de ETSI-normen en begeleiden je op weg naar een succesvolle certificering.
Van productontwerp, productie tot operatie: TÜV NORD Nederland biedt bij elke stap intensieve ondersteuning om het risico op cyberinbraken en openbaarmaking van gegevens te verminderen.
Het proces
Onze expertise en ervaring op het gebied van productveiligheidsbeoordelingen zijn de basis. We geven je snel inzicht in de impact die deze norm zal hebben op jouw IoT-consumentenproducten.
- Bij voorkeur gaan we vroeg in het proces in gesprek, zodat we potentiële gevallen van niet-naleving vroegtijdig kunnen identificeren;
- Vervolgens bespreken we mogelijke oplossingen met de productieteams;
- Testmethodologie wordt gedefinieerd en gepland;
- Waarna de teams ervoor kunnen zorgen dat onze voortgang in overeenstemming is met de gebruikelijke productietermijnen;
Waarom is TÜV NORD een sterke partner?
TÜV NORD is een geaccrediteerde certificeringsinstantie. Onze onafhankelijke blik helpt je kritisch te kijken naar je organisatie(processen) en haalt mogelijke verbeterpunten boven water. We hanteren een nuchtere en toegankelijke manier van beoordelen waarbij we graag met je meedenken. Met onze internationale vertegenwoordiging toetsen wij ook in het buitenland.
Brede scope
TÜV NORD kan op meerdere manieren helpen om je cybersecurity goed voor elkaar te krijgen. Zo kunnen we een Quickscan uitvoeren om een onafhankelijk beeld te geven van de huidige situatie in jouw organisatie. Naast certificering bieden wij bovendien cybersecurity-trainingen aan.
Wij stellen jouw doelen voorop
Bij TÜV NORD weten we dat testen en beoordelen belangrijk is, maar dat jouw doelstellingen nog veel belangrijker zijn. Samen kijken we kritisch naar de situatie, vervolgens geven we concreet aan waar eventuele risico’s liggen. Zo haal je het maximale uit de beoordeling.
Ervaren certificeringspartner
TÜV NORD is een ervaren certificeringspartner. We kunnen bogen op een brede ondersteuning door ervaren experts in zowel IT als OT. De TÜV NORD Group heeft ruime ervaring in het certificeren conform ETSI EN 303 645. Wij kunnen audits uitvoeren in diverse Europese talen.
TÜV NORD denkt met je mee
Genoeg redenen om samen te werken met TÜV NORD Nederland. We denken graag mee over de beste werkwijze, passend bij de producten en processen van jouw organisatie. We delen onze kennis en zijn flexibel in het bedenken van oplossingen.
Wil je meer weten over onze audits, certificeringen of trainingen? Vul het formulier in, dan nemen we contact op.