Margaritis Schinas, een van de vele vice-voorzitters van de Europese Commissie, houdt achter het spreekgestoelte in de perszaal zijn telefoon boven zijn hoofd. De 60-jarige Griek zit iets dwars.
“Alles aan de buitenkant van mijn telefoon is gereguleerd en moet voldoen aan veiligheidseisen. Maar voor wat er aan de binnenkant van dit apparaat gebeurt, zijn geen regels”, zegt Schinas. Zijn portefeuille bij de Europese Commissie: het promoten van de Europese levenswijze.
Met de nieuwe wet die de Europese Commissie vandaag voorstelt, gaat dat veranderen. Voor elk apparaat dat direct of indirect met een netwerk verbonden kan worden, gaan verplichte normen gelden. Het moet moeilijker, zonet onmogelijk, worden om ze te hacken. Net zoals nu al voor elk stuk speelgoed, elk kledingstuk en elke batterij of pot verf die in Europa verkocht mag worden een waaier aan eisen geldt over bijvoorbeeld brandbaarheid en giftigheid.
Het internet of things is enorm
Naast Schinas staat nog een Eurocommissaris: de Fransman Thierry Breton, verantwoordelijk voor het reilen en zeilen van de interne markt. Ook hij houdt een gadget in zijn hand: een witte beveiligingscamera zoals die in ontelbare aantallen in winkels en overheidsgebouwen hangen.
75 Miljard van dergelijke apparaten zijn wereldwijd naar verwachting in 2025 met het internet verbonden. Om het beeldend te maken zegt Breton dat het internet of things dan uit tien keer zoveel apparaten bestaat als er mensen zijn op de planeet
Het doel van de politieke interventie op de markt voor internet-gadgets is niet dat het onmogelijk moet worden om apparaten te hacken. 100 procent veiligheid bestaat niet, zegt Breton die het handvol journalisten in de zaal eraan herinnert dat hij in een ver verleden is afgestuurd als computerwetenschapper. Van koffiezetapparaten tot koelkasten en draadloze speakers.
Stuk voor stuk zijn het in de ogen van de Brusselse politici machines die een risico vormen voor de veiligheid van burgers en bedrijven. Door het ontbreken van verplichte standaarden voor hard- en software zijn het achterdeurtjes die hackers kunnen gebruiken om in te breken op systemen van burgers en bedrijven. Onze privacy en data zijn in gevaar.
De economische schade als gevolg van een succesvolle hack en bijvoorbeeld het installeren van ransomware is enorm. In Europa gaat het volgens de Commissie om zeker 20 miljard euro in 2021.
Alles vijf jaar veilig
Om daar een einde aan te maken, moeten in alle producten die met het internet verbonden kunnen worden voldoen aan een digitale CE-standaard. Fabrikanten worden verplicht om cyberveiligheid een plek te geven in de hele productieketen. Van de eerste planningsfase, via het ontwerpen en ontwikkelen tot productie, levering en onderhoud.
Daarnaast moeten mogelijke hackrisico’s worden vastgelegd en gepubliceerd en moeten fabrikanten rapporteren over succesvolle hackpogingen. Ook moeten producten ervoor zorgen dat gebruikers er zeker van zijn dat hun apparaten in ieder geval 5 jaar veilig zijn. Bijvoorbeeld door het aanbieden van software-updates.
Drie soorten producten
De Commissie definieert in het wetsvoorstel drie categorieën producten: ‘standaard’, ‘kritieke klasse 1’ en ‘kritieke klasse 2’. Voor de eerste groep producten (90 procent van het totaal) wordt zelfregulering door de industrie de norm. Denk aan apparaten als harde schijven en slimme speakers. Ook softwareprogramma’s als tekstverwerkers en editing-programma’s vallen daar onder.
De andere twee categorieën producten krijgen te maken met strengere eisen. Die moeten gaan voldoen aan officiële standaarden (kritieke klasse 1) of zelfs voordat ze op de markt mogen komen worden getoetst door een onafhankelijke partij (kritieke klasse 2).
In de eerste groep vallen programma’s voor het managen van wachtwoorden, firewalls en netwerk interfaces. In de groep met de zwaarste eisen zitten bijvoorbeeld besturingssystemen en industriële firewalls. De handhaving van de nieuwe standaarden is een zaak voor de Europese lidstaten. Nationale toezichthouders krijgen de bevoegdheid om fabrikanten die zich niet aan de regels houden te bestraffen. Boetes kunnen oplopen tot 1 procent van de inkomsten van een bedrijf. Het zal enige jaren duren voordat de wetgeving in de hele Europese Unie van kracht is. De normen gaan gelden voor producten die nieuw op de markt komen als de wetgeving formeel in werking is.
Wereldwijde standaard
De Commissarissen Schinas en Breton hopen dat hun wet de norm wordt over de hele wereld. De Europese interne markt is het eerste werelddeel met dit soort digitale standaarden, maar dit gaat voor hen verder dan alleen Europa.
“Wij willen antwoord geven op vragen die in de Verenigde Staten nog niet zijn beantwoord en in China niet eens worden gesteld”, zei Schinas.
Het tweetal moest op vragen van de pers erkennen dat er spanning zit tussen het tegengaan van hacken en de behoeften van de Europese veiligheidsdiensten. Schinas maakte duidelijk dat het gebruiken van spyware op zich niet verboden wordt. Politiediensten moeten hun mogelijkheden voor digitale opsporing behouden. Enkel het kwaadaardig gebruik ervan moet worden uitgebannen.