Lyskryds i trafikken, der står åbne for hackere, pacemakere, der aldrig bliver sikkerhedsopdateret, og sårbarheder i IoT-styresystemer.
Det er bare nogle af de problemer, som mange Internet of Things-enheder og -services kæmper med. I dag er det meget forskelligt, hvordan IoT-produkter bliver godkendt i forskellige EU-lande, og som forbruger kan det være næsten umuligt at være sikker på, at man køber produkter, hvor sikkerheden er tænkt ind i produktet, eller at producenten bag løbende vil sikkerhedsopdatere produktet.
Nu er EU-Parlamentet, EU-Kommissionen og Ministerrådet, også kaldet Rådet, blevet enige om en fælles cybersikkerhedspakke, som tager det første skridt mod en regulering af sikkerheden i IoT-produkter og -services.
»Det har højeste prioritet for EU at øge Europas cybersikkerhed og at øge borgernes og erhvervslivets tillid til det digitale samfund. Cyberangreb som Wannacry og NotPetya har fået alarmklokkerne til at ringe, fordi de viste, hvor store konsekvenser omfattende cyberangreb kan have. I det lys er det min stærke overbevisning, at aftalen både forbedrer EU's generelle sikkerhed og fremmer erhvervslivets konkurrenceevne,« siger kommissær med ansvar for den digitale økonomi og det digitale samfund Mariya Gabriel i en pressemeddelelse.
Sikkerheden skal indbygges fra start
Den nye cybersikkerhedsaftale skaber en rammeaftale for europæiske cybersikkerhedscertifikater for produkter, processer og services.
»Det er et grundlæggende nybrud, da det er den første indre markedslov der skal styrke sikkerheden i forbundne produkter, både Internet of Things-enheder såvel som kritisk infrastruktur gennem sådanne certifikater,« skriver EU-Kommissionen.
Etableringen af sådan en certificeringsaftale indenfor cybersikkerhed betyder, at sikkerhed skal indarbejdes allerede i den tekniske design- og udviklingsfase, også kendt som security by design.
Certifikater fortsat frivillige
I dag findes der ikke et fælles europæisk cybersikkerhedsprogram, der kan bruges til at certificere produkter, som er udviklet efter security by design-principper. Det er op til de enkelte EU-lande, hvordan den godkendelse finder sted.
Det kommende certificeringsprogram forankres i Cybersecurity Agency, ENISA, som i samme aftale er blevet til en permanent EU-myndighed. Indtil denne uge var ENISA nemlig sat til at blive lukket ned i 2020.
»Brugen af certificeringsordningen vil være frivillig, medmindre fremtidig EU-lovgivning angiver, at et EU-certifikat er obligatorisk for at overholde et specifikt cybersikkerhedsbehov,« har EU-Kommissionen tidligere udtalt i forbindelse med fremlæggelsen af forslaget til certificering af cybersikkerhed.
