IoT-Cybersecurity Compliance Evaluation Solution SafeShark

ETSI EN 303645 Compliance einfach gemacht.

IoT-Cybersecurity ist Grundvoraussetzung, um smarte Produkte im europäischen Wirtschaftsraum vertreiben zu können.

Doch wie lässt sich die Compliance zu Normen wie die ETSI/EN303645 einfach, wirkungsvoll und entwicklungsbegleitend feststellen und dokumentieren?

SafeShark ist die Lösung zur automatischen Prüfung aller technischen Vorgaben der Norm.

Komplette technische IoT Cybersecurity Evaluation in wenigen einfachen Schritten:

• Ihr zu prüfendes IoT Gerät (DUT – Device under Test) wird über die Netzwerkschnittstelle bzw. via Wifi an die SafeShark Box angebunden
• Im Backend werden die technischen Daten zur Verwaltung und Identifikation eingetragen. (z.B. Typ, MAC-Adresse etc.)
• Der Test wird gestartet
• Sie erhalten einen kompletten Testreport mit allen gefundenen Provisionen und ggfs. Schwachstellen sowie deren Mapping zu den entsprechenden Provisionen zur ETSI/EN303645

Mit dem Testreport erkennen Sie sofort, ob das IoT Device bereits die Anforderungen der Norm erfüllt oder wo es noch Nachholbedarf gibt.

SafeShark eignet sich ideal für Hersteller von IoT Geräten und für Prüflabore. Ein weiterer Vorteil für Hersteller ist, dass sie die Entwicklung eines Gerätetyps über einen längeren Zeitraum hinweg beobachten können. So werden beispielsweise auch Änderungen späterer Firmware-Versionen erfasst und ggfs. Normenverstöße aufgedeckt.

Sobald seitens der Europäischen Union weitere harmonisierende Standards vorliegen, lassen sich die Reports auf die entsprechenden Testszenarien automatisch anpassen bzw. erweitern.

Schreiben Sie uns für weitere Informationen zu Preis und Vertrieb.

Der Beitrag SafeShark erschien zuerst auf hensec.

Es kann als ein Meilenstein auf dem Weg zur Stärkung der Cybersicherheit bezeichnet werden:

Cybersecurity ist als Bestandteil in die Funkanlagenrichtlinie (Radio Equipment Directive – RED) aufgenommen worden und ist somit für das CE-Zeichen obligatorisch.

Hintergrund:

Cybersecurity wurde im Artikel 3 der Funkanlagenrichtlinie prinzipiell zwar schon lang formuliert, jedoch aufgrund von Unsicherheiten beim Nachweis nicht implementiert.

Die EU Kommission hatte nun einen Text zur Integration der Anforderungen aus Artikel 3 der Funkanlagenrichtlinie vorgestellt. Deren Einspruchsfrist ist Ende Dezember 2021 abgelaufen.

Das bedeutet:

Ab jetzt gilt eine 30 Monats Frist, um die Cybersecurity Anforderungen für eine CE-Konformität umzusetzen.

Die allgemein gehaltenen Formulierungen im Artikel 3 lauten:

• d) Sie haben weder schädliche Auswirkungen auf das Netz oder seinen Betrieb, noch bewirken sie eine missbräuchliche Nutzung von Netzressourcen, wodurch eine unannehmbare Beeinträchtigung des Dienstes verursacht würde.
• e) Sie verfügen über Sicherheitsvorrichtungen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden.
• f) Sie unterstützen bestimmte Funktionen zum Schutz vor Betrug.

Wer ist davon betroffen?

Alle Hersteller oder Inverkehrbringer von Produkten die unter die Funkanlagenrichtlinie fallen.

Zu diesen Produkten fallen praktisch fast alle drahtlosen IoT Devices.

Den Anforderungen wären das entsprechend u.a. auch:

• d) Alle Drahtlosgeräte, die über das Internet kommunizieren
• e) Drahtlosgeräte die persönliche Daten (wie z.B. Standorte) verarbeiten oder übertragen wie
  • Internetradios
  • Babyphone
  • Drahtloses Spielzeug
  • Tragbare Gadgets
• f) Drahtlose Bezahlterminals

(Für Geräte wie Medizintechnik, Flugzeugtechnik etc. gelten gesonderte Normen)

Wie sind die detaillierten Vorgaben und wie werden sie überprüft?

Die Details zur Umsetzung sind noch nicht entgültig entschieden – aber ein einheitlicher, gemeinsamer Standard von ETSI, CEN und CENELEC ist schon zeitnah in Bearbeitung:

https://ec.europa.eu/docsroom/documents/48359?locale=de

In der Praxis ist davon auszugehen, dass z.B. mit der Einhaltung der Anforderungen existierender Normen wie z.B. der ETSI/EN 303645 (Cyber Security for Consumer Internet of Things) die Conformität nachgewiesen werden kann.

Wir sind sicher, dass Cybersecurity als Bestandteil der CE-Konformität ein weiterer guter Schritt ist, die Sicherheit von Unternehmen und Verbrauchern zu stärken.

Gerne unterstützen wir Sie als Hersteller oder Entwickler bei der Umsetzung der Sicherheitsanforderungen Ihrer IoT Geräte.

Link zur Funkanlagenrichtlinie:

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32014L0053

Infos zu unserem Service zur ETSI/EN303645 Cyber Security for Consumer IoT:

Der Beitrag Cybersecurity CE Relevant erschien zuerst auf hensec.

Das Ziel der Compliance besteht darin, sicherzustellen, dass Ihr Unternehmen oder Ihre Organisation in Übereinstimmung mit den relevanten Gesetzen und Vorschriften handelt, um rechtliche Risiken zu minimieren, den Ruf zu schützen und potenzielle Strafen oder Sanktionen zu vermeiden.

Wenn Sie Produkte im europäischen Wirtschaftsraum vertreiben möchten, beraten wir Sie bei der Erfüllung der Voraussetzungen.

Das beinhaltet Fragen zum CE-Kennzeichen (Europäische Konformität), zur RED-Richtlinie für Anforderungen an Funkgeräte und Telekommunikationsendgeräte, zum CRA (Cybersecurity Risk Assessment oder auch Cybersicherheitsrisikobewertung), zur ETSI-Norm sowie zur elektromagnetischen Verträglichkeit und zu den neuen europäischen Vorgaben bezüglich Cybersecurity.

Kontaktieren Sie uns für weitere Informationen.

Compliance bedeutet die Einhaltung von Gesetzen, Vorschriften, Standards und internen Richtlinien, die für eine Branche, ein Unternehmen oder eine Organisation gelten. Es beinhaltet die Einhaltung rechtlicher und regulatorischer Anforderungen sowie ethischer und betrieblicher Standards.

Der Beitrag Compliance erschien zuerst auf hensec.