Wat is IoT-wetgeving?
IoT-wetgeving omvat de wet- en regelgeving die van toepassing is op het IoT. Het doel hiervan is om consumenten en organisaties te beschermen tegen beveiligingsrisico's, verlies van gegevensprivacy en onveilige apparaten. Naleving strekt zich ook uit tot gegevenssoevereiniteit en regels rond permanente roaming.
Cyberbedreigingen blijven toenemen en datalekken zijn nu bijna een dagelijks gegeven. Het is dan ook geen verrassing dat er meer beveiligingswetgeving is gekomen. Cyberbeveiliging en veerkracht gaan hand in hand, omdat een IoT-oplossing die zich kan verdedigen tegen, detecteren van en snel reageren op cyberbedreigingen minder kans loopt op ernstige verstoringen.
Overheidswetgeving die van invloed is op het IoT zijn onder andere de EU Cyber Resilience Act, China's Cyber Security wet en de Telecom Security Acts in de VS en het VK. Volwassen markten in Azië-Pacific (Japan, Zuid-Korea, Australië, Singapore, Maleisië, Indonesië) en Noord- en Zuid-Amerika (Brazilië, Canada, Mexico) hebben equivalenten.
Daarnaast zijn er sector- en branchespecifieke voorschriften die van toepassing zijn op uw oplossing en waar deze wordt gebruikt. De GSMA Global IoT Regulations gids biedt een nuttig aanvullend overzicht.
Naast wetgeving zijn er een aantal relevante standaarden die best practices bevorderen. Klantenorganisaties kunnen op sommige van deze standaarden aandringen, maar of ze dat nu doen of niet, de standaarden, waaronder ISO, ETSI, NIST en EN 18031, bieden richtlijnen en nuttige kaders voor veerkracht en beveiliging in de vele aspecten van het ivd, van de toeleveringsketen via risicobeheer tot toepassingen en apparaten.
Ondernemingen, OEM's en leveranciers van oplossingen moeten rekening houden met het volledige spectrum van wet- en regelgeving en normen en dienovereenkomstig ontwerpen op basis van hun bedrijfsprioriteiten en risicohouding.
Naarmate het IoT meer ingebed raakt in systemen en infrastructuur, zal de wetgeving waarschijnlijk alleen maar in omvang en toepassing toenemen. Daarom is compliance nooit 'klaar', het is een voortdurende, veranderende vraag waaraan bedrijven moeten voldoen.
Huidige IoT-wetgeving, -regelgeving en -normen
Deze tabel geeft een overzicht van de wet- en regelgeving en normen die relevant zijn voor het ivd.
| Waar | Waarom? | Wat? |
| Toeleveringsketen | Om ervoor te zorgen dat producten en diensten van derden voldoen aan de beveiligingsstandaarden |
ISO/IEC 27036, 28000:2022 |
| Risicobeheer | Beveiligingsrisico's beheren en governance waarborgen |
ISO/IEC 31000 |
| Respons bij incidenten | Kaders voor het omgaan met en reageren op incidenten op het gebied van cyberbeveiliging |
ISO/IEC 27017 |
| Privacy van gegevens | Regelgeving met betrekking tot de bescherming van persoonlijke gegevens en privacyrechten | GDPR, CCPA (Californië), VCDPA (Virginia) en CPA (Colorado) ISO/IEC 27701 |
| Beveiligingsbeheer | Overkoepelende cyberbeveiligingsraamwerken voor organisatiebeheer |
ISO/IEC 27001 |
| Netwerk | Bescherming van communicatie-infrastructuur en gegevens in doorvoer |
ISO/IEC 27033 |
| Beveiliging van toepassingen | Normen en kaders voor het beveiligen van software en toepassingen | ISO/IEC 27034 NIST 800-53 |
| Beveiliging van apparaten | Focus op hardware, IoT en ingebedde systemen | ISO/IEC 27002 EU CRA en UK PSTI ETSI EN 303645 NIST CSF Cybervertrouwensmerk VS EN 18031 |
| Cloud- en infrastructuurbeveiliging | Specifieke richtlijnen voor het beveiligen van cloudomgevingen en infrastructuur | ISO/IEC 27017 Cloudbeveiligingsbond (CSA) STAR-certificering NIST SP 800-144 EN 18031 |
Wat IoT-regelgeving betekent voor uw bedrijf
Wet- en regelgeving en normen dwingen ons na te denken over IoT-resilience, maar compliance - hoewel essentieel - zou niet de drijvende kracht moeten zijn.
Er worden financiële verliezen geleden als gevolg van downtime - gederfde inkomsten, de kosten van het goedmaken en mogelijk boetes als de regelgeving niet wordt nageleefd. Het risico is zo groot dat uit een onderzoek van Forrester bleek dat meer dan een derde van de bedrijven die te maken kregen met een inbreuk op IoT-apparaten, vaker kosten tussen $5 en $10 miljoen rapporteerden, vergeleken met bedrijven die cyberaanvallen op niet-IT-apparaten hadden. Het hoeft niet altijd zo te gaan. Door oplossingen te ontwerpen met de begeleiding en ondersteuning van partners die netwerk- en cyberbestendigheid kunnen leveren, kunnen bedrijven intensieve controles en grotere financiële boetes vermijden.
Noch uw bedrijf, noch uw klanten kunnen het zich veroorloven dat het IoT offline is. Als het offline is, verliezen uw klanten gegevens, verliest u inkomsten en riskeert u mogelijk onherstelbare schade aan de reputatie van uw bedrijf. Om al deze redenen mag veerkracht geen bijzaak zijn.
Best practice voor IoT-compliance
Om te voldoen aan de IoT-regelgeving moet u aandringen op de hoogste normen voor veiligheid, beveiliging en gegevensbescherming. U moet vanaf het begin veerkracht inbouwen in alle aspecten van uw IoT-oplossing: het apparaat, het netwerk, de software, de operationele processen en de cloudomgeving.
Compliance gaat hand in hand met uptime, klanttevredenheid en rendement op investering. Zie het niet als een belemmering, maar eerder als een hulp bij het ontwikkelen en onderhouden van een hoge servicekwaliteit.
Werk nauw samen met je communications service provider (CSP) en OEM's van producten/apparaten om de veerkracht te maximaliseren. Begrijp hoe de diensten en oplossingen die zij leveren voldoen aan de relevante regelgeving. Dring aan op naleving van standaarden en best practices uit de sector.
Neem maatregelen rond:
- Infrastructuur veerkracht - netwerken en systemen redundantie, load-balancing, auto-scaling en geautomatiseerde failover
- Beveiliging - gebruik een beveiligingsraamwerk als checklist voor identiteits- en toegangsbeheer, multifactorauthenticatie, rolgebaseerde toegangscontrole, versleutelde gegevens, kwetsbaarheidsscans, endpointbescherming, netwerksegmentatie en patchbeheer
- Optimalisatie van serviceprestaties - regelmatige capaciteitsplanning, content delivery-netwerken, caching en edge computing
- Monitoring en voorspellend onderhoud - AI-gedreven voorspellende analyses kunnen storingen voorzien
- Automatisering en orkestratie - zelfherstellende systemen, geautomatiseerde provisioning en snelle, betrouwbare software-updates
- Herstel na calamiteiten - regelmatige back-ups en regelmatig testen
- Wijzigingsbeheer en governance - procedures voor wijzigingsbeheer, versiecontrole en systeemaudits
- Communicatie en ondersteuning - regelgevers en klanten op de hoogte houden tijdens eventuele incidenten; klanten uitrusten met selfservicetools.
Vraag de gids aan
Onze gids voor het maximaliseren van uptime voor het internet van de dingen bevat:
- een lijst met regelgeving
- gedetailleerde vragen om te stellen aan uw IoT CSP
- ontwerpoverwegingen voor beveiliging
- advies over herstel na een storing.
Wireless Logic kan helpen met IoT veerkracht en regelgeving. Praat met onze experts en start uw gratis proefversie.
Bekijk andere blogs
Hoe IoT-apparaten in realtime te bewaken
Installeer IoT-apparaten niet om ze daarna te vergeten. Houd continu zicht op locatie, omgevingstemperatuur, signaalsterkte en andere cruciale...
4 oorzaken van IoT-storingen en hoe u de risico's beperkt
In een wereld waarin het Internet of Things (IoT) de ruggengraat vormt van kritieke infrastructuur en slimme toepassingen, kan een storing grote...
Hoe IoT bestuivers redt en waarom agribusiness niet kan wegkijken
Bijen op het kruispunt van klimaat, bedrijfsleven en biodiversiteit Wereldbijendag is meer dan een symbool - het is een wereldwijde oproep om een van...