Cybersecurity eisen in de RED

Op 29 oktober 2021 heeft de Europese Commissie de Radio Equipment Directive (RED) Gedelegeerde Handeling aangenomen waarmee Artikel 3.3 (d), 3.3 (e) en 3.3 (f) voor zowel consumenten- als industriële componenten werd geactiveerd. Op 12 januari 2022 werd deze aanvulling op de RED officieel gepubliceerd in het Publicatieblad van de Europese Unie. De verwachting is dat naleving vanaf 1 augustus 2025 verplicht zal worden.

De Radio Equipment Directive (RED) is een Europese richtlijn die eisen stelt aan de veiligheid en prestaties van radioapparatuur die op de Europese markt wordt gebracht. De geactiveerde artikelen bevatten eisen ten aanzien van de cybersecurity van apparatuur. Sommige marktpartijen worden hierdoor voor het eerst geconfronteerd met cybersecurityeisen voor hun product.

Conformiteit met RED artikel 3.3 (d,e,f)

Om aan de RED te voldoen zijn er twee routes:

De eerste route loopt via module A en de zelfbeoordelingsprocedure. Deze route is alleen mogelijk als er geharmoniseerde normen beschikbaar zijn en gepubliceerd zijn in het officiële tijdschrift van de EU. Dat is op dit moment nog niet het geval.

Wanneer de geharmoniseerde standaard is vastgesteld, is het nog maar de vraag of deze altijd toepasbaar is. Het probleem ligt in het feit dat de standaard volledig passend moet zijn en dat de standaard in zijn geheel moet kunnen worden toegepast op de situatie. Als er ook maar één onderdeel niet goed op de situatie aansluit en de componenten niet aan de eis kunnen voldoen, dan mag men niet meer zelf verklaren te voldoen aan de standaard.

De tweede route die fabrikanten kunnen volgen is module B+C, waarbij een certificaat van EU typeonderzoek (Module B) wordt afgegeven door een notified body en de fabrikant de interne productiecontrole moet garanderen en declareren (Module C). De RED definieert een EU-typeonderzoek als volgt: ‘Een notified body onderzoekt de technische documentatie en het ondersteunende bewijsmateriaal om de geschiktheid van het technische ontwerp van de radioapparatuur te beoordelen. Een notified body stelt een evaluatierapport op waarin de ondernomen activiteiten en de resultaten ervan worden geregistreerd. Indien het type voldoet aan de eisen van deze richtlijn die van toepassing zijn op de betrokken radioapparatuur, verstrekt een notified body een certificaat van EU-typeonderzoek aan de fabrikant.”

De aanpak van Hudson Cybertec

Bij voorbereiding op de RED cybersecurity eisen zetten we de volgende stappen:

Scopebepaling: We bepalen met u welke onderdelen van de RED van toepassing zijn. Vervolgens bepalen we wat we definiëren als component. Een component kan uit verschillende onderdelen bestaan die op zichzelf ook componenten zijn en in samenhang worden gebruikt. Naast technische eigenschappen (bijv. of de componenten alleen in samenhang kunnen worden gebruikt), hangt de definitie van een component af van hoe het door de fabrikant in de markt wordt gezet.

Risicoanalyse: We bepalen risico’s van toepassing van het component. We gaan hierbij uit van een typische toepassing van het component in een systeem bij de klant.

Vaststellen van toepasselijke eisen: De notified bodies hebben aangegeven om voor een EU typeonderzoek voor de RED 3.3 (d,e,f) voor industriële apparatuur de IEC 62443-4-2 te hanteren. Het uitgangspunt is dat de apparatuur moet voldoen aan de eisen in deze norm die behoren bij Security Level 2 (SL2). Op basis van een risicoanalyse of op basis van al dan niet aanwezige functionaliteit mogen eisen worden uitgesloten. De IEC 62443-4-2 stelt meer dan 70 eisen voor Security Level 2. Op basis van de scope en het risico selecteren we eisen uit de IEC 62443-4-2 die van toepassing zijn en welke kunnen worden uitgesloten.

Vaststellen conformiteit: Per eis uit de IEC 62443-4-2 stellen we de conformiteit vast. We bepalen hierbij het volwassenheidsniveau per eis.

GAP-analyse en advies: Op basis van de toepasselijke eisen en de vastgestelde conformiteit maken we een GAP-analyse en een advies hoe de eventuele missende onderdelen zo efficiënt mogelijk kunnen worden ingevuld.

De doorlooptijd om te komen tot het advies is gemiddeld twee tot drie maanden.

Hudson Cybertec (a Kiwa company) is al meer dan 10 jaar actief in cybersecurity van Industriële Automatisering en Controle Systemen (IACS). Met onze efficiënte aanpak voor een RED assessment krijgt u snel inzicht in uw huidige situatie, en bent u voorbereid op een EU-typeonderzoek.

Neem vandaag nog contact met ons op voor een afspraak.

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

Met een BIACS (Basismaatregelen voor cybersecurity van Industriële Automatisering & Controle Systemen) scan of CSIR (Cybersecurity Implementatierichtlijn) scan zorgt u ervoor dat u aantoonbaar in controle komt over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
© 2024 Hudson Cybertec Kiwa member of
Privacy en cookies | Responsible Disclosure