Cyberbezpieczeństwo w IoT: od sierpnia 2025 obowiązkowe!

Bezpieczeństwo urządzeń podłączonych do Internetu stało się kwestią kluczową. Przekonywali o tym Jan Norder i Pascal Baranger z Würth Elektronik, którzy podczas tegorocznego Evertiq Expo w Krakowie opowiedzieli o nadchodzących zmianach w regulacjach Unii Europejskiej dotyczących cyberbezpieczeństwa w kontekście Internetu Rzeczy (IoT).

Dlaczego cyberbezpieczeństwo jest tak istotne?

"Każdy z nas ma dziś telefon, komputer, zegarek - wszystko połączone z Internetem. Nawet mikrofalówka, ekspres do kawy, zmywarka i telewizor potrafią być online”, rozpoczął Pascal Baranger.

Jak zauważyli przedstawiciele Würth Elektronik, z roku na rok rośnie liczba urządzeń IoT, a wraz z nią rośnie również koszt cyberprzestępczości. W 2025 roku globalne straty związane z cyberatakami mają przekroczyć 10 bilionów EUR.

Prelegenci opowiedzieli o sytuacji z 2017 dotyczącej dużego kasy w Las Vegas. Hakerzy włamali się do sieci kasyna poprzez czujniki w akwarium, które nie były odpowiednio zabezpieczone.

“System jest tylko tak bezpieczny, jak jego najsłabszy punkt”, skomentował Jan Norder.

Nowe przepisy UE: RED i Cyber Resilience Act

W centrum prezentacji znalazły się dwa kluczowe akty prawne: dyrektywa o urządzeniach radiowych (RED – Radio Equipment Directive) oraz Cyber Resilience Act. Obie regulacje mają zwiększyć poziom bezpieczeństwa urządzeń łączących się z Internetem.

Dyrektywa RED już od 1 sierpnia 2025 roku wymagać będzie przestrzegania trzech nowych wytycznych w zakresie cyberbezpieczeństwa (artykuły 3.3 D–F). Chodzi o:

• 3.3 D – ochronę sieci (Network Protection),
• 3.3 E – ochronę danych osobowych (Privacy Protection),
• 3.3 F – ochronę przed oszustwami (Fraud Protection).

"Od sierpnia każde urządzenie z łącznością radiową wprowadzane na rynek UE musi spełniać te wymogi. To nie fanaberia - to wymóg prawny”, podkreślił Baranger.

Cyber Resilience Act, który ma wejść w życie w grudniu 2027 roku, obejmie jeszcze szerszy zakres produktów i usług. Regulacja wprowadzi obowiązek oceny ryzyka cybernetycznego na każdym etapie życia produktu, reagowania na wykryte luki i regularnego udostępniania aktualizacji bezpieczeństwa.

Jak zauważyli prelegenci, Unia Europejska wyprzedza pod względem regulacji resztę świata. 

"W USA jedynie dwa stany, Kalifornia i Oregon, mają podobne przepisy. W Afryce nie ma żadnych”, wyliczał Norder.

Występujący zwrócili uwagę, że taka luka prawna może być poważnym zagrożenim i doprowadzić do wykluczenia z rynku UE produktów eksportowych nieposiadających zabezpieczeń.

Od teorii do praktyki

Jak sprawdzić, czy urządzenie podlega nowym regulacjom? Przedstawiciele Würth Elektronik opowiedzieli uczestnikom o drzewie decyzyjnym, dostępnym w unijnych normach EN 18031-2 i EN 18031-3. Opublikowane w styczniu 2025 roku normy można kupić (koszt jednej to ok. 420 EUR) i wykorzystywać wielokrotnie jako instrukcje wdrożeniowe.

"To trochę jak lista kontrolna. Jeśli masz urządzenie z dostępem do Internetu i zapisujesz na nim dane osobowe lub finansowe - musisz zapewnić odpowiedni poziom ochrony, wykazać to i udokumentować”, tłumaczył Baranger.

Prelegenci rozjaślinili temat przykładem: krótkofalówka, która nie łączy się z siecią i nie przetwarza żadnych danych osobowych, nie podlega nowym przepisom. Ale Raspberry Pi wykorzystywany w inteligentnym domu już tak. 

"Nawet jeśli to tylko aplikacja do włączania światła - jeśli zawiera e-mail użytkownika, podlega pod 3.3 E.”

Co zrobić, jeśli jesteśmy spóźnieni?

Normy pojawiły się w styczniu 2025 roku, pozostawiając firmom zaledwie kilka miesięcy na adaptację.

“W wielu krajach, nawet w Niemczech, producenci są zaskoczeni. W Bułgarii w ogóle o tym nie słyszano”, przyznał Jan Norder.

Testowanie zgodności w laboratoriach już teraz jest utrudnione. Przez duże zainteresowanie i krótki czas na działanie większość terminów została już zajęta. 

"Można ewentualnie wprowadzić produkt na rynek przed 1 sierpnia, wtedy nie obowiązują jeszcze nowe przepisy. Ale co dalej?”, zastanawiali się prelegenci.

Würth Elektronik zaprezentował swoje rozwiązania wspierające zgodność z regulacjami. W ofercie firmy dostępne są moduły Wi-Fi i Bluetooth Low Energy, które zapewniają:

• bezpieczny rozruch (secure boot),
• bezpieczne przechowywanie danych,
• połączenia szyfrowane (secure connection),
• aktualizacje OTA (over-the-air) z weryfikacją bezpieczeństwa.

Przedstawiciele opowiedzieli również o sztandarowym rozwiązaniu Würth Elektronik: module Cordelia 1, który zaprojektowano wspólnie z firmą Crypto Quantique. System QuarkLink umożliwia tzw. zero-touch provisioning, czyli bezpieczne, automatyczne wprowadzanie haseł i danych konfiguracyjnych bez udziału człowieka. "Nie ma pośredników, nie ma ryzyka, że ktoś odczyta hasło”, podkreślił Baranger.

Dla producentów IoT w Europie wybił właśnie ostatni dzwonek na dostosowanie się do nowych regulacji, a ceną za spóźnienie może być wykluczenie z rynku.

"Cyberbezpieczeństwo to nie luksus – to jak pasy bezpieczeństwa w samochodzie. Od 1 sierpnia to będzie obowiązek”, podsumowali występujący.

Jan Norder i Pascal Baranger z Würth Elektronik byli gośćmi panelu wykładowego, który odbył się w ramach Evertiq Expo Kraków 2025. Na kolejną krakowską edycję najciekawszego polskiego wydarzenia branży elektronicznej zapraszamy już 7 maja 2026 do CKF13 na ulicy Fabrycznej. Zarejestruj swój udział!