Axis Communications is gecertificeerd conform de cyberbeveiligingsnorm ETSI EN 303 645. De certificering is geldig voor een breed scala Axis-producten met°AXIS OS 11 of hoger, en is van toepassing op meer dan 150 Axis-apparaten op dit moment, evenals op nieuwe apparaten die op de markt komen. AXIS OS is het op Linux gebaseerde besturingssysteem dat op de meeste netwerkproducten van AXIS wordt gebruikt. De certificering werd afgegeven door Underwriters Laboratories (UL TS B.V.) en werd uitgevoerd in een van de testfaciliteiten van UL in de Verenigde Staten. In de toekomst zal Axis deze certificering regelmatig testen en bijwerken om de geldigheid ervan voor toekomstige producten te behouden.
De ETSI EN 303 645-norm bevat 68 bepalingen van technische vereisten die de basis voor cyberbeveiliging voor verbonden apparaten bepalen. De vereisten omvatten de apparaten zelf, inclusief ondersteuning voor hardwaregebaseerde beveiligingsfuncties zoals beveiligde sleutelopslag, en standaardbeveiligingsfuncties, zoals HTTPS ingeschakeld en geen standaardwachtwoorden. Een ander aspect betreft levenscyclusbeheer, zoals het hebben van een gedefinieerde ondersteuningsperiode voor apparaatbeveiligingsupdates. Andere voorbeelden zijn het hebben van een methodologie voor het verminderen van het risico op kwetsbaarheden in softwareontwikkeling, het hebben van een transparant beleid voor kwetsbaarheidsbeheer en het ondersteunen van best practices bij de verwerking van persoonsgegevens. Deze vereisten houden rekening met de beste praktijken in de sector die ervoor zorgen dat gecertificeerde producten gedurende hun hele levenscyclus een minimaal basisbeveiligingsniveau hebben.
De norm is ontwikkeld door het European Telecommunications Standards Institute (ETSI), een onafhankelijke non-profitorganisatie voor informatie- en communicatiestandaardisatie. Hoewel ETSI EN 303.645 in Europa is ontwikkeld, is het relevant voor wereldwijd gebruik en heeft het een brede toepasbaarheid. De norm sluit nauw aan bij andere normen, certificeringen en wetgevingen met betrekking tot cyberbeveiliging in alle sectoren en in de volgende landen/regio's:
- Europese Unie (EU Cybersecurity Resilience Act, EU Radioapparatuurrichtlijn)
- Finland (Fins cyberbeveiligingslabel)
- Duitsland (BSI – IT-beveiligingslabel)
- Verenigd Koninkrijk (UK productbeveiliging en telecommunicatie- en infrastructuurwet en gedragscode voor IoT-beveiliging voor consumenten)
- Verenigde Staten (NIST IR 8425, cyberbeveiligingskeurmerk)
- India (TEC-gedragscode voor de beveiliging van IoT voor consumenten)
- Vietnam (beveiligingsvereisten voor cybergegevens voor IoT)
- Singapore (Etiketteringsschema voor cyberbeveiliging)
- Australië (gedragscode – Beveiliging van IoT voor consumenten)
De norm is openlijk beschikbaar op de ETSI-website.
Certificeringen van derden op basis van relevante open normen kunnen worden gebruikt om conformiteit aan te tonen met of in anticipatie op toekomstige wetgeving. Cyberbeveiliging gaat echter over meer dan alleen certificeringen. Om een hoger niveau van cyberbeveiliging te bereiken, is het noodzakelijk om verder te gaan dan standaarden. Dit wordt onder andere aangetoond door Axis' ondersteuning voor zero-trust-netwerken, een bug bounty-programma en een apparaatlevenscyclusbenadering van cyberbeveiliging.
De IT-industrie, met zijn snel veranderende bedrijfs- en beveiligingsgerichte innovaties, gaat meestal sneller dan normen en certificeringen kunnen bijhouden. Daarom moeten normen en certificeringen worden gezien als een van de vele elementen die in bepaalde situaties nuttig kunnen zijn. Alleen focussen op certificeringen voor selectievakjes levert niet noodzakelijkerwijs de gewenste klantwaarde op en kan ertoe leiden dat fabrikanten achterblijven bij technologische innovatie en vooruitgang.
