Het EU-kader voor cyberbeveiligingscertificering

Certificering speelt een cruciale rol bij het vergroten van het vertrouwen en de veiligheid in belangrijke producten en diensten voor de digitale wereld. Op dit moment bestaat er in de EU een aantal verschillende beveiligingscertificeringsregelingen voor ICT-producten. Maar zonder een gemeenschappelijk kader voor EU-brede geldige cyberbeveiligingscertificaten bestaat er een toenemend risico op versnippering en belemmeringen tussen de lidstaten.

Het certificeringskader biedt EU-brede certificeringsregelingen als een uitgebreide reeks regels, technische vereisten, normen en procedures. Het kader zal gebaseerd zijn op overeenstemming op EU-niveau over de evaluatie van de beveiligingseigenschappen van een specifiek op ICT gebaseerd product of dienst. Zij zal aantonen dat ICT-producten en -diensten die overeenkomstig een dergelijke regeling zijn gecertificeerd, aan bepaalde eisen voldoen.

In elke Europese regeling moet met name het volgende worden gespecificeerd:

• de categorieën producten en diensten waarop zij betrekking hebben;
• de cyberbeveiligingsvereisten, zoals normen of technische specificaties;
• het soort evaluatie, zoals zelfbeoordeling of een derde;
• het beoogde niveau van zekerheid.

De zekerheidsniveaus worden gebruikt om gebruikers te informeren over het cyberbeveiligingsrisico van een product en kunnen fundamenteel, substantieel en/of hoog zijn. Zij zijn in verhouding tot het risiconiveau dat verbonden is aan het beoogde gebruik van het product, de dienst of het proces, in termen van waarschijnlijkheid en impact van een ongeval. Een hoog betrouwbaarheidsniveau zou betekenen dat het gecertificeerde product de hoogste veiligheidstests doorstond.

Het resulterende certificaat zal in alle EU-lidstaten worden erkend, waardoor het voor bedrijven gemakkelijker wordt om grensoverschrijdend te handelen en voor kopers om de beveiligingskenmerken van het product of de dienst te begrijpen.

Gemeenschappelijke Criteria-gebaseerde certificeringsregeling voor cyberbeveiliging

De eerste regeling die in het kader van het certificeringskader van de Cybersecurity Act wordt goedgekeurd, is gebaseerd op de gerenommeerde internationale standaard Gemeenschappelijke Criteria, die al bijna 30 jaar wordt gebruikt voor de afgifte van certificaten in Europa. De regeling maakt gebruik van de hoge reputatie van Europese verkopers en certificeerders die wereldwijd gebruik maken van de Common Criteria-certificering. 

De regeling zal op vrijwillige basis in de hele EU van toepassing zijn en is gericht op het certificeren van de cyberbeveiliging van ICT-producten in hun levenscyclus: biometrische systemen, firewalls (zowel hardware als software), detectie- en responsplatforms, routers, switches, gespecialiseerde software (zoals SIEM- en IDS/IDP-systemen), datadiodes, besturingssystemen (ook voor mobiele apparaten), gecodeerde opslagplaatsen, databases, evenals smartcards en beveiligde elementen die zijn opgenomen in allerlei producten, zoals in paspoorten die dagelijks door alle burgers worden gebruikt. 

Voortschrijdend werkprogramma van de Unie voor Europese cyberbeveiligingscertificering (URWP)

De EU-cyberbeveiligingsverordening voorziet in de publicatie door de Commissie van een lopend werkprogramma van de Unie voor Europese cyberbeveiligingscertificering, een document met een strategische visie en reflecties over mogelijke gebieden voor toekomstige Europese regelingen voor cyberbeveiligingscertificering, rekening houdend met recente wetgevings- en marktontwikkelingen. 

Rekening houdend met de wet inzake cyberweerbaarheid (CRA) en andere wetgevingsontwikkelingen, zoals de Europese verordening inzake digitale identiteit, wijst het eerste URWP op gebieden voor toekomstige Europese regelingen voor cyberbeveiligingscertificering die verband houden met wetgevingsontwikkelingen en gebieden voor toekomstige reflectie over cyberbeveiligingscertificering, die uiteindelijk kunnen leiden tot verzoeken om nieuwe regelingen waar nodig en passend. Voorts worden de strategische prioriteiten uiteengezet die in aanmerking moeten worden genomen bij de voorbereiding van een Europese regeling voor cyberbeveiligingscertificering. 

De URWP benadrukt als gebieden voor toekomstige Europese cyberbeveiligingscertificering in verband met EU-wetgeving, met name ID Wallets en beheerde beveiligingsdiensten.  Andere gebieden kunnen industriële automatisering en controlesystemen en ontwikkeling van de veiligheidslevenscyclus zijn, voortbouwend op de CRA-vereisten en cryptografische mechanismen.  

Europese Groep voor cyberbeveiligingscertificering 

De Europese Groep voor cyberbeveiligingscertificering (ECCG) is opgericht om te helpen zorgen voor een consistente tenuitvoerlegging en toepassing van de cyberbeveiligingsverordening. Het bestaat uit vertegenwoordigers van nationale autoriteiten voor cyberbeveiligingscertificering of vertegenwoordigers van andere relevante nationale autoriteiten. ECCG is van cruciaal belang voor de voorbereiding van de kandidaat-certificeringsregeling en de algemene uitvoering van het certificeringskader.

Stakeholder Cybersecurity Certificeringsgroep

Na de inwerkingtreding van de Cybersecurity Act in 2019 is de Stakeholder Cybersecurity Certification Group (SCCG) opgericht. 

De KKCG is verantwoordelijk voor het adviseren van de Commissie en het Enisa over strategische kwesties op het gebied van cyberbeveiligingscertificering en het bijstaan van de Commissie bij de voorbereiding van het voortschrijdend werkprogramma van de Unie. Dit is de eerste deskundigengroep van belanghebbenden voor cyberbeveiligingscertificering die door de Europese Commissie is opgericht.

Volg de werkzaamheden van de groep