Het EU-kader voor cyberbeveiligingscertificering voor ICT-producten maakt het mogelijk op maat gesneden en risicogebaseerde EU-certificeringsregelingen op te zetten.
Certificering speelt een cruciale rol bij het vergroten van vertrouwen en veiligheid in belangrijke producten en diensten voor de digitale wereld. Op dit moment bestaan er in de EU een aantal verschillende beveiligingscertificeringsregelingen voor ICT-producten. Zonder een gemeenschappelijk kader voor EU-brede geldige cyberbeveiligingscertificaten bestaat er echter een toenemend risico op versnippering en belemmeringen tussen de lidstaten.
Het certificeringskader zal voorzien in EU-brede certificeringsregelingen als een uitgebreide reeks regels, technische vereisten, normen en procedures. Het kader zal gebaseerd zijn op overeenstemming op EU-niveau over de evaluatie van de beveiligingseigenschappen van een specifiek op ICT gebaseerd product of specifieke op ICT gebaseerde dienst. Zij zal verklaren dat ICT-producten en -diensten die overeenkomstig een dergelijke regeling zijn gecertificeerd, aan gespecificeerde eisen voldoen.
In elke Europese regeling moet met name het volgende worden gespecificeerd:
- de categorieën producten en diensten waarop zij betrekking hebben;
- de cyberbeveiligingsvereisten, zoals normen of technische specificaties;
- het soort evaluatie, zoals zelfbeoordeling of derde partij;
- het beoogde niveau van zekerheid.
De zekerheidsniveaus worden gebruikt om gebruikers te informeren over het cyberbeveiligingsrisico van een product en kunnen fundamenteel, substantieel en/of hoog zijn. Ze staan in verhouding tot het risiconiveau dat verbonden is aan het beoogde gebruik van het product, de dienst of het proces, in termen van waarschijnlijkheid en impact van een ongeval. Een hoge mate van zekerheid zou betekenen dat het gecertificeerde product de hoogste veiligheidstests heeft doorstaan.
Het resulterende certificaat zal in alle EU-lidstaten worden erkend, waardoor het voor bedrijven gemakkelijker wordt om grensoverschrijdend handel te drijven en voor kopers om de beveiligingskenmerken van het product of de dienst te begrijpen.
EU-regeling voor cyberbeveiligingscertificering met betrekking tot gemeenschappelijke criteria (EUCC)
De eerste regeling die in het kader van het certificeringskader van de cyberbeveiligingsverordening wordt vastgesteld, is gebaseerd op de gerenommeerde internationale standaard Common Criteria, die al bijna 30 jaar wordt gebruikt voor de afgifte van certificaten in Europa. De regeling maakt gebruik van de hoge reputatie van Europese leveranciers en certificeerders die de certificering op basis van gemeenschappelijke criteria over de hele wereld gebruiken. De regeling zal vanaf 27 februari 2025 beschikbaar zijn voor verkopers.
De regeling zal op vrijwillige basis in de hele EU van toepassing zijn en is gericht op het certificeren van de cyberbeveiliging van ICT-producten tijdens hun levenscyclus: biometrische systemen, firewalls (zowel hardware als software), detectie- en responsplatforms, routers, schakelaars, gespecialiseerde software (zoals SIEM- en IDS/IDP-systemen), datadiodes, besturingssystemen (ook voor mobiele apparaten), versleutelde opslagplaatsen, databanken en smartcards en beveiligde elementen die deel uitmaken van allerlei producten, zoals paspoorten die dagelijks door alle burgers worden gebruikt.
Raadpleeg de ENISA-certificeringswebsite voor meer informatie over het EUCC.
Doorlopend werkprogramma van de Unie voor Europese cyberbeveiligingscertificering (URWP)
De cyberbeveiligingsverordening van de EU voorziet in de publicatie door de Commissie van een doorlopend werkprogramma van de Unie voor Europese cyberbeveiligingscertificering, een document met een strategische visie en reflecties over mogelijke gebieden voor toekomstige Europese regelingen voor cyberbeveiligingscertificering, rekening houdend met recente wetgevings- en marktontwikkelingen.
Rekening houdend met de verordening cyberweerbaarheid en andere wetgevingsontwikkelingen, zoals de verordening betreffende de Europese digitale identiteit, wijst het eerste URWP op gebieden voor toekomstige Europese regelingen voor cyberbeveiligingscertificering die verband houden met wetgevingsontwikkelingen, alsook op gebieden voor toekomstig nadenken over cyberbeveiligingscertificering, wat uiteindelijk kan leiden tot verzoeken om nieuwe regelingen waar nodig en passend. Voorts worden de strategische prioriteiten geschetst waarmee rekening moet worden gehouden bij de voorbereiding van een Europese regeling voor cyberbeveiligingscertificering.
Het URWP benadrukt als gebieden voor toekomstige Europese cyberbeveiligingscertificering in verband met EU-wetgeving, met name ID-portemonnees en beheerde beveiligingsdiensten. Andere gebieden kunnen industriële automatiserings- en besturingssystemen en de ontwikkeling van de beveiligingslevenscyclus omvatten, voortbouwend op de vereisten voor ratingbureaus en cryptografische mechanismen.
Europese Groep voor cyberbeveiligingscertificering
De Europese Groep voor cyberbeveiligingscertificering (ECCG) is opgericht om de consistente uitvoering en toepassing van de cyberbeveiligingsverordening te helpen waarborgen. Het bestaat uit vertegenwoordigers van nationale cyberbeveiligingscertificeringsautoriteiten of vertegenwoordigers van andere relevante nationale autoriteiten. ECCG is van groot belang voor de voorbereiding van de kandidaat-certificeringsregeling en de algemene uitvoering van het certificeringskader.
Groep van belanghebbenden op het gebied van cyberbeveiligingscertificering
Na de inwerkingtreding van de cyberbeveiligingsverordening in 2019 is de Stakeholder Cybersecurity Certification Group (SCCG) opgericht.
De SCCG is verantwoordelijk voor het adviseren van de Commissie en Enisa over strategische kwesties met betrekking tot cyberbeveiligingscertificering en voor het bijstaan van de Commissie bij de voorbereiding van het voortschrijdend werkprogramma van de Unie. Dit is de eerste deskundigengroep voor cyberbeveiligingscertificering die door de Europese Commissie is opgericht.
Laatste nieuws
Gerelateerde inhoud
Grote afbeelding
De Europese Unie werkt op verschillende fronten aan het bevorderen van cyberweerbaarheid, het beschermen van onze communicatie en gegevens en het veilig houden van de onlinemaatschappij en -economie.
Zoek verder
De Europese Groep voor cyberbeveiligingscertificering is opgericht om de consistente uitvoering en toepassing van de cyberbeveiligingsverordening te helpen waarborgen.
Zie ook
De EU-verordening cybersolidariteit zal de paraatheid voor, de opsporing van en de respons op cyberbeveiligingsincidenten in de hele EU verbeteren.
Nieuwe EU-regels voor cyberbeveiliging zorgen voor veiligere hardware en software.
Exploitanten van essentiële diensten (OES), nationale certificeringsinstanties voor cyberbeveiliging (NCCA’s) en nationale bevoegde autoriteiten (NCA’s) voor cyberbeveiliging behoren tot de geselecteerde aanvragers die 11 miljoen EUR aan financiering zullen ontvangen in het kader...
Het Europees cyberbeveiligingsnetwerk en het kenniscentrum voor cyberbeveiliging helpen de EU de technologische en industriële capaciteiten op het gebied van cyberbeveiliging te behouden en te ontwikkelen.
De Stakeholder Cybersecurity Certification Group is opgericht om advies te geven over strategische kwesties met betrekking tot cyberbeveiligingscertificering.
De cyberbeveiligingswet versterkt het Agentschap van de EU voor cyberbeveiliging (Enisa) en stelt een kader voor cyberbeveiligingscertificering voor producten en diensten vast.
De NIS2-richtlijn is de EU-brede wetgeving inzake cyberbeveiliging. Het voorziet in wettelijke maatregelen om het algemene niveau van cyberbeveiliging in de EU te verhogen.