Het EU-kader voor cyberbeveiligingscertificering

Het EU-kader voor cyberbeveiligingscertificering voor producten op het gebied van informatie- en communicatietechnologie (ICT) maakt op maat gesneden en risicogebaseerde EU-certificeringsregelingen mogelijk.

Certificering speelt een cruciale rol bij het vergroten van vertrouwen en veiligheid in kritieke producten en diensten voor de digitale wereld. Momenteel bestaan er in de EU een aantal verschillende beveiligingscertificeringsregelingen voor ICT-producten. Zonder een gemeenschappelijk kader voor EU-brede geldige cyberbeveiligingscertificaten bestaat er echter een toenemend risico op versnippering en belemmeringen tussen de lidstaten.

Het certificeringskader

Het certificeringskader zal voorzien in EU-brede certificeringsregelingen als een uitgebreide reeks regels, technische vereisten, normen en procedures. Het kader zal gebaseerd zijn op overeenstemming op EU-niveau over de evaluatie van de beveiligingseigenschappen van een specifiek op ICT gebaseerd product of specifieke op ICT gebaseerde dienst. Zij zal verklaren dat ICT-producten en -diensten die overeenkomstig een dergelijke regeling zijn gecertificeerd, aan gespecificeerde eisen voldoen.

In elke Europese regeling moet met name het volgende worden gespecificeerd:

de categorieën producten en diensten waarop zij betrekking hebben;
de cyberbeveiligingsvereisten, zoals normen of technische specificaties;
het soort evaluatie, zoals zelfbeoordeling of derde partij;
Het beoogde niveau van zekerheid.

De zekerheidsniveaus worden gebruikt om gebruikers te informeren over het cyberbeveiligingsrisico van een product en kunnen fundamenteel, substantieel en/of hoog zijn. Ze staan in verhouding tot het risiconiveau dat verbonden is aan het beoogde gebruik van het product, de dienst of het proces, in termen van waarschijnlijkheid en impact van een ongeval. Een hoge mate van zekerheid zou betekenen dat het gecertificeerde product de hoogste veiligheidstests heeft doorstaan.

Het resulterende certificaat

Het resulterende certificaat zal in alle EU-lidstaten worden erkend, waardoor het voor bedrijven gemakkelijker wordt om grensoverschrijdend handel te drijven en voor kopers om de beveiligingskenmerken van het product of de dienst te begrijpen.

Raadpleeg de cyberbeveiligingscertificering van Enisa voor meer informatie over de werkzaamheden op het gebied van EU-cybercertificering.

De EU-regeling voor cyberbeveiligingscertificering inzake gemeenschappelijke criteria (EUCC)

De eerste regeling die in het kader van het certificeringskader van de cyberbeveiligingsverordening wordt vastgesteld, is gebaseerd op de gerenommeerde internationale standaard Common Criteria, die al bijna 30 jaar wordt gebruikt voor de afgifte van certificaten in Europa. De regeling maakt gebruik van de hoge reputatie van Europese leveranciers en certificeerders die de certificering op basis van gemeenschappelijke criteria over de hele wereld gebruiken. De regeling zal vanaf 27 februari 2025 beschikbaar zijn voor verkopers.

De regeling zal op vrijwillige basis in de hele EU van toepassing zijn en is gericht op het certificeren van de cyberbeveiliging van ICT-producten tijdens hun levenscyclus, met inbegrip van:

Biometrische systemen
Firewalls (zowel hardware als software)
Detectie- en reactieplatforms
Routers
Schakelaars
Gespecialiseerde software (zoals SIEM- en IDS/IDP-systemen)
Gegevensdioden
Besturingssystemen (ook voor mobiele apparaten)
Gecodeerde opslag
Databanken
Smartcards en beveiligde elementen in allerlei producten, zoals in paspoorten die dagelijks door alle burgers worden gebruikt.

Raadpleeg de ENISA-certificeringswebsite voor meer informatie over het EUCC.

Het voortschrijdend werkprogramma van de Unie voor Europese cyberbeveiligingscertificering (URWP)

Het voortschrijdend werkprogramma van de Unie inzake Europese cyberbeveiligingscertificering is tegelijk met de eerste EU-brede regeling voor cyberbeveiligingscertificering (EUCC) gepubliceerd. Het eerste URWP schetst strategische prioriteiten voor toekomstige Europese regelingen voor cyberbeveiligingscertificering, rekening houdend met recente wetgevings- en marktontwikkelingen, zoals de verordening cyberweerbaarheid en de verordening Europese digitale identiteit. Dit kan uiteindelijk leiden tot verzoeken om nieuwe regelingen waar nodig en passend. Voorts worden de strategische prioriteiten geschetst waarmee rekening moet worden gehouden bij de voorbereiding van een Europese regeling voor cyberbeveiligingscertificering.

In het URWP wordt de nadruk gelegd op de volgende gebieden voor toekomstige Europese cyberbeveiligingscertificering in verband met EU-wetgeving:

ID-portemonnees
Beheerde beveiligingsdiensten
Industriële automatiserings- en regelsystemen
Ontwikkeling van de levenscyclus van de beveiliging, voortbouwend op de vereisten voor ratingbureaus
Cryptografische mechanismen

De Europese Groep voor cyberbeveiligingscertificering (ECCG)

De Europese Groep voor cyberbeveiligingscertificering (ECCG) is opgericht om de consistente uitvoering en toepassing van de cyberbeveiligingsverordening te helpen waarborgen. Het bestaat uit vertegenwoordigers van nationale cyberbeveiligingscertificeringsautoriteiten of vertegenwoordigers van andere relevante nationale autoriteiten. De ECCG is van groot belang voor de voorbereiding van de kandidaat-certificeringsregeling en de algemene uitvoering van het certificeringskader.

De Stakeholder Cybersecurity Certification Group (SCCG)

Na de inwerkingtreding van de cyberbeveiligingsverordening in 2019 is de Stakeholder Cybersecurity Certification Group (SCCG) opgericht.

De SCCG is verantwoordelijk voor het adviseren van de Commissie en Enisa over strategische kwesties met betrekking tot cyberbeveiligingscertificering en voor het bijstaan van de Commissie bij de voorbereiding van het voortschrijdend werkprogramma van de Unie (URWP). Dit is de eerste deskundigengroep voor cyberbeveiligingscertificering die door de Europese Commissie is opgericht.

Volg de werkzaamheden van de groep

Laatste nieuws

An office meeting room with five people discussing around a table, with tables and charts in the background.

Persbericht
25 April 2025

Commissie lanceert oproep voor de selectie van leden van nieuw opgerichte adviesraad voor gezondheidscyberbeveiliging

De Commissie nodigt deskundigen uit om hun aanvraag in te dienen om lid te worden van de nieuw opgerichte adviesraad voor gezondheidscyberbeveiliging.

Person in a suit sitting at a desk holding holographic circle with a scale surrounded. It is surrounded by smaller circles with symbols a book, a gavel, a computer, a file and graphics. On the desk, there is a balance scale and some documents.

Press release
11 April 2025

Commission opens consultation on revising EU Cybersecurity Act

In an effort to strengthen the EU’s resilience against rising cyber threats, the Commission seeks input to evaluate and revise the 2019 Cybersecurity Act. This initiative reflects the Commission’s ongoing commitment to simplifying rules.

Press release
08 April 2025

Cyber: EU and India hold 8th Cyber Dialogue in New Delhi

On 20 March 2025, the European Union and India held the eight Cyber Dialogue in New Delhi.

A doctor holding a tablet, with icons hovering above it, representing cybersecurity in the heathcare sector.

Persbericht
07 April 2025

Commissie wil bijdragen aan betere cyberbeveiliging voor ziekenhuizen en zorgaanbieders

De Commissie is een raadpleging gestart over het actieplan voor de cyberbeveiliging van ziekenhuizen en zorgaanbieders.

Bladeren Cyberbeveiliging

Gerelateerde inhoud

Grote afbeelding

Cyberbeveiligingsbeleid

De Europese Unie werkt op verschillende fronten aan het bevorderen van cyberweerbaarheid, het beschermen van onze communicatie en gegevens en het veilig houden van de onlinemaatschappij en -economie.