Het EU-kader voor cyberbeveiligingscertificering

Het EU-kader voor cyberbeveiligingscertificering voor producten op het gebied van informatie- en communicatietechnologie (ICT) maakt op maat gesneden en risicogebaseerde EU-certificeringsregelingen mogelijk.

Certificering speelt een cruciale rol bij het vergroten van vertrouwen en veiligheid in kritieke producten en diensten voor de digitale wereld. Momenteel bestaan er in de EU een aantal verschillende beveiligingscertificeringsregelingen voor ICT-producten. Zonder een gemeenschappelijk kader voor EU-brede geldige cyberbeveiligingscertificaten bestaat er echter een toenemend risico op versnippering en belemmeringen tussen de lidstaten.

Het certificeringskader

Het certificeringskader zal voorzien in EU-brede certificeringsregelingen als een uitgebreide reeks regels, technische vereisten, normen en procedures. Het kader zal gebaseerd zijn op overeenstemming op EU-niveau over de evaluatie van de beveiligingseigenschappen van een specifiek op ICT gebaseerd product of specifieke op ICT gebaseerde dienst. Zij zal verklaren dat ICT-producten en -diensten die overeenkomstig een dergelijke regeling zijn gecertificeerd, aan gespecificeerde eisen voldoen.

In elke Europese regeling moet met name het volgende worden gespecificeerd:

de categorieën producten en diensten waarop zij betrekking hebben;
de cyberbeveiligingsvereisten, zoals normen of technische specificaties;
het soort evaluatie, zoals zelfbeoordeling of derde partij;
Het beoogde niveau van zekerheid.

De zekerheidsniveaus worden gebruikt om gebruikers te informeren over het cyberbeveiligingsrisico van een product en kunnen fundamenteel, substantieel en/of hoog zijn. Ze staan in verhouding tot het risiconiveau dat verbonden is aan het beoogde gebruik van het product, de dienst of het proces, in termen van waarschijnlijkheid en impact van een ongeval. Een hoge mate van zekerheid zou betekenen dat het gecertificeerde product de hoogste veiligheidstests heeft doorstaan.

Het resulterende certificaat

Het resulterende certificaat zal in alle EU-lidstaten worden erkend, waardoor het voor bedrijven gemakkelijker wordt om grensoverschrijdend handel te drijven en voor kopers om de beveiligingskenmerken van het product of de dienst te begrijpen.

Raadpleeg de cyberbeveiligingscertificering van Enisa voor meer informatie over de werkzaamheden op het gebied van EU-cybercertificering.

De EU-regeling voor cyberbeveiligingscertificering inzake gemeenschappelijke criteria (EUCC)

De eerste regeling die in het kader van het certificeringskader van de cyberbeveiligingsverordening wordt vastgesteld, is gebaseerd op de gerenommeerde internationale standaard Common Criteria, die al bijna 30 jaar wordt gebruikt voor de afgifte van certificaten in Europa. De regeling maakt gebruik van de hoge reputatie van Europese leveranciers en certificeerders die de certificering op basis van gemeenschappelijke criteria over de hele wereld gebruiken. De regeling zal vanaf 27 februari 2025 beschikbaar zijn voor verkopers.

De regeling zal op vrijwillige basis in de hele EU van toepassing zijn en is gericht op het certificeren van de cyberbeveiliging van ICT-producten tijdens hun levenscyclus, met inbegrip van:

Biometrische systemen
Firewalls (zowel hardware als software)
Detectie- en reactieplatforms
Routers
Schakelaars
Gespecialiseerde software (zoals SIEM- en IDS/IDP-systemen)
Gegevensdioden
Besturingssystemen (ook voor mobiele apparaten)
Gecodeerde opslag
Databanken
Smartcards en beveiligde elementen in allerlei producten, zoals in paspoorten die dagelijks door alle burgers worden gebruikt.

Raadpleeg de ENISA-certificeringswebsite voor meer informatie over het EUCC.

Het voortschrijdend werkprogramma van de Unie voor Europese cyberbeveiligingscertificering (URWP)

Het voortschrijdend werkprogramma van de Unie inzake Europese cyberbeveiligingscertificering is tegelijk met de eerste EU-brede regeling voor cyberbeveiligingscertificering (EUCC) gepubliceerd. Het eerste URWP schetst strategische prioriteiten voor toekomstige Europese regelingen voor cyberbeveiligingscertificering, rekening houdend met recente wetgevings- en marktontwikkelingen, zoals de verordening cyberweerbaarheid en de verordening Europese digitale identiteit. Dit kan uiteindelijk leiden tot verzoeken om nieuwe regelingen waar nodig en passend. Voorts worden de strategische prioriteiten geschetst waarmee rekening moet worden gehouden bij de voorbereiding van een Europese regeling voor cyberbeveiligingscertificering.

In het URWP wordt de nadruk gelegd op de volgende gebieden voor toekomstige Europese cyberbeveiligingscertificering in verband met EU-wetgeving:

ID-portemonnees
Beheerde beveiligingsdiensten
Industriële automatiserings- en regelsystemen
Ontwikkeling van de levenscyclus van de beveiliging, voortbouwend op de vereisten voor ratingbureaus
Cryptografische mechanismen

De Europese Groep voor cyberbeveiligingscertificering (ECCG)

De Europese Groep voor cyberbeveiligingscertificering (ECCG) is opgericht om de consistente uitvoering en toepassing van de cyberbeveiligingsverordening te helpen waarborgen. Het bestaat uit vertegenwoordigers van nationale cyberbeveiligingscertificeringsautoriteiten of vertegenwoordigers van andere relevante nationale autoriteiten. De ECCG is van groot belang voor de voorbereiding van de kandidaat-certificeringsregeling en de algemene uitvoering van het certificeringskader.

De Stakeholder Cybersecurity Certification Group (SCCG)

Na de inwerkingtreding van de cyberbeveiligingsverordening in 2019 is de Stakeholder Cybersecurity Certification Group (SCCG) opgericht.

De SCCG is verantwoordelijk voor het adviseren van de Commissie en Enisa over strategische kwesties met betrekking tot cyberbeveiligingscertificering en voor het bijstaan van de Commissie bij de voorbereiding van het voortschrijdend werkprogramma van de Unie (URWP). Dit is de eerste deskundigengroep voor cyberbeveiligingscertificering die door de Europese Commissie is opgericht.

Volg de werkzaamheden van de groep

Laatste nieuws

Persbericht
28 Maart 2025

Commissie investeert 1,3 miljard euro in artificiële intelligentie, cyberbeveiliging en digitale vaardigheden

De Commissie zal 1,3 miljard euro uittrekken voor de uitrol van kritieke technologieën die van strategisch belang zijn voor de toekomst van Europa en de technologische soevereiniteit van het continent via het werkprogramma Digitaal Europa (DIGITAL) voor de periode 2025-2027, dat vandaag is goedgekeurd.

Image representing the EU flag next to the Republic of Korea flag

Persbericht
10 Maart 2025

EU en Korea verdiepen banden met baanbrekende digitale handelsovereenkomst

De EU en de Republiek Korea hebben de onderhandelingen over een baanbrekende digitale handelsovereenkomst (DTA) afgerond, waarmee zij hun gehechtheid aan een sterk en betrouwbaar partnerschap onderstrepen dat geschikt is om de snelle digitale ontwikkelingen van vandaag het hoofd te bieden.

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Persbericht
24 Februari 2025

Commissie lanceert nieuwe blauwdruk voor cyberbeveiliging om de coördinatie van cybercrises in de EU te verbeteren

Vandaag heeft de Commissie een voorstel ingediend om te zorgen voor een doeltreffende en efficiënte reactie op grootschalige cyberincidenten.

Persbericht
21 Februari 2025

Commissie en hoge vertegenwoordiger presenteren krachtige maatregelen om de beveiliging van onderzeese kabels te verbeteren

Op 21 februari presenteerde uitvoerend vicevoorzitter Henna Virkkunen in Helsinki (Finland) de gezamenlijke mededeling van de Commissie en de HV/VV ter versterking van de veiligheid en veerkracht van onderzeese kabels.

Bladeren Cyberbeveiliging

Gerelateerde inhoud

Grote afbeelding

Cyberbeveiligingsbeleid

De Europese Unie werkt op verschillende fronten aan het bevorderen van cyberweerbaarheid, het beschermen van onze communicatie en gegevens en het veilig houden van de onlinemaatschappij en -economie.