EU-kader voor cyberbeveiligingscertificering

Het EU-kader voor cyberbeveiligingscertificering maakt op maat gesneden en risicogebaseerde EU-certificeringsregelingen mogelijk.

Certificering speelt een cruciale rol bij het vergroten van het vertrouwen en de veiligheid in kritieke producten en diensten voor de digitale wereld. Momenteel bestaan er in de EU een aantal verschillende beveiligingscertificeringsregelingen voor ICT-producten. Zonder een gemeenschappelijk kader voor EU-brede geldige cyberbeveiligingscertificaten bestaat er echter een toenemend risico op versnippering en belemmeringen tussen de lidstaten.

Het certificeringskader

Het certificeringskader voorziet in EU-brede certificeringsregelingen als een uitgebreide reeks regels, technische vereisten, normen en procedures. Het kader zal gebaseerd zijn op overeenstemming op EU-niveau over de evaluatie van de beveiligingseigenschappen van een specifiek ICT-product of -dienst. Daarin wordt verklaard dat ICT-producten en -diensten die in overeenstemming met een dergelijke regeling zijn gecertificeerd, aan specifieke eisen voldoen.

In elke Europese regeling moet met name het volgende worden gespecificeerd:

de betrokken categorieën producten en diensten;
de cyberbeveiligingsvereisten, zoals normen of technische specificaties;
het type evaluatie, zoals zelfbeoordeling of derde partij;
Het beoogde niveau van zekerheid.

De zekerheidsniveaus worden gebruikt om gebruikers te informeren over het cyberbeveiligingsrisico van een product en kunnen eenvoudig, substantieel en/of hoog zijn. Zij staan in verhouding tot het risiconiveau dat verbonden is aan het beoogde gebruik van het product, de dienst of het proces, wat betreft de waarschijnlijkheid en de gevolgen van een ongeval. Een hoge mate van zekerheid zou betekenen dat het gecertificeerde product de hoogste veiligheidstests heeft doorstaan.

Het resulterende certificaat

Het resulterende certificaat zal in alle EU-lidstaten worden erkend, waardoor het voor bedrijven gemakkelijker wordt om grensoverschrijdend handel te drijven en voor kopers om de beveiligingskenmerken van het product of de dienst te begrijpen.

Raadpleeg de ENISA-cyberbeveiligingscertificering voor meer informatie over het werk dat is verricht op het gebied van EU-cybercertificering.

De eerste EU-certificeringsregeling voor cyberbeveiliging op basis van gemeenschappelijke criteria (EUCC)

De eerste regeling die in het kader van het certificeringskader van de cyberbeveiligingsverordening wordt aangenomen, is gebaseerd op de gerenommeerde internationale standaard Common Criteria, die al bijna 30 jaar wordt gebruikt voor de afgifte van certificaten in Europa. De regeling maakt gebruik van de hoge reputatie van Europese leveranciers en certificeerders die gebruikmaken van de op gemeenschappelijke criteria gebaseerde certificering over de hele wereld. De regeling zal vanaf 27 februari 2025 beschikbaar zijn voor verkopers.

De regeling zal op vrijwillige basis in de hele EU worden toegepast en is gericht op het certificeren van de cyberbeveiliging van ICT-producten in hun levenscyclus, met inbegrip van:

Biometrische systemen
Firewalls (zowel hardware als software)
Detectie- en responsplatforms
Routers
Schakelaars
Gespecialiseerde software (zoals SIEM- en IDS/IDP-systemen)
Gegevensdioden
Besturingssystemen (ook voor mobiele apparaten)
Versleutelde opslag
Databanken
Smartcards en beveiligde elementen in allerlei producten, zoals in paspoorten die dagelijks door alle burgers worden gebruikt.

Raadpleeg de ENISA-certificeringswebsite voor meer informatie over het EUCC.

Een vernieuwd Europees kader voor cyberbeveiligingscertificering

Op 20 januari 2026 heeft de Commissie een herziene cyberbeveiligingsverordening voorgesteld tot verlenging van het Europees kader voor cyberbeveiligingscertificering (ECCF). Het voorstel zal ervoor zorgen dat producten en diensten die de EU-consumenten bereiken op een efficiëntere manier op veiligheid worden getest. Het nieuwe ECCF zal standaard binnen twaalf maanden zorgen voor meer duidelijkheid en eenvoudigere procedures voor de ontwikkeling van regelingen. Het zal ook zorgen voor een flexibelere en transparantere governance om belanghebbenden beter te betrekken door middel van voorlichting en raadpleging van het publiek.

Certificeringsregelingen, die door Enisa worden beheerd, zullen een praktisch, vrijwillig instrument voor bedrijven worden. Zij zullen bedrijven in staat stellen aan te tonen dat zij de EU-wetgeving naleven, waardoor de lasten en kosten worden verminderd. Voor EU-burgers, bedrijven en overheden zal dit zorgen voor een hoog niveau van veiligheid en vertrouwen in complexe ICT-toeleveringsketens.

Het voortschrijdend werkprogramma van de Unie voor Europese cyberbeveiligingscertificering (URWP)

Het voortschrijdend werkprogramma van de Unie inzake Europese cyberbeveiligingscertificering werd tegelijk met de eerste EU-brede regeling voor cyberbeveiligingscertificering (EUCC) gepubliceerd. Het eerste URWP schetst strategische prioriteiten voor toekomstige Europese regelingen voor cyberbeveiligingscertificering, rekening houdend met recente wetgevings- en marktontwikkelingen, zoals de verordening cyberweerbaarheid (CRA) en de Europese verordening digitale identiteit. Dit kan uiteindelijk leiden tot verzoeken om nieuwe regelingen waar nodig en passend. Voorts worden de strategische prioriteiten uiteengezet waarmee rekening moet worden gehouden bij de voorbereiding van een Europese regeling voor cyberbeveiligingscertificering.

Het URWP benadrukt de volgende gebieden voor toekomstige Europese cyberbeveiligingscertificering in verband met EU-wetgeving:

ID-portemonnees
Beheerde beveiligingsdiensten
Industriële automatisering en besturingssystemen
Ontwikkeling van de levenscyclus van beveiliging, voortbouwend op de CRA-vereisten
Cryptografische mechanismen

De Europese Groep voor cyberbeveiligingscertificering (ECCG)

De Europese Groep voor cyberbeveiligingscertificering (ECCG) is opgericht om de consistente uitvoering en toepassing van de cyberbeveiligingsverordening te helpen waarborgen. Het bestaat uit vertegenwoordigers van nationale autoriteiten voor cyberbeveiligingscertificering of vertegenwoordigers van andere relevante nationale autoriteiten. De ECCG speelt een belangrijke rol bij de voorbereiding van de regeling voor kandidaat-certificaten en de algemene uitvoering van het certificeringskader.

De Stakeholder Cybersecurity Certification Group (SCCG)

Na de inwerkingtreding van de cyberbeveiligingsverordening in 2019 is de Stakeholder Cybersecurity Certification Group (SCCG) opgericht.

De SCCG is verantwoordelijk voor het adviseren van de Commissie en Enisa over strategische kwesties met betrekking tot cyberbeveiligingscertificering, en voor het bijstaan van de Commissie bij de voorbereiding van het voortschrijdend werkprogramma van de Unie (URWP). Dit is de eerste deskundigengroep van belanghebbenden voor cyberbeveiligingscertificering die door de Europese Commissie is opgericht.

Volg de werkzaamheden van de groep

Laatste nieuws

PERSBERICHT | 20 Januari 2026

Commissie versterkt veerkracht en capaciteiten op het gebied van cyberbeveiliging in de EU

DIGIBYTE | 12 Januari 2026

Commission opens call for evidence on Open-Source Digital Ecosystems

PERSBERICHT | 19 November 2025

Eenvoudigere digitale EU-regels en nieuwe digitale portemonnees om miljarden te besparen voor bedrijven en innovatie te stimuleren

PERSBERICHT | 12 November 2025

Uitvoerend vicevoorzitters Virkkunen en Mînzatu belonen acties om de digitale vaardigheden van Europeanen te versterken tijdens de Europese prijzen voor digitale vaardigheden

PERSBERICHT | 04 November 2025

De lidstaten en de Commissie testen collectieve crisisrespons op het gebied van cyberbeveiliging

DIGIBYTE | 18 Oktober 2025

EU en Oekraïne verdiepen samenwerking op het gebied van cyberbeveiliging tijdens 4e cyberdialoog

Bladeren Cyberbeveiliging

Gerelateerde inhoud

Grote afbeelding

EU-beleid inzake cyberbeveiliging

De Europese Unie werkt op verschillende fronten aan het bevorderen van cyberweerbaarheid, het beschermen van onze communicatie en gegevens en het veilig houden van de onlinemaatschappij en -economie.

Zoek verder

Groep van belanghebbenden op het gebied van cyberbeveiligingscertificering
De Stakeholder Cybersecurity Certification Group is opgericht om advies te geven over strategische...