De Rijksinspectie Digitale Infrastructuur (RDI) start deze maand haar taak als Nationale Cybersecurity Certificeringsautoriteit (NCCA). Dit betekent toezicht houden op de cybersecuritycertificering in Nederland, vanuit de Cybersecurity Act (CSA).
Eerste punt van aandacht is de Common Criteria-certificering voor IT-producten. Deze kunnen nu gecertificeerd worden volgens Europese eisen. Denk aan chips in een bankpas of paspoort, routers, besturingssystemen als Windows, Android of IoS, slimme meters, wachtwoordmanagers of chips in mobiele telefoons. Door deze certificering krijgen bedrijven, organisaties en consumenten meer zekerheid over de veiligheid van IT-producten, omdat ze door een onafhankelijke conformiteitsbeoordelende instantie uitgebreid zijn getest op cyberveiligheidseisen.
Accreditatie
Conformiteitsbeoordelende instanties kunnen nu beginnen met de accreditatie en toelating. Daarin wordt beoordeeld of partijen voldoen aan de eisen om de cyberveiligheid van producten te mogen toetsen. Hiervoor werkt de NCCA samen met de Raad voor Accreditatie. Als partijen positief door deze toetsen komen, mogen ze producten gaan beoordelen op cyberveiligheidseisen en certificaten afgeven.
Fabrikanten en leveranciers uit de hele wereld kunnen een certificaat aanvragen. Als het product voldoet aan de cyberveiligheidseisen, krijgen ze een certificaat. Dit is dan geldig in elke EU-lidstaat.
Op het CSA zekerheidsniveau Hoog kijkt de NCCA mee of het testen goed wordt gedaan. Daarna volgt toestemming om een certificaat uit te reiken. Dit zijn producten met een hoger veiligheidsrisico, waarbij er veel mis kan gaan in de samenleving als deze bijvoorbeeld gehackt worden.
Achtergrond
De certificeringsschema’s komen voort uit de Cybersecurity Act (CSA), een certificeringsstelsel voor producten, -diensten en processen op het gebied van cybersecurity. Het eerste schema, het EUCC-schema, gaat over productcertificering. In de toekomst volgen meer schema’s en die beschrijven cyberveiligheidseisen voor diensten en processen, bijvoorbeeld een schema voor certificering van online diensten.
Het doel daarvan is om het beveiligingsniveau tegen cyberdreigingen te verhogen en te zorgen dat fabrikanten en dienstverleners niet in elke lidstaat afzonderlijk een certificaat hoeven te behalen. De Europese regeling vervangt daarmee vergelijkbare nationale certificeringen. Europese CSA-certificaten voor IT-producten, -diensten en -processen worden erkend in elke EU-lidstaat. Hierdoor maakt een fabrikant geen kosten voor certificering in elke afzonderlijke lidstaat.
Momenteel is CSA-certificering nog vrijwillig. Op termijn verandert dat waarschijnlijk. In sommige gevallen zullen afnemers door andere nationale of Europese regelgeving verplicht worden om CSA-gecertificeerde producten-, diensten- en processen af te nemen. In andere gevallen zullen specifieke categorieën producten gecertificeerd moeten zijn om op de Europese markt verkocht te mogen worden.
Lees ook:
- Software-ontwikkeling sneller en goedkoper met AI
- On Premise: voordelen en overwegingen
