Waar kunnen we u mee helpen?

    Artikel

    Naar een Europees cybersecurity keurmerk?

    Als onderdeel van het Europese ‘Cybersecurity Package’ is door de Europese Commissie vorig najaar een voorstel gedaan voor een 'Europese Cyber Security Act'. Kern van het voorstel is de invoering van een keurmerk voor producten en diensten op het gebied van cybersecurity. Dit is onder meer relevant voor de markt van producten die op internet kunnen worden aangesloten (Internet of Things (IoT)). Als onderdeel van een reeks van consultaties is het voorstel onlangs in Brussel besproken ook door experts op het gebied van cyber security, technische normalisatie en certificering. Zoals was te verwachten, kwam er de nodige kritiek op het voorstel.

    Bereik keurmerk

    Een van de kernpunten betrof het specifieke, dynamische karakter van cyberrisico’s en het belang van een veilig ecosysteem. Als we het voorbeeld nemen van een op internet aangesloten camera dan wordt al snel duidelijk dat het keurmerk eigenlijk niet alleen kan toezien op het product als zodanig (de hardware en software van de camera) maar dat ook de rol van de maker (systeem software updates) en andere dienstverleners (connectiviteit, antivirus software) moet worden meegenomen. En hoe om te gaan met producten waarvoor een hoge updatefrequentie noodzakelijk is?

    Verlening certificaten

    Een ander heikel punt betreft de vraag wie het certificaat verleent: de leverancier (‘zelfcertificatie’) of een onafhankelijke derde (‘third party certification’)? Experts uit de industrie wezen er op dat het hoge ontwikkel- en productietempo voor IoT-producten het noodzakelijk maakt dat de leveranciers zelf het keurmerk verlenen; er is door simpelweg geen tijd voor certificering door onafhankelijke partijen. De industrie drong ook sterk aan op een vrijwillig keurmerk; de Europese consumentorganisaties pleitten juist nadrukkelijk voor het tegendeel.

    Zorgpunten

    Andere zorgpunten die naar voren werden gebracht betroffen de beperkte reikwijdte van het voorstel (geen oplossing voor security issues waarmee het bedrijfsleven wordt geconfronteerd) en de vraag of het voorgestelde certificaat wel het gewenste doel zal hebben. Certificaten worden als regel niet goed begrepen. Invoering van een nieuw keurmerk naast de al verplicht CE-markering zal mogelijk slechts tot meer verwarring zal leiden.

    Wildgroei

    In de EU worden op dit moment al diverse ‘cyber security certificaten’ aangeboden. De Europese Commissie is bang voor een wildgroei van onderling niet op elkaar afgestemde certificaten (geen uniforme eisen, beperkte geografische geldigheid, geen onderling erkenning). Dit kan leiden tot fragmentatie van de markt en nieuwe handelsbarrières, bijvoorbeeld omdat er voor het in de EU op de markt brengen van een product of dienst een aantal verschillende certificaten moet worden verkregen. Voor de snel groeiende IoT-markt is dit uiteraard een zeer ongewenste ontwikkeling.

    ENISA

    Belangrijk onderdeel van de voorgestelde Cyber Security Act is om ENISA, het Europese Agentschap voor Netwerk- en  Informatie veiligheid, een permanent mandaat te geven. Daarmee moet ENISA in staat worden gesteld om ondersteuning te geven aan de lidstaten, EU-instellingen en het bedrijfsleven, onder meer bij het implementeren van de Europese Netwerk- en Informatiebeveiliging Richtlijn (NIB-richtlijn). Met deze laatste richtlijn wordt beoogd een eenduidiger beveiligingsbeleid te creëren in de EU.

    Voortgang

    Naar verwachting zal het Europees Parlement in juni op commissieniveau over het voorstel stemmen. Binnenkort kan ook een advies inzake de Cyber Security Act worden verwacht van het Europees Economisch en Sociaal Comité (EESC).