Waar kunnen we u mee helpen?

    Artikel

    Cybersecurity certificatie. Op weg naar een werkbare Europese oplossing?

    In de 'Europese Cyber Security Act' is het voorstel gedaan om te komen tot een Europees cyber security certificaat waarbij ICT-producten, processen en diensten op basis van een risicoanalyse worden gekwalificeerd. Het oorspronkelijke voorstel van de Europese Commissie is inmiddels op een aantal punten gewijzigd en ligt nu voor besluitvorming bij het Europees Parlement. Ook Nederland is bezig met zijn eigen keurmerk op dit gebied.

    Uitgangspunten

    Uitgangspunt van het huidige voorstel is een classificatie van ICT-producten, processen, diensten op basis van een risicoanalyse. Daarbij worden drie niveaus van 'assurance' onderscheiden ('basic, substantial and/or high') die passend dienen te zijn, gezien het beoogde gebruik van het betreffende proces, product of dienst. Het overeenkomstige certificaat moet in beginsel worden verleend door een onafhankelijk partij ('third party certification'). 

    Certificatie of leveranciersverklaring

    Toetsing door de leverancier zelf ('conformity self-assessment') wordt alleen passend geacht voor eenvoudige ICT processen, producten en diensten die van uit het openbaar belang gezien een laag risico vormen. Het mag daarbij voorts alleen gaan om processen, producten en diensten met het laagste beveiligingsniveau ("basic'). De leverancier dient in dat geval een 'EU statement of conformity" te onderteken en te deponeren bij het nationale cyber security agentschap en Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA). Het afgeven van een dergelijke verklaring maakt de leverancier verantwoordelijk voor het voldoen van het betreffende product of de betreffende dienst met de eisen van het onderliggende Europese certificatieschema. Aan een certificaat (incl. dan wel leveranciersverklaring) is een bewijsvermoeden van conformiteit gekoppeld (art. 48). 

    Europese geldigheid; vrijwillige basis

    Certificaten die zijn afgegeven op basis van een Europees certificatieschema zijn geldig in alle lidstaten. In het voorstel lijkt ruimte voor het verlenen van een certificaat door zowel private als publieke partijen. Toezicht op de certificatieverlening wordt uitgeoefende door nationale accreditatieinstellingen, overeenkomstig EU Verordening Nr. 765/2008. Indien een certificatieschema een hoog niveau van assurance vereist, is voorzien in een versterkte rol voorzien voor publieke instanties (art. 48). 

    Een Europese cyber security certificaat is op grond van de Verordening niet verplicht. Nu er geen geharmoniseerde Europese regels op dit punt bestaan is er een zekere ruimte voor lidstaten om certificering wel verplicht te stellen. Het is derhalve niet ondenkbaar dat er – alsnog – een Europese lappendeken van wel/niet verplichte certificering ontstaat. 

    Elke lidstaat dient een of meer 'national cyber security authorities' aan te wijzen. Zij zijn verantwoordelijk voor toezicht en spelen een rol bij het verlenen van certificaten op basis van Europese certificatieschema's die toezien op risicoklasse 'high'.  Burgers en bedrijven hebben het recht een klacht bij hen in te dienen met betrekking tot door hen, of onder hun toezicht, uitgegeven certificaten (art. 53a). 

    Nederlands risicomodel en keurmerk cybersecurity

    Interessant is dat parallel aan de Europese ontwikkelingen het initiatief is genomen voor de ontwikkeling van een Nederlands risicomodel en keurmerk cybersecurity. Het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) neemt daarbij het voortouw in samenwerking met het Verbond van Verzekeraars, VNO-NCW, MKB-Nederland, CIO Platform Nederland, Nederland ICT, Cyberveilig Nederland en Partnering Trust. Ook de overheid (Ministerie van Economische Zaken en Klimaat, Ministerie van Justitie en Veiligheid, en de nationale politie) steunt het initiatief dat is gebaseerd op het succes van het Verbeterde Risicoklassenindeling (VRKI) voor de beveiliging en verzekering van fysieke objecten. 

    Het is op dit moment nog onduidelijk hoe het Europese en Nederlandse initiatief zich tot elkaar verhouden. Dit mede omdat de zorgen over de precieze betekenis van het voorstel die wij ook in een eerdere bijdrage beschreven, nog niet zijn weggenomen.