Samenwerking Rijksinspectie Digitale Infrastructuur (RDI) en Raad voor Accreditatie (RvA)
De RDI en de RvA gaan intensiever samenwerken op het gebied van cybersecurity certificering. Door deze samenwerking kan meer informatie gedeeld worden en is uitwisseling van expertise mogelijk. Ook kunnen de RvA en de RDI beide effectiever en efficiënter besluiten op de aanvragen. Dit zorgt ervoor dat de instanties die een accreditatie en autorisatie aanvragen, sneller een beslissing ontvangen.
Angeline van Dijk, Inspecteur-Generaal RDI: “Als RDI werken wij aan een digitaal veilige infrastructuur. Deze samenwerking is belangrijk omdat wij vanuit onze eigen rol als Rijksinspectie Digitale Infrastructuur en als Raad voor Accreditatie de krachten bundelen. Wij doen dat om Nederland digitaal veilig en weerbaar te maken en te houden.” Roeland Nieuweboer, voorzitter Raad van Bestuur RvA benadrukt de unieke samenwerking: “Tijdens een gezamenlijke beoordeling geven wij allebei invulling aan onze eigen rol. Dat kwam niet eerder voor. Bovendien verkrijgen beide partijen hierdoor een completer beeld van de betreffende instelling op dit onderwerp. Dit draagt fundamenteel bij aan de betrouwbaarheid van CSA-gecertificeerde producten, -diensten en processen.”
Bundeling van krachten
RDI is de Nationale Cybersecurity Certificeringsautoriteit (NCCA) van Nederland. De NCCA toetst producten en diensten op cyberveiligheidseisen, zodat een certificaat kan worden afgegeven. In de toenemende digitalisering is het steeds belangrijker om Nederland veilig verbonden te houden. Certificering van producten en diensten draagt daaraan bij. RvA is de nationale accreditatie-instantie van Nederland. De Cybersecurity Act van de Europese Unie schrijft accreditatie voor bij deze certificering. Vanuit die rol gaan de RDI en RvA de krachten bundelen voor accreditatie en autorisatie.
Hoe werkt het
Een certificerende instelling vraagt bij de RvA accreditatie aan om producten en/of diensten te mogen certificeren. Als de RvA accreditatie verleent, dan volgt een toets door de RDI, ook wel autorisatie genoemd. Dat is niet altijd het geval, maar als het gaat om cybersecurity certificering meestal wel. De beoordelingen vinden zoveel mogelijk in een gecombineerd RvA-RDI team plaats.
Als een aanvrager zowel de accreditatie als de autorisatie heeft gekregen, dan informeert de RDI ENISA. ENISA is het Europees Agentschap voor netwerk- en informatiebeveiliging. Daarna mag een certificerende instelling producten en/of diensten gaan toetsen en certificaten afgeven. Wordt het testen van het product door de certificerende instelling uitbesteed aan een geaccrediteerd laboratorium, dan vindt ook daar een beoordeling door het gecombineerde RvA-RDI team plaats.
Cybersecurity Act (CSA)
Afnemers van CSA-gecertificeerde producten, -diensten en processen krijgen de zekerheid dat deze voldoen aan de cybersecurity-eisen uit de certificeringsregeling. De CSA is een verordening waarmee de Europese Unie grensoverschrijdende cyberaanvallen beter het hoofd wil bieden. Onder de CSA-certificeringsschema’s kunnen IT-producten, -diensten en -processen gecertificeerd worden op het gebied van cybersecurity. In juni 2019 is de Europese ‘Cybersecurity Act’ (CSA) van kracht geworden. De eerste cybersecurity certificeringsschema’s worden dit jaar verwacht.