RDI start met haar taak als Nationale Cybersecurity Certificerings Autoriteit (NCCA)
De Rijksinspectie Digitale Infrastructuur (RDI) heeft als Nationale Cybersecurity Certificerings Autoriteit (NCCA) de taak om toezicht te houden op de cybersecuritycertificering in Nederland, vanuit de Cybersecurity Act (CSA). De eerste Europese cyberbeveiligingscertificeringsregeling is gepubliceerd door de Europese Commissie. Deze regeling wordt ook wel een certificeringsschema genoemd en komt voort uit de CSA. Door de publicatie wordt het certificeringsschema van kracht.
EUCC – Common Criteria
Dit eerste schema, genaamd het EUCC, gaat over Common Criteria certificering voor IT-producten. Deze kunnen nu gecertificeerd worden volgens de eisen uit het EUCC. Denk aan chips in een bankpas of paspoort, routers, besturingssystemen als Windows, Android of IoS, slimme meters, wachtwoordmanagers of chips in mobiele telefoons. Door deze certificering krijgen bedrijven, organisaties en consumenten meer zekerheid over de veiligheid van IT-producten, omdat ze door een onafhankelijke conformiteitsbeoordelende instantie uitgebreid zijn getest op cyberveiligheidseisen.
Accreditatie
Conformiteitsbeoordelende instanties kunnen nu beginnen met de accreditatie en toelating. In dit proces wordt beoordeeld of partijen voldoen aan de eisen om de cyberveiligheid van producten te mogen toetsen. Hiervoor werkt de NCCA samen met de Raad voor Accreditatie. Als partijen positief door deze toetsen komen, mogen ze producten gaan beoordelen op cyberveiligheidseisen en certificaten afgeven.
Certificering
Fabrikanten en leveranciers uit de hele wereld kunnen een certificaat aanvragen. Als het product voldoet aan de cyberveiligheidseisen, krijgen ze een certificaat. Dit certificaat is dan geldig binnen elke EU-lidstaat.
Op het CSA zekerheidsniveau Hoog kijkt de NCCA mee of het testen goed wordt gedaan en geeft daarna toestemming om een certificaat uit te reiken. Dit zijn producten met een hoger veiligheidsrisico, waarbij er veel mis kan gaan in de samenleving als deze bijvoorbeeld gehackt worden.
Achtergrond
De certificeringsschema’s komen voort uit de Cybersecurity Act (CSA). De Europese Cybersecurity Act is een Europees certificeringsstelsel voor producten, -diensten en processen op het gebied van cybersecurity. Het eerste schema, het EUCC schema, gaat over productcertificering. In de toekomst volgen meer schema’s en die beschrijven cyberveiligheidseisen voor diensten en processen, bijvoorbeeld een schema voor certificering van online diensten.
Het doel daarvan is om het beveiligingsniveau tegen cyberdreigingen te verhogen. Daarnaast is het doel om ervoor te zorgen dat fabrikanten en dienstverleners niet in elke lidstaat afzonderlijk een certificaat hoeven te behalen. De Europese regeling vervangt daarmee vergelijkbare nationale certificeringen. Europese CSA-certificaten voor IT-producten, -diensten en -processen worden erkend in elke EU-lidstaat. Hierdoor maakt een fabrikant geen kosten voor certificering in elke afzonderlijke lidstaat.
Momenteel is CSA-certificering nog vrijwillig, op termijn verandert dat waarschijnlijk. In sommige gevallen zullen afnemers door andere nationale of Europese regelgeving verplicht worden om CSA-gecertificeerde producten-, diensten- en processen af te nemen. In andere gevallen zullen specifieke categorieën producten gecertificeerd moeten zijn om op de Europese markt verkocht te mogen worden.