Rijksinspectie Digitale Infrastructuur (RDI) als Nationale Cybersecuritycertificeringsautoriteit (NCCA)

De Nederlandse Nationale Cybersecurity certificeringsautoriteit (NCCA) heeft een rol bij het certificeren van IT-producten, -diensten en -processen en het toezicht daarop. De Nederlandse NCCA is ingesteld op grond van de CSA-uitvoeringswet. 

De Nederlandse NCCA

Wij zijn sinds april 2022 officieel de Nationale Cybersecurity certificeringsautoriteit (NCCA). Vanuit die nieuwe rol houden we toezicht op de certificering van IT-producten, diensten en processen. Doel ervan is digitale producten en diensten digitaal veiliger te maken en zo de digitale weerbaarheid van ons land te vergroten. Nederland heeft ervoor gekozen om certificerende taken volgens de CSA-optie van ‘prior approval’ uit te voeren. Oftewel, via de ‘voorafgaande goedkeuring’.

NCCA-certificering:

  • Beoordeelt of een conformiteitsbeoordelende instantie (CBI) Europese CSA-certificeringen kan en mag uitvoeren (toelating);
  • Beoordeelt op het CSA-zekerheidsniveau ‘hoog’ of een CBI aan het einde van het certificeringstraject een Europees certificaat mag uitreiken (voorafgaande goedkeuring);
  • Beoordeelt of een geaccrediteerde CBI toestemming mag geven aan de fabrikant om het ‘Common Criteria Recognition Arrangement’ (CCRA) logo te gebruiken bij communicatie over een gecertificeerd product.

NCCA-toezicht:

  • Houdt toezicht op de naleving van de certificeringsvereisten door fabrikanten en aanbieders die een IT-product, -dienst of -proces hebben laten certificeren.
  • Houdt toezicht op de naleving van de certificeringsvereisten door de toegelaten CBI’s.

De Europese certificeringsregelingen zijn nog in ontwikkeling. De opbouw van de NCCA-taken bij de Rijksinspectie Digitale Infrastructuur (RDI) strekt zich daarom over meerdere jaren uit. Met elk nieuw Europees certificeringsschema groeit de omvang van de NCCA-taken van de RDI.

Het eerste certificeringsschema is het EUCC-schema voor certificering van IT-producten.