EU Cybersecurity Act brengt nieuwe Europese certificeringsregeling

Cybersecurity is in toenemende mate een belangrijk aandachtspunt voor de Europese wetgever. Als gevolg van de coronapandemie werken meer mensen dan ooit thuis en dus online, en de oorlog in Oekraïne maakt de toch al reële dreiging op het gebied van cybersecurity ten opzichte van buitenlandse, potentieel vijandige mogendheden des te urgenter. Zo beschrijft de NCTV
cyberaanvallen door statelijke actoren als ‘het nieuwe normaal’.

In reactie op de cyberdreigingen is vanuit Europa een EU Cybersecurity Strategie ontwikkeld. Onderdeel van deze strategie zijn verschillende stukken Europese wetgeving. We bespreken hieronder in meer detail: de EU Cybersecurity Act. Bekijk hier ook het artikel over de Cyber Resilience Act.

De EU Cybersecurity Act richt zich hoofzakelijk op het regelen van een Europees certificeringssysteem voor de cyberbeveiliging van informatie- en communicatietechnologie, waaronder het versterken van het mandaat van Enisa, het Europees Agentschap voor Cyber Security. Enisa’s mandaat liep in 2020 af en behoefde bovendien herziening vanwege het ‘radicaal gewijzigde cyberdreigingslandschap’. Ten behoeve hiervan krijgt Enisa meer financiële en personele middelen en een permanent mandaat.

Daarnaast is er behoefte aan een Europees systeem van certificering van ICT-producten. Certificaten die in de ene lidstaat zijn toegekend worden veelal niet erkend in andere lidstaten, waardoor ondernemingen in verschillende landen apart certificering moeten verkrijgen voor hun producten. Daarnaast is het voor bedrijven die gebruik maken van ICT-producten lastig om een juiste risicoanalyse te maken. Unie-brede certificering moet dit vereenvoudigen. Aan Enisa de taak om dit systeem op te zetten en te coördineren.

Onder de nieuwe Europese certificeringsregeling wordt onderscheid gemaakt tussen drie niveaus van beveiliging, waar verschillende voorwaarden voor gelden: ‘basis’, ‘substantieel’ en ‘hoog’. Wanneer er een nieuwe Europese cyberbeveiligingscertificeringsregeling wordt ingesteld op initiatief van Enisa vervangt deze de nationale cyberbeveiligingscertificeringsregeling voor wat betreft de ICT-producten die daaronder vallen. Momenteel zijn er 3 regelingen in ontwikkeling. De eerste, EUCC voor ICT-producten, gebaseerd op de reeds bestaande Common Criteria (CC), is voorgelegd aan de Europese Commissie en wacht op implementatie (verwachting momenteel Q1 2023 volgens Agentschap Telecom, in Nederland de Cybersecuritycertificeringsautoriteit). Daarnaast zitten een regeling voor cloud services (EUCS) en 5G (EU5G) nog in de ontwikkelingsfase.

In Nederland is de EU Cybersecurity Act geïmplementeerd in nationale wetgeving in de Uitvoeringswet Cyberbeveiligingsverordening. In deze uitvoeringswet zijn met name voor certificeringen van zekerheidsniveau “hoog” en voor handhaving aanvullende uitvoerende bepalingen opgenomen. In de Uitvoeringswet wordt gesproken van (toekomstige) Europese cyberbeveiligingscertificeringsregelingen of door de Minister gestelde regels ter uitvoering van de ECA. Overtreding hiervan kan leiden tot een bindende aanwijzing tot het nemen van maatregelen door de Minister, opgelegde boetes of dwangsommen, of tot intrekking van de certificering.

Wanneer het EUCC straks in werking treedt kunnen aanbieders van ICT-producten voor zekerheidsniveaus ‘substantieel’ en ‘hoog’ (EUCC geldt niet voor zekerheidsniveau “basis”) dus in één keer certificering verkrijgen voor de hele EU. De vervanging van de lappendeken van certificeringen moet voor consumenten die gebruik maken van ICT-producten voor verbetering zorgen, maar ook voor B2B-relaties. Om te beginnen is het verkrijgen van een Europees certificaat op vrijwillige basis, maar in het kader van harmonisering valt niet uit te sluiten dat het op termijn een meer verplicht karakter zal krijgen.

EUCS en EU5G zullen naar verwachting nog wat langer op zich laten wachten. Over EUCS is vanuit de sector het nodige te doen. Gezien het feit dat de implementatie van EUCC ook langzamer verloopt dan aanvankelijk werd verwacht, lijkt het reëel om voor de inwerkingtreding van EUCS uit te gaan van tenminste 2024.

Heb je vragen over de nieuwe EU cyber security act of wat dit voor jouw organisatie kan betekenen? Neem dan contact op met Rosalie of Robert.