De digitale wereld evolueert razendsnel en wordt steeds complexer. Tegelijkertijd nemen cyberdreigingen toe in zowel omvang als impact. Of het nu gaat om slimme apparaten thuis of om grootschalige ICT-systemen bij zorginstellingen en overheden, alles is afhankelijk van verbonden netwerken. De Europese Unie speelt hierop in met de Cybersecurity Act (CSA), een verordening die is ontworpen om het vertrouwen in digitale producten, diensten en processen te versterken.
Het is belangrijk om de Cybersecurity Act niet te verwarren met de nationale Cyberbeveiligingswet (Cbw), die de Nederlandse implementatie van de Europese NIS2-richtlijn is. Vorig jaar heeft mijn collega Melanie een blog geschreven over de Cyberbeveiligingswet en op welke manier NIS2 in nationale wetgeving wordt geïmplementeerd.
De CSA is van toepassing op leveranciers en fabrikanten van digitale producten en diensten, zoals software, cloudoplossingen en netwerkapparatuur. Zij moeten kunnen aantonen dat hun producten veilig zijn en voldoen aan Europese eisen. Toch merken ook zorginstellingen, gemeenten en het mkb de effecten: zij gaan in de toekomst steeds vaker werken met gecertificeerde oplossingen en krijgen daardoor meer zekerheid over de betrouwbaarheid van hun ICT. De CSA raakt dus de hele keten, en biedt zo een praktisch instrument om vertrouwen en veiligheid in de digitale samenleving te versterken.
De CSA vestigt een gelaagd certificeringskader waarin diverse sleutelspelers samenwerken om de betrouwbaarheid van ICT-oplossingen te garanderen.
In de praktijk heb je alleen te maken met de door het RDI geaccrediteerde laboratoria die jouw ICT-product, -dienst of -proces evalueert en uiteindelijk ook certificeert.
Op het moment van schrijven is certificering nog vrijwillig en er zijn nog weinig ICT-producten of -diensten gecertificeerd. Echter, het is de verwachting dat deze certificering op den duur een wettelijke vereiste zal worden. Het is dus verstandig om nu alvast rekening te houden met de vereisten. Zorg ervoor dat bij de ontwikkeling van nieuwe producten en diensten direct security by design wordt toegepast. Wees voorbereid en voldoe aan de voorkant aan de eisen van de Europese Unie.
Per certificeringsschema wordt er gecertificeerd op drie verschillende beveiligingsniveaus: basis, substantieel en hoog. Het benodigde niveau hangt af van het risico en de impact van een incident met het specifieke product, dienst of proces.
Voorbeelden voor de verschillende beveiligingsniveaus zie je in onderstaande tabel:
Niveau |
Voorbeelden |
Impact bij incident |
Eisen |
Basis |
Kantoorsoftware, standaard randapparatuur |
Laag |
Minimale beveiliging, regelmatige updates |
Substantieel |
SaaS-platforms, online betalingssystemen |
Medium |
Sterke toegangscontrole, regelmatige audits, patchmanagement |
Hoog |
Medische apparaten, OT/energie, kritieke diensten |
Hoog |
Uitgebreide tests, strikte toegangscontrole, noodprocedures, continuïteitsplanning |
Aan de hand hiervan kunnen organisaties beoordelen welk beveiligingsniveau passend is.
Het traject begint niet bij de audit, maar bij het ontwerp. Kies allereerst een passende certificeringsschema. Op het moment van publicatie is EUCC het enige goedgekeurde schema waarop daadwerkelijk gecertificeerd kan worden; andere schema’s zijn op dit moment nog in ontwikkeling.
Bepaal welk beveiligingsniveau past bij risico’s, klantverwachtingen en gebruikscontext. Vertaal dat naar ontwerpkeuzes, teststrategie en documentatie.
Leg vast hoe je threat modeling, secure coding, logging, patching en incidentafhandeling geregeld zijn. Verzamel aantoonbaar bewijs.
Een geaccrediteerd evaluatielab toetst of beveiligingsfuncties en processen doen wat ze beloven.
De conformiteitsbeoordelaar weegt de bevindingen en geeft bij positieve uitkomst een certificaat af.
Certificaten zijn maximaal vijf jaar geldig en worden opgenomen in het ENISA-register. Tijdens de geldigheid toon je blijvend kwetsbaarheidsmanagement, patchmanagement, incidentafhandeling en continuïteitsmaatregelen aan, zodat het certificaat zijn waarde behoudt.
Een certificaat levert zowel leveranciers als gebruikers tastbare voordelen op. Voor leveranciers versnelt het de verkoop en inkoop, omdat één erkenning in alle lidstaten geldig is en discussies per land daarmee verdwijnen. Tegelijk zorgt certificering intern voor meer structuur in ontwerp, testen en beheer, waardoor teams voorspelbaarder leveren en minder tijd kwijt zijn aan losse securityvragen of audits. Voor afnemers en auditors wordt het vergelijken van aanbieders eerlijker en transparanter, wat due diligence en aanbestedingen eenvoudiger maakt.
Niet elk certificeringsschema is al volledig uitgewerkt en de Europese regels blijven zich ontwikkelen, maar dat is geen reden om te wachten. Organisaties die nu al security by design implementeren, patch- en kwetsbaarheidsbeheer strak organiseren, incident- en wijzigingsbeheer goed vastleggen en een lifecycle- en EOL-plan klaar hebben, plukken daar straks direct de vruchten van. De stap naar certificering wordt dan een natuurlijke vervolgstap, in plaats van een haastige eindspurt. Een CSA-certificaat ondersteunt bovendien de aantoonbaarheid richting normen als ISO 27001 en NEN 7510.
De Cybersecurity Act biedt een praktisch en uniform kader voor het verbeteren van digitale veiligheid. Voor organisaties is dit een kans om het vertrouwen bij klanten te winnen en tegelijkertijd te voldoen aan de Europese regelgeving.
Heb je producten, diensten of processen die mogelijk gecertificeerd moeten worden? Of wil je alvast oriënteren op waar je op dit moment staat? Neem dan contact met ons op. Wij helpen je graag bij het beoordelen van risico’s, het selecteren van het juiste beveiligingsniveau en om alvast mee te denken voor een passend ontwikkelings- en certificeringsbeleid.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.