In juni is een belangrijke stap gezet door de Europese Raad voor een nieuwe Europese Cybersecurity Verordening. Belangrijk onderdeel van deze Verordening is een cybersecurity certificaat voor ICT-producten, -processen en -diensten. Met de opkomst van internet of things, denk aan connected cars en slimme medische apparaten, nemen de cyberdreigingen immers toe. Met de Cybersecurity Verordening wil de Europese Unie het vertrouwen in innovatieve digitale oplossingen vergroten en een wildgroei aan certificaten in de verschillende EU-landen voorkomen.

Meer vertrouwen

Slimme technologie is de toekomst. Daar maakt het internet een groot onderdeel van uit. Nu connectiviteit en digitalisering hand in hand gaan en het internet of things aan populariteit wint, is het de vraag hoe het met de veiligheid staat. Vormt cybersecurity een belangrijk onderdeel van de creatie van nieuwe, slimme devices? Een Europees cybersecurity certificaat moet inzicht geven in de veiligheid van ICT-producten, -diensten en -processen en zo het vertrouwen in innovatieve, digitale oplossingen vergroten.

1 certificaat voor de hele EU

Op dit moment bestaan binnen de EU verschillende beveiligingscertificeringsregelingen voor ICT-producten. Zo moeten producenten van slimme meters momenteel afzonderlijke certificatieprocessen ondergaan in Frankrijk, het Verenigd Koninkrijk en Duitsland. Zonder een gemeenschappelijk kader voor cybersecurity certificeringen is er een toenemend risico op fragmentatie en belemmeringen op de interne markt. Uiteraard biedt een eenduidig certificeringsproces uniformiteit en overzicht voor producenten van commerciële ICT-producten. Tegelijkertijd roepen certificaten in de regel nogal wat vragen op. Zowel bij consumenten als bij producenten en leveranciers.

Vrijwillig en op eigen verantwoordelijkheid

De Cybersecurity Verordening beoogt – vooralsnog – om de certificering op vrijwillige basis in te voeren. Oftewel producenten en leveranciers mogen zelf bepalen of ze hun commerciële ICT-producten (laten) certificeren.

Overigens zullen producenten en leveranciers in veel gevallen zelf verantwoordelijk zijn voor de certificering, net als bij de CE-markering. Afhankelijk van het level waarop het product gecertificeerd wordt (basic, substantial, high), mogen ze de certificering zelf doen of moeten ze het laten doen door een certificeringsinstantie.

Waar moet een ICT-product of -dienst aan voldoen voor het cybersecurity certificaat?

Alhoewel de certificeringsregeling nog moet worden vastgesteld, wordt in ieder geval al aangegeven dat het ICT-product of de ICT-dienst een aantal veilige functies zou moeten bevatten zoals:

  • Veilige (out-of-the-box) configuratie;
  • Ondertekende code;
  • Beveiligde updates;
  • Bescherming tegen exploits;
  • Bescherming van het stack-/heap-geheugen.

Hoe nu verder?

De Europese Raad heeft een standpunt ingenomen over de Cybersecurity Verordening. Dit vormt nu een onderhandelingsstuk voor en met het Europese Parlement. Zodra de Raad en het Parlement samen akkoord gaan over de volledige inhoud van het voorstel, kan het van kracht gaan. Kortom, wordt vervolgd!

Meer weten?

Wilt u meer weten over de Cybersecurity Act en de mogelijke impact voor uw bedrijfsvoering? Wij helpen u graag verder. Neem contact op met een van onze ICT-juristen via 010 2290 646.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.