Over de CSA

De Europese Cybersecurity Act is een Europees certificeringstelsel voor producten, -diensten, en processen op het gebied van cybersecurity.  Op deze pagina vindt u de belangrijkste informatie over deze regeling.

De Cybersecurity Act introduceert een Europees certificeringstelsel voor IT producten, -diensten, en processen. Het doel daarvan is om zowel het beveiligingsniveau tegen cyberdreigingen te verhogen, als ervoor te zorgen dat fabrikanten en dienstverleners niet in elke lidstaat afzonderlijk een certificaat hoeven te behalen. De Europese regeling vervangt daarmee vergelijkbare nationale certificeringen.

Is de CSA-certificering verplicht?

De CSA stelt dat certificering vrijwillig is, tenzij nationale of Europese regelgeving anders voorschrijft. Het ontstaan van (Europese) verplichtingen in de nabije toekomst is echter zeer waarschijnlijk.

Hierbij kan het gaan om een sectorale verplichting om gecertificeerde producten en diensten te gebruiken of een verplichting tot certificering als voorwaarde om met specifieke producten en diensten de Europese markt te mogen betreden.

In het Europese proces rond andere regelgeving zoals de Network Information Security Directivede Radio Equipment Directive wordt inmiddels gesproken over een bevoegdheid van de Europese Commissie om specifieke certificeringen of gebruik van specifieke gecertificeerde producten, diensten en processen verplicht te stellen.

Certificeringsregelingen

De CSA geeft de European Union Agency for Cybersecurity (ENISA) een rol als volwaardig Europees agentschap voor cybersecurity. ENISA ontwikkelt in opdracht van de Europese Commissie (EC) certificeringsregelingen. Deze regelingen noemen we certificeringsschema’s.

De ontwikkeling van deze certificeringsschema’s komt samen met de EU-lidstaten tot stand. De lidstaten zijn vertegenwoordigd in de European Cybersecurity Certification Group (ECCG). De ECCG is formeel de adviseur van de EC voor cybersecurity en certificering, maar zonder brede steun van de lidstaten zal een certificeringschema dat ENISA aan de EC oplevert niet snel een regeling worden.

Een tweede adviesorgaan van de EC is de Stakeholder Cybersecurity Certification Group. Hierin zitten vertegenwoordigers van belangenorganisaties uit de markt, marktpartijen en Europese instituties.

ENISA draagt elk ontwikkeld certificeringsschema over aan de Europese Commissie, die er vervolgens een Europese regeling van maakt. Na publicatie van een certificeringsschema zijn de betreffende eisen aan producten en diensten in de hele EU hetzelfde. Vervolgens worden de schema’s beheerd door ENISA in samenwerking met de lidstaten, verenigd in de ECCG.

Het werkprogramma van de Europese commissie, de ‘Union Rolling Work Programme’ (URWP), bevat de onderwerpen en prioriteiten voor de ontwikkeling van cybersecuritycertificeringsregelingen.

CSA beveiligingsniveaus basis, substantieel en hoog

De CSA definieert drie beveiligingsniveaus waarop gecertificeerd kan worden; basis, substantieel en hoog. In beginsel betekenen de niveaus dat een product, dienst of proces beter beschermd zou moeten zijn tegen cyberaanvallen naarmate het CSA niveau stijgt. De uitwerking van deze niveaus wordt per specifiek certificeringsschema bepaald, omdat er grote verschillen zijn in benadering van de beveiliging tussen producten, diensten en processen.

Rol Nationale Cybersecurity Certificeringsautoriteit (NCCA)

De CSA geeft de lidstaten de opdracht een of meerdere Nationale Cybersecurity Certificeringsautoriteiten (NCCA) aan te wijzen. NCCA-taken bestaan uit:

  • Activiteiten voor de certificering op het CSA niveau ‘hoog’;
  • Toezicht op de naleving van de certificeringsvoorwaarden door certificaathouders op de CSA-niveaus basis, substantieel en hoog;
  • Toezicht op de naleving van de certificeringsvoorwaarden
    door de certificerende instellingen die de certificering
    uitvoeren en Europese certificaten uitreiken, zogenaamde
    Conformiteitsbeoordelende instanties (CBI), en
    instellingen die onder de certificeringsregelingen
    technische tests uitvoeren.

Het toezicht op de naleving van de certificeringsvereisten door de fabrikant of dienstverlener betreft de hele levenscyclus van het product, dienst of proces dat is gecertificeerd. Dit in elk geval gedurende de geldigheid van het certificaat.

Een lidstaat kan ervoor kiezen om op het beveiligingsniveau hoog:

  • De NCCA zelf de certificeringen te laten doen;
  • De NCCA voorafgaande goedkeuring te laten geven aan de uitreiking van een certificaat door een commerciële certificerende instelling;
  • De certificering te mandateren aan een certificerende instelling.

Nederland koos voor het model van voorafgaande goedkeuring (punt 2). Daarmee maakt Nederland gebruik van de relatief sterk ontwikkelde markt van conformiteitsbeoordelende instanties (CBI) en testlaboratoria.

Een tweede voordeel van dit model is dat het taakdeel NCCA-certificering niet geaccrediteerd hoeft te worden als certificerende instelling. En dat er geen aanbesteding voor samenwerking met testlaboratoria nodig zijn. 

De Rijksinspectie Infrastructuur (RDI) als NCCA

De RDI is in samenwerking met het Ministerie van Economische Zaken deelnemer in de European Cybersecurity Certification Group (ECCG). De ECCG is betrokken in de ontwikkeling en het beheer van certificeringsschema’s.

Zoals de CSA aangeeft, zijn de taken van NCCA-certificering en NCCA-toezicht organisatorisch van elkaar gescheiden. Daarmee wordt gewaarborgd dat NCCA-toezicht onafhankelijk toezichthouder kan zijn en er geen verborgen belangenverstrengeling ontstaat.