De EU heeft een belangrijke stap gezet voor online veiligheid. De eerste Europese regels zijn vastgesteld om te controleren of ICT-producten, zoals computers en telefoons echt veilig zijn, om ervoor te zorgen dat deze producten betrouwbaar zijn voor gebruikers.
Het gaat om het allereerste cyberbeveiligingscertificeringsschema gebaseerd op Europees gemeenschappelijke criteria, gepubliceerd door de Europese Commissie. Deze staat bekend onder de afkorting EUCC, wat staat voor Common Criteria-based European Cybersecurity Certification Scheme.
De gemeenschappelijke criteria in het schema zijn opgesteld in samenwerking met het agentschap van de Europese Unie voor Cyberbeveiliging (ENISA). Dit agentschap werkt samen met EU-landen en instanties om de digitale economie te versterken en de digitale veiligheid van Europese burgers te waarborgen.
Doel
Het certificeringsschema heeft als doel om de beveiliging van alledaagse ICT-producten, -diensten en -processen tegen cyberdreigingen te verhogen. Dit doel wordt op twee manieren gerealiseerd. Ten eerste zorgt de EUCC ervoor dat dezelfde certificeringscriteria in alle lidstaten van de EU worden toegepast. Ten tweede wordt ervoor gezorgd dat de implementatie van de beveiligingsmaatregelen in de hele Unie op uniforme wijze wordt geƫvalueerd.
De cyberbeveiligingscertificering
De nieuwe EUCC-regelgeving biedt ICT-leveranciers de mogelijkheid om een beoordelingsproces te doorlopen om hun producten te certificeren als betrouwbaar. Dit wordt gedaan door te differentiƫren tussen verschillende zekerheidsniveaus.
Het eerste niveau wordt “substantieel” genoemd. Producten, diensten en processen op dit niveau bieden een basisniveau van bescherming dat geschikt is voor de gemiddelde consument. Het tweede niveau staat bekend als “hoog”. Producten, diensten en processen op dit niveau bieden een bovengemiddelde bescherming en zijn toonaangevend op de markt op het gebied van cyberveiligheid.
Dankzij deze zekerheidsniveaus krijgen consumenten duidelijke informatie over de betrouwbaarheid en veiligheid van de ICT-producten, -diensten en -processen die ze dagelijks gebruiken.
Cyberbeveiligingscriteria
De gemeenschappelijke criteria die de Commissie samen met ENISA uitzet, zijn gebaseerd op de zogenaamde ISO-norm. ISO staat voor Internationale Organisatie voor Standaardisatie en is een internationaal erkende norm voor kwaliteitssystemen. Zo stelt de organisatie bijvoorbeeld normen vast voor cyberveiligheid.
Met een ISO normering tonen bedrijven aan dat zij aan de eisen van internationale wet- en regelgeving voldoen en zich daaraan houden. Verder krijgt een product een hoog of substantieel zekerheidsniveau toegewezen dat aangeeft hoe kwetsbaar een product is.
Decentrale relevantie
Cyberveiligheid is belangrijk voor decentrale overheden. Zij zijn verantwoordelijk voor het beschermen van gevoelige informatie van hun inwoners. Om dit goed te beveiligen, is het belangrijk dat zij de juiste maatregelen treffen. Door aan de EUCC te voldoen, weten decentrale overheden of de ICT-producten, -diensten en -processen waar zij gebruik van maken veilig zijn.
Bron
Press corner, Europese Commissie
Uitvoeringsverordening EUCC, EURLEX
Meer informatie
Voor een overzicht van de relevante Europese wet- en regelgeving rondom digitalisering, kunt kijken op onze Tijdlijn Digitalisering.
Mocht u meer willen weten dat over cyberveiligheid, dan kunt u kijken bij dit thema op ons overzicht van netwerk en platforms over digitalisering.