In een digitaliserende samenleving hebben organisaties steeds vaker te maken met cybermisdaden zoals het gijzelen van bestanden of het platleggen van systemen. Om zich daartegen te beschermen kunnen ze de hulp van ‘beheerde beveiligingsdiensten’ inroepen. Maar hoe weten zij of deze diensten hun systemen en data goed genoeg beschermen? Daar is eenduidige certificering voor nodig.
De Europese Commissie heeft daarom in april 2023 een amendement op de cyberbeveiligingsverordening voorgesteld waarin certificeringsschema’s voor beheerde beveiligingsdiensten worden vastgelegd. Op 15 november hebben de Europese lidstaten een gemeenschappelijk standpunt bereikt over dit wijzigingsvoorstel. De Europese Raad heeft het amendement enigszins aangepast en vervolgens goedgekeurd.
Amendement
Het voorstel voor het amendement volgde uit de behoefte aan een uniform kwaliteitskader voor cyberbeveiligingsdiensten door de gehele EU. Momenteel stelt elke lidstaat eigen kwaliteitseisen op om de aanbieders van cyberveiligheidsdiensten te certificeren. Dit leidt tot versnippering in cyberveiligheid binnen de EU. Om dit tegen te gaan, wil de Commissie een certificeringsschema voor beheerde beveiligingsdiensten instellen dat door de gehele EU geldt.
Beheerde beveiligingsdiensten worden daarbij omschreven als diensten van gespecialiseerde bedrijven die actief bijdragen aan het voorkomen, achterhalen en herstellen van cyberbeveiligingsincidenten. De aanbieders van deze diensten vallen ook onder de NIS2.
Een Europees certificeringsschema helpt om de kwaliteit van cyberbeveiliging door de gehele Unie gelijk te trekken. Hierdoor neemt de cyberveiligheid in de gehele Unie toe.
Input Raad
De Europese Raad heeft het voorstel van de Commissie geaccepteerd, maar wel met enkele wijzigingen. Zo heeft de Raad de definitie van ‘beheerde beveiligingsdienst’ aangescherpt en meer in lijn gebracht met eerdere definities uit de NIS2.
Daarnaast zijn de doeleinden van de certificering dichterbij de oorspronkelijke verordening gebracht. Dit zorgt voor een samenhangender en haalbaarder voorstel. Hiernaast heeft de Raad een lijst opgesteld met vereisten waaraan de toezichthouder van de cyberbeveiligingscertificering moet voldoen.
Verder
Nu de Raad groen licht heeft gegeven, ligt het voorstel voor het amendement bij het Europese parlement. Hiernaast wordt nog gewacht op de opinie van het Comité van de Regio’s. Eerder heeft het Europees Economisch en Sociaal Comité al een opinie gegeven over het amendement.
De Cyberveiligheidsverordening is op 27 juni 2019 in werking getreden en opgenomen in de Nederlandse Uitvoeringswet Cyberbeveiligingsverordening, die op 9 april 2022 in werking trad. Wilt u meer lezen over de cyberbeveiligingsverordening? Kijk dan ook op onze Digitale Tijdlijn.
Bronnen
Voorstel voor een verordening betreffende “beheerde beveiligingsdiensten” – Europese Commissie
Cyberbeveiliging: lidstaten akkoord over wijziging cyberbeveiligingsverordening – Raad van de Europe Unie
