Even voorstellen: waakhond voor securitycertificering

7 vragen (en antwoorden) over toezichthouder NCCA

Dit artikel delen:
Securitybudget

Het Agentschap Telecom krijgt er dit najaar een taak bij. De toezichthouder op de digitale infrastructuur van Nederland waakt vanaf dan ook over de cybersecurity-certificeringen van ict-producten, -diensten en -processen. Die taak wordt uitgevoerd door de National Cybersecurity Certification Authority (NCCA) en komt voort uit de Europese wetgeving, de CSA genoemd. Een kennismaking.

Wat is CSA?

CSA staat voor Cyber Security Act, de Europerse wetgeving rondom ict-cyberbeveiliging die sinds 2019 van kracht is. Europese lidstaten hebben de laatste jaren ieder voor zich verschillende certificeringsverplichtingen ingevoerd. De CSA moet zorgen voor regels die voor alle lidstaten hetzelfde zijn. Fabrikanten en dienstverleners hoeven straks niet meer in elke lidstaat afzonderlijk een certificaat te behalen. De Europese regeling vervangt dus vergelijkbare nationale certificeringen.

De wet moet vrij verkeer van digitale producten en diensten binnen de Europese Unie bevorderen. Ook moet door eenduidige regels en meer transparante de cyberweerbaarheid in de EU verbeteren.

De naleving van de CSA, en de daarbij horende certificeringen, moet gecontroleerd worden. Elke lidstaat heeft vanuit de CSA de plicht om een toezichthouder aan te wijzen. In Nederland is dat toezicht door het ministerie van Economische Zaken en Klimaat ondergebracht bij Agentschap Telecom in de rol van NCCA.

Zijn Europese CSA-certificeringen verplicht?

De certificeringen van de CSA zijn vooralsnog niet verplicht. Voor 31 december 2023 evalueert de Europese Commissie de CSA en wordt overwogen of certificeringen wél verplicht worden. Leveranciers doen er dus goed aan de ontwikkelingen nu al goed in de gaten te houden voor het geval certificeringen straks verplicht zijn.

Welke branches, leveranciers of producten krijgen als eerste met deze certificeringen te maken?

Clouddienstverleners krijgen als eerste met de certificeringen te maken. Daarna volgen certificeringen voor leveranciers van componenten voor 5G-core-netwerken. Ook moeten leveranciers van iot-producten (aan internet gekoppelde apparatuur) aan verplichte certificeringen voldoen. 

Wanneer gaat de NCCA officieel toezien op de certificeringen?

"Nu vinden er jaarlijks ongeveer zestig certificeringen plaats "

De Nederlandse cybersecurity-certificeringsautoriteit kan pas starten met toezicht houden als de eerste certificeringsschema’s zijn goedgekeurd en in gebruik worden genomen binnen de EU. Dat gebeurt waarschijnlijk dit najaar. Het gaat om de EU Common Criteria (EUCC), pakketten met veiligheidseisen voor securityfuncties in apparatuur en de opzet van tests. Het heeft betrekking op een breed scala aan ict-producten zoals chips, routers en mobiele telefoons en kan ook voor software worden gebruikt.

Nu geldt het Nederlandse Schema voor Certificatie op het gebied van Informatie Beveiliging (NSCIB), dat op termijn wordt vervangen door de EUCC. Nu vinden er jaarlijks ongeveer zestig certificeringen plaats van producten, diensten en processen. Onder het EUCC zal dat aantal waarschijnlijk flink groeien. De NCCA bereidt zich nu al voor door certificerende instellingen en testlaboratoria te selecteren.

Hoe gaat de NCCA te werk?

De meeste certificeringsaanvragen worden door bevoegde certificeringbedrijven uitgevoerd. De NCCA kijkt dus alleen of leveranciers volgens de geldende regels gecertificeerd zijn, maar voert die certificeringsaudit en tests niet zelf uit. Certificering gebeurt volgens de Europese cybersecuritywetgeving (CSA) op drie niveaus: ‘basis’ , ‘substantieel’ en ‘hoog risico’. Dat laatste, meest intensieve niveau gaat om producten of diensten die veel gebruikt worden. Ze hebben een grote impact op de samenleving als het misgaat. Die producten in de categorie ‘hoog risico’ worden door NCCA extra gecontroleerd, daarna wordt de certificering pas goedgekeurd.

Hoe staat het met het budget en het aantal mensen bij NCCA?

"De NCCA telt vier man en heeft een budget van 2,5 miljoen euro"

NCCA bestaat uit vier man en heeft voor 2022 een jaarbudget van 2,5 miljoen euro. Op termijn zal dat meegroeien naar mate het aantal certificeringen en taken toeneemt. Afhankelijk van de uitbreiding van de werkzaamheden worden mensen met specifieke kennis aangetrokken.

Eerder bleek dat de Autoriteit Persoonsgegevens onvoldoende geld, kennis, mensen en middelen hadden om taken uit te voeren. Hoe voorkomt NCCA dezelfde valkuil?

Het beleid van het ministerie is gericht op het behoud en versterking van de Nederlandse markt voor certificering en testen. Agentschap Telecom heeft met het Ministerie van EZK de afspraak gemaakt dat de middelen meegroeien met het Europese tempo waarin er certificeringsschema’s gepubliceerd worden en met de mate van adoptie van CSA-certificering in de markt. Beide factoren zijn door Agentschap Telecom niet of nauwelijks beïnvloedbaar.

Dit artikel is mede gebaseerd op een vraaggesprek met Johan van den Bosch, senior consultant van Agentschap Telecom.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-05-17T15:30:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.