Met de publicatie van de cyberbeveiligingsverordening ('Cybersecurity Act') creŽert Europa een kader voor het opzetten van cyberbeveiligingscertificering voor specifieke ICT-producten, -diensten en processen.†


De recent gepubliceerde cyberbeveiligingsverordening ('Cybersecurity Act') Ė (EU)2019/881 Ė is een van de instrumenten waarmee Europa zijn cyberbestendigheid wil vergroten.†

De cyberbeveiligingsverordening bevat twee luiken:

  • In het eerste deel worden de doelstellingen, taken en organisatie van Enisa Ė het Europees Agentschap voor cyberbeveiliging Ė vastgelegd.
  • Het tweede deel creŽert een Europees cyberbeveiligingscertificeringskader voor ICT-producten, -diensten en -processen.†

Dit kader voorziet in de publicatie door de Europese Commissie van een voortschrijdend werkprogramma waarin de prioriteiten voor toekomstige certificeringsregelingen op het gebied van cyberveiligheid worden vastgelegd, inclusief een lijst van ICT-producten -diensten en -processen. Het eerste werkprogramma wordt uiterlijk op 28 juni 2020 gepubliceerd, en wordt ten minste om de drie jaar bijgewerkt.†

In een cyberbeveiligingscertificeringsregeling kunnen voor ICT-producten, -diensten en -processen ťťn of meer zekerheidsniveaus worden gespecificeerd, namelijk : 'basis', 'substantieel' of 'hoog'. Het zekerheidsniveau staat in verhouding tot het niveau van risico dat verbonden is aan het beoogde gebruik van een ICT-product, -dienst of -proces, wat betreft de waarschijnlijkheid en de gevolgen van een incident. Een cyberbeveiligingscertificeringsregeling met zekerheidsniveau "basis" mag een conformiteitszelfbeoordeling toestaan.†

De cyberbeveiligingscertificering is op vrijwillige basis, tenzij in de wetgeving van de Unie of de lidstaten anders is bepaald. Uiterlijk op 31 december 2023 Ė en vervolgens ten minste om de twee jaar Ė beoordeelt de Europese Commissie of bepaalde ICT-producten, -diensten en -processen onder een verplichte certificering moeten vallen.†

Consulteer de cyberbeveiligingsverordening (EU)2019/881