Zeker-OnLine en het Europese Cybersecurity keurmerk voor cloud diensten

Zeker-OnLine als waarborg voor de digitale keten

EU Cybersecurity Act – Europese Cybersecurity wetgeving
In 2019 is de nieuwe EU Cybersecurity Act gepubliceerd en inwerking getreden. Lidstaten van de EU hadden 2 jaar de tijd om de zaken die in de Cybersecurity Act staan te regelen. In de Cybersecurity Act is een raamwerk opgenomen dat de basis legt voor certificeringsschema’s[i] voor verschillende IT-producten, diensten en processen. Een van de eerste certificeringsschema is het schema dat betrekking heeft op clouddiensten aangeboden door cloud service providers: het Cloud Service Certification schema (EUCS).

De ontwikkeling van dit certificeringsschema is nu in de eindfase belandt. De eerste draft van dit schema is gepubliceerd in december 2020 en is te vinden op de website van ENISA.

Deze cybersecurity-certificering schema’s gaan EU-breed gelden, wat inhoudt dat een certificaat dat in één van de lidstaten is afgegeven, automatisch ook wordt erkend door alle andere lidstaten.

[i] Een certiferingsschema bestaat uit vier delen;

  • Algemeen regelgevend kader.
  • Het IT-normenkader waaraan de cloudienst van de CSP moet voldoen.
  • Een methode om vast te stellen dat het normenkader door de CSP is geïmplementeerd en ook operationeel is (Conformity Assessment Methodology).
  • Beheer van het schema.

Tijdslijnen van Europese Regelgeving
europa

Zeker-OnLine en het Europese Cybersecurity keurmerk voor cloud diensten (EUCS)
In het EUCS zijn drie nationale schema’s erkend die een gelijkwaardige status hebben als het toekomstige Europese keurmerk. Deze nationale schema’s hebben daardoor als voordeel dat ze onder Europees toezicht omgezet worden naar het EUCS. Zeker-OnLine is medeschrijver geweest en heeft een belagrijke rol gespeeld in de ontwikkeling van de conformity assessment methodiek opgenomen in het EUCS.

Namens de Rijksinspectie Digitale infrastructuur (voorheen Agentschap Telecom) en het ministerie van EZK is het cloud certificeringsschema van Zeker-OnLine aangemeld en erkend als nationaal schema. Dit betekent dat dat Zeker-OnLine in Europa erkend wordt.

Zeker-OnLine is op zoek naar organisaties (cloud service providers, brancheorganisaties, koepelorganisaties) die interesse hebben in een cybersecurity keurmerk die gelieerd is aan het Europese Cybersecurity Act. Dit keurmerk kan helpen bij het aantonen dat een organisatie in control is over haar clouddiensten.

Europese cybersecuritycertificering wat is het?

Europese regels voor IT-beveiliging zijn opgenomen in de CybersecurityAct (CSA). Deze CSA is in 2019 definitief geworden en is de basis voor diverse certificeringschema’s met een normenkader en audit. Het normenkader met daarin een uitgebreide reeks regels, technische cyberbeveiligingsvereisten, normen en evaluatieprocedures, die op EU-niveau worden vastgesteld en van toepassing zijn op de certificering van specifieke ICT-producten, -diensten of -processen. Een EU cybersecurity-certificaat bevestigt dat een ICT-product, -proces of -dienst is gecertificeerd in overeenstemming met een Europese Cybersecurity schema en dat het voldoet aan de gespecificeerde cyberbeveiligings vereisten en -regels.

Certificering wordt uitgevoerd door een Conformiteit Assessment Body (CAB), die mag controleren en certificeren.  Rijksinspectie Digitale Infrastructuur is aangewezen om CAB’s aan te wijzen. Alle keurmerken worden gepubliceerd op de website van ENISA. Afhankelijk van het ingeschatte cybersecurityrisico van de ICT – oplossing voor het beoogde gebruik en het gewenste zekerheidsniveau dat een oplossing ook daadwerkelijk voldoet kan niveau worden gekozen voor de certificering. Elke EU-regeling geeft aan of de certificering mogelijk is voor een betrouwbaarheidsniveau ‘basis’, ‘substantieel of’hoog’.

logo-getekend-eur-keurmerk
stroomschema-wetgeving

Hoe worden EU-certificeringsprogramma’s voor cyberbeveiliging ontwikkeld?

Het EU Agency for cybersecurity (ENISA) ontwikkelt op verzoek van de Europese Commissie of de EU-lidstaten ontwerpcertificatieschema’s. Om dit te doen wordt het Agentschap ondersteund door een groep deskundigen (“Ad-hoc Working Group”) en werkt het nauw samen met de Europese Commissie, EU-landen en relevante belanghebbenden. Zie de afbeelding over het Cybersecurity Certification Framework voor meer informatie over dit proces. Namens Nederland heeft Bert Tuinsma in de Ad-Hoc Working group meegewerkt aan de totstandkoming vsn het EUCS: het certificeringsschema voor clouddiensten en Cloud Service Providers..

Hoe kunnen EU-certificeringsprogramma’s voor cyberbeveiliging in de praktijk worden gebruikt?

Elke lidstaat kan ervoor kiezen om EU-certificeringen voor cyberbeveiliging uit te geven. De Nationale Cybersecurity Certification Autoriteiten (“NCCA’s”) houden toezicht op en controleren de naleving van het schema van de certificaten die door de bevoegde instanties in hun lidstaat worden afgegeven. In Nederland is deze bevoegdheid neergelegd bij Rijksinspectie Digitale Infrastructuur.

Certificering is vrijwillig, tenzij anders bepaald in de regelgeving van de EU of de lidstaten. De Europese certificering is wel een goede indicatie dat de IT- dienst conform de Cybersecurity Act wordt aangeboden.

Zeker-OnLine is op zoek naar organisaties (cloud service providers, brancheorganisaties, koepelorganisaties) die interesse hebben in een cybersecurity keurmerk die gelieerd is aan het Europese Cybersecurity Act. Dit keurmerk kan helpen bij het aantonen dat een organisatie in control is over haar clouddiensten.