Zeker-OnLine en de Europese Cybersecurity Act

 In Algemeen

Sinds december 2017 is Zeker-OnLine deelnemer in de EU Cloud Security Certification Working Group. Deze werkgroep verkent de mogelijkheden om te komen tot de ontwikkeling van een certificatieschema voor de beveiliging van clouddiensten, zoals wordt voorgeschreven in de Europese Cybersecurity Act.

Het Europese Parlement, de Raad en de Europese Commissie bereikte in december 2018 overeenstemming over de inhoud van de De CybersecurityAct. De CybersecurityAct bestaat grofweg uit twee delen.  Het eerste deel regelt de nieuwe organisatie van ENISA en haar taakopdracht. ENISA wordt door de Cybersecurity Act de “European Union Agency for Cybersecurity”. Het tweede belangrijke deel van de Cybersecurity Act is gewijd aan het certificeren van Cybersecurity producten, processen en diensten.

Voor de invul ling van het tweede deel is de EU Cloud Security Certification Working Group opgericht.De werkgroep bestaat uit deelnemers van verschillende landen, vaak gelieerd aan een keurmerk, maar ook cloudleveranciers zelf nemen deel. Deze werkgroep bestaat uit leden die schrijven aan het genoemde schema en leden die de status van waarnemer hebben. Zeker-OnLine schrijft mee en brengt zo de kennis van, maar ook de methodiek van Zeker-OnLine in. Het door deze werkgroep ontwikkelde certificatieschema wordt aangeboden aan ENISA.

Momenteel zijn twee van de drie onderdelen van het certificatieschema opgenomen in een publieke consultatie. Het eerste deel is de norm die invulling geeft aan de noodzakelijke eisen voor de beveiliging van een clouddienst of product. Het tweede deel van het schema betreft de wijze van het aantonen dat een clouddienst voldoet aan de eisen zoals beschreven in de norm uit het eerste deel. De moeilijkheid die de Cybersecurity Act hierbij heeft opgeworpen is de keuzemogelijkheid hierin: een cloudleverancier mag dit doen op basis van een zelfbeoordeling, maar kan dit ook door een derde onafhankelijke partij laten vaststellen. Uiteraard kan een gebruiker meer zekerheid ontlenen aan het oordeel van een derde onafhankelijke partij dan aan het eigen oordeel van een leverancier. Zeker-OnLine vindt het van belang dat er onafhankelijke oordeelsvorming plaatsvindt ten behoeve van een gebruiker en dat dit gebeurt op een wijze conform audit standaard 3402. Deze standaard is internationaal aanvaard en geeft de gebruiker een hoog niveau van zekerheid. Op deze manier worden leveranciers niet geconfronteerd met wederom een nieuw standaard.

De genoemde consultatieperiode duurt t/m 3 februari en het invullen van de vragenlijst neemt maximaal vijf minuten in beslag.  Vind je het ook belangrijk om input te geven, dan heb je daar nu de mogelijkheid voor.

Deel dit artikel:

twitterlinkedinmail
Recente berichten