Agentschap Telecom en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) gaan samenwerken rondom de certificering van ict-producten en -diensten bij de overheid. Doel is de beveiliging van ict die de overheid, vitale sectoren en het bedrijfsleven gebruiken, omhoog te schroeven.
Zo wordt bekeken of de door de overheid gebruikte ict aan bepaalde zekerheidsniveaus en veiligheidseisen voldoet. Er wordt gelet op de documentatie, het ontwikkel- en ontwerpproces, de productiemethode en de testprocedures van oplossingen van commerciële ict-aanbieders die door overheden worden ingezet. Hoofd Nationaal Bureau voor Verbindingsbeveiliging bij de AIVD, Bas Dunnebier en directeur-hoofdinspecteur Agentschap Telecom, Angeline van Dijk, tekenden daarvoor onlangs een samenwerkingsovereenkomst. De details daarover worden binnenkort gedeeld in de Staatscourant. Tot die tijd gaat het Agentschap Telecom niet in op vragen van de media. Het orgaan licht wel toe dat het gaat om de evaluatie van commercieel verkrijgbare it-producten, -diensten en -processen. ‘En dus niet over de evaluatie van beveiligingsproducten voor de bescherming van gerubriceerde informatie van de Rijksoverheid. Voor die evaluatie is het Nationaal Bureau Verbindingsbeveiliging (NBV) verantwoordelijk. Dit bureau ontwikkelt ook zelf beveiligingsproducten’, aldus het agentschap.
NCCA
Het Agentschap Telecom is in april van dit jaar gestart met de Nationale Cybersecurity Certificeringsautoriteit (NCCA). Die certificeringautoriteit vloeit voort uit de verplichting die Nederland heeft om vanuit de Europese Cybersecurity Act (CSA) een nationale certificeringsdienst op te tuigen voor ict die binnen de overheid wordt gebruikt
Op dit moment is certificering nog niet verplicht. Het is wel de verwachting dat certificering op termijn gaat gelden voor bepaalde ict. Leveranciers en producenten van commerciële ict-producten krijgen geen actieve oproep om certificeringen te delen met de overheid. Een leverancier of producent bepaalt zelf of ze een certificaat aanvragen voor een it-product, -dienst of -proces.
Certificeringen
Computable stelde in een eerder artikel certificeringswaakhond NCCA voor en belichtte welke branches, leveranciers en producten als eerste met de certificeringen te maken krijgen. In dat stuk staat ook met welke veiligheidseisen en tests, genaamd EU Common Criteria (EUCC), er wordt gestart.
