De Rijksinspectie Digitale Infrastructuur is officieel begonnen als Nationale Cybersecurity Certificeringautoriteit (NCCA). De organisatie ziet er op toe dat instanties die de certificering van it-security verzorgen, op de juiste wijze toetsen. Dit is vastgelegd in de Cyber Security Act van de Europese Unie.
Eind januari werd het eerste onderdeel van het toezicht op certificering goedgekeurd in de EU. Het gaat om het zogeheten certificeringsschema voor Common Criteria (EUCC) voor ict-producten. Producten zoals routers, besturingssystemen, slimme meters en chips in bankpasjes en smartphones, kunnen vanaf nu worden gecertificeerd volgens de eisen van deze gemeenschappelijke criteria. Doordat onafhankelijke certificeerders dit op uniforme wijze toetsen, geeft dit zekerheid over de veiligheid van ict-producten.
In Nederland is de RDI als NCCA aangesteld om de certificerende instanties te accrediteren. Dit doet de inspectie samen met de Raad van Accreditatie (RvA). Elke EU-lidstaat heeft zijn eigen NCCA. In het accreditatieproces beoordeelt de NCCA of partijen voldoen aan de eisen om de cyberveiligheid van producten te mogen toetsen. Is dit het geval? Dan mogen ze producten beoordelen op cyberveiligheidseisen en certificaten afgeven.
Veiligheidsrisico
Fabrikanten en leveranciers uit de hele wereld kunnen een certificaat aanvragen. Er zijn diverse zekerheidsniveaus, waarbij producten met een groot veiligheidsrisico kritischer worden beoordeeld dan minder risicovolle producten. Certificering gebeurt vooralsnog op vrijwillige basis. Op termijn wordt het waarschijnlijk verplicht. Dan hebben fabrikanten een certificaat nodig om bepaalde producten, diensten en processen in de Europese markt te mogen verkopen.
Inspecteur-generaal Angeline van Dijk meldt op LinkedIn blij te zijn dat de RDI start met de taak als NCCA. Computable sprak Van Dijk kortgeleden over de nieuwe taken die de inspectie er de afgelopen tijd bijkreeg en in de toekomst nog bijkrijgt. De RDI is meer dan een toezichthouder, was haar boodschap. ‘Voor alle nieuwe technologie geldt dat zowel de aanbieder als de gebruiker de impact moet doorzien. Heb ik inzicht in de risico’s die de technologie met zich meebrengt, hoe bepaal ik de impact van deze risico’s, wat vind ik daarbij nog aanvaardbaar? Ze moeten een plan maken, dit testen en bijstellen.’
Ook Micky Adriaanssens, demissionair minister van Economische Zaken en Klimaat, is verheugd over de nieuwe taak van de inspectie: ‘Een belangrijke en goede stap dat de RDI nu is aangewezen als NCCA’, schrijft ze op LinkedIn. ‘Met de Cybersecurity Act en vanuit daar de RDI als certificeringsautoriteit houden we de cyberveiligheid van digitale producten en diensten maximaal in de gaten. En kunnen fabrikanten en dienstverleners met één certificaat in de hele EU hun betrouwbare producten en diensten aanbieden.’
