Het Agentschap Telecom krijgt er dit najaar een taak bij. De toezichthouder op de digitale infrastructuur van Nederland waakt vanaf dan ook over de cybersecurity-certificeringen van ict-producten, -diensten en -processen. Die taak wordt uitgevoerd door de National Cybersecurity Certification Authority (NCCA) en komt voort uit de Europese wetgeving, de CSA genoemd. Een kennismaking.
Wat is CSA?
CSA staat voor Cyber Security Act, de Europerse wetgeving rondom ict-cyberbeveiliging die sinds 2019 van kracht is. Europese lidstaten hebben de laatste jaren ieder voor zich verschillende certificeringsverplichtingen ingevoerd. De CSA moet zorgen voor regels die voor alle lidstaten hetzelfde zijn. Fabrikanten en dienstverleners hoeven straks niet meer in elke lidstaat afzonderlijk een certificaat te behalen. De Europese regeling vervangt dus vergelijkbare nationale certificeringen.
De wet moet vrij verkeer van digitale producten en diensten binnen de Europese Unie bevorderen. Ook moet door eenduidige regels en meer transparante de cyberweerbaarheid in de EU verbeteren.
De naleving van de CSA, en de daarbij horende certificeringen, moet gecontroleerd worden. Elke lidstaat heeft vanuit de CSA de plicht om een toezichthouder aan te wijzen. In Nederland is dat toezicht door het ministerie van Economische Zaken en Klimaat ondergebracht bij Agentschap Telecom in de rol van NCCA.
Zijn Europese CSA-certificeringen verplicht?
De certificeringen van de CSA zijn vooralsnog niet verplicht. Voor 31 december 2023 evalueert de Europese Commissie de CSA en wordt overwogen of certificeringen wél verplicht worden. Leveranciers doen er dus goed aan de ontwikkelingen nu al goed in de gaten te houden voor het geval certificeringen straks verplicht zijn.
Welke branches, leveranciers of producten krijgen als eerste met deze certificeringen te maken?
Clouddienstverleners krijgen als eerste met de certificeringen te maken. Daarna volgen certificeringen voor leveranciers van componenten voor 5G-core-netwerken. Ook moeten leveranciers van iot-producten (aan internet gekoppelde apparatuur) aan verplichte certificeringen voldoen.
Wanneer gaat de NCCA officieel toezien op de certificeringen?
De Nederlandse cybersecurity-certificeringsautoriteit kan pas starten met toezicht houden als de eerste certificeringsschema’s zijn goedgekeurd en in gebruik worden genomen binnen de EU. Dat gebeurt waarschijnlijk dit najaar. Het gaat om de EU Common Criteria (EUCC), pakketten met veiligheidseisen voor securityfuncties in apparatuur en de opzet van tests. Het heeft betrekking op een breed scala aan ict-producten zoals chips, routers en mobiele telefoons en kan ook voor software worden gebruikt.
Nu geldt het Nederlandse Schema voor Certificatie op het gebied van Informatie Beveiliging (NSCIB), dat op termijn wordt vervangen door de EUCC. Nu vinden er jaarlijks ongeveer zestig certificeringen plaats van producten, diensten en processen. Onder het EUCC zal dat aantal waarschijnlijk flink groeien. De NCCA bereidt zich nu al voor door certificerende instellingen en testlaboratoria te selecteren.
Hoe gaat de NCCA te werk?
De meeste certificeringsaanvragen worden door bevoegde certificeringbedrijven uitgevoerd. De NCCA kijkt dus alleen of leveranciers volgens de geldende regels gecertificeerd zijn, maar voert die certificeringsaudit en tests niet zelf uit. Certificering gebeurt volgens de Europese cybersecuritywetgeving (CSA) op drie niveaus: ‘basis’ , ‘substantieel’ en ‘hoog risico’. Dat laatste, meest intensieve niveau gaat om producten of diensten die veel gebruikt worden. Ze hebben een grote impact op de samenleving als het misgaat. Die producten in de categorie ‘hoog risico’ worden door NCCA extra gecontroleerd, daarna wordt de certificering pas goedgekeurd.
Hoe staat het met het budget en het aantal mensen bij NCCA?
NCCA bestaat uit vier man en heeft voor 2022 een jaarbudget van 2,5 miljoen euro. Op termijn zal dat meegroeien naar mate het aantal certificeringen en taken toeneemt. Afhankelijk van de uitbreiding van de werkzaamheden worden mensen met specifieke kennis aangetrokken.
Eerder bleek dat de Autoriteit Persoonsgegevens onvoldoende geld, kennis, mensen en middelen hadden om taken uit te voeren. Hoe voorkomt NCCA dezelfde valkuil?
Het beleid van het ministerie is gericht op het behoud en versterking van de Nederlandse markt voor certificering en testen. Agentschap Telecom heeft met het Ministerie van EZK de afspraak gemaakt dat de middelen meegroeien met het Europese tempo waarin er certificeringsschema’s gepubliceerd worden en met de mate van adoptie van CSA-certificering in de markt. Beide factoren zijn door Agentschap Telecom niet of nauwelijks beïnvloedbaar.
Dit artikel is mede gebaseerd op een vraaggesprek met Johan van den Bosch, senior consultant van Agentschap Telecom.
