EU Cybersecurity Act

EU werkt aan Cybersecurity Act

- 27 March 2018

De Europese Commissie, het uitvoerende orgaan van de EU, werkt aan een 'Cybercecurity Act'. In deze verordening wordt een raamwerk voor cybersecuritycertificatie van ICT vastgelegd, om veiligheid en kwaliteit te garanderen zoals voor alle in de EU verhandelde producten en diensten gebruikelijk is. 

Veiligheid en kwaliteit

Alle producten en diensten die we in ons dagelijks leven kopen en gebruiken, moeten voldoen aan bepaalde normen van veiligheid en kwaliteit. In Europa worden deze normen ontwikkeld en goedgekeurd door de drie officieel erkende Europese normalisatieorganisaties: het Europees Comité voor Normalisatie (CEN), het Europees Comité voor elektrotechnische normalisatie (CENELEC) en het Europees Instituut voor telecommunicatienormen (ETSI).

Door gemeenschappelijke normen vast te stellen die op de gehele Europese interne markt worden toegepast, willen CEN en CENELEC zorgen voor de bescherming van de consument, het vergemakkelijken van grensoverschrijdende handel en de interoperabiliteit van producten. Als organisatie moedigen ze tevens innovatie en technologische ontwikkeling aan, zijn ze agent voor milieubescherming en stellen ze bedrijven in staat om groeien. Producten en diensten die aan deze Europese normen (EN's) voldoen, kunnen in alle deelnemende landen worden aangeboden en verkocht.

CEN en CENELEC brengen de nationale normalisatie-instellingen van 34 landen bij elkaar. Het netwerk bestaat uit bedrijfsfederaties, commerciële en consumentenorganisaties, milieugroepen en andere maatschappelijke belanghebbenden. Meer dan 60.000 technische experts uit de industrie, onderzoek, academische wereld en andere achtergronden zijn direct betrokken bij ons werk.

Cybersecurity Act

CEN en CENELEC hebben vorig jaar het voorstel van de Europese Commissie voor een 'Cybersecurity Act' (officieel 'COM (2017) 477') in ontvangst genomen, als onderdeel van haar strategie om de huidige versnippering op de Europese markt aan te pakken en te zorgen voor een coherente aanpak van cyberbeveiliging. De aanbevelingen voor de Cybersecurity Act zijn nu gepubliceerd in een paper (PDF).

De aanbevelingen voorzien in regelingen om certificatie op het gebied van cybersecurity te organiseren, waar de verantwoordelijkheden komen te liggen en hoe certificatieschema’s worden ontwikkeld en beheerd. Certificatie vindt namelijk plaats op basis van eisen die in normen kunnen worden vastgelegd. Deze normen worden ontwikkeld door CEN-CENELEC.

De aanbeveling bestaat in de basis uit vier stappen: 

  • Bepalen wat wordt bedoeld met de koepel van 'ICT-producten en -diensten' waarop het voorstel betrekking heeft en vervolgens met lidstaten formeel vastleggen om een prioriteitenlijst van producten, diensten en digitale vaardigheden en kwalificaties vast te stellen, zodat standaardisatie kan plaatsvinden;
  • Uitnodigen van alle formeel erkende nationale, Europese en internationale normalisatieorganisaties om vereisten en normen voor de certificatieschema's te definiëren, waarbij prioriteit wordt gegeven aan internationale normen;
  • Toepassen van het proces op het nieuwe wetgevingskader, met een duidelijke scheiding tussen wetgeving, normen en conformiteitsbeoordeling, waarbij een nieuwe praktijk die verwarring op de markt zou veroorzaken wordt vermeden;
  • Herzien van de technische details die zijn opgenomen in de beveiligingsdoelstellingen en de secties met betrekking tot het betrouwbaarheidsniveau om ze volledig toepasbaar te maken op de dagelijkse praktijk overeenkomstig met bestaande best practices.

 

We houden verdere ontwikkelingen rond de Cybersecurity Act in de gaten.