Op 27 juni 2019 is de cyberbeveiligingsverordening in werking getreden. Inmiddels is er een wetsvoorstel gedaan om op Europees niveau tot uitvoering te komen van deze verordening. Dit wetsvoorstel is nu ter consultatie gepubliceerd. Het is de bedoeling dat de nieuwe wet per 28 juni 2021 van kracht wordt.

Cyberbeveiligingsverordening?

Naast het feit dat dit woord je gegarandeerd de winst oplevert bij scrabble, is het een Europese verordening, die een Europees kader introduceert op het gebied van cyberbeveiligingscertificering. Het doel van de cyberbeveiligingsverordening is om door middel van een geharmoniseerde certificatiesystematiek de cyberbeveiliging in de Europese Unie te vergroten en de (digitale) interne markt te versterken. Cyberbeveiliging is daarbij gedefinieerd als de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, en andere personen die getroffen worden door cyberdreigingen, te beschermen.

Waarom deze wet?

Om ervoor te zorgen dat Europa zich tegen deze cyberaanvallen kan verweren, is de EU met een reeks cyberbeveiligingsmaatregelen gekomen. Zo is onder meer de cyberbeveiligingsverordening in het leven geroepen. Deze nieuwe wet geeft het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) een hoofdrol bij de aanpak van cybermisdaad. Daarnaast omvatten de maatregelen een Europese regeling voor cyberbeveiligingscertificering die digitale producten en diensten veiliger moet maken.

Er zijn een aantal redenen voor deze verordening en de daaruit voortvloeiende wet:

  • Dreiging van verminderde Europese marktwerking voor ICT-producten, -diensten en – processen door gefragmenteerde cybersecuritycertificeringsregelingen per afzonderlijke lidstaat.
  • Bedreiging van de Europees brede digitale weerbaarheid tegen cyberaanvallen en cybercriminaliteit.
  • Bedreiging van het vertrouwen van afnemers/consumenten in ICT-producten, -diensten en – processen.

Doelstelingen

Het doel van de verordening is:

  • Het versterken van de interne marktwerking voor ICT-producten, diensten en -processen te ondersteunen door middel van een geharmoniseerde systematiek voor cyberbeveiligingscertificering.
  • Verhogen van de digitale weerbaarheid binnen de EU doormiddel. De verwachting is dat door een toegenomen vraag naar een hoger cyberbeveiligingsniveau van ICT-producten, -diensten en -processen meer en meer aanbieders voor certificeringen zullen kiezen.
  • Verhogen van het vertrouwen in de beveiliging van ICT-producten, -diensten – en processen middels verstrekking van EU cyberbeveiligingscertificaten.

Nationale cyberbeveiligingscertificeringsautoriteit 

De cyberbeveiligingsverordening stelt dat iedere lidstaat een (of meerdere) nationale cyberbeveiligingscertificeringsautoriteit(en) moet aanwijzen die met toezichthoudende taken wordt belast. Het voornemen is om in Nederland één nationale cyberbeveiligingscertificeringsautoriteit (hierna ook: nationale autoriteit) aan te wijzen.

Verstrekking van Europese cyberbeveiligingscertificaten 

De cyberbeveiligingscertificeringsregelingen vormen de basis van de uitgifte van de cyberbeveiligingscertificaten. Deze uitgifte geschiedt nationaal. Cyberbeveiligingscertificaten met zekerheidsniveaus basis en substantieel worden in beginsel afgegeven door een daartoe geaccrediteerde en – indien van toepassing – toegelaten conformiteitsbeoordelingsinstantie, nadat deze een succesvolle conformiteitsbeoordeling van een ICT-product, -proces of -dienst heeft uitgevoerd (artikel 56, vierde lid, van de cyberbeveiligingsverordening). Een conformiteitsbeoordeling is een procedure waarbij wordt geëvalueerd of aan gespecificeerde (technische) voorschriften met betrekking tot een ICT-product, -dienst of -proces is voldaan.

Gevolgen voor fabrikanten, ontwikkelaars en dienstverleners

Fabrikanten of aanbieders van ICT-producten, -diensten of -processen worden middels de cyberbeveiligingsverordening aangespoord om beveiligingsmaatregelen te nemen. Met Europese cyberbeveiligingscertificaten kunnen zij het beveiligingsniveau van hun ICT-producten, -diensten of -processen aantonen. Artikel 55 van de cyberbeveiligingsverordening bepaalt dat de fabrikant of aanbieder van gecertificeerde ICT-producten, -diensten en -processen of van ICT-producten, – diensten en -processen waarvoor een EU-conformiteitsverklaring is afgegeven bepaalde aanvullende cyberbeveiligingsinformatie openbaar moeten maken.

Rechtsbescherming

Natuurlijke personen en rechtspersonen hebben op grond van de cyberbeveiligingsverordening het recht om een klacht in te dienen bij een conformiteitsbeoordelingsinstantie. Indien de klacht verband houdt met een Europees cyberbeveiligingscertificaat met zekerheidsniveau ‘hoog’, moet de klacht worden ingediend bij de nationale cyberbeveiligingscertificeringsautoriteit. De conformiteitsbeoordelingsinstantie respectievelijk nationale autoriteit neemt de klacht in behandeling. De natuurlijke persoon of rechtspersoon die de klacht heeft ingediend dient hierbij goed geïnformeerd te worden over de behandeling en uitkomst, en dient tevens gewezen te worden op eventuele rechtsmiddelen. Tegen de (besluiten in het kader van) afhandeling van de klacht dient een doeltreffende voorziening in rechte open te staan.

Wat betekent dit straks?

Mensen en bedrijven mogen er over een paar jaar vanuit gaan dat leveranciers van producten en diensten op een relatief veilige manier leveren. Net zoals er keurmerken zijn om elektrische apparaten te keuren, zullen ook straks aan Internet gekoppelde producten en diensten gekeurd worden. Als afnemer van een dergelijk product of dienst wordt je dus geholpen om een “veilig” product of dienst aan te schaffen. Voor leveranciers betekent het wederom een verzwaring van de eisen die aan een product of dienst gesteld worden, maar ik neem aan dat zichzelf respecterende leveranciers al hun uiterste best doen om zo veilig mogelijke hard- en software op de markt te brengen. Het zal voor die partijen relatief eenvoudig zijn om aan de wet te voldoen.

In beginsel vind ik het een goed idee om dit soort zaken op Europees niveau op te pakken. Het is niet efficiënt en effectief wanneer Europese landen afzonderlijk het wiel uit blijven vinden. Zeker als je onze landen geopolitiek afzet tegen veel grotere economieën en landen. Daarnaast is het een goede ontwikkeling dat er certificering komt, die aanbieders van hardware en software dwingt om veiligere producten en diensten te leveren. Binnen Guardian360 streven we ernaar om rechtvaardigheid op de digitale infrastructuur te brengen, daar hebben we de overheid en helaas ook sancties bij niet naleven voor nodig.

Ik vraag mij tegelijkertijd wel af of we dit onderwerp en de handhaving wel binnen de overheid kunnen beleggen? De uitvoering van de Algemene Verordening Gegevensbescherming toont niet aan dat de overheid in staat is om snel op te treden. Juist bij dit thema gaan de ontwikkelingen dusdanig snel, dat je geen tijd hebt om de bureaucratische processen te volgen. Daarbij komt dat er al verschillende normeringen en certificeringen zijn ten aanzien van informatiebeveiliging, het is niet duidelijk of er en nieuwe gaat komen, maar ik vermoed het wel.

Mijns inziens is deze wet een stap in de goede richting, maar moeten we als informatiebeveiligers zeker niet nalaten input te leveren op de wet. Van harte uitgenodigd dus!

Bronnen: